Token KSeF czy certyfikat? Instrukcja jak wygenerować token do Krajowego Systemu e-Faktur
Jeśli firma działa dziś operacyjnie w KSeF, bezpieczniejszym i docelowym kierunkiem jest certyfikat KSeF, a token warto traktować jako rozwiązanie przejściowe do integracji i automatyzacji. Token przenosi konkretny zakres uprawnień, natomiast certyfikat służy przede wszystkim do uwierzytelnienia w systemie KSeF i wpisuje się w model KSeF 2.0.
Spis treści:
Token KSeF to wygenerowany przez system KSeF unikalny ciąg znaków, który służy do nawiązania sesji przez API i zawiera przypisane uprawnienia. Certyfikat KSeF to środek uwierzytelnienia w Krajowym Systemie e-Faktur; nie przenosi sam w sobie uprawnień tak jak token, lecz potwierdza tożsamość użytkownika lub podmiotu.
W praktyce token działa jak techniczny klucz dostępu do konkretnych operacji, które zostały zaznaczone przy jego tworzeniu. Jeżeli podczas generowania wybierzesz wystawianie faktur i przeglądanie faktur, to właśnie taki zakres uprawnień będzie miał token.
Certyfikat działa inaczej: jest odpowiednikiem narzędzia do logowania i uwierzytelnienia, podobnie jak podpis kwalifikowany, a o tym, co wolno zrobić w systemie, decydują nadane wcześniej uprawnienia.
Z perspektywy przedsiębiorcy oznacza to prostą zasadę: token odpowiada na pytanie „co ten dostęp może zrobić”, a certyfikat odpowiada na pytanie „kto właśnie próbuje wejść do systemu”. Dlatego w modelu KSeF 2.0 Ministerstwo Finansów wyraźnie rozdziela autoryzację i uwierzytelnienie.
Jeśli chcesz uprościć księgowość w firmie, zacznij od narzędzi, które działają razem: program do wystawiania faktur oraz KPiR online. onBiznes pozwala szybko ogarnąć sprzedaż i ewidencję w jednym miejscu, dzięki czemu łatwiej pilnujesz dokumentów, terminów i porządku w finansach.
Ministerstwo Finansów wskazuje wprost, że certyfikaty i tokeny będą działały równolegle tylko przejściowo. Tokeny mają działać do końca 2026 r., natomiast certyfikaty można pobierać od 1 listopada 2025 r. i używać od 1 lutego 2026 r., więc to właśnie certyfikat jest kierunkiem docelowym dla KSeF 2.0.
Token zawiera uprawnienia podatnika już na etapie generowania. To wygodne dla integracji, ale bardziej ryzykowne z punktu widzenia zarządzania dostępem, bo w jednym mechanizmie łączysz zarówno uwierzytelnienie, jak i możliwość wykonywania określonych operacji. Certyfikat rozdziela te warstwy: najpierw następuje uwierzytelnienie, a dopiero potem system KSeF sprawdza, jakie uprawnienia ma dana osoba albo podmiot.
Certyfikat KSeF typu 1 służy do uwierzytelniania się w systemie, a certyfikat typu 2 jest potrzebny przy wystawianiu faktur w trybach offline, w tym offline24, przy niedostępności KSeF lub w trybie awaryjnym. To oznacza, że certyfikat nie jest wyłącznie zamiennikiem tokenu. W praktyce jest fundamentem ciągłości działania, gdy firma musi wystawiać faktury także poza standardową sesją online.
Najkrótsza odpowiedź brzmi: do stałej i bezpiecznej pracy wybierz certyfikat, a token generuj tylko tam, gdzie potrzebujesz precyzyjnie odseparowanego dostępu technicznego. Takie podejście jest zgodne z architekturą KSeF 2.0 i ogranicza ryzyko nadania zbyt szerokich uprawnień.
