Wprowadzenie obsługi Modułu Certyfikatów i Uprawnień w Comarch BPM

W wersji 2026.0.1 umożliwiono uwierzytelnianie za pomocą certyfikatu KSeF uzyskanego w Module Certyfikatów i Uprawnień (MCU).

Opis wnioskowania o certyfikat KSeF w Module Certyfikatów i Uprawnień/Aplikacji Podatnika

Aby uzyskać certyfikat KSeF w Module Certyfikatów i Uprawnień/ Aplikacji Podatnika należy kolejno wykonać następujące kroki:

  • Przejść na stronę https://ap.ksef.mf.gov.pl/web/
  • Wybrać opcję „Uwierzytelnij się w Krajowym Systemie e-Faktur”
  • Zalogować się do systemu, wybierając opcję „Zaloguj profilem zaufanym” lub „Zaloguj certyfikatem kwalifikowanym” i wprowadzić odpowiednie dane
  • Po zalogowaniu w ramach Aplikacji Podatnika rozwinąć zakładkę „Certyfikaty”, znajdującą się w panelu po lewej stronie i wybrać opcję „Wnioskuj o certyfikat”

 

Wybór opcji „Wnioskuj o certyfikat” w Aplikacji Podatnika KSeF (w tym przypadku na środowisku testowym)

 

  • Wypełnić wniosek o certyfikat, uzupełniając poprawnie pola „Nazwa certyfikatu”, „Hasło” (spełniające podane we wniosku wymagania) i „Powtórz hasło”, a następnie kliknąć przycisk [Generuj]

 

Przykładowe uzupełnienie wniosku o wydanie certyfikatu (środowiska testowe)

 

  • Po kliknięciu w przycisk [Generuj] następuje automatyczne pobranie pliku klucza prywatnego, a na ekranie pojawia się informacja „Wygenerowano klucz prywatny”. Wygenerowany plik klucza prywatnego należy zapisać na dysku.

 

Pobranie klucza prywatnego (środowisko testowe)

 

  • Następnie:
    • w ramach pola „Przeznaczenie certyfikatu“ należy wybrać opcję „Uwierzytelnienie w systemie KSeF“
    • w ramach pola „Certyfikat ważny od“ należy wybrać datę rozpoczęcia ważności certyfikatu – nie można ustawić daty wstecz, musi być ustawiona na dzień bieżący lub późniejszy

 

Przykładowe uzupełnienie pól „Przeznaczenie certyfikatu” i „Certyfikat ważny od” (środowisko testowe)

 

  • Po poprawnym uzupełnieniu pól „Przeznaczenie certyfikatu” i „Certyfikat ważny od” nalezy kliknąć w przycisk [Wyślj wniosek o wydanie certyfikatu]. Wówczas rozpocznie się przetwarzanie wniosku, a w aplikacji pojawi się informacja „W realizacji“. Należy kliknąć w przycisk [Odśwież], który znajduje się na stronie

 

Wybór przycisku „Odśwież” (środowisko testowe)

 

  • Jeśli przetworzenie wniosku przebiegło poprawnie, wówczas po kliknięciu w przycisk [Odśwież] w ramach strony zostaje wyświetlona informacja „Zakończono pomyślnie“ oraz trzy przyciski. Nalezy kliknąć w przycisk [Pobierz certyfikat] – wówczas certyfikat zostanie pobrany na komputer. Plik certyfikatu nalezy zapisac na dysku.

 

Wybór przycisku „Pobierz certyfikat” (środowisko testowe)

 

Przykładowy widok okna po pobraniu certyfikatu (środowisko testowe)

 

Wskazówka

Jeśli certyfikat nie został pobrany albo jeśli operator chce go pobrać ponownie, wówczas powinien kliknąć w przycisk [Lista certyfikatów]. Nastąpi wówczas przejście do okna “Lista certyfikatów”, w ramach którego można zarządzać wystawionymi certyfikatami, a mianowicie:

  • Pobrać dany certyfikat;
  • Unieważnić dany certyfikat;
  • Sprawdzić dane certyfikatu, np. datę ważności

 

Przykładowy widok okna „Lista certyfikatów” (środowisko testowe)

  • Pobrane pliki: certyfikatu i klucza prywatnego znajdują się w folderze „Pobrane”. Operator może przenieść je do osobnego folderu, np. „KSeF”.

 

Pobrane przykładowe pliki: certyfikatu i klucza prywatnego

 

Nadawanie uprawnień w Aplikacji Podatnika KSeF oraz certyfikaty osobiste

W przypadku, gdy osoba, która w kontekście firmy z danym numerem NIP identyfikuje się innym, osobnym numerem NIP albo PESEL, właściciel takiej firmy albo uprawiona osoba (np. administrator) jest zobowiązany, aby nadać takiej osobie uprawnienia. W tym celu należy wykonać następujące kroki:

  • W ramach panelu Aplikacji Podatnika/Module Certyfikatów i Uprawnień rozwinąć zakładkę „Uprawnienia” i kliknąć w sekcję „Nadaj uprawnienie”

 

Wybór sekcji „Nadaj uprawnienie” (środowisko testowe)

 

