W niniejszym artykule chciałem poruszyć zagrożenia związane z plikami JPK i bezpieczeństwem informacji przedsiębiorstwa.

 

Na wstępnie chciałbym uświadomić iż w plikach JPK wszystkich rodzajów są zawarte kluczowe informacje, które nie powinny nigdy wpaść w posiadanie osób niepowołanych.

W obowiązkowym comiesięcznym pliku JPK_VAT można tam znaleźć między innymi taki wrażliwe dane jak:

– pełną bazę naszych kontrahentów, z którymi wykonaliśmy zakup / sprzedaż w danym okresie: Nazwa, adres, NIP

– numer faktury

– kwoty brutto / netto

– daty transakcji

W opcjonalnym pliku JPK_WB (wyciągi bankowe), można znaleźć praktycznie wszystkie operacje wykonane na koncie bankowym

W również opcjonalnym plik JPK_MAG – będą widoczne wszystkie ruchy magazynowe, przyjęcia, wydania, rozchody wewnętrze, nazwy towarów, stan magazynu, wartość magazynu i wiele więcej

Gdyby taki plik został wykradziony i przesłany do konkurencji, to po jego analizie można się dowiedzieć:

  • z jakimi firmami pracujemy
  • od kogo bierzemy towary/usługi
  • ile płacimy za towary/usługi
  • za ile sprzedajemy swoje produkty oraz komu
  • jak często robimy transakcje z naszymi partnerami jakie mamy znimi obroty

Z biznesowego punku widzenia można to porównać do wykradzenia bazy danych programu do fakturowo/magazynowego. Chyba nikt by sobie tego nie życzył?

 

Nasza firma zaleca wykonanie audytu zabezpieczeń procedur oraz obiegu informacji w Państwa przedsiębiorstwie, aby zabezpieczyć się przed ewentualnym wypływem danych.

Warto zwrócić uwagę na takie zagadnienia jak:

– kto ma prawo generować pliki JPK z programu księgowego. Takie prawo należałoby ograniczyć do niezbędnego minimum.

– gdzie są one przechowywane pliki po wygenerowaniu i kto ma do nich dostęp. Może na dysku sieciowym, a może są przesyłane za pomocą poczty elektronicznej, albo przenoszone między komputerami na pendrive?

– co się dzieje z plikami JPK, plikami podpisu xades, oraz plikami UPO po ich przesłaniu do ministerstwa, czy są gdzieś składowane jak długo, oraz kto ma dostęp do nich. Niewykluczone że w przyszłości trzeba będzie wykazać przez urzędnikiem, że prawidłowo wysłaliśmy plik w terminie.

– czy w wyniku obiegu plików JPK np. między księgową a osobą odpowiedzialną za podpis elektroniczny i wysyłkę istnieje możliwość nieautoryzowanej wykonania ich kopii? Może warto zastanowić się nad instalacją programu monitorującego pracę użytkowników?

– czy są wykonywane kopie zapasowe i gdzie są one składowane. Chociaż po przesłaniu pliku podpisanego JPK nie ma prawnego obowiązku przechowywania go w swoich zasobach, jednak z praktyki kontaktów z polskimi urzędami wynika, że lepiej mieć wszystkie argumenty po swojej stronie, więc mocno zalecamy archiwizować je przez okres 5 lat.

 

Poniżej wykaz wszystkich struktur plików JPK oraz grafy z informacją jakie dane się w nich mogą znajdować.

Ewidencje zakupu i sprzedaży VAT – JPK_VAT
Magazyn – JPK_MAG
Wyciąg bankowy – JPK_WB
Księgi rachunkowe – JPK_KR
Faktury VAT – JPK_FA
Podatkowa księga przychodów i rozchodów – JPK_PKPIR
Ewidencja przychodów – JPK_EWP

 

 

JPK_MAG

 

JPK_WB

 

JPK_PKPIR

 

JPK_VAT

 

JPK_FA

 

JPK_EWP

 

JPK_KR