Poniższa tabela pokazuje różnicę operacyjną:
|
Kryterium |
Token KSeF |
Certyfikat KSeF |
|
Czym jest |
Unikalny ciąg znaków do sesji przez API |
Środek uwierzytelnienia w systemie KSeF |
|
Co zawiera |
Zawiera przypisany zakres uprawnień |
Nie przenosi uprawnień w taki sposób jak token |
|
Główne zastosowanie |
Integracje, automatyzacja, aplikacje komercyjne |
Logowanie, uwierzytelnianie, praca w modelu docelowym KSeF 2.0 |
|
Okres funkcjonowania |
Przejściowo, do końca 2026 r. |
Rozwiązanie docelowe |
|
Tryby offline |
Nie jest kluczowym mechanizmem dla offline |
Typ 2 wymagany przy szczególnych trybach offline |
|
Ryzyko organizacyjne |
Wyższe, bo token łączy dostęp i operacje |
Niższe przy poprawnym zarządzaniu uprawnieniami |
|
Kiedy wybrać |
Gdy system ma sam wykonywać określone operacje |
Gdy firma chce stabilnego, zgodnego i bezpiecznego modelu pracy |
W Aplikacji Podatnika KSeF 2.0 dostępna jest funkcja „Generuj token”. Aby wygenerować token, użytkownik podaje nazwę tokena i wybiera uprawnienia powiązane z tokenem. Dokumentacja wskazuje, że dostępne są m.in. wystawianie faktur, przeglądanie faktur, przeglądanie uprawnień, zarządzanie uprawnieniami i zarządzanie jednostkami podrzędnymi.
Jeśli chcesz wygenerować token dla integracji z zewnętrznym systemem, nie zaznaczaj wszystkiego „na zapas”. Token powinien dostać wyłącznie taki zakres uprawnień, jaki jest niezbędny. Przykład: jeżeli aplikacja ma tylko pobierać faktury kosztowe, nie przypisuj jej prawa do wystawiania faktur ani do zarządzania uprawnieniami. W KSeF nadmiar uprawnień nie przyspiesza pracy, tylko zwiększa powierzchnię ryzyka.
Trzeba też pamiętać o jednej bardzo praktycznej rzeczy: po wygenerowaniu token zostanie wyświetlony użytkownikowi tylko raz. Potem należy go skopiować i bezpiecznie zapisać poza Aplikacją Podatnika KSeF. Jeżeli ten numer zgubisz, nie odzyskasz go przez zwykły podgląd listy tokenów; w praktyce trzeba generować nowy token albo unieważnić poprzedni.
Token ma sens wtedy, gdy system komercyjny musi sam wykonywać konkretne operacje przez API. Nie ma sensu tam, gdzie użytkownik pracuje ręcznie w narzędziach Ministerstwa Finansów, bo sam resort wskazuje, że token nie może być użyty w bezpłatnych narzędziach KSeF udostępnianych przez MF. Dodatkowo Podpis Zaufany można wykorzystać do logowania i autoryzacji tylko w aplikacjach przygotowanych przez organy publiczne; w programie komercyjnym trzeba się uwierzytelnić np. podpisem kwalifikowanym albo tokenem.
W KSeF nie zarządza się dostępem przez „konto użytkownika” w klasycznym rozumieniu. Osoba uprawniona nie musi zakładać osobnego konta, tylko musi uwierzytelnić się jedną z dopuszczalnych metod i mieć poprawnie nadane uprawnienia. To może być Profil Zaufany, podpis kwalifikowany, pieczęć kwalifikowana, token albo certyfikat KSeF.
Dla osoby fizycznej z uprawnieniami właścicielskimi wejście do KSeF jest stosunkowo proste: logowanie odbywa się przez Podpis Zaufany lub podpis kwalifikowany. Jeśli podpis nie zawiera NIP ani PESEL, konieczne jest zgłoszenie danych podpisu przez ZAW-FA, aby system mógł powiązać podpis z konkretnym podatnikiem.