  • W oknie „Nadawanie uprawnień” wybrać:
    • w ramach pola „Rodzaj uprawnienia”: opcję „Osobie fizycznej do pracy w KSeF”
    • w ramach pola „Dane osoby fizycznej” (widocznego po wyborze opcji „Osobie fizycznej do pracy w KSeF”): „Osoba fizyczna posługująca się Profilem Zaufanym lub certyfikatem zawierającym identyfikator NIP lub Pesel”, a następnie:
    • w ramach pola „Identyfikator”: opcję „NIP” lub „PESEL” (w zależności od tego, czy osoba fizyczna posługuje się numerem NIP czy PESEL), a poniżej w polu „Wpisz NIP”/”Wpisz PESEL” odpowiedni numer NIP/PESEL danej osoby fizycznej;
    • w ramach pola „Imię”: imię osoby fizycznej, której mają zostać nadane uprawnienia
    • w ramach pola „Nazwisko”: nazwisko osoby fizycznej, której mają zostać nadane uprawnienia
    • w ramach pola „Zakres uprawnień”: przynajmniej opcje „wystawiania faktur” i „przeglądania faktur”
  • po poprawnym uzupełnieniu wszystkich danych kliknąć w przycisk [Nadaj uprawnienia]

Wskazówka

W oknie „Nadawanie uprawnień” znajdują się automatycznie wypełnione pola:

  • „Podmiot kontekstu:NIP” – podmiot, w którym będzie można pracować z KSeF
  • „Osoba uprawniająca: NIP” – osoba, która nadaje aktualnie uprawnienia – jeśli uprawnienia nadaje inna osoba uprawniona, wówczas w części osoba uprawniona widoczne są jej dane.

Uprawnienia mogą zostać nadane przez właściciela albo przez uprawnionego administratora (dodanego w ramach sekcji „Dodaj administratora”).

 

Widok okna „Nadawanie uprawnień” przed dokonaniem zmian (środowisko testowe)

 

Przykładowy widok okna „Nadawanie uprawnień” po wprowadzeniu zmian oraz wybór przycisku „Nadaj uprawnienia” (środowisko testowe)

 

Po kliknięciu w przycisk [Nadaj uprawnienia] wniosek o nadanie uprawnień zostaje złożony, a w oknie wyświetla się informacja „Zakończono pomyślnie”, ID uprawnionego orz rodzaj przyznanych uprawnień.

 

Przykładowy widok okna „Nadawanie uprawnień” po złożeniu wniosku (środowisko testowe)

 

Uwaga

Jeżeli operator chce uwierzytelnić się i pracować w kontekście innej firmy (także, aby uzyskać certyfikat osobisty), wówczas musi zalogować się na daną firmę, wprowadzając swój NIP w ramach pola „Podpisz żądanie autoryzacyjne” .

 

Wskazówka

Jeśli operator chce zarządzać nadanymi uprawnieniami, wówczas powinien przejść do sekcji „Zarządzaj uprawnieniami”, dostępnej na zakładce „Uprawnienia” W ramach sekcji „Zarządzaj uprawnieniami” można:

  • Wyświetlić nadane uprawnienia;
  • Odebrać nadane uprawnienia poszczególnym uprawnionym podmiotom (zaznaczając checkbox obok danego uprawnienia i klikając „Odbierz uprawnienie”).

 

Przykładowy widok okna „Zarządzaj uprawnieniami” (środowisko testowe)

 

Obsługa certyfikatów KSeF w Comarch BPM

Od wersji 2026.0.1 w ramach Comarch BPM umożliwiono uwierzytelnianie za pomocą certyfikatu KSeF otrzymanego poprzez MCU – z tego powodu w dotychczasowych miejscach konfiguracji integracji z KSeF – czyli:

  • W sekcji „Integracja z usługą KSeF” na zakładce Integracje w ramach zakładki [Ustawienia] (dla trybu jedofirmowego Comarch BPM)

oraz

  • W ustawieniach spółki na zakładce „Połączenia z ERP” w ramach zakładki  [Ustawienia] (dla trybu wielospólkowego Comarch BPM)

wprowadzono następujące nowe pola:

