Zbliża się koniec roku. Zwykle w tym okresie zastanawiamy się czego musimy jeszcze dopilnować aby następny rok zacząć jak najlepiej przygotowanym, bez żadnych zaległości. Jedną z takich spraw o których powinniśmy pamiętać jest zmiana w podpisie kwalifikowanym. Dlaczego należy zwrócić na to uwagę? ·
Ministerstwo Finansów poinformowało, że tylko do końca tego roku będzie można wysyłać pliki JPK, CUK, ALK, które zawierają podpis kwalifikowany wykorzystujący algorytm szyfrowania SHA-1. Od początku 2022 roku Bramka JPK będzie przyjmować wyłącznie te pliki które podpisane zostaną przy użyciu algorytmu szyfrowania SHA-256.
Co dla nas oznacza zmiana algorytmu szyfrowania?
Dobra wiadomość jest taka, że nie wymaga to od nas żadnej aktualizacji podpisu kwalifikowanego. Natomiast należy zaktualizować lub przekonfigurować samo oprogramowanie podpisujące. Chodzi o zmianę parametrów podpisu funkcji skrótu z SHA-1 na SHA-256. Jeżeli napotkamy jakieś problemy lub niejasności warto skontaktować się z dostawcą oprogramowania z pewnością będzie on w stanie poinformować nas jak dokonać zmiany aby wszystko działało poprawnie.
Jak sprawdzić aktualnie używany algorytm podpisu kwalifikowanego?
Jak zabezpieczyć pliki JPK?
Zabezpieczenie plików JPK powinno następować na kilku etapach jego wykorzystania:
- Pierwszy z nich znajduje się już w firmie, tworzącej JPK. Właściwe systemy zabezpieczeń wewnętrznych powinny chronić plik przed nieuprawnionym otwarciem i korzystaniem. Dodatkowo, dostęp do pliku powinien być możliwy wyłącznie na urządzeniach służących do kontaktu / wysyłki zewnętrznej – na rzecz organów podatkowych. Wewnętrzne bezpieczeństwo nie jest regulowane normami prawa stąd na podmiocie przygotowującym spoczywa odpowiedzialność wykorzystania prawidłowego oprogramowania, zapewniającego wystarczający stopień bezpieczeństwa.
- Kolejnym etapem zapewnienia bezpieczeństwa winno być zapewnienie kanału przesyłu danych z podmiotu do organu skarbowego. Dane w pliku JPK przesyłane są przez przedsiębiorców do chmury publicznej w postaci zaszyfrowanej kluczem publicznym MF. Natomiast do szyfrowania JPK wykorzystywane są silne algorytmy kryptograficzne AES oraz RSA. Ich odszyfrowanie możliwe jest tylko w środowisku Centrum Przetwarzania Danych Ministerstwa Finansów z wykorzystaniem chronionego klucza prywatnego MF. Dodatkowym zabezpieczeniem jest wykorzystanie klucza podpisu elektronicznego lub systemu ePUAP.
- Ostatni etap to archiwizacja w podmiocie tworzącym plik JPK. Tu ponownie należy wybrać urządzenie, do którego dostęp winien być szyfrowany lub przechowanie plików w chmurze z odpowiednim systemem zabezpieczeń.
W zakresie przechowywania danych z JPK w organach skarbowych, indywidualne dane objęte są tajemnicą skarbową. Dane w zakresie Jednolitych Plików Kontrolnych przekazywane przez podatników są chronione z zachowaniem wszystkich reguł wynikających z przepisów dotyczących ochrony informacji stanowiących tajemnicę skarbową i ochrony danych osobowych w odniesieniu do ochrony danych w formie elektronicznej. Dostęp do tych danych – w celu realizacji zadań analitycznych – mają zaś jedynie upoważnieni pracownicy resortu finansów. Bezpieczeństwo przetwarzania danych w Centrum MF zapewnia System Zarządzania Bezpieczeństwem Informacji (wymagania normy PN-ISO/IEC 27001), wewnętrzne zasady bezpiecznego przetwarzania danych, zabezpieczenia techniczne oraz prowadzone okresowe działania audytowe.
Uznać należy, że w całym procesie korzystania z plików JPK to głównie od podmiotu wysyłającego zależy nadanie plikowi odpowiedniego stopnia bezpieczeństwa.
W przypadku, jeśli nie zadba on o dołożenie szczególnej uwagi do zabezpieczenia pliku, narażony zostanie na dostęp przez osoby nieuprawnione do danych wrażliwych, dotyczących jego przedsiębiorstwa.