KSeF et sécurité : rôles, tokens, audit d'accès
Le modèle de sécurité KSeF pour les entreprises qui souhaitent réduire les risques de fraude et d'erreurs opérationnelles.
Modèle de sécurité minimal
Le plus important est de séparer les rôles commerciaux et techniques. La personne qui gère les autorisations ne doit pas accepter en même temps des exceptions comptables.
Cette division simple réduit considérablement le risque de modifications non autorisées et facilite l'audit.
- •Séparez les rôles d'administrateur et d'opérateur.
- •Appliquez le principe du moindre privilège.
- •Appliquez une recertification d’accès périodique.
Jetons et accès au système
L'accès au système doit être traité comme un secret critique. Les jetons et les clés doivent être stockés dans un référentiel sécurisé, et non dans le code ou les configurations locales.
De plus, il vaut la peine de mettre en œuvre une rotation secrète et de contrôler quel système et quel utilisateur ont effectué quelle opération.
- •Coffre-fort pour stocker les secrets.
- •Rotation et expiration des jetons.
- •Piste d’audit complète des opérations.
Audit et conformité
Un audit ne doit pas être un projet ponctuel. En pratique, les meilleurs résultats sont obtenus par des inspections mensuelles et des tests trimestriels des procédures.
Si une entreprise dispose de plusieurs systèmes de facturation, l'audit doit couvrir l'ensemble du flux de données, et pas seulement le point d'intégration avec KSeF.
- •Examen mensuel de l'éligibilité.
- •Tests trimestriels des procédures de sécurité.
- •Rapport de conformité pour la direction.