Witaj!

cerrato dodał nowy post w wątku: Krajowy system e-Faktur

A ja mam takie pytanie do @xoree oraz @gbbsoft (ale oczywiście każdy może napisać, co myśli).

Bo tak się zastanawiam, jak wygląda moje bezpieczeństwo przy korzystaniu z usług pośredników - patrząc z perspektywy klienta.

Chociażby ta Twoja usługa czyli https://ksefservice.pl/ - żeby z niej korzystać to muszę uzyskać dostęp do ksef, a potem Tobie go przekazać, żebyś w ramach swojej usługi był pośrednikiem do KSeF. Czyli z jednej strony - korzystając z mojego tokena, łączysz się z serwerami KSeF, a z drugiej - wystawiasz dla mnie jakieś API, które ja sobie integruję po swojej stronie.
Ale jak się mogę zabezpieczyć/czy moja obawa, że nieuczciwy pośrednik (nie chodzi mi o Ciebie, ale takich usług pewnie jest/pojawi się znacznie więcej) korzystając z mojego tokena zacznie wystawiać jakieś lewe faktury, albo po prostu narobi bałaganu. W końcu - skoro ma możliwość wejść do KSeF i w moim imieniu "przekazać" FV, która powstała w moim systemie księgowym, to za bardzo KSeF nie ma jak stwierdzić, czy faktura tam zgłaszana/rejestrowana jest naprawdę ode mnie, czy pośrednik robi jakieś swoje krzywe akcje.

Mam rację, czy jest to jakoś zabezpieczone? To trochę jak dawanie dostępu np. do maila jakiejś aplikacji. Inaczej nie będzie mogła korzystać z mojego serwera, odczytywać ani tworzyć wiadomości, wyświetlać powiadomień o nowych wiadomościach itp.. Ale dając jej dostęp do skrzynki akceptuje ryzyko (niewielkie, ale zawsze istnieje) ze zacznie robić coś niefajnego - wysyłać w moim imieniu spam (albo zdjęcia siurka) do osób, które tego nie chcą, skasuje mi jakieś ważne maile otrzymane, albo wyśle wiadomość do lotniska że mają bombę. I potem ciężko będzie wyjaśnić, że mail wprawdzie jest mój, ale to nie ja wysłałem wiadomość. Albo że wprawdzie firma jest moja, mój NIP i token dostępowy do KSeF, ale to nie ja te faktury wystawiłem.

Z poważaniem,
4programmers.net