Dla spółki lub innego podmiotu niebędącego osobą fizyczną punkt startowy zależy od tego, czy firma ma kwalifikowaną pieczęć z NIP. Jeżeli tak, może korzystać z KSeF na podstawie domyślnych uprawnień właścicielskich, bez zgłoszeń w urzędzie. Jeżeli nie, składa ZAW-FA i wskazuje osobę fizyczną uprawnioną do obsługi KSeF. Ta osoba może następnie nadawać kolejne uprawnienia już elektronicznie w systemie.
Technicznie nadać uprawnienia można w Aplikacji Podatnika KSeF albo w programie komercyjnym zintegrowanym przez API. W dokumentacji KSeF 2.0 widać wyraźnie, że zakres uprawnień można przypisać bardzo konkretnie, np. do wystawiania faktur, przeglądania faktur, przeglądania uprawnień, historii sesji czy zarządzania podmiotami podrzędnymi. To oznacza, że nie trzeba dawać księgowości, handlowcowi i administratorowi tych samych praw. Wręcz nie należy tego robić.
Największy błąd wdrożeniowy polega na tym, że firma nadawać zaczyna „pełny dostęp wszystkim, żeby działało”. W krótkim terminie to przyspiesza start, ale w średnim tworzy chaos: nie wiadomo, kto wystawił fakturę, kto unieważnił token, kto zmienił zakres uprawnień i kto miał prawo wykonać daną operację. KSeF daje narzędzia do precyzyjnej segmentacji dostępu, więc warto z nich korzystać od pierwszego dnia.
Drugi błąd to trzymanie tokenów w nieszyfrowanych notatkach albo przesyłanie ich e-mailem. To bardzo zły standard. Token jest realnym nośnikiem autoryzacji do API. Skoro po wygenerowaniu można go skopiować tylko raz, firma powinna mieć od razu procedurę: kto generuje token, gdzie go zapisuje, kto ma do niego dostęp i kiedy token jest unieważniany. Dokumentacja Aplikacji Podatnika przewiduje listę tokenów oraz ich unieważnienie, więc rotacja dostępu powinna być elementem stałego procesu, a nie awaryjną reakcją.
Trzeci błąd dotyczy certyfikatów. We wnioskowaniu o certyfikat środek uwierzytelnienia i zawarty w nim identyfikator decydują o tym, na jaki identyfikator zostanie wydany certyfikat KSeF. Do tego generowana jest para kluczy publiczny-prywatny, a klucz prywatny musi być przechowywany bezpiecznie. Hasła do certyfikatu nie da się później zresetować, więc procedura archiwizacji i przechowywania musi być ustalona z góry.
Czwarty błąd to brak procedury wyjścia pracownika lub zmiany dostawcy. Jeżeli użytkownik odchodzi z firmy albo kończy się współpraca z zewnętrznym biurem, trzeba natychmiast odebrać uprawnienia, unieważnić niepotrzebne tokeny i sprawdzić, czy certyfikat nie był używany w procesach, które nadal działają automatycznie. KSeF nie wybacza bałaganu w dostępie, bo faktura to dokument podatkowy, a nie zwykły plik roboczy.
Najlepiej rozdzielić trzy obszary: uwierzytelnienie, uprawnienia i obieg dokumentów. Certyfikat KSeF lub podpis kwalifikowany powinny odpowiadać za bezpieczny dostęp do systemu, uprawnienia za zakres działań użytkownika, a obieg dokumentów za zatwierdzanie, opisywanie i przekazywanie faktur do księgowania. Taki model ogranicza ryzyko nadmiernych dostępów, porządkuje pracę między przedsiębiorcą a księgowością i zmniejsza ryzyko operacyjne.
Jeśli szukasz programu do fakturowania zgodnego z KSeF, wybierz rozwiązanie, które nie tylko umożliwia wystawianie dokumentów, ale też porządkuje cały proces sprzedaży, wysyłki i rozliczeń. onBiznes pomaga fakturować szybciej, pracować online z dowolnego miejsca i lepiej przygotować firmę do codziennej pracy z KSeF.
