Tryb pracownika w DrukarkaKSeF — 3 warstwy bezpieczeństwa

/ KSeF — Podstawy / Przez
W skrócie: tryb pracownika z wersji 0.35 ogranicza widok stacji do faktur zakupowych, szyfruje certyfikat KSeF kluczem zawierającym hash hasła administratora i wiąże konfigurację z sprzętem komputera (Fernet+HMAC). Trzy warstwy ochrony — zapieczętowana konfiguracja, sejf certyfikatów, wielopoziomowa blokada pobierania — sprawiają, że pracownik nie wyciągnie ani danych sprzedażowych, ani klucza dostępu do KSeF, nawet jeśli zmodyfikuje pliki.

Biuro rachunkowe z właścicielem i trzema księgowymi. Każda obsługuje 8–10 klientów. Właściciel ma certyfikat KSeF i wystawia faktury sprzedażowe. Księgowe nie powinny widzieć jego sprzedaży, nie powinny móc wystawić faktury w jego imieniu, nie powinny dotykać certyfikatu. Tylko że KSeF nie ma granularnych uprawnień — InvoiceRead — uprawnienie do odczytu jest monolityczne. Kto ma klucz dostępu, ten widzi wszystko. Tryb pracownika rozwiązuje to po stronie aplikacji — kryptograficznie, nie kosmetycznie.

Co zmienia tryb pracownika

  • Faktury sprzedażowe znikają z tabeli, filtrów i eksportów
  • Wysyłka XML do KSeF jest zablokowana — pracownik nie wystawi faktury
  • Pobranie z KSeF działa tylko dla zakupowych (3 niezależne punkty walidacji w przepływie pobierania)
  • Hasło certyfikatu KSeF jest niedostępne bez hasła administratora
  • Badge 🔒 worker zawsze widoczny w pasku statusu

Trzy warstwy ochrony — wielowarstwowa ochrona

1

Zapieczętowana konfiguracja (Fernet+HMAC)

Konfiguracja szyfrowana kluczem wyprowadzonym z identyfikator sprzętu. Skopiowanie pliku na inną maszynę → naruszenie konfiguracji (STATE_TAMPER). Ręczna modyfikacja → błąd podpisu HMAC.

2

Sejf certyfikatów

Hasło certyfikatu KSeF szyfrowane kluczem identyfikator sprzętu + hash hasła administratora. Bez hasła administratora certyfikat pozostaje niedostępny — nawet przy fizycznym dostępie do plików.

3

Wielopoziomowa blokada pobierania

3 niezależne punkty walidacji w przepływie pobierania (moduł pobierania, moduł eksportu, filtr typów dokumentów). Każdy oddzielnie sprawdza tryb — trzeba skompromitować wszystkie trzy, żeby sprzedażowa trafiła do bazy.

Sesja administratora — 15 minut na pełen widok

Właściciel przychodzi do księgowej, potrzebuje sprawdzić własną sprzedaż. Konfiguracja → Tryb pracownika → „Odblokuj sesję administratora”, hasło, i przez 15 minut aplikacja pokazuje pełen widok. wbudowany licznik aplikacji odlicza 900 sekund — po upływie automatyczny powrót do trybu pracownika.

Kod odzyskiwania — 14 znaków na czarną godzinę

Przy aktywacji trybu pracownika otrzymujesz 14-znakowy kod odzyskiwania. Zachowaj go fizycznie (sejf, manager haseł). Jeśli zapomnisz hasło administratora:

  1. W oknie odblokowania klikasz „Mam kod odzyskiwania”
  2. Wpisujesz 14-znakowy kod
  3. Aplikacja akceptuje jednorazowo, ustawiasz nowe hasło administratora
  4. Generuje nowy kod odzyskiwania (poprzedni unieważniony)
Bez kodu i bez hasła: Jedyna opcja to pełna reinstalacja z utratą lokalnej bazy (statusy, etykiety, opisy). Faktury w KSeF pozostają bezpieczne — można je ponownie pobrać. Brak „backdoora” to zamierzona właściwość.

