System KSeF na chłopski rozum!

Spróbuję wyjaśnić problem z systemem KSeF tak prosto, jak się da — tak, by zrozumiał to każdy, kto w ogóle nie interesuje się informatyką ani architekturą Internetu. Jeśli tego nie złapiecie, to bardzo proszę o pytania. 

Wy­obraź­my so­bie pol­ski urząd skar­bo­wy ja­ko ogrom­ny bu­dy­nek. W sa­mym je­go środ­ku stoi wiel­ka pan­cer­na skrzyn­ka. Każ­da fir­ma w Pol­sce ma obo­wią­zek wrzu­cać do niej swo­je fak­tu­ry, za­nim w ogó­le do­trą one do klien­ta. To wła­śnie je­st Kra­jo­wy Sys­tem e-Fak­tur (KSeF).

  Ta­ki mo­del dzia­ła­nia na­zy­wa się "cle­aran­ce". Ozna­cza to, że za­nim fak­tu­ra za­cznie funk­cjo­no­wać w ob­ro­cie go­spo­dar­czym, naj­pierw mu­si zo­stać za­re­je­stro­wa­na przez pań­stwo — je­st to wy­móg usta­wo­wy. Za­nim jed­nak przed­się­bior­ca doj­dzie do tej skrzyn­ki, mu­si przej­ść przez bram­kę bez­pie­czeń­stwa przy wej­ściu do bu­dyn­ku.

  Sto­ją tam ochro­nia­rze, któ­rzy spraw­dza­ją, czy ktoś nie wno­si nie­bez­piecz­ny­ch przed­mio­tów (w świe­cie in­for­ma­ty­ki bę­dą to wi­ru­sy lub pró­by cy­be­ra­ta­ków) oraz czy ktoś nie pró­bu­je za­blo­ko­wać urzę­du ogrom­ną licz­bą fał­szy­wy­ch zgło­szeń (w sie­ci na­zy­wa się to atak Di­stri­bu­ted De­nial of Se­rvi­ce — DDoS).

  W ję­zy­ku tech­nicz­nym ta bram­ka na­zy­wa się WAF (Web Ap­pli­ca­tion Fi­re­wall). To cy­fro­wa straż gra­nicz­na sys­te­mu. Bez ta­kiej bram­ki sys­tem mógł­by zo­stać bar­dzo ła­two spa­ra­li­żo­wa­ny, więc je­st nie­zbęd­ny.

  We wszyst­ki­ch pań­stwa­ch świa­ta, któ­re sto­su­ją po­dob­ne sys­te­my, ta bram­ka na­le­ży do pań­stwa, a ochro­nia­rze są pra­cow­ni­ka­mi ad­mi­ni­stra­cji skar­bo­wej. Tyl­ko w Pol­sce zro­bio­no ina­czej.

  Ob­słu­gę tej bram­ki po­wie­rzo­no ze­wnętrz­nej za­gra­nicz­nej fir­mie tech­no­lo­gicz­nej dzia­ła­ją­cej w sek­to­rze cy­ber­bez­pie­czeń­stwa, obron­no­ści i wy­wia­du. To jej ochro­na i jej sprzęt sto­ją na wej­ściu do sys­te­mu.

  Przed­się­bior­ca wcho­dzą­cy do urzę­du nie­sie swo­ją fak­tu­rę w za­kle­jo­nej ko­per­cie. W środ­ku znaj­du­je się wła­ści­wa tre­ść do­ku­men­tu. W sys­te­mie in­for­ma­tycz­nym je­st ona za­pi­sa­na w for­ma­cie XML i prze­sy­ła­na w spo­sób za­szy­fro­wa­ny.

  Ochro­nia­rze na bram­ce nie otwie­ra­ją ko­per­ty. Nie wi­dzą do­kład­nie, co znaj­du­je się w środ­ku. Jed­nak że­by prze­sył­kę w ogó­le za­re­je­stro­wać, ko­per­ta mu­si mieć czy­tel­ną ety­kie­tę opi­so­wą. W sys­te­mie in­for­ma­tycz­nym ten opis za­pi­sa­ny je­st w czy­tel­nym for­ma­cie JSON.