W firmie warto oprzeć pracę na certyfikacie KSeF, a token traktować wyłącznie jako narzędzie pomocnicze do konkretnych integracji. Jeśli generujesz token, nadaj mu minimalny zakres uprawnień, od razu go zabezpiecz i ustaw procedurę unieważniania. KSeF działa bezpiecznie i sprawnie tylko wtedy, gdy firma ma dobrze ustawione uwierzytelnienie, jasne uprawnienia i uporządkowany obieg dokumentów.
Certyfikat jest lepszym rozwiązaniem docelowym do uwierzytelniania w systemie KSeF. Token sprawdza się głównie w narzędziach zintegrowanych z API KSeF. W praktyce certyfikat daje większe bezpieczeństwo przy długofalowym wdrożeniu KSeF.
Token służy do autoryzacji sesji i komunikacji przez API KSeF. Można wygenerować token autoryzacyjny dla konkretnego procesu lub systemu. Taki token daje dostęp do faktur i operacji zgodnie z nadanym zakresem uprawnień.
Aby wygenerować token, trzeba wejść do odpowiedniej funkcji w systemie KSeF lub aplikacji z funkcjonalnością umożliwiającą generowanie tokenów. Następnie wybiera się nazwę i zakres uprawnień. Token jest wyświetlany tylko raz, więc trzeba go skopiować i zapisać w bezpiecznym miejscu.
Nie, możliwość generowania i wykorzystywania tokenów ma charakter przejściowy. Ministerstwo Finansów wskazuje, że ten model wygaśnie z końcem 2026 r. Dlatego firmy powinny przygotować się do uwierzytelniania w systemie KSeF 2.0 za pomocą certyfikatów.
Nie, certyfikat nie zastępuje uprawnień. Służy do uwierzytelniania się w KSeF, natomiast zakres działania zależy od tego, jakie uprawnienia nadano użytkownikowi, podatnikowi lub podmiotowi. To oznacza, że samo logowanie się do KSeF nie daje automatycznie pełnego dostępu.
Najpierw osoba uprawniona musi wejść do systemu KSeF i przypisać odpowiedni zakres dostępu. Potem można wykonać nadawanie nowych uprawnień zgodnie z rolą pracownika. Pracownik powinien mieć tylko te prawa, które są mu rzeczywiście potrzebne do pracy.
Tak, do logowania się do KSeF można użyć podpisu kwalifikowanego. W niektórych przypadkach możliwe jest też uwierzytelnianie podpisem kwalifikowanym lub pieczęcią kwalifikowaną. Ten sposób jest szczególnie ważny dla podmiotów, które chcą bezpiecznie uwierzytelniać się w KSeF.
Token warto stosować wtedy, gdy system ma działać automatycznie zamiast każdorazowego uwierzytelniania użytkownika. Dotyczy to zwłaszcza procesów takich jak wysyłanie i odbieranie faktur przez API KSeF. W takim przypadku trzeba jednak pilnować liczby tokenów i ich zakresu działania.
Tak, w praktyce można wygenerować tokeny niezbędne do uwierzytelniania dla różnych procesów lub systemów. Dobrą praktyką jest rozdzielenie tokenów według funkcji, a nie używanie jednego do wszystkiego. Dzięki temu łatwiej kontrolować uprawnienia do wystawiania i uprawnienia do zarządzania.
Najlepiej zacząć od oficjalnej dokumentacji, instrukcji i sekcji centrum pomocy producenta systemu, z którego korzystasz. Dotyczy to również rozwiązań takich jak Symfonia KSeF Plus czy innych narzędzi zintegrowanych z API KSeF. Przy bardziej złożonych wdrożeniach warto oprzeć się na module certyfikatów i uprawnień oraz procedurach bezpieczeństwa w firmie.
