Kategorie
KSeF O KonektoSmart

Mini-poradnik bezpieczeństwa KSeF 2.0

Poświadczenia KSeF (token / certyfikat / klucz .key) to dane wrażliwe. Traktuj je jak dostęp do banku.

1) Nigdy nie wysyłaj poświadczeń mailem ani komunikatorem

  • Nie wysyłamy tokena, pliku .key, hasła do klucza ani certyfikatu przez e-mail, WhatsApp, Messenger, SMS itp.
  • Poświadczenia dodajemy wyłącznie bezpośrednio w KonektoSmart.

Jeśli ktoś prosi Cię „podeślij token” – odpowiedź brzmi: nie. Nawet jeśli to „tylko na chwilę”.

2) Klucz prywatny (.key) + hasło = komplet, który otwiera drzwi

  • Plik .key jest prywatny.
  • Hasło do klucza jest równie ważne jak sam plik.
  • Nie przechowujemy hasła w pliku typu hasla.txt, notatniku Windows ani w przeglądarce.

Rekomendacja: użyj menedżera haseł (Bitwarden / 1Password / KeePass) lub bezpiecznej firmowej polityki haseł.

3) Zasada minimalnych uprawnień (nie dawaj więcej niż trzeba)

  • Token/certyfikat powinien mieć tylko takie uprawnienia, jakie są potrzebne do pracy.
  • Minimum do podstawowej obsługi to zwykle: wystawianie + przeglądanie faktur (zgodnie z instrukcją).
  • Jeśli nie wiesz jakie uprawnienia nadać — napisz do nas, doradzimy. Lepiej zapytać niż otworzyć całą szafę „na oścież”.

4) Dostęp tylko dla upoważnionych osób w firmie

  • Poświadczenia nie powinny krążyć „po księgowości” ani leżeć na wspólnym dysku w folderze „Do zrobienia”.
  • Jeżeli kilka osób ma dostęp — prowadźcie minimalną kontrolę: kto i kiedy generował/zmieniał poświadczenia.

5) Rotacja poświadczeń: kiedy trzeba wymienić token/certyfikat

Wymień poświadczenia (wygeneruj nowe i wyłącz stare), jeśli:

  • podejrzewasz wyciek (np. token był wklejony w maila lub czat),
  • odszedł pracownik/pełnomocnik, który miał dostęp,
  • zmieniły się zasady dostępu w firmie,
  • poświadczenia były używane „gdzieś jeszcze”, a już nie powinny.

6) Co zrobić, jeśli podejrzewasz wyciek

  1. Natychmiast wygeneruj nowe poświadczenia (token/certyfikat).
  2. W KonektoSmart dodaj nowe i upewnij się, że są aktywne.
  3. Wyłącz/unieważnij stare.
  4. Skontaktuj się z nami i podaj: NIP + datę/godzinę + krótki opis sytuacji.

7) Jedna zasada, która oszczędza wszystkim czasu

Jeśli cokolwiek nie działa — nie wysyłaj tokena ani .key „żebyśmy sprawdzili”.
Wyślij zamiast tego:

  • NIP,
  • typ poświadczenia (token/certyfikat),
  • screen błędu/statusu,
  • datę i godzinę próby.

To wystarczy, żebyśmy pomogli bez ryzyka.

Powiązane artykuły: