Polityka bezpieczeństwa

Bezpieczeństwo i prywatność w KSeFik

Dokument opisuje zasady bezpieczeństwa technicznego i organizacyjnego przy korzystaniu z aplikacji oraz zakres komunikacji sieciowej z usługami KSeF.

Kluczowa zasada
Aplikacja nie zbiera danych “dla siebie” — działa jako klient komunikujący się z KSeF.

1. Zakres przetwarzania danych

KSeFik nie prowadzi własnej bazy danych użytkowników w celu profilowania ani marketingu i nie gromadzi danych o aktywności użytkownika w serwisach zewnętrznych. Aplikacja służy wyłącznie do realizacji operacji związanych z KSeF, tj. wysyłki/odbioru dokumentów oraz obsługi statusów.

2. Komunikacja sieciowa

Komunikacja sieciowa aplikacji jest ograniczona do usług KSeF Ministerstwa Finansów (w zależności od wybranego środowiska: produkcyjnego, demo lub testowego). Ministerstwo Finansów publikuje oficjalne adresy API KSeF, m.in.:
Środowisko Adres
Produkcyjne https://api.ksef.mf.gov.pl [page:2]
Demo (przedprodukcyjne) https://api-demo.ksef.mf.gov.pl [page:2]
Testowe https://api-test.ksef.mf.gov.pl [page:2]
Status/komunikaty dostępności https://api-latarnia.ksef.mf.gov.pl/status, https://api-latarnia.ksef.mf.gov.pl/messages [page:2]
Aplikacja nie wysyła danych do podmiotów trzecich w celach analitycznych/reklamowych; jedynym celem połączeń jest realizacja operacji KSeF w infrastrukturze Ministerstwa Finansów.

3. Szyfrowanie i transport

Połączenia realizowane są wyłącznie po HTTPS, aby zapewnić poufność i integralność transmisji. Zalecamy uruchamianie aplikacji wyłącznie w zaufanym środowisku oraz aktualizowanie systemu i zależności.

4. Klucze, tokeny i dostęp

Dane dostępowe (np. klucze, tokeny, certyfikaty lub inne mechanizmy uwierzytelnienia wymagane do komunikacji z KSeF) powinny być przechowywane wyłącznie po stronie użytkownika/organizacji, w bezpiecznej konfiguracji środowiska (np. zmienne środowiskowe, menedżer sekretów). Nie należy przekazywać ich w treści wiadomości e-mail ani przechowywać w repozytorium kodu.

5. Logi i diagnostyka

Rekomendujemy prowadzenie minimalnych logów technicznych niezbędnych do diagnostyki (np. czas operacji, identyfikator żądania, kod odpowiedzi) bez utrwalania treści faktur i danych biznesowych, o ile nie jest to konieczne w Twojej organizacji.

6. Kontakt

Jeśli zauważysz podatność lub podejrzane działanie, skontaktuj się z nami przez formularz na stronie głównej. Nie przesyłaj danych wrażliwych w treści zgłoszenia.
Przejdź do formularza Wróć na stronę główną

Co robimy

  • Ograniczamy komunikację do usług KSeF (MF).
  • Minimalizujemy zakres danych w logach.
  • Stosujemy HTTPS i dobre praktyki konfiguracji sekretów.

Ważne

Ten dokument ma charakter informacyjny i powinien zostać dopasowany do Twojego realnego wdrożenia (np. jeśli jednak utrwalasz dane w bazie, cache lub backupach).