Beancount.io LogoBeancount.io

Compliment de WISP: Per què tots els professionals de la fiscalitat necessiten un Pla Escrit de Seguretat de la Informació el 2026

16 minuts de lecturaMike ThriftMike Thrift
Compliment de WISP: Per què tots els professionals de la fiscalitat necessiten un Pla Escrit de Seguretat de la Informació el 2026

Fet incòmode: si vau preparar fins i tot una sola declaració d'impostos per a un client de pagament la temporada passada i no teniu un Pla Escrit de Seguretat de la Informació (WISP) arxivat, tècnicament esteu operant fora de la llei federal. La Comissió Federal de Comerç (FTC) pot multar-vos amb fins a 46.517 $ per violació i dia. L'IRS us pot retirar el PTIN. I el vostre assegurador de responsabilitat civil professional pot denegar una reclamació després d'una bretxa de seguretat assenyalant que falta el document.

La majoria dels preparadors d'impostos i comptables han sentit l'acrònim "WISP", però el tracten com si fos el problema d'un altre —el tipus de cosa de què es preocupen les grans empreses amb oficials de compliment. Aquesta suposició està desfasada uns cinc anys. La norma de salvaguardes de la FTC esmenada, plenament vigent des de juny de 2023, ha arrossegat els preparadors autònoms, els petits despatxos de CPA i els negocis de comptabilitat directament al mateix règim regulador que governa els bancs comunitaris. Cada preparador d'impostos remunerat que sol·liciti o renovi un PTIN ha de certificar ara, al Formulari W-12 Línia 11, que entén les seves obligacions de seguretat de dades.

Aquesta guia repassa què és realment un WISP, els nou elements que l'FTC i l'IRS esperen veure, els controls tècnics que han passat de ser una "millor pràctica" a ser "obligatoris", i com crear un pla que resisteixi una auditoria real en lloc de només quedar bé en una carpeta.

Les dues lleis que us han portat fins aquí

Dues vies reguladores convergents porten al mateix resultat: necessiteu un pla escrit.

Llei Gramm-Leach-Bliley (GLBA) i la norma de salvaguardes de la FTC. El Congrés va aprovar la GLBA el 1999 per regular com les institucions financeres gestionen la informació dels clients. El reglament d'aplicació de la FTC —la norma de salvaguardes (16 CFR Part 314)— defineix "institució financera" de manera prou àmplia com para incloure qualsevol negoci "significativament compromès" en activitats financeres. L'FTC ha sostingut durant molt de temps que la preparació d'impostos, la comptabilitat i serveis similars hi qualifiquen. La norma es va esmenar substancialment el desembre de 2021, i els nous requisits tècnics (MFA, xifratge, persona qualificada, programa escrit) van entrar plenament en vigor el 9 de juny de 2023.

Publicació 4557 de l'IRS i la certificació del PTIN. Les seccions 7216 i 6713 del Codi de Rendes Internes ja imposaven sancions per la divulgació no autoritzada d'informació de declaracions d'impostos. L'IRS va afegir la Publicació 4557 ("Salvaguarda de les dades dels contribuents") i la Publicació 5708 ("Creació d'un Pla Escrit de Seguretat de la Informació per al vostre despatx fiscal i comptable") com a full de ruta pràctic. El cicle de renovació del PTIN de 2024 va afegir una casella de verificació obligatòria: els preparadors d'impostos han de reconèixer el seu compliment del WISP al Formulari W-12 Línia 11. Mentir en aquesta línia és un problema en si mateix.

L'efecte net: un despatx fiscal d'una sola persona en un centre comercial ha de complir el mateix nivell de referència que una empresa regional de CPA. La norma escala els controls segons la vostra mida i complexitat, però l'obligació de tenir un pla escrit és binària: o el teniu o no.

Qui n'ha de tenir un realment

Necessiteu un WISP si:

  • Prepareu qualsevol declaració d'impostos federal per compensació (incloent-hi feines puntuals per a un client de pagament)
  • Teniu un PTIN, EFIN o sou un proveïdor autoritzat d'e-File de l'IRS
  • Oferiu serveis de comptabilitat, nòmines o comptabilitat que impliquin informació financera de clients
  • Opereu com a CFO virtual, controlador financer extern o comptable extern
  • Dirigiu un Assessor d'Inversions Registrat (RIA), un corredor d'hipoteques, un negoci de canvi de xecs o una altra entitat coberta per la GLBA

El volum no importa. La norma no us eximeix per preparar menys de X declaracions o per guanyar menys d'Y en honoraris. Un Agent Inscrit (Enrolled Agent) autònom que prepari vint declaracions a l'any està cobert exactament igual que una empresa de 200 persones; ambdós han de tenir un pla escrit, actualitzat i signat.

