71 724 23 73
Facebook Netvet
0KOSZYK

Pieczęć elektroniczna w Twojej firmie. Poznaj klucz do bezpiecznego KSeF

NetVet > Aktualności > Pieczęć elektroniczna w Twojej firmie. Poznaj klucz do bezpiecznego KSeF
Czym jest pieczęć elektroniczna

Już setki lat temu pieczęć, czy to królewska, czy szlachecka, była symbolem i gwarancją autentyczności listów oraz dokumentów. Współczesna pieczęć elektroniczna kontynuuje tę tradycję w świecie cyfrowym, tylko zamiast wosku i metalu wykorzystuje zaawansowaną kryptografię, ale jej funkcja pozostaje ta sama: jednoznacznie potwierdza źródło dokumentu i strzeże jego integralności. Warto wdrożyć ją w firmie, aby usprawnić codzienną pracę, a także zapewnić pełne bezpieczeństwo w KSeF.

Czym jest pieczęć elektroniczna?

Pieczęć elektroniczna rewolucjonizuje obieg dokumentów w firmach, szczególnie w kontekście nadchodzącego obowiązku KSeF. Stanowi ona kluczowy element bezpieczeństwa i wiarygodności dokumentów elektronicznych. To narzędzie, oparte na regulacjach eIDAS, pozwala na jednoznaczną identyfikację organizacji bez angażowania osób fizycznych. Brzmi skomplikowanie? W praktyce to prosty i skuteczny mechanizm, który usprawnia codzienną pracę.

W skrócie jest to zaawansowane rozwiązanie kryptograficzne do weryfikacji tożsamości podmiotów prawnych. W odróżnieniu od podpisu kwalifikowanego, identyfikuje podmioty prawne, a nie osoby. Najprościej mówiąc jest to zatem rodzaj podpisu elektronicznego, ale stosowanego nie przez osoby fizyczne, a na przykłady przez firmy, urzędy czy organizacje. Jest takim odpowiednikiem klasycznej pieczątki firmowej w wersji elektronicznej.

Zgodnie z europejskim rozporządzeniem eIDAS wyróżniamy:

  • Pieczęć zwykłą: podstawowa, bez kwalifikacji.
  • Pieczęć zaawansowaną z dodatkowymi zabezpieczeniami.
  • Kwalifikowaną pieczęć elektroniczną o pełnej mocy prawnej, równoważna podpisowi własnoręcznemu.

Należy pamiętać, że w KSeF rekomendowana jest wersja kwalifikowana. Tak więc pieczęć elektroniczna nie jest gadżetem, czy ciekawostką technologiczną, ale staje się podstawowym narzędziem pracy zespołów księgowości.

Podpis kwalifikowany a pieczęć elektroniczna

Pieczęć kwalifikowana analogicznie do podpisu elektronicznego posiada moc prawną do identyfikowania organizacji w dokumentach wysyłanych elektronicznie. Jest jednak między nimi kilka istotnych różnic.

Pieczęć elektroniczna nie zawiera informacji o konkretnej osobie (a podpis tak) i odnosi się wyłącznie do podmiotu, dla którego została wystawiona. W praktyce oznacza to, że z jednego certyfikatu może korzystać wielu upoważnionych pracowników danej firmy lub organizacji, o ile nadano im odpowiednie role i dostęp w systemach wewnętrznych. Rozwiązanie to sprawdza się zarówno przy pieczętowaniu wewnętrznych dokumentów firmowych, jak i przy wszystkich operacjach realizowanych w ramach Krajowego Systemu e-Faktur.

Zastosowanie:

  • Faktury masowe, raporty,
  • Umowy, Pojedyncze dokumenty,
  • Automatyzacja,
  • KSeF,
  • Akceptacja masowa,
  • Akceptacja pojedynczych dokumentów

Jak działa pieczęć elektroniczna w praktyce?

Pieczęć elektroniczna nie jest po prostu „obrazkiem pieczątki”, ale zbiorem danych kryptograficznych zbudowanych w oparciu o tzw. infrastrukturę klucza publicznego, czyli PKI (Public Key Infrastructure). To właśnie PKI sprawia, że można pieczęci zaufać w takim samym stopniu, jak podpisowi kwalifikowanemu.

