KSeF und Sicherheit: Rollen, Token, Zugriffsprüfung
Das KSeF-Sicherheitsmodell für Unternehmen, die das Risiko von Betrug und Betriebsfehlern reduzieren möchten.
Minimales Sicherheitsmodell
Das Wichtigste ist die Trennung von geschäftlichen und technischen Rollen. Der Berechtigungsverwalter sollte nicht gleichzeitig Abrechnungsausnahmen akzeptieren.
Diese einfache Aufteilung reduziert das Risiko unbefugter Änderungen erheblich und erleichtert die Prüfung.
- •Trennen Sie die Rollen Administrator und Operator.
- •Wenden Sie das Prinzip der geringsten Rechte an.
- •Erzwingen Sie die regelmäßige Rezertifizierung des Zugriffs.
Tokens und Systemzugriff
Der Systemzugriff muss als kritisches Geheimnis behandelt werden. Token und Schlüssel sollten in einem sicheren Repository gespeichert werden, nicht in lokalem Code oder lokalen Konfigurationen.
Darüber hinaus lohnt es sich, eine geheime Rotation zu implementieren und zu kontrollieren, welches System und welcher Benutzer welchen Vorgang ausgeführt hat.
- •Tresor zur Aufbewahrung von Geheimnissen.
- •Token-Rotation und Ablauf.
- •Vollständiger Audit-Trail des Betriebs.
Audit und Compliance
Ein Audit sollte kein einmaliges Projekt sein. In der Praxis werden die besten Ergebnisse durch monatliche Inspektionen und vierteljährliche Prüfungen der Verfahren erzielt.
Verfügt ein Unternehmen über mehrere Rechnungssysteme, muss die Prüfung den gesamten Datenfluss abdecken, nicht nur den Punkt der Integration mit KSeF.
- •Monatliche Überprüfung der Berechtigung.
- •Vierteljährliche Prüfung der Sicherheitsverfahren.
- •Compliance-Bericht für das Management.