  Na tej ety­kie­cie znaj­du­ją się mię­dzy in­ny­mi: kto sprze­da­je i kto ku­pu­je (nu­me­ry NIP i peł­ne na­zwy firm czy osób), do­kład­ne kwo­ty net­to, VAT i brut­to, wa­lu­ta trans­ak­cji, nu­mer i typ fak­tu­ry oraz da­ty ope­ra­cyj­ne. Bez ty­ch in­for­ma­cji sys­tem nie był­by w sta­nie wy­sta­wić urzę­do­we­go po­twier­dze­nia zło­że­nia fak­tu­ry.

  Dla­te­go ochro­nia­rz przy bram­ce mu­si prze­czy­tać ety­kie­tę i za­pi­sać te da­ne w swo­im dzien­ni­ku, za­nim po­zwo­li przed­się­bior­cy wrzu­cić ko­per­tę do skrzyn­ki. Na pod­sta­wie ty­ch za­pi­sów przed­się­bior­ca do­sta­je po­tem po­twier­dze­nie zło­że­nia do­ku­men­tu.

  Ten dzien­nik — czy­li zbiór wszyst­ki­ch ta­ki­ch opi­sów fak­tur — po­wsta­je w sys­te­mie ob­słu­gu­ją­cym bram­kę wej­ścio­wą. A więc w sys­te­mie na­le­żą­cym do fir­my, któ­ra tę bram­kę ob­słu­gu­je. Ozna­cza to, że choć peł­na tre­ść fak­tur po­zo­sta­je za­mknię­ta w ko­per­ta­ch, to opis każ­dej fak­tu­ry je­st wi­docz­ny na bram­ce sys­te­mu.

  A z ty­ch opi­sów moż­na od­czy­tać bar­dzo du­żo in­for­ma­cji o funk­cjo­no­wa­niu ca­łej go­spo­dar­ki: kto z kim han­dlu­je, ja­kie są war­to­ści trans­ak­cji, kie­dy one na­stę­pu­ją i w ja­kiej wa­lu­cie. To po­zwa­la stwo­rzyć peł­ną ma­pę pol­skiej go­spo­dar­ki.

  For­mal­nie wszyst­ko od­by­wa się zgod­nie z obo­wią­zu­ją­cym pra­wem i pod­pi­sa­ny­mi umo­wa­mi.

  Ta fir­ma ob­słu­gu­ją­ca bram­kę WAF pol­skie­go sys­te­mu KSeF to ame­ry­kań­ska Im­pe­rva, jej wła­ści­ciel to fran­cu­ska gru­pa Tha­les, a da­ne te prze­twa­rza­ją kom­pu­te­ry znaj­du­ją­ce się w Izra­elu. Ta fir­ma da­ne o pol­skiej go­spo­dar­ce ze swo­je­go dzien­ni­ka mo­że so­bie do­wol­nie prze­twa­rzać. Przed tym nie chro­ni żad­na umo­wa pod­pi­sa­na przez nią z pol­skim urzę­dem, bo po­nad tą umo­wą są pra­wa USA i Fran­cji.

  Czy to te­raz je­st ja­sno wy­ja­śnio­ne? Je­śli cze­goś nie ro­zu­mie­cie, to spy­taj­cie w ko­men­ta­rzu, a na pew­no wy­ja­śnię. Bar­dzo pro­szę o py­ta­nia.

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65

PS. W istocie dla całej tej szpiegowskiej afery KSeF istotne są tylko i wyłącznie dwa fakty, które w sposób niezbity, na 100% ustaliłem w szczegółowych, profesjonalnych audytach technicznych:

1. Bramkę bezpieczeństwa WAF systemu KSeF obsługuje zagraniczna firma Imperva.
2. Przez tę bramkę w sposób widoczny dla firmy Imperva przepływają metadane o każdej polskiej fakturze w formacie JSON, które obejmują: nu­me­ry NIP i peł­ne na­zwy kontrahentów, do­kład­ne kwo­ty net­to, VAT i brut­to, wa­lu­ta trans­ak­cji, nu­mer i typ fak­tu­ry oraz da­ty ope­ra­cyj­ne.