Badge w pasku statusu

🔒 Pracownik

Tryb pracownika — widoczne tylko zakupowe

🔓 Administrator

Sesja administratora — pełen widok do 15 min

⚠ Naruszenie

Wykryta modyfikacja — aplikacja zablokowana

Najczęstsze pytania

Czy pracownik może zobaczyć cudzą sprzedaż?
Nie. Tryb pracownika blokuje wszystkie sprzedażowe niezależnie od wystawcy. Pracownik widzi WYŁĄCZNIE zakupowe (Podmiot1 = aktywny NIP). Sprzedażowe nie trafiają do bazy — są odfiltrowane na poziomie API KSeF.
Czy tryb pracownika działa z PostgreSQL i NetDB?
Tak, we wszystkich trzech trybach bazy. Filtr działa po stronie aplikacji — przed odczytem i po zapisie. Stacja A w trybie pracownika i stacja B w trybie administratora mogą pracować równolegle na tej samej bazie.
Czy mogę aktywować bez licencji biznesowej?
Tak. Tryb pracownika jest dostępny we wszystkich licencjach od KSeF Online wzwyż. To zabezpieczenie wbudowane w aplikację, nie dodatkowy moduł.
Czy mogę przenieść tryb pracownika na nowy komputer?
Tak — przez kreatora Plik → Przenieś na inny komputer. Eksport tworzy zaszyfrowany plik .dktransfer. Po imporcie identyfikator sprzętu się odświeży, zapieczętowana konfiguracja przegeneruje — kod odzyskiwania zachowany.

Przetestuj tryb pracownika i 3 warstwy ochrony — wersja próbna 14 dni, bez rejestracji, bez karty.

Pobierz wersję próbną →

Powiązane: Przewodnik po funkcjach · IDwewn dla JST · Hurtowa zmiana statusów

Ostatnia aktualizacja: 19 maja 2026 · Wersja aplikacji: 0.39.7

Pobieraj faktury z KSeF automatycznie

KSeF Online — od 99 zł/rok, bez limitu faktur. 14 dni za darmo, bez karty kredytowej.

Używamy plików cookie, aby nasz sklep działał prawidłowo, zapamiętywał Twój koszyk i preferencje oraz pomagał nam ulepszać ofertę. Szczegóły znajdziesz w naszej Polityce prywatności. Dowiedz się więcej
Ustawienia plików cookie
Akceptuję
Tylko niezbędne
Prywatność i pliki cookie
Polityka prywatności i plików cookie
Lista plików cookie
Nazwa pliku cookie Aktywny

Ostatnia aktualizacja: 9 lutego 2026 r.

1. Administrator danych

Administratorem Twoich danych osobowych jest UserX Radosław Drozdowski, z siedzibą pod adresem Płocku, Ul. Bielska 58, NIP: 9710518188, e-mail kontaktowy: rodo@userx.pl (dalej: „Administrator", „my").

Adres naszej strony internetowej: https://drukarkaksef.pl

2. Jakie dane zbieramy i w jakim celu

DaneCel przetwarzaniaPodstawa prawna (RODO)
Imię, nazwisko, adres e-mail, dane rozliczenioweRealizacja zamówienia i dostarczenie produktu cyfrowegoArt. 6 ust. 1 lit. b) — wykonanie umowy
Dane rozliczeniowe (nazwa firmy, NIP, adres)Wystawienie faktury i spełnienie obowiązków podatkowychArt. 6 ust. 1 lit. c) — obowiązek prawny
Adres e-mail (newsletter)Wysyłka informacji handlowych, na które wyraziłeś zgodęArt. 6 ust. 1 lit. a) — zgoda
Adres IP, dane przeglądarkiZapewnienie bezpieczeństwa witryny, ochrona przed nadużyciamiArt. 6 ust. 1 lit. f) — uzasadniony interes
Adres e-mail, nazwa użytkownikaProwadzenie konta klienta w sklepieArt. 6 ust. 1 lit. b) — wykonanie umowy
Dane z formularza kontaktowego (imię, e-mail, treść wiadomości)Odpowiedź na zapytanieArt. 6 ust. 1 lit. f) — uzasadniony interes

3. Zamówienia i płatności

Podczas składania zamówienia zbieramy dane niezbędne do jego realizacji: imię, nazwisko, adres e-mail oraz dane rozliczeniowe. W przypadku produktów cyfrowych nie przetwarzamy adresu do wysyłki fizycznej.

Płatności obsługiwane są przez zewnętrznych operatorów:

Nie przechowujemy danych Twoich kart płatniczych — są one przetwarzane wyłącznie przez operatora płatności.

