Certyfikat KSeF wystawiony na PESEL mimo pracy w kontekście firmy

Jeden certyfikat KSeF może działać w wielu firmach? Tak i właśnie dlatego trzeba uważać

Wyobraź sobie taką sytuację. Logujesz się do KSeF 2.0, wybierasz firmę po NIP-ie, klikasz „Wygeneruj certyfikat”, a po chwili okazuje się, że certyfikat został wystawiony nie na spółkę, tylko na Twój PESEL.

Potem przełączasz się do innej firmy, w której również masz nadane uprawnienia i nagle ten sam certyfikat nadal działa.

Dla wielu osób wygląda to jak błąd systemu albo nieprawidłowa konfiguracja. W rzeczywistości to standardowe zachowanie KSeF 2.0 i efekt tego, jak Ministerstwo Finansów zaprojektowało model uwierzytelniania oraz zarządzania uprawnieniami.

To bardzo ważny temat szczególnie dla:

• biur rachunkowych,
• grup kapitałowych,
• firm posiadających wiele spółek,
• działów księgowości pracujących na kilku podmiotach,
• administratorów systemów ERP i integracji KSeF.

Źle zrozumiany model certyfikatów może prowadzić do poważnych problemów bezpieczeństwa, chaosu organizacyjnego i trudności przy odbieraniu dostępów byłym pracownikom.

Dlaczego certyfikat jest wystawiany na PESEL, mimo że działasz w kontekście firmy?

Największe zaskoczenie pojawia się wtedy, gdy użytkownik loguje się do KSeF jako reprezentant spółki, ale wygenerowany certyfikat zawiera dane osoby fizycznej.

To nie jest przypadek.

W KSeF 2.0 rozdzielono dwie rzeczy:

• tożsamość osoby lub podmiotu uwierzytelniającego się,
• uprawnienia do działania w imieniu konkretnej firmy.

To oznacza, że system osobno traktuje pytanie:

• „kim jesteś?”
• „dla kogo działasz?”

Jeżeli logujesz się profilem zaufanym, podpisem osobistym albo podpisem kwalifikowanym jako osoba fizyczna, KSeF rozpoznaje Cię właśnie jako osobę posiadającą określony PESEL.

Nawet jeśli chwilę później wybierzesz kontekst firmy po NIP-ie, sam certyfikat może nadal zostać powiązany z Twoją tożsamością osobową.

To bardzo ważna różnica, bo wiele osób zakłada intuicyjnie, że wybór firmy automatycznie oznacza wystawienie certyfikatu „na spółkę”. W praktyce zależy to od sposobu uwierzytelnienia.

Jak działa model uprawnień w KSeF 2.0?

W KSeF certyfikat sam w sobie nie jest przypisany do jednej konkretnej firmy. Certyfikat identyfikuje osobę albo podmiot uwierzytelniający się w systemie. Dopiero później KSeF sprawdza, jakie uprawnienia są przypisane do tego identyfikatora.

W uproszczeniu wygląda to tak:

1. użytkownik loguje się do KSeF,
2. system identyfikuje jego PESEL albo NIP,
3. następnie sprawdza, w jakich podmiotach ma nadane uprawnienia,
4. dopiero wtedy pozwala działać w kontekście konkretnej firmy.

To właśnie dlatego jeden certyfikat może działać w wielu spółkach, jeśli dana osoba ma odpowiednie prawa.

Dla księgowej obsługującej kilka firm może to być wygodne. Nie trzeba generować osobnego certyfikatu dla każdego podmiotu. Problem pojawia się jednak wtedy, gdy organizacja nie kontroluje poprawnie dostępów i zasad bezpieczeństwa.

Najczęstsze nieporozumienia dotyczące certyfikatów KSeF

Wokół certyfikatów KSeF pojawia się dziś sporo błędnych założeń. Najczęściej spotykane to:

• „Certyfikat zawsze należy do firmy”
• „Przełączenie na inny NIP wymaga nowego certyfikatu”
• „Certyfikat sam zawiera wszystkie uprawnienia”
• „Skoro działa w kilku spółkach, można go współdzielić”

To ostatnie jest szczególnie niebezpieczne.

Jeżeli certyfikat został wygenerowany na PESEL konkretnej osoby, powinien być traktowany jak jej osobisty środek uwierzytelnienia. Udostępnianie go innym pracownikom lub przechowywanie w sposób niekontrolowany może prowadzić do bardzo poważnych problemów.

Największe ryzyko: jeden certyfikat i wiele firm

Z punktu widzenia bezpieczeństwa największym problemem jest to, że kompromitacja jednego certyfikatu może potencjalnie otworzyć dostęp do wielu podmiotów.

Jeżeli jedna osoba posiada szerokie uprawnienia w kilku spółkach, a jej certyfikat zostanie:

• skopiowany,
• udostępniony innym osobom,
• pozostawiony na niezabezpieczonym komputerze,
• wykorzystany po odejściu pracownika,
• przechwycony w wyniku błędu organizacyjnego,

wtedy problem może dotyczyć nie jednej firmy, ale całej grupy podmiotów.

To zupełnie inna skala ryzyka niż klasyczne logowanie do pojedynczego systemu księgowego.

Dlaczego współdzielenie certyfikatów to zły pomysł?

W niektórych firmach nadal spotyka się praktykę współdzielenia loginów albo wspólnych dostępów. Przy certyfikatach KSeF to szczególnie ryzykowne.

Jeżeli certyfikat został wystawiony na konkretną osobę, jego używanie przez inne osoby może:

• utrudnić ustalenie odpowiedzialności,
• powodować problemy audytowe,
• naruszać politykę bezpieczeństwa firmy,
• zwiększać ryzyko nieautoryzowanych działań.