Tu najnowsze audyty to potwierdzające:

• audyt-infrastruktury-sieciowej-bramka-waf-systemu-ksef-20
• audyt-techniczny-jawnosc-metadanych-faktur-ksef-w-json-na-bramce-waf-obslugiwanej-przez-imperve
• audyt-techniczny-ksef-szyfrowanie-e2e-faktury-xml

Z tych dwóch prostych, łatwo weryfikowanych i potwierdzonych faktów wynikają wszystkie wnioski polityczne i biznesowe, które opisałem w tych artykułach:

Seria thrillerowa o KSeF: 

• Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość. Porównanie KSeF z JPK: czesc-i-ksef-nie-poszerza-inwigilacji-ksef-zwieksza-rozdzielczosc
• Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie. Praktyczny przykład: czesc-ii-praktyka-ksef-hurtpol-kontra-kowalski-i-synowie
• Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza. O pokosie dla administratora systemu: czesc-iii-administrator-ksef-czyli-gdzie-naprawde-lezy-wladza
• Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel! O suwerenności cyfrowej: czesc-iv-technologia-ksef-suwerennosc-konczy-sie-tam-gdzie-konczy-sie-kabel
• Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty! O tym, że zaczął to PiS: czesc-v-ksef-i-ciaglosc-decyzji-imperva-czyli-suwerennosc-sprzedana-na-raty
• Część VI. KSeF - wyjaśnienie techniczne i praktyczne przykłady. Przykłady firm z branży militarnej i spożywczej: czesc-vi-ksef-wyjasnienie-techniczne-i-praktyczne-przyklady
• Część VII. Jakie metadane widzi Imperva? O metadanych: czesc-vii-jakie-metadane-widzi-imperva
• Część VIII. Co jeszcze widzi Imperva? Więcej metadanych: czesc-viii-co-jeszcze-widzi-imperva
• Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach! O tym, że szybkie pingi o niczym nie świadczą, bo to chmura: czesc-ix-ludzkosc-odrywa-sie-od-terytorium-i-zaczyna-bujac-w-oblokach
• Cześć X. Polska jako jedyna na świecie oddała na tacy swoją suwerenność cyfrową obcym wywiadom: czesc-x-polska-jako-jedyna-na-swiecie-oddala-na-tacy-swoja-suwerennosc-cyfrowa-obcym

Seria "Niewidzialna pętla #KSeF"

• Część I — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Braci Kowalskich: czesc-i-niewidzialna-petla-ksef-o-tym-jak-metadane-zniszczyly-braci-kowalskich
• Część II — niewidzialna pętla KSeF: jak Kowalscy mogą obronić się przed inwigilacją: hczesc-ii-niewidzialna-petla-ksef-jak-kowalscy-moga-obronic-sie-przed-inwigilacja
• Część III — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Stomil: czesc-iii-niewidzialna-petla-ksef-o-tym-jak-metadane-zniszczyly-stomil
• Część IV — niewidzialna pętla KSeF: dlaczego utajniona umowa z Impervą jest nic niewarta: czesc-iv-niewidzialna-petla-ksef-dlaczego-utajniona-umowa-z-imperva-jest-nic-niewarta
• Część V — niewidzialna pętla KSeF: Wojna wywiadów, niemiecki szantaż i globalny odwet na polskim biznesie: czesc-v-niewidzialna-petla-ksef-wojna-wywiadow-niemiecki-szantaz-i-globalny-odwet
• Część VI — Niewidzialna pętla KSeF: manipulacyjna dezinformacja mediów: czesc-vi-niewidzialna-petla-ksef-manipulacyjna-dezinformacja-mediow

Audyty Techniczne Polski:

• ❌ 1. informacje-lokalne.pl
• ❌ 2. informacje-lokalne.pl
• ❌ 3. informacje-lokalne.pl
• ❌ 4. informacje-lokalne.pl

Audyty Techniczne innych krajów świata:

• ✅ Francja informacje-lokalne.pl
• ✅ Węgry informacje-lokalne.pl
• ✅ Włochy informacje-lokalne.pl
• ✅ Rumunia informacje-lokalne.pl
• ✅ Hiszpania informacje-lokalne.pl
• ✅ Albania informacje-lokalne.pl
• ✅ Turcja informacje-lokalne.pl
• ✅ Rosja informacje-lokalne.pl
• ✅ Ukraina informacje-lokalne.pl
• ✅ Argentyna informacje-lokalne.pl
• ✅ Kolumbia informacje-lokalne.pl
• ✅ Chile informacje-lokalne.pl
• ✅ Meksyk informacje-lokalne.pl
• ✅ Brazylia informacje-lokalne.pl
• ✅ Grecja informacje-lokalne.pl

Nie każ­dy ro­zu­mie ter­mi­ny tech­nicz­ne uży­wa­ne w de­ba­cie do­ty­czą­cej KSeF, więc zro­bi­łem słow­ni­czek naj­waż­niej­szy­ch po­jęć:

