Czy kasy wirtualne będą bezpieczne?

Ministerstwo nieustannie pracuje nad projektem rozporządzenia, które umożliwi wprowadzenie na polski rynek wirtualnych kas fiskalnych – 22 listopada 2019 roku opublikowano nową wersję tego projektu. Najczęściej poruszane zagadnienia w tym temacie to pytania o bezpieczeństwo kas wirtualnych ewidencjonujących sprzedaż. Poniżej prezentujemy informacje o systemach zabezpieczeń zapowiedzianych przez Ministerstwo Finansów.

Kasy w formie oprogramowania mają pełnić funkcje kas fiskalnych online, a ze względu na niski koszt zakupu i użytkowania zachęcać podatników do skorzystania z takiej w pełni wirtualnej opcji. Obniżenie kosztów jest spowodowane tym, że kasa wirtualna będzie miała postać oprogramowania i do korzystania z niej nie będzie potrzebny kosztowny sprzęt. Oprócz opłacalności tego rozwiązania, dużym plusem dla przedsiębiorców jest fakt, że taka aplikacja daje możliwość poszerzenia o kolejne funkcjonalności, np. zbieranie danych i poddawanie ich analizie, kontrola nad magazynem, pracownikami, sprzedażą. Więcej na ten temat pisaliśmy już w artykule “Wirtualna kasa fiskalna w gastronomii. Zobacz, jaką rewolucję szykuje rząd”.

Podatnicy, widząc zalety kas wirtualnych zastanawiają się nad jedną kwestią: czy kasy w formie oprogramowania będą bezpiecznym rozwiązaniem? Zdaniem Zbigniewa Makowskiego, Zastępcy Dyrektora Departamentu Podatku od Towarów i Usług w Ministerstwie Finansów, proponowany system będzie spełniał wymogi bezpieczeństwa:

Jesteśmy przekonani, że możemy zaprojektować system bezpieczny; zaproponowane przez naszych ekspertów rozwiązanie zapewni ciągłość rejestrowania paragonów, które będą spływać do naszej bazy. Dzięki temu będziemy mieć pełną wiedzę o raportowanej sprzedaży. 

W projekcie rozporządzenia Ministerstwo Finansów zawarło wymagania techniczne, którym muszą odpowiadać kasy w formie oprogramowania oraz sposób ich używania, mające na celu zapewnienie, że dopuszczone do użytku kasy będą sprawnie i bezpiecznie pełnić swoją funkcję. Najważniejsze z tych ustaleń prezentujemy poniżej. 

Certyfikat producenta i kasy

Chociaż producentem oprogramowania, jakim będą kasy wirtualne, może być każda firma, to zanim taka usługa trafi na rynek, będzie musiała uzyskać specjalny certyfikat potwierdzony przez Szefa Krajowej Administracji Skarbowej. Po pierwsze, sam producent oprogramowania będzie musiał uzyskać tzw. certyfikat producenta, czyli główny certyfikat, który uprawnia go do nadawania swoim produktom certyfikatu kasy. Zgodnie z projektem rozporządzenia przez “certyfikat kasy” rozumie się “unikatowy certyfikat klucza publicznego przydzielony danej kasie, wystawiany przez producenta tej kasy i podpisany certyfikatem producenta, który jest zawarty w kasie”. Szef Krajowej Administracji Skarbowej będzie prowadził wykaz producentów kas mających zarejestrowany certyfikat producenta. Dokument ten będzie publicznie udostępniony, żeby podatnicy mogli sprawdzić czy producent kasy, której zakupem są zainteresowani, widnieje na tym wykazie. Certyfikat producenta będzie ważny 10 lat od daty wystawienia.