W praktyce firma może później nie być w stanie jednoznacznie ustalić, kto wykonał określoną operację w KSeF.

To szczególnie ważne przy:

• wystawianiu faktur,
• nadawaniu uprawnień,
• pobieraniu dokumentów,
• integracjach systemowych,
• kontrolach podatkowych i audytach bezpieczeństwa.

Problem offboardingu po KSeF

Wiele firm nie zdaje sobie sprawy, że po KSeF proces odebrania dostępu pracownikowi stanie się bardziej skomplikowany niż wcześniej.

W klasycznych systemach często wystarczało wyłączenie konta użytkownika w ERP lub skrzynki mailowej. W KSeF trzeba dodatkowo pamiętać o:

• odebraniu uprawnień w każdym podmiocie,
• sprawdzeniu aktywnych certyfikatów,
• weryfikacji integracji systemowych,
• usunięciu dostępu do środowisk produkcyjnych i testowych.

Samo „niekorzystanie z certyfikatu” nie oznacza jeszcze, że ryzyko zniknęło.

Jeżeli były pracownik nadal posiada aktywne uprawnienia w kilku spółkach, potencjalny problem może być znacznie większy niż przed wdrożeniem KSeF.

Jak bezpiecznie podejść do certyfikatów KSeF?

Najlepsze rozwiązanie zależy od tego, jak działa organizacja.

Inaczej wygląda sytuacja:

• w małej firmie,
• w biurze rachunkowym,
• w grupie kapitałowej,
• w dużym ERP z integracjami API.

Mimo to można wskazać kilka uniwersalnych zasad bezpieczeństwa.

Rekomendacja 1: Integracje systemowe powinny być dobrze kontrolowane

Jeżeli firma korzysta z integracji API i automatycznej komunikacji z KSeF, warto rozważyć model oparty o certyfikaty powiązane z organizacją oraz kontrolowaną dystrybucję dostępów.

W większych środowiskach ogranicza to ryzyko uzależnienia integracji od jednej osoby fizycznej.

To szczególnie ważne w przypadku:

• automatycznego pobierania faktur kosztowych,
• hurtowej wysyłki dokumentów,
• współpracy wielu systemów ERP,
• obsługi dużej liczby podmiotów.

Rekomendacja 2: Certyfikaty osobowe powinny pozostać prywatne

Jeżeli certyfikat jest powiązany z konkretną osobą, nie powinien być współdzielony ani kopiowany między użytkownikami.

Najlepiej traktować go podobnie jak:

• podpis kwalifikowany,
• profil zaufany,
• dane logowania do bankowości.

To oznacza:

• bezpieczne przechowywanie,
• ograniczenie dostępu,
• brak współdzielenia między pracownikami,
• regularny przegląd aktywnych certyfikatów.

Rekomendacja 3: Minimalny zakres uprawnień

To jedna z najważniejszych zasad bezpieczeństwa po KSeF.

Każdy użytkownik powinien mieć wyłącznie takie uprawnienia, które są rzeczywiście potrzebne do wykonywania obowiązków.

W praktyce oznacza to, że:

• księgowa nie zawsze potrzebuje pełnych praw administratora,
• pracownik działu zakupów nie musi mieć dostępu do wszystkich spółek,
• integracja API nie powinna mieć większego zakresu niż wymagany.

Im większy zakres uprawnień przypisany do jednego certyfikatu, tym większe potencjalne skutki błędu lub wycieku.

Jak przygotować firmę do bezpiecznej pracy z KSeF?

Najlepiej zacząć od prostego audytu:

• kto ma dziś dostęp do KSeF,
• jakie certyfikaty są aktywne,
• które osoby mają dostęp do wielu podmiotów,
• czy istnieją współdzielone dostępy,
• jak wygląda procedura odebrania uprawnień,
• które systemy komunikują się z KSeF przez API.

Wiele organizacji odkrywa dopiero podczas takiej analizy, że dostępów jest więcej niż zakładano, a część z nich nie jest już potrzebna.

Jak może pomóc ewidencjafaktur.pl?

Bezpieczna praca z KSeF wymaga nie tylko poprawnego nadania uprawnień, ale też uporządkowanego obiegu dokumentów i kontroli dostępu.

evidencjafaktur.pl może pomóc firmom i biurom rachunkowym:

• zarządzać obiegiem faktur,
• automatycznie pobierać dokumenty z KSeF,
• kontrolować dostęp użytkowników,
• uporządkować współpracę między firmą a księgowością,
• zmniejszyć ryzyko chaosu organizacyjnego po wdrożeniu KSeF.

Dzięki temu firma może łatwiej kontrolować procesy i ograniczyć ryzyko związane z wieloma użytkownikami oraz wieloma podmiotami.

Podsumowanie

To, że certyfikat KSeF działa w wielu firmach, nie jest błędem systemu. To świadomie zaprojektowany model, w którym oddzielono tożsamość użytkownika od uprawnień do działania w imieniu konkretnych podmiotów.

Problem pojawia się wtedy, gdy organizacja nie kontroluje poprawnie certyfikatów, dostępów i procedur bezpieczeństwa.

Najważniejsze zasady po KSeF są proste:

• nie współdziel certyfikatów osobowych,
• regularnie przeglądaj uprawnienia,
• stosuj zasadę minimalnego dostępu,
• kontroluj integracje systemowe,
• pamiętaj o pełnym offboardingu pracowników.

W przeciwnym razie jeden niekontrolowany certyfikat może otworzyć dostęp do wielu firm jednocześnie.