Beancount.io LogoBeancount.io

WISP съответствие: Защо всеки данъчен специалист се нуждае от Писмен план за информационна сигурност през 2026 г.

14 минути четенеMike ThriftMike Thrift
WISP съответствие: Защо всеки данъчен специалист се нуждае от Писмен план за информационна сигурност през 2026 г.

Ето един неудобен факт: ако сте изготвили дори една данъчна декларация за плащащ клиент през миналия сезон и нямате Писмен план за информационна сигурност (WISP) в досието си, технически работите извън федералния закон. Федералната търговска комисия (FTC) може да ви глоби до 46 517 долара на нарушение на ден. Службата за вътрешни приходи (IRS) може да отнеме вашия PTIN. А вашият застраховател срещу професионална небрежност може да откаже иск след пробив в сигурността, посочвайки липсващия документ.

Повечето данъчни съставители и счетоводители са чували съкращението „WISP“, но го третират като чужд проблем — нещо, за което се притесняват големите фирми със служители по съответствието. Това предположение е остаряло с около пет години. Измененото Правило за предпазните мерки на FTC (FTC Safeguards Rule), напълно влязло в сила от юни 2023 г., постави самостоятелните съставители, малките счетоводни кантори и счетоводните къщи директно под същия регулаторен режим, който урежда дейността на местните банки. Всеки платен данъчен съставител, който кандидатства за или подновява PTIN, трябва сега да потвърди във формуляр W-12, ред 11, че разбира задълженията си за сигурност на данните.

Това ръководство разглежда какво представлява WISP в действителност, деветте елемента, които FTC и IRS очакват да видят, техническите контроли, които преминаха от „добра практика“ към „задължителни“, и как да изградите план, който да издържи на реален одит, вместо просто да изглежда добре в папка.

Двата закона, които ви доведоха дотук

Две припокриващи се регулаторни пътеки водят до един и същ резултат: нуждаете се от писмен план.

Закон Грам-Лийч-Блайли (GLBA) и Правило за предпазните мерки на FTC. Конгресът прие GLBA през 1999 г., за да регламентира как финансовите институции боравят с клиентска информация. Прилагащият регламент на FTC — Правилото за предпазните мерки (16 CFR Част 314) — дефинира „финансова институция“ достатъчно широко, за да обхване всеки бизнес, „значително ангажиран“ във финансови дейности. FTC отдавна поддържа позицията, че изготвянето на данъчни декларации, счетоводството и подобни услуги попадат в тази категория. Правилото беше съществено изменено през декември 2021 г., а новите технически изисквания (MFA, криптиране, квалифицирано лице, писмена програма) влязоха в пълна сила на 9 юни 2023 г.

Публикация 4557 на IRS и потвърждението за PTIN. Раздел 7216 и Раздел 6713 от Кодекса за вътрешните приходи вече предвиждаха наказания за неразрешено разкриване на информация от данъчни декларации. IRS добави Публикация 4557 („Защита на данните на данъкоплатците“) и Публикация 5708 („Създаване на писмен план за информационна сигурност за вашата данъчна и счетоводна практика“) като практическа пътна карта. Цикълът на подновяване на PTIN за 2024 г. добави задължително поле за отметка: данъчните съставители трябва да потвърдят съответствието си с WISP във формуляр W-12, ред 11. Лъжата на този ред е сама по себе си сериозен проблем.

Крайният ефект: малък данъчен офис от един човек се държи по същите стандарти като регионална счетоводна фирма. Правилото мащабира контролите спрямо вашия размер и сложност, но задължението за наличие на писмен план е абсолютно — или го имате, или не.

