W związku ze zbliżającym się terminem wejścia w życie nowych przepisów nakładających obowiązek korzystania z Krajowego Systemu e-Faktur przedsiębiorcy mają wiele obaw. Wątpliwości wyrażane przez właścicieli firm dotyczą zarówno dostosowania firmowego oprogramowania do nowych wymogów, jak i bezpieczeństwa danych trafiających do rządowego systemu informatycznego KSeF. Jakie dane są przechowywane w KSeF i w jaki sposób są one zabezpieczone przed niepowołanym dostępem? Dowiesz się tego z poniższego artykułu.
Jakie typy danych trafiają do KSeF?
Dane, które będą trafiać do systemu KSeF, obejmują informacje zawarte w fakturach ustrukturyzowanych. Zgodnie z ustawą o podatku od towarów i usług faktura ustrukturyzowana to faktura wystawiona poprzez KSeF wraz z numerem identyfikującym tę fakturę w tym systemie (art. 2 pkt 32a), z kolei przez fakturę należy rozumieć papierowy lub elektroniczny dokument, który zawiera dane wymagane przez ustawę i przepisy wydane na jej podstawie (art. 2 pkt 31).
Proces legislacyjny związany z wdrożeniem KSeF wciąż trwa, a założenia dotyczące faktur ustrukturyzowanych zmieniały się w ostatnich latach. To z kolei powoduje, że dostęp do szczegółowych informacji na temat tego rozwiązania jest utrudniony. Z aktów prawnych i materiałów opublikowanych przez Ministerstwo Finansów wynika jednak, że dane na e-fakturach to przede wszystkim dane wymagane przez ustawę o podatku od towarów i usług. Są to m.in. następujące informacje:
- dane identyfikujące podmiot wystawiający fakturę – to choćby nazwa, adres i numer VAT;
- dane identyfikujące nabywcę – analogicznie do danych sprzedawcy;
- dane dotyczące transakcji – przykładowo daty sprzedaży i dostawy, ilość i rodzaj sprzedanych produktów, ich ceny oraz stawki podatku.
Oprócz danych wskazanych powyżej faktura ustrukturyzowana przewiduje też miejsce na dane opcjonalne czy dane dodatkowych podmiotów, a także umożliwia dodanie załącznika. Więcej o informacjach zawartych na e-fakturze można dowiedzieć się, zapoznając się ze strukturą logiczną FA(3), która została opublikowana w Centralnym Repozytorium Wzorów Dokumentów Elektronicznych. E-faktury wystawianie w systemie KSeF będą mieć postać plików xml, które muszą być zgodne właśnie z tą strukturą logiczną.
W jaki sposób Ministerstwo Finansów chroni dane w KSeF?
Obowiązek wystawiania przez przedsiębiorców faktur ustrukturyzowanych poprzez KSeF ma wiele konsekwencji – jednym z nich jest to, że e-faktury będą trafiać do centralnego repozytorium. To rodzi pytania o bezpieczeństwo danych w KSeF i środki zapobiegawcze, jakie zostały wdrożone przez Ministerstwo Finansów, aby przeciwdziałać nadużyciom.
Wyciek danych z KSeF mógłby mieć poważne konsekwencje zarówno dla korzystających z niego podmiotów, jak i rządowych instytucji czuwających nad jego poprawnym funkcjonowaniem. Z tego względu Ministerstwo Finansów zaprojektowało system KSeF w sposób zapewniający bezpieczeństwo danym, które są w nim gromadzone. Wykorzystywane w tym celu środki obejmują m.in. wymóg uwierzytelnienia, szyfrowanie danych i komunikacji czy system uprawnień.
Czy moje dane handlowe są bezpieczne w KSeF?
W związku nowymi wymogami w zakresie fakturowania przedsiębiorców interesuje nie tylko data, od kiedy faktury ustrukturyzowane staną się obowiązkowe, ale również to, czy przekazywane przez nich informacje będą odpowiednio zabezpieczone przed dostępem osób niepowołanych. Uwagę na tę kwestię zwrócił również Rzecznik Praw Obywatelskich, który wystosował zapytanie do Ministerstwa Finansów.