• HTTP (Hy­per­te­xt Trans­fer Pro­to­col) — pod­sta­wo­wy pro­to­kół ko­mu­ni­ka­cji w sie­ci In­ter­net słu­żą­cy do prze­sy­ła­nia żą­dań i od­po­wie­dzi po­mię­dzy klien­tem a ser­we­rem apli­ka­cyj­nym. Tre­ść ko­mu­ni­ka­cji HTTP mo­że za­wie­rać da­ne apli­ka­cyj­ne, w tym do­ku­men­ty i struk­tu­ry da­ny­ch prze­ka­zy­wa­ne do sys­te­mu KSeF.
• HTTPS (HTTP Se­cu­re) — od­mia­na pro­to­ko­łu HTTP, w któ­rej trans­mi­sja da­ny­ch po­mię­dzy klien­tem a ser­we­rem je­st za­bez­pie­czo­na kryp­to­gra­ficz­nie przy uży­ciu pro­to­ko­łu TLS. HTTPS za­pew­nia po­uf­no­ść i in­te­gral­no­ść da­ny­ch w trak­cie trans­mi­sji sie­cio­wej, le­cz nie ozna­cza au­to­ma­tycz­nie szy­fro­wa­nia da­ny­ch na po­zio­mie apli­ka­cyj­nym.
• TLS (Trans­port Lay­er Se­cu­ri­ty) — pro­to­kół kryp­to­gra­ficz­ny za­pew­nia­ją­cy szy­fro­wa­nie po­łą­cze­nia sie­cio­we­go po­mię­dzy dwo­ma punk­ta­mi ko­mu­ni­ka­cji. Za­koń­cze­nie po­łą­cze­nia TLS w da­nym ele­men­cie in­fra­struk­tu­ry (tzw. ter­mi­na­cja TLS) po­wo­du­je od­szy­fro­wa­nie trans­mi­sji HTTP w tym punk­cie i dal­sze jej prze­ka­za­nie w po­sta­ci jaw­nej do ko­lej­nej war­stwy sys­te­mu.
• XML (eXten­si­ble Mar­kup Lan­gu­age) — ustruk­tu­ry­zo­wa­ny for­mat za­pi­su da­ny­ch w po­sta­ci tek­sto­wej, wy­ko­rzy­sty­wa­ny do re­pre­zen­ta­cji peł­nej tre­ści fak­tu­ry elek­tro­nicz­nej w sys­te­mie KSeF zgod­nie z okre­ślo­nym sche­ma­tem lo­gicz­nym. Do­ku­ment XML mo­że pod­le­gać do­dat­ko­we­mu szy­fro­wa­niu apli­ka­cyj­ne­mu, nie­za­leż­ne­mu od szy­fro­wa­nia trans­por­to­we­go TLS.
• JSON (Ja­va­Script Ob­ject No­ta­tion) — tek­sto­wy for­mat struk­tu­ry da­ny­ch uży­wa­ny do prze­ka­zy­wa­nia in­for­ma­cji po­mię­dzy sys­te­ma­mi in­for­ma­tycz­ny­mi w ra­ma­ch ko­mu­ni­ka­cji HTTP/HTTPS. W kon­tek­ście KSeF JSON za­wie­ra da­ne iden­ty­fi­ka­cyj­ne i ope­ra­cyj­ne fak­tu­ry (me­ta­da­ne), któ­re nie sta­no­wią peł­nej tre­ści do­ku­men­tu XML.
• WAF (Web Ap­pli­ca­tion Fi­re­wall) — wy­spe­cja­li­zo­wa­ny sys­tem bez­pie­czeń­stwa chro­nią­cy apli­ka­cje in­ter­ne­to­we po­przez ana­li­zę i fil­tro­wa­nie ru­chu HTTP/HTTPS po­mię­dzy klien­tem a ser­we­rem. WAF dzia­ła w war­stwie apli­ka­cyj­nej sie­ci i — w przy­pad­ku ter­mi­na­cji TLS — prze­twa­rza od­szy­fro­wa­ną tre­ść żą­dań kie­ro­wa­ny­ch do chro­nio­ne­go sys­te­mu.