Co to jest PKI?

Infrastruktura klucza publicznego to zestaw technologii, procedur i podmiotów (np. kwalifikowanego centrum certyfikacji), który umożliwia bezpieczne tworzenie, przechowywanie i używanie certyfikatów cyfrowych. W praktyce oznacza to, że za każdą pieczęcią elektroniczną stoją:

  • para kluczy kryptograficznych (klucz prywatny i klucz publiczny),
  • kwalifikowany certyfikat przypisany do konkretnego podmiotu, np. firmy,
  • zaufany urząd certyfikacji, który ten certyfikat wystawia i nadzoruje jego ważność.

Klucz prywatny używany jest do „zapieczętowania” dokumentu (tak jak król zaklejał woskiem swoje dekrety), a klucz publiczny do weryfikacji, czy pieczęć jest ważna i czy dokument nie został zmieniony po jej złożeniu (czyli sprawdza, czy królewski wosk nie został wcześniej przełamany, a wzór na nim odciśnięty jest oryginalny).

Jak działa PKI krok po kroku?

Gdy system (np. ERP firmowy zintegrowany z KSeF) przykłada pieczęć do dokumentu następują po sobie 3 kluczowe kroki, więcej na: https://netvet.pl/jak-zarejestrowac-sie-ksef-krok-po-kroku/

  1. Tworzony jest skrót (hash) dokumentu. Jest to unikalny ciąg znaków, który ulegnie zmianie, jeśli zmieni się choćby jeden znak w treści.
  2. Skrót ten jest szyfrowany kluczem prywatnym przypisanym do pieczęci kwalifikowanej danego podmiotu.
  3. Do dokumentu dołączany jest wynik szyfrowania oraz certyfikat pieczęci (zawierający m.in. klucz publiczny i dane firmy).

Podmiot weryfikujący dokument (np. wspomniany wyżej KSeF) korzysta z klucza publicznego zawartego w certyfikacie, aby sprawdzić, czy „odpieczętowany” skrót zgadza się ze skrótem opracowanym w chwili przykładania pieczęci na podstawie aktualnej treści dokumentu. Jeśli tak, uznaje pieczęć za ważną, a treść za niezmodyfikowaną.

Jakie znaczenie ma PKI dla pieczęci elektronicznej?

Bez PKI pieczęć byłaby jedynie oznaczeniem graficznym (czyli obrazkiem), który byłby łatwy do podrobienia. PKI zapewnia natomiast:

  • niezaprzeczalność pochodzenia, bo wiadomo, że pieczęć została złożona przez dany podmiot, bo tylko on ma dostęp do klucza prywatnego;
  • integralność treści, bo każda zmiana w dokumencie po opieczętowaniu zostanie wykryta przy weryfikacji;
  • publiczne zaufanie, bo kwalifikowany dostawca certyfikatów (np. EuroCert, Certum, KIR) weryfikuje dane podmiotu przed wydaniem certyfikatu, a później publikuje informacje o unieważnieniach (CRL/OCSP).

Dane zapisane w pieczęci elektronicznej

W pierwszej kolejności pieczęć zawiera oczywiście dane identyfikujące podmiot, czyli informacje które pozwalają jednoznacznie powiązać ją z konkretną organizacją, bez ujawniania danych pracowników. Są to dane takie jak:

  • pełną nazwę rejestrową podmiotu;
  • identyfikator prawny lub podatkowy, np. NIP, KRS, REGON, ewentualnie inny numer identyfikacyjny stosowany w danym systemie prawnym;
  • podstawowe dane adresowe (adres siedziby lub adres rejestrowy).

Drugą grupę danych stanowią dane ściśle kryptograficzne, które decydują o bezpieczeństwie pieczęci. Są to zatem:

  • publiczny klucz kryptograficzny przypisany do pieczęci (odpowiadający poufnemu kluczowi prywatnemu, którym pieczęć się „składa”);
  • algorytm kryptograficzny, długość klucza, używane funkcje skrótu, wykorzystywane przy wyliczaniu hashy dokumentów;
  • numer seryjny certyfikatu nadany przez kwalifikowane centrum certyfikacji;
  • informacja o kwalifikowanym statusie certyfikatu (oznaczenie, że jest to kwalifikowana pieczęć elektroniczna, a nie zwykły certyfikat).

