Polityka bezpieczeństwa

Bezpieczeństwo i prywatność w KSeFik

Dokument opisuje zasady bezpieczeństwa technicznego i organizacyjnego przy korzystaniu z aplikacji oraz zakres komunikacji sieciowej z usługami KSeF, Google Analytics i Google reCAPTCHA.

Kluczowa zasada
Minimalizujemy dane: nie budujemy profili użytkowników i nie zbieramy danych „na zapas”.
Uwaga: strona może korzystać z Google Analytics (statystyka) oraz reCAPTCHA (ochrona formularza), co wiąże się z użyciem technologii cookies i przekazaniem wybranych danych technicznych do Google.

1. Zakres przetwarzania danych

KSeFik nie prowadzi własnej bazy danych użytkowników w celu profilowania ani marketingu i nie sprzedaje danych. Aplikacja/serwis służy do realizacji operacji związanych z KSeF (np. odbioru dokumentów oraz obsługi statusów faktur) oraz do kontaktu z zespołem (formularz).
Dane podane w formularzu kontaktowym (np. imię i nazwisko, e-mail, treść wiadomości) są wykorzystywane wyłącznie do obsługi zgłoszenia i komunikacji zwrotnej.

2. Komunikacja sieciowa

Komunikacja sieciowa aplikacji jest ograniczona do:
  • usług KSeF Ministerstwa Finansów (w zależności od wybranego środowiska: produkcyjnego lub demo/testowego),
Komunikacja sieciowa strony www.ksefik-app.pl jest ograniczona do:
  • usług Google Analytics (jeżeli użytkownik wyrazi zgodę na cookies analityczne),
  • usług Google reCAPTCHA (w celu ochrony formularza przed nadużyciami).
Nie wysyłamy danych do podmiotów trzecich w celach reklamowych; integracje służą wyłącznie statystyce (GA – po zgodzie) oraz ochronie przed spamem (reCAPTCHA) - strona www. Aplikacja komunikuje się tylko i wyłącznie z serwerami Ministerstwa Finansów.

3. Szyfrowanie i transport

Połączenia realizowane są wyłącznie po HTTPS, aby zapewnić poufność i integralność transmisji. Zalecamy uruchamianie aplikacji wyłącznie w zaufanym środowisku oraz aktualizowanie systemu operacyjnego urządzenia i aplikacji.

4. Klucze, tokeny i dostęp

Dane dostępowe (np. klucze, tokeny, certyfikaty lub inne mechanizmy uwierzytelnienia wymagane do komunikacji z KSeF) powinny być przechowywane wyłącznie po stronie użytkownika/organizacji. Nie należy przekazywać ich w treści wiadomości e-mail ani przechowywać w postaci jawnej w miejscach publicznych.
Generując Token sugeruj się zasadą need-to-know. Wybierająć uprawnienia, nadaj tylko i wyłącznie wystawianie i przeglądanie faktur.

5. Logi, diagnostyka i minimalizacja

Stosujemy zasadę minimalizacji: zbieramy tylko takie informacje techniczne, które są zapisane na Twoim telefonie. Dane nie są przekazywane - mogą być wykorzystane w celach diagnostycznych o ile nam je udostępnisz.
Serwis WWW - nie mylić z aplikacją, zapisuje logi sesyjne oraz logi http.

6. Pliki cookie i technologie podobne

Serwis może wykorzystywać pliki cookie lub podobne mechanizmy w celu działania strony, zapamiętania ustawień oraz – po wyrażeniu zgody – analityki ruchu.
Kategoria Cel Status
Niezbędne Poprawne działanie serwisu (np. utrzymanie sesji, zabezpieczenia formularzy). Wymagane
Bezpieczeństwo / antyspam Ochrona formularza kontaktowego i ograniczenie nadużyć (Google reCAPTCHA). Wymagane do działania formularza
Analityczne Statystyka odwiedzin i zachowań na stronie (Google Analytics). Opcjonalne (po zgodzie)

7. Google Analytics (dotyczy strony wwww)

Jeżeli użytkownik wyrazi zgodę na cookies analityczne, serwis może korzystać z Google Analytics do tworzenia zbiorczych statystyk (np. liczba odwiedzin, popularność podstron).
Użytkownik może zmienić decyzję dotyczącą zgody w dowolnym momencie poprzez ustawienia cookies. Po cofnięciu zgody analityka nie będzie inicjowana.

8. Google reCAPTCHA (v3) (dotyczy strony wwww)

Formularz kontaktowy jest chroniony mechanizmem reCAPTCHA v3, który pomaga wykrywać automatyczne wysyłki i nadużycia. reCAPTCHA przy wykonaniu ustawia niezbędny plik cookie _GRECAPTCHA w celu analizy ryzyka.
W procesie weryfikacji tokena reCAPTCHA może dojść do przekazania do Google danych technicznych (np. parametrów przeglądarki, adresu IP, zachowań wskazujących na automatyzację) w zakresie niezbędnym do oceny ryzyka.

9. Zgłaszanie incydentów

Jeżeli podejrzewasz podatność, naruszenie bezpieczeństwa lub nieautoryzowany dostęp, skontaktuj się z nami przez formularz na stronie głównej. W opisie zgłoszenia nie przesyłaj danych wrażliwych (nie potrzebujemy treści faktur ani tokenów dostępowych).

10. Kontakt

W sprawach bezpieczeństwa i prywatności skorzystaj z formularza kontaktowego na stronie głównej.
Przejdź do formularza Wróć na stronę główną

Co robimy

  • Ograniczamy komunikację do usług KSeF (MF) oraz do Google (GA/reCAPTCHA) zgodnie z przeznaczeniem.
  • Minimalizujemy zakres danych w logach i unikamy zbędnego utrwalania danych biznesowych.
  • Stosujemy HTTPS i dobre praktyki przechowywania danych dostępowych (Secure Storage).
  • Uruchamiamy analitykę po uzyskaniu zgody (CMP / Consent Mode).

reCAPTCHA i cookies

reCAPTCHA może ustawiać cookie _GRECAPTCHA jako niezbędne do analizy ryzyka i ochrony formularza.

Ważne

Nie przechowujemy danych w rozumieniu RODO.