• Szy­fro­wa­nie end-to-end (E2E) — me­cha­ni­zm kryp­to­gra­ficz­ny sto­so­wa­ny na po­zio­mie da­ny­ch apli­ka­cyj­ny­ch, w któ­rym tre­ść da­ny­ch je­st szy­fro­wa­na po stro­nie nadaw­cy i po­zo­sta­je za­szy­fro­wa­na w trak­cie trans­mi­sji oraz w war­stwa­ch po­śred­ni­czą­cy­ch. Od­czyt da­ny­ch je­st moż­li­wy wy­łącz­nie w ty­ch kom­po­nen­ta­ch sys­te­mu, któ­re po­sia­da­ją upraw­nie­nia kryp­to­gra­ficz­ne do ich od­szy­fro­wa­nia (tj. do­stęp do klu­czy lub rów­no­waż­ny­ch me­cha­ni­zmów). W szcze­gól­no­ści, je­że­li ele­ment in­fra­struk­tu­ry po­śred­ni­czą­cej po­sia­da do­stęp do klu­czy lub me­cha­ni­zmów od­szy­fro­wa­nia, mo­że uzy­skać do­stęp do tre­ści da­ny­ch mi­mo za­sto­so­wa­nia szy­fro­wa­nia na po­zio­mie apli­ka­cyj­nym.
• API (Ap­pli­ca­tion Pro­gram­ming In­ter­fa­ce) — ze­staw zde­fi­nio­wa­ny­ch re­guł ko­mu­ni­ka­cji umoż­li­wia­ją­cy­ch wy­mia­nę da­ny­ch po­mię­dzy sys­te­ma­mi in­for­ma­tycz­ny­mi po­przez okre­ślo­ne ope­ra­cje, for­ma­ty da­ny­ch i pro­to­ko­ły sie­cio­we. W kon­tek­ście KSeF API sta­no­wi tech­nicz­ny in­ter­fejs, za po­śred­nic­twem któ­re­go sys­te­my po­dat­ni­ków prze­ka­zu­ją do­ku­men­ty i da­ne fak­tur do sys­te­mu pań­stwo­we­go oraz od­bie­ra­ją od­po­wie­dzi sys­te­mo­we.
• HSM (Har­dwa­re Se­cu­ri­ty Mo­du­le) — wy­spe­cja­li­zo­wa­ne, fi­zycz­ne urzą­dze­nie kryp­to­gra­ficz­ne prze­zna­czo­ne do bez­piecz­ne­go ge­ne­ro­wa­nia, prze­cho­wy­wa­nia oraz uży­wa­nia klu­czy kryp­to­gra­ficz­ny­ch. Klu­cze prze­cho­wy­wa­ne w HSM po­zo­sta­ją chro­nio­ne przed bez­po­śred­nim od­czy­tem, a ope­ra­cje kryp­to­gra­ficz­ne (np. szy­fro­wa­nie, de­szy­fro­wa­nie, pod­pi­sy­wa­nie) wy­ko­ny­wa­ne są we­wnątrz urzą­dze­nia. Do­stęp do funk­cji HSM mo­że być re­ali­zo­wa­ny lo­kal­nie lub zdal­nie przez upraw­nio­ne sys­te­my, co ozna­cza, że pod­miot po­sia­da­ją­cy lo­gicz­ny do­stęp do HSM mo­że wy­ko­ny­wać ope­ra­cje kryp­to­gra­ficz­ne na chro­nio­ny­ch da­ny­ch bez fi­zycz­ne­go do­stę­pu do sa­me­go klu­cza.
• KMS (Key Ma­na­ge­ment Sys­tem / Key Ma­na­ge­ment Se­rvi­ce) — sys­tem in­for­ma­tycz­ny słu­żą­cy do za­rzą­dza­nia cy­klem ży­cia klu­czy kryp­to­gra­ficz­ny­ch, obej­mu­ją­cym ich ge­ne­ro­wa­nie, dys­try­bu­cję, ro­ta­cję, prze­cho­wy­wa­nie, unie­waż­nia­nie oraz kon­tro­lę do­stę­pu. KMS mo­że wy­ko­rzy­sty­wać sprzę­to­we mo­du­ły HSM lub in­ne me­cha­ni­zmy za­bez­pie­cza­ją­ce i czę­sto dzia­ła ja­ko usłu­ga sie­cio­wa do­stęp­na dla wie­lu kom­po­nen­tów in­fra­struk­tu­ry. Pod­miot po­sia­da­ją­cy upraw­nie­nia ad­mi­ni­stra­cyj­ne lub ope­ra­cyj­ne do KMS mo­że uzy­skać zdol­no­ść wy­ko­ny­wa­nia ope­ra­cji kryp­to­gra­ficz­ny­ch na da­ny­ch chro­nio­ny­ch ty­mi klu­cza­mi, co w prak­ty­ce mo­że umoż­li­wiać od­szy­fro­wa­nie da­ny­ch w okre­ślo­ny­ch wa­run­ka­ch sys­te­mo­wy­ch.
