KassenSichV.net by fiskaly. SIGN DE Architektur
Digitalisierung ist von Politik und Marktteilnehmern in Deutschland gefordert und somit auch eine Möglichkeit die Kassensicherungsverordnung technologieoffen umzusetzen. In diesem Artikel wird die Systemarchitektur der cloudbasierten TSE fiskaly SIGN DE beschrieben. Im ersten Teil wird auf die Komponenten und deren Funktionen eingegangen. Im zweiten Teil wird fiskaly SIGN DE im gesetzlichen Kontext dargestellt.
Aufbau fiskaly SIGN DE Architektur
Die fiskaly SIGN DE Architektur ist stark durch die gesetzlichen Anforderungen an eine zertifizierte Technische Sicherheitseinrichtung (TSE) sowie die Umsetzung moderner, verteilter Systeme geprägt. Die Cloud-TSE fiskaly SIGN DE besteht aus zertifizierten Komponenten und weitere Komponenten, die bestimmte Sicherheitsanforderungen erfüllen, um einen manipulationssicheren Betrieb zu gewährleisten. Die Richtlinien werden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben. fiskaly SIGN DE ist ein verteiltes System und wurde auf Basis der spezifischen Vorgaben für derartige Systeme durch das BSI zertifiziert.
Wie ist fiskaly SIGN DE aufgebaut
Die zertifizierten Komponenten, SMAERS (Security Module Application for Electronic Record-keeping Systems) und CSP-L (Crypto Service Provider Light), stellen die Kernfunktionalität von fiskaly SIGN DE, die Fiskalisierung, bereit und sind im Zusammenspiel die zertifizierte Cloud-TSE. Sowohl SMAERS als auch CSP-L werden von fiskaly als Teil des Produktes fiskaly SIGN DE verwaltet. Alle fiskaly SMAERS und CSP-L Instanzen sowie relevante Ressourcen werden in Rechenzentren auf deutschem Bundesgebiet gehostet und sind durch technische, physische und organisatorische Maßnahmen vor dem Zugriff unberechtigter Dritter geschützt. Um die sichere und konforme Interaktion zwischen den Komponenten der fiskaly Cloud-TSE sowie der verschiedenen Kassensysteme zu ermöglichen, sind weitere Komponenten notwendig. Sie regeln Funktionalitäten wie Zugangskontrolle, Eingabevalidierung und Dienstintegration. So können die Anforderungen an den Umgebungsschutz garantiert erfüllt, der zertifizierte Betrieb der TSE gewährleistet und ein sehr hohes Schutzniveau erreicht werden.
SIGN DE Komponenten in der TSE-Umgebung, die die Sicherheitsanforderungen gewährleisten
- fiskaly SIGN DE Middleware als Teil des ERS
- fiskaly SMAERS Gateway
- fiskaly SIGN DE Backend Komponenten
- weitere Komponenten Detaillierte Beschreibungen der Komponenten und deren Funktionalitäten finden Sie im nächsten Abschnitt.
Die zertifizierten Komponenten von SIGN DE
Folgende Komponenten von fiskaly SIGN DE wurden durch das BSI zertifiziert. Die Zertifizierungsdokumente sind zum Download auf developer.fiskaly.com hinterlegt.
SIGN DE Komponenten in der TSE-Umgebung
Zertifizierter Betrieb von fiskaly SIGN DE
Registrierkassen erfüllen zwei Aufgaben:
- eine geschäftliche Transaktion aufzeichnen und
- einen Beleg erstellen, der diese Transaktion bestätigt. In der Praxis sind die von einem Unternehmen betriebenen Registrierkassen Teil eines größeren, verteilten Systems, das im offiziellen Amtsgebrauch als “elektronisches Aufzeichnungssystem” (englisch: Electronic Record-keeping System - ERS) bezeichnet wird. Die Registrierkasse - das Gerät selbst - ist lediglich der sichtbare, kundennahe Endpunkt eines ERS. Die Funktionalität des ERS wird durch eine umfangreiche Reihe verteilter Backend-Funktionen gegeben, darunter Finanz- und Authentifizierungsdienste sowie Archivierung. Jede dieser Funktionen kann von verschiedenen Anbietern abgedeckt werden. Aus Sicht des Kassennutzers sind diese in einem einzigen ERS integriert. Darüber hinaus ist ein ERS ein Managementsystem, das mehrere Registrierkassen pro Filiale, pro Kunde, pro Organisation usw. integriert und zusätzliche Funktionen wie beispielsweise Datenabruf und -analyse bereitstellen kann.
Definition ERS
Der Gesetzgeber (Bundesministerium für Finanzen - BMF) definiert die in der Praxis sehr unterschiedlichen Umsetzungen von Kassensystemen und Architekturen wie folgt: “Ein elektronisches Aufzeichnungssystem ist die zur elektronischen Datenverarbeitung eingesetzte Hardware und Software, die elektronische Aufzeichnungen zur Dokumentation von Geschäftsvorfällen und somit Grundaufzeichnungen erstellt.” Anwendungserlass zur Abgabenordnung (AEAO) zu § 146 Nr. 2.1.4 Diese Definition wird in offiziellen BSI Dokumenten referenziert und wurde in einer individuellen Anfrage von fiskaly am 21.04.2022 durch das BMF nochmals bestätigt. Sie ist bewusst breit gefasst, um Technologieoffenheit zu ermöglichen und die notwendige Digitalisierung zu unterstützen.
fiskaly SIGN DE als Teil des ERS
fiskaly SIGN DE ist für internetfähige Kassensysteme konzipiert und macht jedes Kassensystem zu einem verteilten Aufzeichnungssystem. Anstelle einer Hardware-basierten TSE-Lösung, die eine Integration und Wartung vor Ort in jedem Gerät, in jeder Filiale erfordern würde, ist fiskaly SIGN DE eine echte Cloud-TSE, also ein reiner Software-Online-Service. fiskaly SIGN DE wird einfach und transparent als eine weitere Komponente in ERS-Systeme integriert. Die fiskaly Komponente im ERS stellt die Fiskalisierungsanforderung sowie Funktionen für die erleichterte Verwaltung von fiskalisierungsbezogenen ERS-Daten sicher. Somit sind Komponenten von fiskaly SIGN DE ein essentieller Bestandteil des Aufzeichnungssystems.
Umgebungsschutz SIGN DE
Die Umgebung der Komponenten der fiskaly SIGN DE ist so konfiguriert und beschaffen, dass die Komponenten physisch, organisatorisch und technisch geschützt sind. Im Umgebungsschutzkonzept (USK) beschreibt der TSE-Hersteller, wie der Umgebungsschutz zu gewährleisten ist. Um den Umgebungsschutz zu gewährleisten, werden, zusätzlich zu den eingebauten Sicherheitseigenschaften der Komponenten, Sicherheitsmaßnahmen bezüglich ihrer physischen und logischen Umgebungen implementiert. Organisatorische und technische Maßnahmen bieten eine zusätzliche Sicherheitsebene, indem sie die Kommunikation mit den Komponenten und den physischen Zugang zu den Komponenten durch nicht autorisierte Personen und andere Softwareprozesse einschränken und kontrollieren. Grundsätzlich sollten Umgebungsschutzdokumente sowie weitere Zertifizierungs- oder betriebsrelevante Dokumente von Ihrem Anbieter bereitgestellt werden. Unsere Dokumente finden Sie hier.