Кой всъщност трябва да има такъв план

Нуждаете се от WISP, ако:

  • Изготвяте всякаква федерална данъчна декларация срещу възнаграждение (включително случайна работа за плащащ клиент)
  • Притежавате PTIN, EFIN или сте оторизиран доставчик на IRS e-File
  • Предоставяте счетоводни услуги, обработка на заплати или услуги, които включват финансова информация на клиенти
  • Работите като виртуален финансов директор (vCFO), външен контролер или аутсорсинг счетоводител
  • Управлявате регистриран инвестиционен съветник (RIA), ипотечен брокер, каса за обмяна на чекове или друго лице, обхванато от GLBA

Обемът няма значение. Правилото не ви дава право на изключение, ако изготвяте по-малко от X декларации или печелите по-малко от Y от хонорари. Самостоятелен лицензиран агент (Enrolled Agent), изготвящ двадесет декларации годишно, е обхванат по същия начин, както фирма с 200 души — и двамата трябва да имат писмен, актуален и подписан план.

В Правилото за предпазните мерки съществува тясно изключение за институции, които поддържат клиентска информация за по-малко от 5 000 потребители, което облекчава няколко изисквания за документация (писмена оценка на риска, план за реагиране при инциденти, годишен отчет пред борда). Но основното задължение — определяне на квалифицирано лице, прилагане на предпазни мерки и наличие на писмена програма — се прилага независимо от размера.

Деветте елемента, които вашият WISP трябва да съдържа

Измененото Правило за предпазните мерки посочва девет задължителни компонента. Вашият WISP не е длъжен да използва точно тези заглавия, но всеки един от тях трябва да бъде разгледан някъде в документа. Шаблонът на IRS в Публикация 5708 следва същата структура.

1. Определяне на квалифицирано лице

Трябва официално да посочите едно лице, отговорно за надзора на програмата за информационна сигурност. За самостоятелен съставител това сте вие. За фирма това обикновено е управляващият съдружник, ръководителят на ИТ отдела или — все по-често — външен vCISO. Квалифицираното лице не е задължително да бъде експерт по сигурността, но трябва да има правомощия да взема решения и да се отчита пред собствениците или борда.

Документирайте назначението писмено. Включете началната дата, обхвата на правомощията и линията на отчитане.

2. Извършване на писмена оценка на риска

Идентифицирайте каква клиентска информация събирате, къде се съхранява, кой има достъп до нея и какво би могло да се обърка. Оценката трябва да бъде в писмена форма и да се актуализира периодично — поне веднъж годишно и всеки път, когато средата ви се промени значително (нов софтуер, нов персонал, нов офис, пробив в сигурността).

Минимален обхват:

  • Опис на данните: Социалноосигурителни номера, дати на раждане, номера на финансови сметки, копия на формуляри W-2 и 1099, банкови извлечения, данъчни декларации от предходни години, данни за EIN, формуляри K-1
  • Местоположения за съхранение: бази данни на данъчен софтуер, облачни архиви, прикачени файлове в имейли, клиентски портали, хартиени досиета, мобилни устройства, USB памети
  • Сценарии за заплахи: фишинг, рансъмуер, изгубен лаптоп, злонамерен служител, пробив при доставчик, физическо влизане с взлом
  • Вероятност и въздействие: класирайте всеки сценарий, така че вашите защитни мерки да бъдат пропорционални

3. Проектиране и внедряване на предпазни мерки

Това е същността на Писмения план за информационна сигурност (WISP). Правилото изисква специфични технически и административни контроли, няколко от които вече не са по избор:

  • Контрол на достъпа: ограничете достъпа до клиентски данни въз основа на принципа „необходимост да се знае“; прекратявайте достъпа незабавно, когато служител напусне
  • Криптиране в покой и при пренос: AES-256 (или еквивалент) на всички устройства, твърди дискове, архиви и сменяеми носители; TLS 1.2 или по-висока версия за данни в движение; пълно криптиране на диска на всеки лаптоп и работна станция
  • Многофакторна автентикация (MFA): задължителна за всеки, който осъществява достъп до клиентска информация от всяка система — данъчен софтуер, портали за електронно подаване, облачно съхранение, имейл, инструменти за отдалечен достъп. MFA само чрез SMS вече не се препоръчва; използвайте приложения за автентикация или хардуерни ключове, където е възможно
  • Сигурна разработка и конфигуриране: ако създавате или персонализирате софтуер, прилагайте стандарти за сигурно кодиране; инсталирайте корекции на системите по дефиниран график
  • Инвентаризация и изхвърляне: проследявайте устройствата и изхвърляйте носителите на данни по сигурен начин (унищожаване чрез шредер или изтриване съгласно стандартите NIST 800-88)
  • Управление на промените: документирайте и одобрявайте промените в системите, които обработват клиентски данни

4. Редовно наблюдение и тестване на предпазните мерки

Трябва да потвърдите, че контролните механизми действително работят. Правилото предлага два приемливи пътя:

  • Непрекъснат мониторинг: инструменти като SIEM, EDR или управлявани услуги за откриване и реагиране (MDR), които регистрират и предупреждават за подозрителна активност
  • Годишни тестове за проникване плюс полугодишни оценки на уязвимостта: традиционни тестове от трети страни, ако нямате внедрен непрекъснат мониторинг

За самостоятелен счетоводител „непрекъснат мониторинг“ може да означава правилно конфигуриран продукт за защита на крайни точки, който известява за аномалии. За по-голяма фирма се очаква ангажиране на външна услуга за тестване.

5. Обучение на служителите

Годишното обучение за повишаване на осведомеността относно сигурността е задължително за целия персонал с достъп до клиентски данни — включително подизпълнители и сезонен персонал. Темите трябва да включват разпознаване на фишинг, хигиена на паролите, сигурност на устройствата, социално инженерство и докладване на инциденти.

Водете записи за присъствие. „Казах им го на екипна среща“ не се признава за валидно доказателство.

6. Надзор над доставчиците на услуги

Всеки доставчик с достъп до клиентски данни — данъчен софтуер, облачно съхранение, управление на документи, ИТ поддръжка, доставчици на ведомост за заплати, инструменти за електронен подпис, дори компанията за унищожаване на документи — трябва да бъде:

  • Избран след надлежна проверка на неговите практики за сигурност
  • Обвързан с писмен договор, изискващ подходящи предпазни мерки
  • Периодично преоценяван (обикновено ежегодно)

Изисквайте от доставчиците отчет SOC 2 Type II или еквивалентен. Договорът трябва да включва клауза за уведомяване при пробив с определен срок — повечето фирми изискват уведомление в рамките на 72 часа след откриването.

7. Поддържане на програмата актуална

Преоценявайте и коригирайте WISP всеки път, когато средата на заплахите се промени или дейността ви претърпи промени. Нов офис? Нов софтуер? Придобили сте малка практика? Актуализирайте плана.

8. Съставяне на писмен план за реагиране при инциденти

Планът трябва да обхваща:

  • Вътрешна ескалация: кой научава за инцидента и в какъв ред
  • Локализиране и отстраняване: кой спира разпространението на вредата
  • Външно уведомяване: клиенти, главни прокурори на щати, FTC и IRS
  • Документация: запазване на системни логове, доказателства и хронология
  • Извлечени поуки: последващ анализ с документирани коригиращи действия

IRS очаква от лицата, подготвящи данъчни декларации, да докладват за кражба на данни в рамките на 24 часа след откриването чрез IRS Stakeholder Liaison и Федерацията на данъчните администратори. Съгласно измененията в Правилото за предпазните мерки, влизащи в сила от 13 май 2024 г., трябва също така да уведомите FTC за всяко събитие в областта на сигурността, засягащо 500 или повече потребители, не по-късно от 30 дни след откриването — това подаване е публично.