• Mo­del cle­aran­ce (mo­del au­to­ry­za­cyj­ny) — ar­chi­tek­to­nicz­ny i praw­ny mo­del funk­cjo­no­wa­nia sys­te­mu e-fak­tu­ro­wa­nia (jak pol­ski KSeF), w któ­rym każ­da fak­tu­ra, przed wy­war­ciem skut­ków praw­ny­ch i go­spo­dar­czy­ch lub przed do­star­cze­niem jej do na­byw­cy, mu­si zo­stać obo­wiąz­ko­wo prze­sła­na do cen­tral­nej plat­for­my pań­stwo­wej w ce­lu jej wa­li­da­cji i au­to­ry­za­cji (np. nada­nia uni­kal­ne­go nu­me­ru iden­ty­fi­ka­cyj­ne­go). W mo­de­lu tym ad­mi­ni­stra­cja skar­bo­wa uczest­ni­czy w cza­sie rze­czy­wi­stym w pro­ce­sie wy­mia­ny do­ku­men­tów po­mię­dzy po­dat­ni­ka­mi. Czy­ni to sys­tem cle­aran­ce in­fra­struk­tu­rą kry­tycz­ną pań­stwa, sta­no­wią­cą cen­tral­ny punkt gro­ma­dze­nia peł­ny­ch da­ny­ch ana­li­tycz­ny­ch (me­ta­da­ny­ch i tre­ści) o bie­żą­cym ob­ro­cie go­spo­dar­czym ca­łe­go kra­ju w mo­men­cie je­go re­ali­za­cji.
• Ope­ra­tor WAF — pod­miot ze­wnętrz­ny wo­bec Mi­ni­ster­stwa Fi­nan­sów, świad­czą­cy usłu­gę ochro­ny apli­ka­cyj­nej dla ru­chu kie­ro­wa­ne­go do sys­te­mu KSeF. W pol­skim przy­pad­ku to ame­ry­kań­ska fir­ma Im­pe­rva na­le­żą­ca do fran­cu­skie­go kon­cer­nu Tha­les.
• Ter­mi­na­cja TLS — za­koń­cze­nie szy­fro­wa­ne­go po­łą­cze­nia HTTPS w da­nym ele­men­cie in­fra­struk­tu­ry, po­le­ga­ją­ce na od­szy­fro­wa­niu ru­chu i dal­szym prze­ka­za­niu go w po­sta­ci jaw­nej do ko­lej­nej war­stwy sys­te­mu.
• Trans­mi­sja HTTPS — ko­mu­ni­ka­cja sie­cio­wa po­mię­dzy klien­tem a sys­te­mem KSeF re­ali­zo­wa­na z uży­ciem pro­to­ko­łu HTTP za­bez­pie­czo­ne­go kryp­to­gra­ficz­nie pro­to­ko­łem TLS.
• Szy­fro­wa­nie apli­ka­cyj­ne end-to-end (E2E) — me­cha­ni­zm kryp­to­gra­ficz­ny, w któ­rym tre­ść ko­mu­ni­ka­tu je­st szy­fro­wa­na po stro­nie nadaw­cy i mo­że zo­stać od­szy­fro­wa­na wy­łącz­nie przez koń­co­wy sys­tem od­bior­cy.
• Fak­tu­ra w for­ma­cie XML — ustruk­tu­ry­zo­wa­ny do­ku­ment elek­tro­nicz­ny za­wie­ra­ją­cy peł­ną tre­ść fak­tu­ry ustan­da­ry­zo­wa­ną w sche­ma­cie XML KSeF.
• JSON z me­ta­da­ny­mi fak­tu­ry — czę­ść ko­mu­ni­ka­tu prze­ka­zy­wa­ne­go do API KSeF w for­ma­cie JSON, za­wie­ra­ją­ca da­ne iden­ty­fi­ka­cyj­ne i ope­ra­cyj­ne fak­tu­ry, w szcze­gól­no­ści: NIP, na­zwy pod­mio­tów, kwo­ty net­to, VAT i brut­to, wa­lu­tę, nu­mer fak­tu­ry, da­ty ope­ra­cyj­ne oraz typ do­ku­men­tu.
