Czy jeden certyfikat KSeF obsłuży wszystko?

Oficjalne materiały rozróżniają zastosowania certyfikatów. Nie należy zakładać, że jeden certyfikat obejmuje każde użycie.

Czy certyfikat KSeF trzeba odnawiać?

Tak. Oficjalne materiały wskazują maksymalną ważność certyfikatu, dlatego firma powinna prowadzić rejestr i pilnować terminów.

Certyfikat KSeF: kiedy jest potrzebny

Kiedy firma potrzebuje certyfikatu KSeF, czym różnią się zastosowania, jak prowadzić rejestr i jakie ryzyka operacyjne trzeba kontrolować.

Certyfikat KSeF to nie jest drobny załącznik techniczny. To element uwierzytelnienia i obsługi trybów szczególnych, który powinien mieć właściciela, miejsce przechowywania, datę ważności i procedurę odnowienia.

Firma nie musi brnąć w kryptografię, żeby podejmować dobre decyzje. Musi natomiast wiedzieć, do czego certyfikat jest używany, kto może go pobrać i co zrobić, gdy pracownik odchodzi albo system wymaga zmiany poświadczenia.

Dla kogo jest ten poradnik

Dla administratorów KSeF, IT, księgowości i właścicieli firm. Przyda się szczególnie firmom, które planują integrację ERP, offline24, tryb awaryjny albo automatyczne procesy wysyłki faktur.

Jeżeli firma wystawia faktury ręcznie w narzędziu MF, temat może być prostszy. Jeżeli firma ma ERP i integracje, certyfikaty powinny znaleźć się w polityce dostępu.

Co zrobić krok po kroku

Ustal, do jakiego celu potrzebujesz certyfikatu.
Sprawdź oficjalny opis typów i zastosowań.
Ustal, kto może uwierzytelnić się i wnioskować o certyfikat.
Zapisz certyfikat w rejestrze: typ, właściciel, data, system, zastosowanie.
Ogranicz dostęp do certyfikatu do osób i systemów, które go potrzebują.
Przetestuj scenariusz, w którym certyfikat jest wymagany.
Zaplanuj odnowienie i unieważnienie.

Typy zastosowań

Oficjalne materiały wskazują między innymi certyfikat do uwierzytelnienia oraz certyfikat do zastosowań offline. To ważne, bo firma nie powinna zakładać, że jeden plik rozwiąże wszystkie scenariusze.

Przykład praktyczny: uwierzytelnienie systemu do integracji i potwierdzanie tożsamości wystawcy przy fakturze offline mogą wymagać innego podejścia organizacyjnego. W rejestrze powinno być jasne, który certyfikat obsługuje który proces.

Certyfikat a offline24

Przy fakturach wystawianych offline24 mogą pojawić się kody QR i potwierdzanie tożsamości wystawcy. Oficjalny opis certyfikatów wskazuje znaczenie certyfikatu typu offline dla tych scenariuszy.

To trzeba przetestować przed realną awarią. W dniu problemu nie ma czasu na ustalanie, gdzie jest certyfikat, kto go pobrał i czy system potrafi wygenerować właściwe oznaczenie.

Rejestr certyfikatów

Rejestr certyfikatów powinien być prosty, ale obowiązkowy. Zapisz typ, zastosowanie, datę wytworzenia, datę ważności, osobę odpowiedzialną, system, w którym certyfikat jest używany, oraz sposób odnowienia.

Jeżeli certyfikat jest przekazywany pracownikom albo instalowany w systemie, zapisz to. Bez śladu organizacyjnego certyfikat staje się niewidzialnym ryzykiem.

Najczęstsze błędy

Brak rejestru certyfikatów.
Założenie, że jeden certyfikat wystarczy do każdego celu.
Brak testu offline24.
Brak planu odnowienia.
Brak procedury unieważnienia po zmianie pracownika.
Przechowywanie certyfikatu bez kontroli dostępu.

Prosta decyzja dla zarządu

Zarząd lub właściciel nie musi znać szczegółów technicznych certyfikatu. Powinien zatwierdzić model odpowiedzialności: kto pobiera, kto przechowuje, kto używa, kto odnawia i kto kontroluje, czy certyfikat nie został w firmie po osobie, która już nie pracuje.