Warto pamiętać, że są to informacje kluczowe dla procesów weryfikacji, ponieważ pozwalają systemom (np. KSeF, ERP) zweryfikować integralność dokumentów i poprawność łańcucha zaufania.

Kolejną informacją, która znajduje się w każdej pieczęci elektronicznej to dane o podmiocie, który wydał certyfikat oraz o łańcuchu certyfikacji (nazwę i identyfikatory kwalifikowanego dostawcy, odwołania do certyfikatów nadrzędnych, politykę certyfikacji (OID) określającą zasady wydania i używania pieczęci).

Ostatnią składową pieczęci są dane ważności certyfikatu, dzięki którym odbiorca danego dokumentu może nie tylko upewnić się, czy pieczęć jest poprawna technicznie, ale też czy była ważna w momencie złożenia na dokumencie. Do tej grupy danych należą: data i czas wystawienia certyfikatu, data i czas wygaśnięcia (koniec okresu ważności) oraz informacja o mechanizmach i adresach służących do sprawdzania statusu certyfikatu.

A czego pieczęć elektroniczna nie zawiera?

Istotne z punktu widzenia ochrony danych osobowych jest to, że kwalifikowana pieczęć elektroniczna nie zawiera żadnych informacji pozwalających zidentyfikować pracowników (np. imion, nazwisk, PESEL itp.). Pieczęć bowiem identyfikuje podmiot jako całość, dzięki czemu może być używana przez wielu upoważnionych użytkowników bez ujawniania ich tożsamości.

Jak uzyskać pieczęć elektroniczną?

Uzyskanie pieczęci dla firmy, bądź organizacji nie jest skomplikowanym procesem o ile skorzysta się z usług sprawdzonego partnera.

Na początek należy wybrać certyfikowanego dostawcę usług zaufania, który ma pełne prawo do emitowania kwalifikowanych pieczęci elektronicznych (np. EuroCert lub Certum). Przechodzą oni bowiem rygorystyczną akredytację przez polskie organy nadzoru, co zapewnia zgodność z eIDAS i najwyższy poziom ochrony kryptograficznej. W razie wątpliwości, które rozwiązanie wybrać wskazane jest skorzystanie z pomocy doradcy w sklepie internetowym, takim jak na przykład NetVet.

Sam zakup jest już naprawdę prosty: wystarczy wejść do internetowego sklepu dostawcy, wybrać odpowiedni pakiet, opłacić transakcję i postępować zgodnie z intuicyjnymi instrukcjami w koszyku zakupowym.

Najważniejszym etapem jest weryfikacja danych firmy i jej przedstawicieli, która potwierdza autentyczność podmiotu. Proces trwa zwykle 15 minut i może zostać przeprowadzony na kilka sposobów: przez videoweryfikację online (z biura lub innego dowolnego miejsca), podpisanie elektronicznego oświadczenia kwalifikowanym podpisem, wizytę w punkcie autoryzowanym lub ewentualnie spotkanie z mobilnym weryfikatorem, który przyjeżdża w umówionym terminie. Podawane są skan KRS/CEIDG, NIP i dane rejestrowe.

Korzyści z wdrożenia pieczęci elektronicznej

Kwalifikowana pieczęć elektroniczna daje organizacji wiele korzyści biznesowych, które wykraczają poza samo spełnienie wymogów KSeF. Zaczynając od pełnej mocy prawnej dokumentów porównywalnej z papierowymi oryginałami, przez automatyzację masowego pieczętowania faktur i raportów w systemach klasy ERP, po gwarancję autentyczności i integralności treści. Dodatkowymi atutami są oszczędności finansowe (brak papieru, tonerów, kurierów i tańsza archiwizacja cyfrowa), skrócenie czasu pracy dzięki jednoczesnemu przetwarzaniu wielu dokumentów, a także wkład w ekologię (zmniejszenie ilości wydruków, brak przesyłania papierowych wersji dokumentów). 

I choć nie jest obowiązkowa, staje się kluczowym narzędziem dla firm wdrażających cyfrowy obieg dokumentów. A więc warto zapomnieć o tradycyjnym “wosku”, wybierając bezpieczeństwo z pieczęcią elektroniczną.