9. Докладване пред борда (или собствениците)

Квалифицираното лице трябва да представя поне един годишен писмен доклад пред борда на директорите или, за по-малки фирми, пред висшия мениджър. Докладът обхваща общото състояние на програмата, резултатите от оценката на риска, значими събития през годината и всички препоръчителни промени.

Работите самостоятелно? Напишете го до себе си, подпишете го и го сложете в досието. Да, наистина.

Счетоводни записи: Забравеното доказателство за съответствие

Ако регулатор или одитор някога се появи, първото нещо, което ще поискат, е документация. Вашият WISP казва, че сте обучили персонала през март, платили сте на външен доставчик за тест за проникване през юли, заменили сте работна станция през септември и сте подновили кибер застраховката си през ноември — и ви трябват касови бележки, фактури и записи в главната книга, за да подкрепите всяко от тези твърдения. Практиките, които третират разходите за сигурност като „други“ разходи в извлечението от кредитната карта, в крайна сметка се оказват в затруднение при проверка.

Настройте ясно разделение в сметкоплана за разходи, свързани със сигурността (обучение, софтуер, одити, застраховка, хардуер), така че да можете да извлечете точен годишен отчет при поискване. Същите записи в обикновен текстов формат (plain-text), които удовлетворяват вашия счетоводител по време на данъчна кампания, стават вашият файл с доказателства, когато FTC попита как сте приложили плана си на практика.

Техническите контроли, в които хората най-често се препъват

Две изисквания са причина за по-голямата част от неуспехите при прилагането на WISP на практика.

Многофакторна автентикация, навсякъде. Правилото не позволява MFA само „където е удобно“. То се прилага за всеки, който има достъп до клиентска информация от която и да е система. Това включва вашия данъчен софтуер, портала за електронно подаване, клиентския портал, имейла ви (който пренася прикачени файлове с данъчни данни), облачното съхранение, счетоводния софтуер и всички инструменти за отдалечен достъп. IRS силно предпочита приложения за автентикация или хардуерни токени пред SMS, който е уязвим към атаки за замяна на SIM картата (SIM-swap).

Бърза самопроверка: излезте от всяко бизнес приложение, което използвате. Опитайте се да влезете отново. Ако някое от тях изисква само парола, имате нарушение.

Криптиране на съхраняваните данни. Изисква се пълно дисково криптиране на всяко устройство, което съхранява клиентска информация — включително личния лаптоп, който вашият сезонен съставител носи в домашния офис. BitLocker в Windows Pro и FileVault в macOS удовлетворяват изискването, когато са правилно конфигурирани. Криптирайте резервните копия, USB паметите и всички преносими носители. Криптирайте имейлите, когато съдържат клиентски данни (клиентският портал обикновено е по-добро решение от криптирания имейл).

Другият често пропуснат контрол е надзорът над доставчиците. Много фирми разполагат със SOC 2 доклад от своя доставчик на данъчен софтуер, но нямат договор или оценка за бутиковия инструмент за облачно съхранение, за който са се регистрирали миналата година, плъгина за електронни подписи, който са тествали, или ИТ консултанта, който има администраторски права. Създайте опис на доставчиците и го актуализирайте ежегодно.

Какво се случва, когато допуснете грешка

Санкциите не са теоретични:

  • Граждански глоби от FTC до $46,517 за нарушение на ден съгласно изменения закон Safeguards Rule
  • Глоби за неуведомяване при пробив, които са достигали $500,000 в публикувани съдебни решения
  • Спиране или отнемане на PTIN от страна на IRS, което на практика прекратява способността ви да изготвяте данъчни декларации
  • Действия от главните прокурори на щатите съгласно щатските закони за уведомяване при изтичане на данни (които съществуват във всички 50 щата)
  • Частни съдебни дела от засегнати клиенти, със законово определени обезщетения в някои щати
  • Отказ от застрахователно обезщетение, когато полицата за професионална отговорност или киберсигурност изключва искове, произтичащи от неспазване на правилата
  • Репутационни последици, което за една данъчна практика често означава загуба на значителна част от клиентската база в рамките на дванадесет месеца

IRS ясно заявява, че липсата на WISP се третира като доказателство за по-широк провал в спазването на правилата, а не като обикновен административен проблем.