    • Klucz prywatny certyfikatu KSeF – w ramach tego pola po kliknięciu w przycisk [Dodaj] można dodać z dysku plik o rozszerzeniu .key – klucz, który uzyskano podczas wnioskowania o certyfikat KSeF. Dodany plik zostanie wyświetlony zgodnie ze swoją nazwą. Operator może go zapisać na dysku, klikając w ikonę [Zapisz] lub usunąć z aplikacji Comarch BPM, klikając w przycisk kosza [Usuń]. Dane klucza prywatnego są zaszyfrowane i przechowywane w bazie danych Comarch BPM;
    • Odcisk certyfikatu KSeF – w tym polu operator może wybrać certyfikat KSeF, z którym jest powiązany klucz prywatny, który wybrano w polu „Klucz prywatny certyfikatu KSeF“. W tym celu nalezy kliknąc w link [Wybierz certyfikat], a następnie w ramach okna Eksploratora plików wybrać odpowiedni plik i nacisnąć przycisk „Otwórz“. Dodawany plik powinien być certyfikatem z rozszerzeniem .crt, który uzyskano poprzez wnioskowanie o certyfikat KSeF Jeżeli operator wybrał pllik w poprawnym formacie, wówczas pole „Odcisk certyfikatu KSeF“ zostanie automatycznie wypełnione danymi odcisku palca tego certyfikatu, a obok pola zamiast linku [Wybierz certyfikat] zostanie wyświetlony link [Usuń certyfikat]. Dodany certyfikat jest przechowywany w formie zaszyfrowanej w bazie danych Comarch BPM. Ręczna edycja pola „Odcisk certyfikatu KSeF“ nie jest możliwa.
    • Jeśli operator kliknie w link [Usuń certyfikat], wówczas dane certyfikatu (odcisk odciska palca certyfikatu i certyfikat) zostaną usunięte zarówno z bazy Comarch BPM, jak i z pola „Odcisk certyfikatu KSeF“. Gdy certyfikat zostanie usunięty, link [Usuń certyfikat] zmieni się ponownie w link [Wybierz certyfikat] i bdzie możliwe ponowne wybranie certyfikatu.

Uwaga

Aplikacja Comarch BPM nie weryfikuje zgodności dodanego certyfikatu z dodanym kluczem prywatnym. Jeśli operator wybrał certyfikat, z którym nie jest powiązany klucz prywatny wybrany w polu „Klucz prywatny certyfikatu KSeF“, wówczas przy próbie pobrania faktur z KSeF w puncie ACd zostaje wyświetlony komunikat: „Wystąpił błąd: KSeF2 AuthorizationWithKsefCertAsync – Authorization failed: Invalid operation 'Authentication’: Failed to decrypt private key: Nieprawidłowe hasło do klucza prywatnego“.

Komunikat wyświetlany przy próbie pobierania faktur z KSeF, gdy wybrany certyfikat nie jest powiązany z wybranym kluczem prywatnym

  • Hasło certyfikatu KSeF – pole, w ramach którego należy wprowadzić hasło, które wprowadzono podczas wnioskowania o certyfikat KSeF. Wprowadzone hasło jest przechowywane w formie zaszyfrowanej w bazie danych Comarch BPM.

 

Sekcja „Integracja z usługą KSeF” na zakładce „Integracje” z nowymi polami – przed uzupełnieniem

 

Wybór certyfikatu po kliknięciu w link „Wybierz certyfikat“ w ramach pola „Odcisk certyfikatu KSeF“

 

Sekcja „Integracja z usługą KSeF” na zakładce „Integracje” z nowymi polami – po przykładowym uzupełnieniu

 

Obsługa tokenów KSeF w Comarch BPM

W wersji 2026.0.1 zachowano możliwość ustawienia tokenu KSeF – zarówno poprzez wklejenie tokenu, jaki przez jego generowanie – analogicznie jak w dotychczasowych wersjach.

Uwaga

Używanie tokenów KSeF jako jednej z metod autoryzacyjnych z usługą KSeF będzie dostępne nie dłużej niż do 31.12.2026.

 

Zasady uwierzytelniania w KSeF w Comarch BPM

Od wersji 2026.0.1 przyjęto następującą kolejność autoryzacji:

  1. Uwierzytelnienie operatora działakącego z KSeF na podstawie istniejącego i aktywnego tokenu
  2. W przypadku, gdy dotychczasowe tokeny są nieważne lub jeśli uwierzytelnianie następuje po raz pierwszy, kolejność autoryzacji jest następująca:
    1. Uwierzytelnienie tokenem wprowadzonym w polu „Token KSeF“ (w sekcji „Integracja z usługą KSeF“ w zakładce „Integracje“ dla pracy w trybie jednofirmowym lub w ustawieniach danej spółki na zakładce „Połączenia z ERP“ dla pracy w trybie wielofirmowym) – maksymalnie do 31.12.2026
    2. Uwierzytelnienie certyfikatem KSeF wybranym w ramach pola „Odcisk certyfikatu KSeF“ (w sekcji „Integracja z usługą KSeF“ w zakładce „Integracje“ dla pracy w trybie jednofirmowym lub w ustawieniach danej spółki na zakładce „Połączenia z ERP“ dla pracy w trybie wielofirmowym) – w przypadku, gdy zostały spełnione następujące warunki:

      • token nie został skonfigurowany albo opcja uwierzytelniania tokenem jest nieważna (od 1.01.2027r.)

      oraz

      • certyfikat KSeF jest ważny (certyfikat ma ważność 2 lata od daty wydania certyfikatu)

      oraz

      • certyfikat KSeF jest nieważny lub nie został skonfigurowany


       

      Uwaga

      Aby uwierzytelnienie poprzez wybór certyfikatu podczas próby pobierania faktur z KseF w punkcie ACD typu „Import dokumentów zakupu z KSeF“ zakończyło się powodzeniem, operator musi zainstalować dany certyfikat w Magazynie certyfikatów Windows swojej maszyny .

      Jeżeli nie udało się uwierzytelnić za pomocą żadnej z powyższych metod, wówczas wyświetlony zostaje komunikat o błędzie.