Νέες διευκρινίσεις για τις υποχρεώσεις Παρόχων
Υπηρεσιών Ηλεκτρονικής Έκδοσης Στοιχείων προς την ψηφιακή πλατφόρμα της ΑΑΔΕ ” myData” δίνει με την εγκύκλιο του ο διοικητής της Αρχής, Γιώργος Πιτσιλής.
Αναλυτικά:
1. Η επιτροπή, προκειμένου να επαληθεύσει τη διαδικασία
έκδοσης στοιχείων πώλησης και την τεχνική μεθοδολογία που αποτυπώνει κατά την
αίτηση ο υποψήφιος πάροχος, δύναται να ζητά τη συνδρομή των αρμόδιων υπηρεσιών
της ΑΑΔΕ για την διενέργεια ελέγχων οποτεδήποτε κρίνεται από αυτή σκόπιμο ακόμα
και μετά τη χορήγηση άδειας καταλληλότητας προς τον υποψήφιο πάροχο.
Ενδεικτικά, οι έλεγχοι περιλαμβάνουν:
α) Έκδοση συγκεκριμένων τύπων παραστατικών από δοκιμαστική
έκδοση του λογισμικού του υποψήφιου παρόχου και έλεγχο επιτυχούς διαβίβασης
αυτών στην ψηφιακή πλατφόρμα myData της
Α.Α.Δ.Ε. (μέσω της διεπαφής REST API). Ακολούθως, επαλήθευση της ακεραιότητας του
περιεχομένου του παραστατικού μέσω της σύγκρισης του περιεχομένου του (Μ.ΑΡ.Κ.,
συμβολοσειρά αυθεντικοποίησης και σύνοψη στοιχείων), όπως εμφανίζεται στο
σύστημα του υποψήφιου παρόχου με τα διαβιβασθέντα στοιχεία στην πλατφόρμα myDATA.
β) Μη δυνατότητα τροποποίησης στοιχείων παραστατικού που έχει
ήδη εκδοθεί και διαβιβασθεί από τον πάροχο προς την πλατφόρμα myData.
γ) Εκτέλεση της διαδικασίας ταυτοποίησης και εγγραφής νέων
χρηστών-οντοτήτων, της διαδικασίας πρόσβασης των χρηστών στο λογισμικό και της
διαδικασίας επανέκδοσης και αλλαγής συνθηματικών (password) ώστε να διασφαλιστεί η αυθεντικότητα της προέλευσης των
παραστατικών που εκδίδονται μέσω του λογισμικού του υποψηφίου παρόχου.
Ενδεικτικά ελέγχεται εάν το λογισμικό διαθέτει κανόνες ορθής χρήσης των
συνθηματικών, κανόνες και διαδικασίες περιοδικής αλλαγής και ανάκτησης των
συνθηματικών και αξιόπιστη διαδικασία ταυτοποίησης χρήστη στην πρώτη εγγραφή.
Τα συνθηματικά του χρήστη θα πρέπει να αποθηκεύονται κρυπτογραφημένα στα
συστήματα του υποψηφίου παρόχου.
δ) Έλεγχος ύπαρξης πολιτικής τήρησης αντιγράφων ασφαλείας και
εφαρμογής των βασικών κανόνων αυτής όπως περιοδικότητα δημιουργίας αντιγράφων,
μέσα αποθήκευσης, διαδικασία ανάκτησης.
2. Η επιτροπή δύναται να αναθέτει τους παραπάνω ελέγχους σε
διαπιστευμένο φορέα όποτε εκείνη το κρίνει σκόπιμο, ακόμα και μετά την χορήγηση
άδειας καταλληλότητας προς τον υποψήφιο πάροχο.
3. H επιτροπή δεν φέρει ευθύνη
για τυχόν αστοχίες του λογισμικού, οι οποίες θα εντοπιστούν μετά τη χορήγηση
της άδειας καταλληλότητας από τις αρμόδιες αρχές της Α.Α.Δ.Ε. ή/ και κατόπιν
καταγγελιών, και οι οποίες μπορεί να οδηγήσουν σε ανάκληση άδειας του παρόχου,
εφόσον ενεργεί σύμφωνα με την Α.1035/2020 απόφαση καθώς και την
παρούσα.
4. Ο υποψήφιος πάροχος οφείλει να τηρεί σύστημα και
ημερολόγιο εκδόσεων του λογισμικού του περιγράφοντας τις διορθώσεις ή προσθήκες
και σημειώνοντας τα σημεία που τροποποιούνται στα έγγραφα τεκμηρίωσης του
λογισμικού, όπως το λεξικό δεδομένων, η περιγραφή της αρχιτεκτονικής, η διεπαφή
του χρήστη κ.α. Σε περίπτωση που μια νέα έκδοση του λογισμικού έχει επίπτωση
άμεση ή έμμεση στις ενότητες του λογισμικού που σχετίζονται με την ακεραιότητα
του περιεχομένου των παραστατικών και την αυθεντικότητα της προέλευσης τους,
δηλαδή την εγγραφή και αυθεντικοποίηση των χρηστών, ο πάροχος οφείλει να
ενημερώσει άμεσα την επιτροπή η οποία εξετάζει αν συντρέχει λόγος διενέργειας
νέων ελέγχων όπως αυτοί που περιγράφηκαν παραπάνω.
5. Ο υποψήφιος πάροχος οφείλει να συμμορφώνεται σε περίπτωση
τροποποίησης των λειτουργικών ή και τεχνικών απαιτήσεων από την πλευρά της
Α.Α.Δ.Ε. και να ενημερώνει την επιτροπή για όλες τις τροποποιήσεις που
επιφέρουν οι νέες απαιτήσεις στο λογισμικό του, μέσα σε εύλογο χρονικό διάστημα
που θα ορίσει η επιτροπή λαμβάνοντας υπόψη τον απαιτούμενο χρόνο υλοποίησης και
ενσωμάτωσης των νέων απαιτήσεων στο αδειοδοτημένο λογισμικό του.
6. Για την εξέταση εκάστου υποβαλλόμενου φακέλου για χορήγηση
άδειας καταλληλότητας λογισμικού ΥΠΑΗΕΣ:
α) Ο υποψήφιος πάροχος διαβιβάζει τους Τύπους Παραστατικών Α1
και Α2 (1.1 έως 11.5) του Παραρτήματος της Α.1138/2020 στην πλατφόρμα myDATA και στην περίπτωση που η διαδικασία διεπαφής ολοκληρωθεί
ομαλά χωρίς τεχνικά σφάλματα ενημερώνει μέσω ηλεκτρονικού ταχυδρομείου την
επιτροπή στο ypahes@aade.gr (1o Στάδιο Ελέγχου).
β) Η επιτροπή ύστερα από ενημέρωση του υποψήφιου παρόχου
ορίζει, είτε επίσημη συνάντηση είτε βιντεοσκοπούμενη τηλεδιάσκεψη, κατά τη
διάρκεια της οποίας αποκτά πρόσβαση και διενεργεί τις απαραίτητες ενέργειες
ελέγχου για την τεκμηρίωση καταλληλότητας του υπό έγκριση λογισμικού, οι οποίες
ενδεικτικά αναφέρονται στην παράγραφο 1 της παρούσας εγκυκλίου (2o Στάδιο Ελέγχου).
γ) Η επιτροπή λαμβάνοντας υπόψη τα δικαιολογητικά του
υποβαλλόμενου φακέλου για χορήγηση άδειας καταλληλότητας του υποψήφιου παρόχου,
τα αποτελέσματα διαβίβασης δεδομένων των Τύπων Παραστατικών 1.1 έως 11.5 (Α1,
Α2) στην Α.Α.Δ.Ε. μέσω της πλατφόρμας myDATA (REST API ΑΑΔΕ), και τα αποτελέσματα της πρόσβασης στο υπό έγκριση
λογισμικό ΥΠΑΗΕΣ, λαμβάνει απόφαση για τη χορήγηση ή μη άδειας καταλληλότητας.
Σε περίπτωση που κρίνεται απαραίτητο η Επιτροπή ζητά περαιτέρω διευκρινίσεις
από τον υποψήφιο πάροχο.
7. Με την ολοκλήρωση της παραπάνω διαδικασίας η επιτροπή
μεριμνά για την ανάρτηση των αδειών καταλληλότητας που έχει χορηγήσει σε
ιστοσελίδα της Α.Α.Δ.Ε. με την μορφή “ΥΥΥΥ_ΜΜ_101ΕΠΩΝΥΜΙΑ
ΠΑΡΟΧΟΥ_001_ΟΝΟΜΑΣΙΑ ΛΟΓΙΣΜΙΚΟΥ V1_DDMMYYYY», όπου κατ’ ελάχιστο αναφέρονται:
– YYYY το
έτος και MM ο μήνας που πιστοποιήθηκε
για πρώτη φορά ο πάροχος
– 101 ο αύξων αριθμός του παρόχου με κάποια γράμματα από την
επωνυμία του
– 001 ο αύξων αριθμός και η ονομασία εκάστου λογισμικού
ΥΠΑΗΕΣ που αδειοδοτείται
– V1 ο αύξων αριθμός της
έκδοσης
– DDMMYYYY η
ημερομηνία αδειοδότησης εκάστου λογισμικού