• Brak szy­fro­wa­nia apli­ka­cyj­ne­go E2E — sy­tu­acja, w któ­rej da­ne te nie są do­dat­ko­wo szy­fro­wa­ne przed wy­sła­niem do sys­te­mu KSeF, a ich po­uf­no­ść wy­ni­ka wy­łącz­nie z szy­fro­wa­nia trans­por­to­we­go TLS.
• Chmu­ra. In­fra­struk­tu­ra in­ter­ne­to­wa opie­ra­ją­ca się przede wszyst­kim na me­cha­ni­zmie Any­ca­st oraz roz­pro­szo­nej sie­ci. W tra­dy­cyj­nym mo­de­lu je­den ad­res IP od­po­wia­da jed­ne­mu fi­zycz­ne­mu ser­we­ro­wi w jed­nej lo­ka­li­za­cji. W mo­de­lu Any­ca­st ten sam ad­res IP je­st jed­no­cze­śnie ogła­sza­ny z wie­lu cen­trów da­ny­ch w róż­ny­ch kra­ja­ch, a ru­ch użyt­kow­ni­ka tra­fia au­to­ma­tycz­nie do wę­zła naj­bliż­sze­go to­po­lo­gicz­nie w sen­sie sie­cio­wym, nie­ko­niecz­nie geo­gra­ficz­nym. De­cy­zje o wy­bo­rze tra­sy po­dej­mu­je glo­bal­ny sys­tem ro­utin­gu In­ter­ne­tu, a nie użyt­kow­nik ani pań­stwo. W prak­ty­ce ozna­cza to, że iden­tycz­ny ad­res IP mo­że być rów­no­cze­śnie ob­słu­gi­wa­ny w wie­lu mia­sta­ch świa­ta, na przy­kład w War­sza­wie, Pa­ry­żu i Tel Awi­wie, gdzie Im­pe­rva ma du­że cen­tra da­ny­ch (Po­Ps), a róż­ni użyt­kow­ni­cy łą­czą się fi­zycz­nie z róż­ny­mi ser­we­ra­mi, choć lo­gicz­nie wi­dzą ten sam sys­tem.
• PoP (Po­int of Pre­sen­ce) to lo­kal­ny wę­zeł tej glo­bal­nej sie­ci two­rzą­cej chmu­rę. W usłu­ga­ch ochro­ny apli­ka­cyj­nej ta­ki wę­zeł zwy­kle fil­tru­je ru­ch, koń­czy se­sję TLS, wy­ko­nu­je ope­ra­cje bu­fo­ro­wa­nia, ana­li­zu­je na­głów­ki i za­pi­su­je zda­rze­nia w lo­ga­ch. Z per­spek­ty­wy ar­chi­tek­tu­ry in­for­ma­tycz­nej je­st to więc re­al­ne miej­sce prze­twa­rza­nia da­ny­ch, któ­re je­st fi­zycz­nie naj­bli­żej klien­ta i dla­te­go szyb­ko od­po­wia­da na za­py­ta­nia. Klu­czo­we je­st to, że kon­tro­lę nad tym eta­pem po­sia­da do­staw­ca usłu­gi chmu­ro­wej, a nie pań­stwo, na któ­re­go te­ry­to­rium stoi fi­zycz­na ma­szy­na.
• Mo­del Any­ca­st w chmu­rze to tech­ni­ka ro­utin­gu, któ­ra umoż­li­wia przy­pi­sa­nie te­go sa­me­go ad­re­su IP do wie­lu ser­we­rów (wę­złów) fi­zycz­nie zlo­ka­li­zo­wa­ny­ch w róż­ny­ch miej­sca­ch na świe­cie.
• Ad­res IP (In­ter­net Pro­to­col Ad­dress) to uni­kal­ny, nu­me­rycz­ny iden­ty­fi­ka­tor przy­pi­sy­wa­ny każ­de­mu urzą­dze­niu (kom­pu­ter, smart­fon, ro­uter) pod­łą­czo­ne­mu do sie­ci lo­kal­nej lub In­ter­ne­tu. Dzia­ła jak wir­tu­al­ny ad­res do­mo­wy, umoż­li­wia­jąc urzą­dze­niom lo­ka­li­za­cję, iden­ty­fi­ka­cję oraz wy­mia­nę da­ny­ch.