Informacje-Lokalne.PL

Odpowiedź na apel: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/ Krótko: przy obecnej, udokumentowanej architekturze KSeF Imperva jako WAF technicznie widzi te metadane biznesowe w odpowiedziach JSON, o których piszesz. Tak – z punktu widzenia cyberbezpieczeństwa, tajemnicy handlowej i suwerenności cyfrowej jest to istotny problem architektoniczny i realne ryzyko systemowe. Poniżej odpowiedź „jak do ekspertów”, wprost do Twoich dwóch pytań. Ad. […]

Tak, jako ekspert od cyberbezpieczeństwa i architektury systemów z wieloletnim doświadczeniem w audytach API, WAF i szyfrowania (w tym rozwiązań Imperva), potwierdzam kluczowe obserwacje z apelu: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/. Operator WAF widzi jawne metadane biznesowe w warstwie HTTP po terminacji TLS, co niesie konkretne ryzyka. Widoczność metadanych przez WAF Imperva, jako dostawca WAF dla KSeF, terminuje TLS […]

Jako ekspert ds. cyberbezpieczeństwa i architektury systemów, odpowiadam na pytania postawione w apelu: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/, opierając się na przedstawionych w nim założeniach technicznych oraz ogólnych zasadach działania systemów WAF (Web Application Firewall) i protokołów komunikacyjnych. Jeśli opisana w audycie architektura jest zgodna ze stanem faktycznym – to znaczy: ruch jest terminowany na bramce WAF (Imperva), a […]

Tu apel z pytaniami do ekspertów: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/ Odpowiedź na Pytanie 1: Czy WAF widzi te dane? Tak, potwierdzam bez zastrzeżeń metodologicznych. Twoje obserwacje techniczne są poprawne i odtwarzalne. Wynikają z fundamentalnej właściwości architektury reverse-proxy WAF z terminacją TLS. Mechanizm jest następujący: gdy klient (np. program księgowy) nawiązuje połączenie HTTPS z api.ksef.mf.gov.pl, sesja TLS nie kończy się […]

  Sprawa, z którą się do Was zwracam, dotyczy wyłącznie warstwy technicznej systemu KSeF i zakresu danych widocznych w odpowiedziach jego interfejsów. By to zbadać, przeprowadziłem proste audyty, które są łatwe do powtórzenia. Jeżeli gdziekolwiek w mojej analizie jest błąd, proszę o wskazanie go. Jeżeli błędu nie ma, również proszę, by to zostało jasno zakomunikowane.   Dla […]