Sprawa, z którą się do Was zwracam, dotyczy wyłącznie warstwy technicznej systemu KSeF i zakresu danych widocznych w odpowiedziach jego interfejsów. By to zbadać, przeprowadziłem proste audyty, które są łatwe do powtórzenia. Jeżeli gdziekolwiek w mojej analizie jest błąd, proszę o wskazanie go. Jeżeli błędu nie ma, również proszę, by to zostało jasno zakomunikowane.
Dla osób spoza branży potrzebne jest krótkie wyjaśnienie pojęć. API to techniczny interfejs komunikacyjny, przez który program księgowy komunikuje się z systemem KSeF przekazując mu dane i odbierając je. JSON to standardowy, tekstowy format zapisu informacji używany w nowoczesnych systemach informatycznych do przekazywania ustrukturyzowanych danych. WAF to bramka bezpieczeństwa stojąca przed właściwym systemem, której zadaniem jest filtrowanie ruchu sieciowego oraz ochrona infrastruktury przed cyberatakami, złośliwym oprogramowaniem i innymi próbami naruszenia bezpieczeństwa, zanim ruch trafi do systemów państwowych.
W standardowej komunikacji z API KSeF, w jawnej odpowiedzi JSON, pojawiają się dane o charakterze biznesowym. Widoczny jest identyfikator podatkowy NIP sprzedawcy i nabywcy, pełne nazwy podmiotów, kwoty transakcji netto, VAT i brutto, waluta, numer faktury, daty operacyjne oraz typ dokumentu. Nie jest to interpretacja ani hipoteza. Jest to zwykła obserwacja odpowiedzi systemu w scenariuszu przewidzianym przez jego projektantów, zgodna zarówno z dokumentacją API KSeF 2.0, jak i z prostymi audytami technicznymi możliwymi do samodzielnego powtórzenia.
Dane te są widoczne dla operatora bramki WAF w systemie KSeF, którą realizuje firma Imperva. Nie wiadomo, czy dane te są logowane lub w inny sposób utrwalane, natomiast z technicznego punktu widzenia istnieje możliwość ich przetwarzania. Jedyną potencjalną barierą ograniczającą takie działania mogą być zapisy umowne, których treść nie jest publicznie znana. Ministerstwo Finansów nie publikuje tej umowy ani nie informuje oficjalnie o wykorzystaniu konkretnego operatora WAF.
Stawiam dwa pytania o charakterze wyłącznie eksperckim:
- Czy potwierdzacie, że operator bramki WAF widzi jawne, niezaszyfrowane metadane opisane wyżej, czyli NIP sprzedawcy i nabywcy, nazwy podmiotów, kwoty transakcji netto, VAT i brutto, waluta, numer faktury, daty operacyjne oraz typ dokumentu?
- Jeśli tak, to czy obecność opisanych danych biznesowych w jawnej warstwie komunikacyjnej systemu państwowego, widocznych dla operatora infrastruktury pośredniczącej, ma z punktu widzenia cyberbezpieczeństwa i ochrony tajemnicy handlowej znaczenie architektoniczne i ryzyko systemowe?
Te pytania wymagają odpowiedzi specjalistów, nie publicystów.
Dlatego zwracam się do osób zajmujących się bezpieczeństwem IT, projektowaniem infrastruktury państwowej i analizą protokołów komunikacyjnych. Proszę o samodzielną weryfikację. Proszę o wskazanie błędu metodologicznego, jeżeli istnieje. Proszę o potwierdzenie wyniku, jeżeli jest poprawny. Każda z tych odpowiedzi będzie cenna, pod warunkiem że będzie miała charakter techniczny i możliwy do sprawdzenia.
Pełna dokumentacja moich testów i audytów technicznych znajduje się poniżej i stanowi materiał źródłowy przeznaczony do niezależnej oceny. Ale nie ma konieczności korzystania z nich. Można samodzielnie przeprowadzić swoje audyty i odpowiedzieć na moje dwa pytania. Bardzo proszę o pomoc.
- https://informacje-lokalne.pl/audyt-techniczny-polska-2026-02-05/
- https://informacje-lokalne.pl/audyt-techniczny-ksef-raport-pelny-2026-02-06/
- https://informacje-lokalne.pl/raport-techniczny-ksef-uzupelniajacy-2026-02-11/
- https://informacje-lokalne.pl/audyt-techniczny-jawnosc-metadanych-json-w-ksef-przy-terminacji-tls-przez-imperva-2026-02-15/
Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65