Реалистичен план за изграждане на защитим WISP

Преминаването от нула до защитим план е проект за четири до шест седмици за индивидуален съставител и многомесечно усилие за по-голяма фирма. Реалистична последователност:

Седмица 1: Инвентаризация. Направете списък на всяка система, която докосва клиентски данни, всеки служител или изпълнител с достъп, всеки доставчик по веригата на данни и всяко устройство, което притежавате. Това е вашата суровина.

Седмица 2: Оценка на риска. Прегледайте вероятните заплахи срещу описаните активи. Оценете всеки сценарий. Идентифицирайте вашите пет най-големи рискови зони.

Седмица 3: Анализ на пропуските. Сравнете текущите си контроли с деветте изисквани елемента. Отбележете всеки пропуск. Най-големите пропуски за малките фирми обикновено са обхватът на MFA, договорите с доставчици и процедурите за реагиране при инциденти.

Седмица 4: Отстраняване. Включете MFA навсякъде. Въведете пълно дисково криптиране на всяко устройство. Подпишете писмени споразумения с ключови доставчици. Планирайте обучение. Документирайте всичко.

Седмица 5: Напишете WISP. Използвайте шаблона от IRS Publication 5708 като отправна точка и го персонализирайте безкомпромисно – планът, копиран „на готово“, е по-лош от липсата на план, защото показва недобросъвестност. Нека квалифицираното лице го подпише.

Седмица 6 (и ежегодно): Тестване, обучение, отчетност. Проведете симулация на вашия план за реагиране при инциденти. Провеждайте годишно обучение. Генерирайте годишния доклад до ръководството. Планирайте следващия преглед.

Задайте напомняния в календара за годишния цикъл. Най-честият провал в съответствието не е първоначалният WISP – това е фирмата, която е написала такъв през 2023 г. и никога повече не го е докоснала.

Няколко често срещани заблуди

„Моят данъчен софтуер е SOC 2 сертифициран, така че съм защитен.“ Не. Съответствието на доставчика на софтуер покрива неговата среда, а не вашата. Все още се нуждаете от WISP за всичко, което правите извън тяхната платформа – имейл, локални файлове, вашата офис мрежа.

„Работя от вкъщи, така че правилата са различни.“ Не са. Практиката, базирана у дома, има същите задължения за WISP като тази в офис. Дори контролите са по-трудни, защото границата между личните и бизнес системите се размива.

„Аутсорсвам счетоводството на екип в чужбина, така че те се грижат за сигурността.“ Те са ваши доставчици съгласно Правилото. Вие носите отговорност за тяхната оценка, сключването на договор с тях и надзора върху техните контроли.

„Имам застраховка за киберсигурност, така че съм защитен.“ Повечето кибер полици сега изискват WISP като условие за покритие. Четенето на дребния шрифт след пробив е лош момент да научите това.

Поддържайте финансите си организирани от първия ден

Защитимият WISP се гради върху документация – същото важи и за защитимото счетоводство. Независимо дали проследявате абонаментите за софтуер за сигурност, фактурите за обучение и таксите за одит, които доказват, че вашата програма за съответствие е реална, или просто водите счетоводните записи, за които вашите собствени клиенти ви се доверяват, счетоводството в текстов формат ви дава нещо, което софтуерът тип „черна кутия“ не може: пълна прозрачност, контрол на версиите и одиторска следа, която действително притежавате. Beancount.io предоставя счетоводство в текстов формат, което е прозрачно, с контролирани версии и готово за AI — без зависимост от доставчик и без непрозрачен експорт на данни. Започнете безплатно и вижте защо разработчиците и финансовите специалисти преминават към счетоводство в текстов формат.