Z udzielonej przez Ministerstwo odpowiedzi wynika, że ocena bezpieczeństwa systemu teleinformatycznego KSeF leży w zakresie kompetencji Agencji Bezpieczeństwa Wewnętrznego, a Ministerstwo wdrożyło odpowiedni system zarządzania bezpieczeństwem informacji. Krajowy System e-Faktur podlega ciągłym testom, których celem jest ujawnienie potencjalnych zagrożeń i dążenie do tego, aby bezpieczeństwo danych w KSeF miało najwyższy poziom.
Odrębnym zagadnieniem są zagrożenia bezpieczeństwa danych, które mają swoje źródło w nieprawidłowym wdrożeniu funkcjonalności KSeF w wykorzystywanym przez firmę oprogramowaniu czy nieostrożności korzystających z niego pracowników. Jak im zaradzić i jakie kroki podjąć?
W pierwszym przypadku odpowiedni poziom bezpieczeństwa danych można zapewnić, decydując się choćby na wykorzystanie komercyjnych rozwiązań ułatwiających integrację z KSeF – przykładem może być wykorzystanie innego niż rządowe KSeF API. Gdy chodzi o pracowników, warto postawić na szkolenia, które zwiększą świadomość potencjalnych zagrożeń i pozwolą przyswoić sobie dobre praktyki związane z bezpiecznym korzystaniem z systemów informatycznych.
Jakie technologie zabezpieczają informacje w KSeF?
Bezpieczeństwo danych w KSeF to zagadnienie związane również z wykorzystywanymi technologiami. Ochrona informacji przekazywanych do KSeF przez przedsiębiorców opiera się na kilku filarach, które obejmują zastosowanie bezpiecznych mechanizmów uwierzytelnienia (Profil Zaufany, podpis kwalifikowany), dedykowanych certyfikatów KSeF oraz kryptografii wykorzystującej klucze asymetryczne i symetryczne. Certyfikaty KSeF, które będą mieć zastosowanie w przypadku wystawiania faktury w trybie offline, wykorzystują mechanizm składania podpisu XAdES-BES. W procesie przesyłania faktury są natomiast szyfrowane i odszyfrowywane.
Wymóg dobrej znajomości złożonych technologii (certyfikaty X.509 czy wykorzystanie do podpisywania dokumentów kluczy prywatnych w połączeniu z kryptografią asymetryczną) sprawia, że integracja używanego przez firmę oprogramowania z oficjalnym API KSeF może sprawić wiele trudności. To powoduje, że wiele przedsiębiorców rozważa skorzystanie z narzędzi komercyjnych, do których zalicza się alternatywne API KSeF.
Co zrobić w przypadku naruszenia bezpieczeństwa danych w KSeF?
W kwestii naruszeń bezpieczeństwa danych w KSeF odróżnić trzeba dwa scenariusze – wyciek danych z systemu KSeF i systemu (np. ERP) wykorzystywanego przez przedsiębiorcę.
W pierwszym przypadku nie wiadomo jeszcze, jak będzie wyglądać kwestia konsekwencji naruszenia bezpieczeństwa danych – Ministerstwo Finansów nie podzieliło się rekomendacjami co do procedury, jaką powinni wdrożyć przedsiębiorcy na wypadek takiego zdarzenia. Wiadomo jednak, że administratorzy systemu KSeF o wszelkich naruszeniach poufności danych będą zobowiązani informować Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV.
Do naruszenia bezpieczeństwa danych w KSeF może dojść również po stronie przedsiębiorcy. Ten scenariusz jest realny, biorąc pod uwagę, że część firm może mieć pewne niedociągnięcia w zakresie ochrony danych. Jak zapobiec takiemu scenariuszowi – innymi słowy, jak zadbać o bezpieczeństwo danych w KSeF? Najprostszym rozwiązaniem jest nawiązanie współpracy z firmą, która zapewnia narzędzia pozwalające na łatwą i bezpieczną integrację z KSeF, przeszkolenie pracowników i systematyczne monitorowanie stosowanych zabezpieczeń.