Jednak to nie wszystko. Jak czytamy w artykule gazety prawnej, po wystawieniu certyfikatu kasy, “producent oprogramowania będzie musiał zgłosić certyfikat do szefa Krajowej Administracji Skarbowej, a ten następnie będzie go rejestrował w zbiorze zaufanych certyfikatów. Projektowane przepisy przewidują, że dopiero po zgłoszeniu szefowi KAS producent będzie mógł wprowadzić dany certyfikat do kasy.

Numer unikatowy i numer ewidencyjny kasy

Certyfikaty to nie jedyne oznaczenia, jakie będzie musiała uzyskać kasa wirtualna, by być traktowana jako oprogramowanie dopuszczone do pracy przez Ministerstwo Finansów. 

Projekt rozporządzenia przewiduje również nadawanie wymogów posiadania przez kasy numeru unikatowego i numeru ewidencyjnego. Zgodnie z dokumentem opublikowanym przez Ministerstwo, przez numer unikatowy rozumie się “indywidualny i niepowtarzalny numer nadawany kasie, zapisany w bazie danych kasy, identyfikujący jednoznacznie każdą kasę z przydzielonym jej certyfikatem kasy”. Poza nim kasa będzie oznaczona numerem ewidencyjnym. Jest to “indywidualny i niepowtarzalny numer nadawany kasie podczas fiskalizacji, zapisany w bazie danych kasy, identyfikujący kasę w Centralnym Repozytorium Kas”.

New Call-to-action

Proces fiskalizacji i wpis do Centralnej Ewidencji Kas Rejestrujących

Po rejestracji certyfikatu producenta i potwierdzeniu numeru unikatowego kasa w formie oprogramowania będzie mogła przejść proces fiskalizacji, definiowany w projekcie, jako “jednokrotny i niepowtarzalny proces inicjujący pracę kasy, zakończony wystawieniem raportu fiskalnego fiskalizacji oraz pobraniem i zapisem w bazie danych kasy harmonogramu przesyłania danych”. Proces ten dokonuje się poprzez połączenie umożliwiające przesyłanie danych między kasą a Centralnym Repozytorium Kas. Jeśli wszystko przebiegnie pomyślnie, kasa zostanie wpisana do Centralnej Ewidencji Kas Rejestrujących, co oznacza, że specjalny certyfikat identyfikujący ją wraz z przedsiębiorstwem, które z niej korzysta. Jak mówi Przemysław Koch, Pełnomocnik Ministra Finansów ds. Informatyzacji, od tego momentu kasa będzie mogła “każdego dnia pobierać będzie token upoważniający do rejestrowania sprzedaży”.

Standardy kryptografii i testy bezpieczeństwa

W nowej wersji projektu rozporządzenia wymienia się również inne techniki zwiększające bezpieczeństwo kas fiskalnych, m.in. specyfikację RFC 6234, która stanowi zbiór dobrych praktyk opisujących standard kryptografii opublikowany przez National Institute of Standards and Technology (NIST); klucz współdzielony używany jako klucz wmieszany dla kodów uwierzytelniania wiadomości, skrót kryptograficzny SHA2. Ponadto, jak czytamy w stanowisku Ministerstwa Finansów z 23 września 2019 r. dla DGP, resort przewiduje “przeprowadzenie testów bezpieczeństwa, w szczególności testów penetracyjnych, potwierdzających odporność opracowanego rozwiązania na próby przełamania zabezpieczeń i ataki hakerskie”.

W każdej dziedzinie gospodarki zauważa się przechodzenie w stronę cyfryzacji, a podobne rozwiązania dotyczące rejestracji sprzedaży z powodzeniem funkcjonują już w innych krajach Europy, np. w Chorwacji, w Słowenii i w Czechach i opierają się na zabezpieczaniu metodami kryptograficznymi procesu przesyłania danych. Ministerstwo Finansów przekonuje, że certyfikowane oprogramowanie, w tym oprogramowanie dla gastronomii, będzie bezpieczne, przetestowane i mniej kosztowne dla przedsiębiorców.

POSdlaKawiarni

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *