( sz332 | 2025. 01. 04., szo – 08:46 )

Ez szerintem két párhuzamos probléma.

Az egyik az, hogy hogyan authentikáljon a felhasználó. Jelenleg egy user/pass van, ehhez képest a TOTP, DÁP, minden is egy baromi nagy előrelépés.

A második probléma az authorizáció: az hogy a könyvelőknek támogatnia kell a könyvelőcég ügyfeleinek (továbbiakban ügyfél) munkáját, ehhez pedig arra van szükség hogy az ügyfél helyett különböző interakciókat hajtson végre az állammal. Az ügyfél azért fizeti a könyvelőt hogy ezt megcsinálja. Ezt jelenleg úgy oldják meg hogy az ügyfél megadja a felhasználónév/jelszavát!!! a könyvelőnek, aki igy el tud az adott személy helyett járni. Nyilván ez egy security rémálom. 
A megoldás itt az hogy adott feladatra lehessen engedélyt adni, amit lehessen/ne lehessen delegálni, pont az általad leírt use-case-ek miatt. Innentől kezdve pedig loggolva legyen hogy ki és mit csinált, és ez látható kell legyen az ügyfele számára.

Az e-személyi szolgáltatás az égadta világon nem segít a történeten.