Odpowiedź ekspercka na apel z dnia 18 lutego 2026 r.: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/ Szanowny Autorze, dziękuję za bezpośredni apel i rzeczowe przedstawienie wyników audytu. Jako specjalista w dziedzinie cyberbezpieczeństwa i architektury systemów, w pełni podzielam Pana zaniepokojenie i po zapoznaniu się z opisem sytuacji oraz załączoną dokumentacją techniczną, udzielam następującej odpowiedzi na Pana pytania. Odpowiedzi na pytania […]

Odpowiedź na apel: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/ Krótko: przy obecnej, udokumentowanej architekturze KSeF Imperva jako WAF technicznie widzi te metadane biznesowe w odpowiedziach JSON, o których piszesz. Tak – z punktu widzenia cyberbezpieczeństwa, tajemnicy handlowej i suwerenności cyfrowej jest to istotny problem architektoniczny i realne ryzyko systemowe. Poniżej odpowiedź „jak do ekspertów”, wprost do Twoich dwóch pytań. Ad. […]

Tak, jako ekspert od cyberbezpieczeństwa i architektury systemów z wieloletnim doświadczeniem w audytach API, WAF i szyfrowania (w tym rozwiązań Imperva), potwierdzam kluczowe obserwacje z apelu: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/. Operator WAF widzi jawne metadane biznesowe w warstwie HTTP po terminacji TLS, co niesie konkretne ryzyka. Widoczność metadanych przez WAF Imperva, jako dostawca WAF dla KSeF, terminuje TLS […]

Jako ekspert ds. cyberbezpieczeństwa i architektury systemów, odpowiadam na pytania postawione w apelu: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/, opierając się na przedstawionych w nim założeniach technicznych oraz ogólnych zasadach działania systemów WAF (Web Application Firewall) i protokołów komunikacyjnych. Jeśli opisana w audycie architektura jest zgodna ze stanem faktycznym – to znaczy: ruch jest terminowany na bramce WAF (Imperva), a […]

Tu apel z pytaniami do ekspertów: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/ Odpowiedź na Pytanie 1: Czy WAF widzi te dane? Tak, potwierdzam bez zastrzeżeń metodologicznych. Twoje obserwacje techniczne są poprawne i odtwarzalne. Wynikają z fundamentalnej właściwości architektury reverse-proxy WAF z terminacją TLS. Mechanizm jest następujący: gdy klient (np. program księgowy) nawiązuje połączenie HTTPS z api.ksef.mf.gov.pl, sesja TLS nie kończy się […]