4. Konto klienta

Rejestracja konta jest dobrowolna. Posiadając konto, możesz przeglądać historię zamówień, pobierać zakupione produkty cyfrowe i zarządzać swoimi danymi. Dane konta przechowujemy do momentu jego usunięcia przez Ciebie lub na Twoje żądanie.

5. Newsletter

Zapisanie się do newslettera jest dobrowolne i wymaga Twojej wyraźnej zgody. Podany adres e-mail wykorzystujemy wyłącznie do wysyłki informacji handlowych. Z newslettera możesz zrezygnować w dowolnym momencie — link do wypisania znajduje się w każdej wiadomości.

Obsługę newslettera zapewnia MailPoet (Automattic Inc.) — Polityka prywatności.

6. Pliki cookie

Używamy plików cookie, aby sklep działał prawidłowo, zapamiętywał Twój koszyk i preferencje oraz pomagał nam ulepszać ofertę.

RodzajCelCzas przechowywania
NiezbędneDziałanie sklepu, sesja logowania, koszyk zakupowyDo zamknięcia przeglądarki / do 2 tygodni
FunkcjonalneZapamiętanie preferencji (np. zgoda na cookies)Do 180 dni
AnalityczneAnaliza ruchu na stronie w celu ulepszania ofertyDo 2 lat

Możesz zarządzać plikami cookie w ustawieniach swojej przeglądarki, w tym całkowicie je zablokować. Może to jednak wpłynąć na działanie sklepu (np. koszyk zakupowy). Szczegółowe ustawienia plików cookie możesz zmienić również za pomocą panelu „Ustawienia plików cookie" dostępnego na stronie.

7. Osadzone treści z innych witryn

Strona może zawierać osadzone treści (np. filmy z YouTube, mapy Google). Takie treści zachowują się tak, jakby użytkownik odwiedził bezpośrednio daną witrynę — mogą one zbierać dane, używać plików cookie i monitorować interakcje.

8. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne chroniące Twoje dane, w tym:

  • szyfrowanie połączenia (SSL/TLS),
  • zaporę aplikacyjną (WAF),
  • regularne aktualizacje oprogramowania,
  • ograniczony dostęp do danych wyłącznie dla upoważnionych osób.

9. Jak długo przechowujemy dane

DaneOkres przechowywania
Dane zamówień i faktur5 lat od końca roku podatkowego (obowiązek prawny)
Konto klientaDo momentu usunięcia konta
NewsletterDo momentu wypisania się
Formularz kontaktowyDo 12 miesięcy od udzielenia odpowiedzi
Logi serwera (adres IP)Do 12 miesięcy

10. Komu przekazujemy dane

Twoje dane mogą być przekazywane wyłącznie podmiotom niezbędnym do realizacji usług:

  • operatorom płatności (PayPal, iMoje/ING),
  • dostawcy usług e-mail (MailPoet/Automattic),
  • dostawcy hostingu,
  • organom państwowym — wyłącznie na podstawie obowiązujących przepisów prawa.

Nie sprzedajemy Twoich danych osobowych podmiotom trzecim.

11. Przekazywanie danych poza EOG

Niektórzy z naszych podwykonawców (np. Automattic, ING/iMoje) mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. W takich przypadkach transfer odbywa się na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską lub decyzji o adekwatności.

12. Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa:

  • Prawo dostępu — możesz uzyskać informację, jakie dane przetwarzamy.
  • Prawo do sprostowania — możesz poprawić nieprawidłowe dane.
  • Prawo do usunięcia („prawo do bycia zapomnianym") — możesz żądać usunięcia danych, gdy nie ma podstawy do ich przetwarzania.
  • Prawo do ograniczenia przetwarzania — możesz żądać ograniczenia przetwarzania w określonych przypadkach.
  • Prawo do przenoszenia danych — możesz otrzymać swoje dane w ustrukturyzowanym formacie.
  • Prawo do sprzeciwu — możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie.
  • Prawo do cofnięcia zgody — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.

Aby skorzystać z powyższych praw, skontaktuj się z nami: rodo@userx.pl.

Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl).

13. Zmiany polityki prywatności

Zastrzegamy sobie prawo do aktualizacji niniejszej Polityki prywatności. O istotnych zmianach poinformujemy za pośrednictwem strony internetowej. Aktualna wersja obowiązuje od daty wskazanej na początku dokumentu.

Zapisz ustawienia
Ustawienia plików cookie