REMADV (Remittance Advice) este mesajul EDIFACT care confirmă plățile și potrivirea facturilor; conține sume, referințe de factură, date bancare și statusuri. Pentru IT managers, consultanți EDI și furnizori ERP, întrebarea practică este: cum transportăm REMADV în mod sigur și auditabil? În ecosistemele moderne EDI, cele două opțiuni folosite frecvent sunt AS2 și SFTP. Diferențele lor, mai ales în securitate, semnături digitale și non-repudiere, sunt critice atunci când discuția ajunge la conformitate, litigii sau SLA-uri cu retaileri globali.
AS2 pe scurt: securitate end-to-end și non-repudiere prin MDN
AS2 (Applicability Statement 2), standardizat în RFC 4130, transportă EDI peste HTTP/HTTPS și folosește S/MIME pentru criptare și semnături digitale. Piesa-cheie pentru non-repudiere este MDN (Message Disposition Notification): un „receipt” criptografic, sincron sau asincron, care confirmă primirea și integritatea mesajului printr-un MIC (Message Integrity Check) bazat pe SHA-256. Cu un MDN semnat, expeditorul obține dovada că partenerul a primit și a procesat mesajul exact livrat, ceea ce întărește non-repudierea.
În practică, AS2 rulează peste TLS 1.2/1.3 (port 443), iar conținutul EDI este adesea criptat cu AES-256 și semnat cu certificate X.509 (RSA 2048/3072). NIST SP 800-131A descurajează SHA-1, astfel că majoritatea profilelor AS2 moderne impun semnături digitale și MIC pe SHA-256. În plus, AS2 separă clar chestiunile de transport (HTTP/S) de securitatea payload-ului (S/MIME), permițând o verificare robustă a integrității și autenticității.
SFTP pe scurt: transport sigur, dar fără confirmări criptografice standard
SFTP (SSH File Transfer Protocol) folosește SSH (port 22) pentru confidențialitate și integritate în tranzit. Autentificarea se face cu user/parolă sau chei SSH, iar mecanismele MAC asigură integritatea traficului. Totuși, SFTP nu definește semnături digitale la nivel de fișier și nu are un mecanism echivalent MDN pentru non-repudiere. Organizațiile pot adăuga PGP la nivel de fișier pentru semnături digitale și pot construi confirmări „de facto” (ex. fișiere de return/ack), dar acestea sunt convenții de proces, nu un standard interoperabil precum MDN-ul din AS2.
De ce contează diferența pentru REMADV
REMADV conține date financiare sensibile și este adesea folosit ca probă în reconciliere sau dispute. Pentru un EDI robust:
- Securitate: atât AS2, cât și SFTP oferă confidențialitate în tranzit. AS2 adaugă semnături digitale standardizate la nivel de mesaj.
- Semnături digitale: în AS2, S/MIME semnează payload-ul; în SFTP, aveți nevoie de PGP/SMIME suplimentar pentru a obține o semnătură digitală reală pe fișier.
- Non-repudiere: MDN-ul AS2 semnat oferă un lanț de dovezi criptografice. În SFTP, fără MDN, non-repudierea depinde de loguri, timestamps și controale de proces.
Practica pieței: ce folosesc marii retaileri și platforme
Walmart, de exemplu, solicită și menține AS2 pentru furnizori în majoritatea fluxurilor EDI, tocmai pentru capacitatea de non-repudiere cu MDN. Amazon Vendor Central acceptă atât AS2, cât și SFTP pentru documente EDI, însă AS2 este frecvent preferat pentru tranzacții critice. În Europa, Carrefour, Metro și Tesco operează rețele EDI cu suport AS2; în paralel, multe marketplace-uri și 3PL-uri păstrează SFTP pentru integrarea batch sau pentru parteneri cu capabilități minime.
În sectorul public european, trendul a fost către AS4 (de ex., rețeaua PEPPOL), dar asta vizează în principal e-facturarea B2G/B2B reglementată, nu REMADV comercial. În România, din 2024, e-Factura B2B a devenit obligatorie prin sistemul național, schimbând peisajul pentru facturi, însă canalele EDI comerciale pentru mesaje precum REMADV rămân relevante și separate ca infrastructură.
Date de piață și context
Piața EDI globală este evaluată în miliarde USD și crește cu un CAGR în zona high single digit / low double digit, pe fondul modernizării lanțurilor de aprovizionare și al cerințelor de conformitate. Liderii precum OpenText (Business Network), IBM Sterling, SPS Commerce, Cleo, TrueCommerce și SEEBURGER raportează constant extinderi de bază de clienți, iar GS1 notează adopție pe scară largă a standardelor EDI/EANCOM la nivel mondial. În retail, presiunea pentru trasabilitate și reconciliere rapidă menține incluziunea REMADV în standardele de integrare, iar preferința pentru AS2 rămâne vizibilă acolo unde non-repudierea este contractuală.
Operare: certificate, rotație de chei și SLA
Cu AS2, managementul certificatelor X.509 (expirare, rotație, rollover cu dublă semnătură) este un proces de release planificat. Beneficiul este clar: integritate verificabilă și MDN-uri semnate înapoi. În SFTP, operarea este mai simplă la suprafață (chei SSH, permisiuni), dar semnăturile digitale pe fișier și confirmările trebuie proiectate explicit (ex. PGP + fișiere ACK). Oricare ar fi opțiunea, diferențiați clar ack-urile de transport (MDN în AS2) de cele de aplicație (997/CONTRL), ambele necesare pentru un SLA EDI credibil.
AS2 vs SFTP pentru REMADV: criterii de selecție
- Conformitate și litigii: alegeți AS2 când non-repudierea și semnăturile digitale sunt cerințe ferme sau când partenerii o impun.
- Capabilități ale partenerilor: SFTP are barieră de intrare mai mică; bun pentru parteneri mici, dar adăugați PGP și confirmări formale.
- Complexitate operațională: AS2 necesită gestionare certificată și monitorizare MDN; SFTP este mai simplu, dar necesită controale compensatorii.
- Scalabilitate și latență: AS2 sincron oferă feedback imediat; SFTP este excelent pentru batch, ferestre programate și volume mari.
Exemple de implementare
Platforme ca OpenText Trading Grid, IBM Sterling B2B Integrator, Cleo Integration Cloud sau SEEBURGER BIS oferă profile AS2 mature (semnături digitale, SHA-256, MDN-uri asinc pentru reziliență). În zona SFTP, același furnizori expun end-point-uri administrate, frecvent completate cu PGP pentru a acoperi integritatea la nivel de fișier. Mulți retaileri mari din SUA și UE întrețin ambele canale pentru a acomoda ecosisteme eterogene, dar cer explicit AS2 pentru mesajele EDI sensibile (inclusiv REMADV), tocmai pentru non-repudiere.
Concluzie
Pentru REMADV, diferența dintre AS2 și SFTP nu este doar „transport”, ci modelul de încredere: AS2 oferă semnături digitale standardizate și non-repudiere prin MDN, esențiale când dovada livrării și integrității devine critică. SFTP rămâne util pentru simplitate și volum, dar necesită PGP și proceduri stricte pentru a atinge un nivel comparabil de securitate și non-repudiere. Dacă sunteți IT manager, consultant ERP sau EDI, evaluați cerințele contractuale ale partenerilor (Walmart, Amazon, Carrefour etc.), riscul operațional, precum și guvernanța internă a certificatelor și cheilor. În contextul actual de conformitate și digitalizare accelerată, REMADV prin AS2 va continua să fie opțiunea implicită acolo unde securitatea, semnăturile digitale și non-repudierea în EDI sunt non-negociabile.