Zbliża się koniec roku. Zwykle w tym okresie zastanawiamy się czego musimy jeszcze dopilnować aby następny rok zacząć jak najlepiej przygotowanym, bez żadnych zaległości. Jedną z takich spraw o których powinniśmy pamiętać jest zmiana w podpisie kwalifikowanym. Dlaczego należy zwrócić na to uwagę? ·

Ministerstwo Finansów poinformowało, że tylko do końca tego roku będzie można wysyłać pliki JPK, CUK, ALK, które zawierają podpis kwalifikowany wykorzystujący algorytm szyfrowania SHA-1. Od początku 2022 roku Bramka JPK będzie przyjmować wyłącznie te pliki które podpisane zostaną przy użyciu algorytmu szyfrowania SHA-256.

Co dla nas oznacza zmiana algorytmu szyfrowania?

Dobra wiadomość jest taka, że nie wymaga to od nas żadnej aktualizacji podpisu kwalifikowanego. Natomiast należy zaktualizować lub przekonfigurować samo oprogramowanie podpisujące. Chodzi o zmianę parametrów podpisu funkcji skrótu z SHA-1 na SHA-256. Jeżeli napotkamy jakieś problemy lub niejasności warto skontaktować się z dostawcą oprogramowania z pewnością będzie on w stanie poinformować nas jak dokonać zmiany aby wszystko działało poprawnie.

 

 Jak sprawdzić aktualnie używany algorytm podpisu kwalifikowanego?

certyfikat-podpis-kwalifikowany-sha-1-sha256

Jak zabezpieczyć pliki JPK?

Zabezpieczenie plików JPK powinno następować na kilku etapach jego wykorzystania:

  • Pierwszy z nich znajduje się już w firmie, tworzącej JPK. Właściwe systemy zabezpieczeń wewnętrznych powinny chronić plik przed nieuprawnionym otwarciem i korzystaniem. Dodatkowo, dostęp do pliku powinien być  możliwy wyłącznie na urządzeniach służących do kontaktu / wysyłki zewnętrznej – na rzecz organów podatkowych. Wewnętrzne bezpieczeństwo nie jest regulowane normami prawa stąd na podmiocie przygotowującym spoczywa odpowiedzialność wykorzystania prawidłowego oprogramowania, zapewniającego wystarczający stopień bezpieczeństwa.
  • Kolejnym etapem zapewnienia bezpieczeństwa winno być zapewnienie kanału przesyłu danych z podmiotu do organu skarbowego. Dane w pliku JPK przesyłane są przez przedsiębiorców do chmury publicznej w postaci zaszyfrowanej kluczem publicznym MF. Natomiast do szyfrowania JPK wykorzystywane są silne algorytmy kryptograficzne AES oraz RSA. Ich odszyfrowanie możliwe jest tylko w środowisku Centrum Przetwarzania Danych Ministerstwa Finansów z wykorzystaniem chronionego klucza prywatnego MF. Dodatkowym zabezpieczeniem jest wykorzystanie klucza podpisu elektronicznego lub systemu ePUAP.
  • Ostatni etap to archiwizacja w podmiocie tworzącym plik JPK. Tu ponownie należy wybrać urządzenie, do którego dostęp winien być szyfrowany lub przechowanie plików w chmurze z odpowiednim systemem zabezpieczeń.

W zakresie przechowywania danych z JPK w organach skarbowych, indywidualne dane objęte są tajemnicą skarbową. Dane w zakresie Jednolitych Plików Kontrolnych przekazywane przez podatników są chronione z zachowaniem wszystkich reguł wynikających z przepisów dotyczących ochrony informacji stanowiących tajemnicę skarbową i ochrony danych osobowych w odniesieniu do ochrony danych w formie elektronicznej. Dostęp do tych danych – w celu realizacji zadań analitycznych – mają zaś jedynie upoważnieni pracownicy resortu finansów. Bezpieczeństwo przetwarzania danych w Centrum MF zapewnia System Zarządzania Bezpieczeństwem Informacji (wymagania normy PN-ISO/IEC 27001), wewnętrzne zasady bezpiecznego przetwarzania danych, zabezpieczenia techniczne oraz prowadzone okresowe działania audytowe.

Uznać należy, że w całym procesie korzystania z plików JPK to głównie od podmiotu wysyłającego zależy nadanie plikowi odpowiedniego stopnia bezpieczeństwa.

W przypadku, jeśli nie zadba on o dołożenie szczególnej uwagi do zabezpieczenia pliku, narażony zostanie na dostęp przez osoby nieuprawnione do danych wrażliwych, dotyczących jego przedsiębiorstwa.

Poznaj nas bliżej