21 vooraf geconfigureerde landprofielen

Profielselector op één regel voor zowel Europese e-facturatie als EU-handtekeningen voor arbeidsovereenkomsten. Elk profiel configureert vooraf het hash-algoritme, de canonicalization, het handtekeningniveau en het beleid om te voldoen aan de eisen van de doeljurisdictie.

12 e-facturatieprofielen

9 profielen voor arbeidsovereenkomsten

eIDAS-verordening 910/2014

SECTIE A

E-facturatieprofielen (12)

Ready-made XAdES configurations for the major European tax authorities and Peppol participants.

Constant	Country	System	Format	Level
`spVeriFactu`	Spain	VeriFactu (AEAT)	XAdES-EPES	B-B
`spTicketBAI`	Spain (Basque)	TicketBAI	XAdES-EPES	B-B
`spFacturaeB2B`	Spain	Facturae 3.x / FACe	XAdES-EPES	B-T
`spFatturaPA`	Italy	FatturaPA (SDI)	XAdES-BES	B-B
`spSAFTPT`	Portugal	SAF-T PT	RSA-SHA256	B-B
`spKSeF`	Poland	KSeF	XAdES	B-T
`spFacturX`	France / Germany	Factur-X / ZUGFeRD	XAdES	B-B
`spEFactura`	Romania	e-Factura (ANAF)	XAdES	B-T
`spNAVOnline`	Hungary	NAV Online	XML-DSig	B-B
`spFiskalizacija`	Croatia	Fiskalizacija	XML-DSig	B-B
`spPeppolBE`	Belgium	Peppol UBL 2.0	XAdES	B-T
`spPeppolBG`	Bulgaria	Peppol UBL 2.1	XAdES	B-T
`spMyDATA`	Greece	myDATA (AADE)	XAdES	B-B

SECTIE B

EU-arbeidsovereenkomstprofielen (9)

eIDAS-aware signature profiles tuned to each member state's labour-law requirements. AdES or QES, the right hash, the right C14N, the right OCSP/timestamp expectations.

Country	Profile	Level	Hash	C14N	TS	OCSP	Notes
Germany	`spEmploymentDE`	slBLT	SHA-256	exclusive	yes	yes	§ 126a BGB requires QES for written-form contracts (e.g. fixed-term > 24 months, post-contract non-compete).
Italy	`spEmploymentIT`	slBLT	SHA-256	c14n10	yes	yes	QES (FEQ) common. CAdES (.p7m) widely used; XAdES accepted. INPS portals consume both.
Spain	`spEmploymentES`	slBT	SHA-256	exclusive	yes	no	AdES sufficient. SEPE / TGSS portals require FNMT or DNIe certificate; CRL via FNMT trust list.
France	`spEmploymentFR`	slBT	SHA-256	exclusive	yes	no	AdES OK. QES preferred for remote-signing flows under DSP2 / RGS.
Austria	`spEmploymentAT`	slBLT	SHA-256	exclusive	yes	yes	QES via Handy-Signatur / ID Austria common.
Belgium	`spEmploymentBE`	slBLT	SHA-256	exclusive	yes	yes	QES via eID card (BeID).
Portugal	`spEmploymentPT`	slBLT	SHA-256	exclusive	yes	yes	QES via Cartão do Cidadão / Chave Móvel Digital.
Netherlands	`spEmploymentNL`	slBT	SHA-256	exclusive	yes	no	AdES generally accepted; QES for some HR portals (UWV).
Poland	`spEmploymentPL`	slBT	SHA-256	exclusive	yes	no	QES via Profil Zaufany or qualified cert when contract goes to ZUS / PUE. No central labour-policy URI.

SECTIE C

Wisselen met één regel

Change jurisdiction by changing one constant. Hash, canonicalization, level, OCSP and timestamp expectations are reconfigured automatically.

Swap profiles in place

spVeriFactu → spFatturaPA is a one-line edit. The signer reconfigures every internal flag.
Employment profiles are loaded into TsgcXAdESSigner via Profile.LoadProfile(spEmploymentXX).
Override individual flags after LoadProfile when a deployment imposes stricter rules than the defaults.
Same key provider, same signer instance, same input bytes — only the profile changes.

switch-profile.pas

// E-invoicing profiles: assign to .Profile
vSigner.Profile := spVeriFactu;       // Spanish VeriFactu
vSigner.Profile := spFatturaPA;       // Italian FatturaPA
vSigner.Profile := spKSeF;            // Polish KSeF

// Employment profiles: use Profile.LoadProfile
vSigner.Profile.LoadProfile(spEmploymentDE);  // German QES B-LT
vSigner.Profile.LoadProfile(spEmploymentES);  // Spanish AdES B-T

// Override defaults if deployment requires it
vSigner.Profile.LoadProfile(spEmploymentES);
vSigner.Profile.IncludeOCSP := True;     // SEPE requires OCSP
vSigner.Profile.IncludeTimestamp := True;
vSigner.Profile.PolicyIdentifier :=
  'http://my.example/policy/v1';

SECTIE D

eIDAS-context

EU-verordening 910/2014 definieert drie handtekeningniveaus. Landprofielen koppelen elke jurisdictie aan het juiste niveau.

Simple Electronic Signature (SES)

Elke elektronische gegevens die aan andere elektronische gegevens worden gekoppeld om te ondertekenen. Laagste juridische waarde; doorgaans onvoldoende voor arbeidscontracten of e-facturatie.

Advanced Electronic Signature (AdES)

Uniek gekoppeld aan de ondertekenaar, in staat hem te identificeren, aangemaakt met middelen die uitsluitend onder zijn controle staan, en bestand tegen manipulatie. De standaard voor de meeste e-facturatiesystemen en veel EU-arbeidsjurisdicties.

Qualified Electronic Signature (QES)

Een AdES gedekt door een gekwalificeerd certificaat dat is aangemaakt op een Qualified Signature Creation Device (QSCD). Juridisch gelijkwaardig aan een handgeschreven handtekening in elke EU-lidstaat. Vereist voor Duitse schriftelijke contracten (§ 126a BGB) en veel high-value-workflows.

Wie valideert

Belastingdiensten (AEAT, ANAF, AADE, NAV), arbeidsrechtbanken, validators van de overheid en Peppol Access Points. De landprofielen worden geleverd met de parameters die deze validators verwachten.

UITROLNOTITIE

Spanje — FacturaeB2B / FACe

Een specifiek cross-cutting probleem dat Spaanse e-facturatie-deployments verrast.

RSA-SHA1 voor FACe-inzendingen

Het spFacturaeB2B-profiel produceert XAdES-EPES-handtekeningen op Facturae 3.x-facturen die worden ingediend bij het Spaanse FACe-portaal. Certificaten met PFX als backend produceren correct RSA-SHA1-handtekeningen voor het FacturaeB2B-profiel.

Eerdere sgcSign-builds gebruikten hardcoded SHA-256 in TsgcPFXKeyProvider, waardoor FACe inzendingen afwees met INVALID_INVOICE-122 "los datos de la firma no son correctos". Het huidige profiel kiest automatisch SHA-1 voor FacturaeB2B en SHA-256 voor VeriFactu en TicketBAI.

spain-facturae.pas

var
  vSigner: TsgcDocumentSigner;
begin
  vSigner := TsgcDocumentSigner.Create(nil);
  try
    vSigner.Profile := spFacturaeB2B;
    vSigner.KeyProvider := vPFXProvider;
    // PFX-provider gebruikt automatisch RSA-SHA1
    vSigner.SignXML(vInvoiceXML);
  finally
    vSigner.Free;
  end;
end;