Existeix una exempció limitada a la norma de salvaguardes per a les institucions que mantenen informació de menys de 5.000 consumidors, la qual cosa relaxa uns quants requisits de documentació (avaluació de riscos escrita, pla de resposta a incidents, informe anual a la junta). Però l'obligació principal —designar una persona qualificada, implementar salvaguardes i tenir un programa escrit— s'aplica independentment de la mida.

Els nou elements que el vostre WISP ha d'incloure

La norma de salvaguardes esmenada especifica nou components obligatoris. El vostre WISP no cal que utilitzi exactament aquests encapçalaments, però tots i cadascun han de ser tractats en algun lloc del document. La plantilla de la Publicació 5708 de l'IRS segueix aquesta mateixa estructura.

1. Designar una persona qualificada

Heu de nomenar formalment una persona responsable de supervisar el programa de seguretat de la informació. Per a un preparador autònom, sou vosaltres mateixos. Per a una empresa, sol ser el soci director, un responsable d'IT o —cada vegada més— un vCISO extern. La persona qualificada no ha de ser necessàriament un expert en seguretat, però ha de tenir autoritat per prendre decisions i informar a la propietat o a la junta.

Documenteu el nomenament per escrit. Incloeu la data d'inici, l'abast de l'autoritat i la línia de report.

2. Realitzar una avaluació de riscos per escrit

Identifiqueu quina informació dels clients recolliu, on s'emmagatzema, qui hi pot accedir i què podria sortir malament. L'avaluació ha de ser per escrit i s'ha d'actualitzar periòdicament —almenys anualment i cada vegada que el vostre entorn canviï substancialment (nou programari, nou personal, nova oficina, bretxa de seguretat).

Cobertura mínima:

  • Inventari de dades: números de la Seguretat Social, dates de naixement, números de comptes financers, còpies de W-2 i 1099, extractes bancaris, declaracions d'anys anteriors, dades EIN, K-1
  • Ubicacions d'emmagatzematge: bases de dades de programari fiscal, còpies de seguretat al núvol, fitxers adjunts de correu electrònic, portals de clients, arxius en paper, dispositius mòbils, unitats USB
  • Escenaris d'amenaça: phishing, ransomware, pèrdua d'ordinador portàtil, empleat deslleial, bretxa en un proveïdor, robatori físic
  • Probabilitat i impacte: classifiqueu cada escenari perquè les vostres salvaguardes puguin ser proporcionades

3. Dissenyar i implementar salvaguardes

Aquest és el nucli del WISP. La norma preveu controls tècnics i administratius específics, alguns dels quals ja no són opcionals:

  • Controls d'accés: limiteu l'accés a les dades dels clients segons la necessitat de conèixer; elimineu l'accés immediatament quan un empleat deixi l'empresa
  • Xifratge en repòs i en trànsit: AES-256 (o equivalent) en tots els dispositius, discs durs, còpies de seguretat i suports extraïbles; TLS 1.2 o superior per a les dades en moviment; xifratge de disc complet en cada portàtil i estació de treball
  • Autenticació de doble factor: obligatòria per a qualsevol persona que accedeixi a informació dels clients des de qualsevol sistema —programari fiscal, portals d'enviament electrònic, emmagatzematge al núvol, correu electrònic, eines d'accés remot. L'MFA només per SMS està quedant obsolet; utilitzeu aplicacions d'autenticació o claus de maquinari sempre que sigui possible
  • Desenvolupament i configuració segurs: si construïu o personalitzeu programari, apliqueu estàndards de codificació segura; actualitzeu els sistemes amb una cadència definida
  • Inventari i eliminació: feu un seguiment dels dispositius i elimineu els suports de manera segura (triturats o esborrats segons els estàndards NIST 800-88)
  • Gestió de canvis: documenteu i aproveu els canvis en els sistemes que gestionen dades de clients

4. Supervisar i provar les salvaguardes regularment

Heu de verificar que els controls funcionen realment. La norma ofereix dues vies acceptables:

  • Supervisió contínua: eines com SIEM, EDR o serveis gestionats de detecció i resposta que registren i alerten sobre activitats sospitoses
  • Proves de penetració anuals més avaluacions de vulnerabilitat semestrals: proves tradicionals realitzades per tercers si no teniu una supervisió contínua implementada

Per a un preparador individual, la "supervisió contínua" pot significar un producte de protecció de punts finals correctament configurat que alerti sobre anomalies. Per a una empresa més gran, cal preveure la contractació d'un servei de proves extern.

5. Formar el personal

La formació anual en conscienciació sobre seguretat és obligatòria per a tot el personal amb accés a les dades dels clients —incloent-hi contractistes i preparadors estacionals. Els temes han d'incloure el reconeixement de phishing, la higiene de contrasenyes, la seguretat dels dispositius, l'enginyeria social i la notificació d'incidents.

Mantingueu registres d'assistència. "Els ho vaig dir en una reunió d'equip" no serveix.

6. Supervisar els proveïdors de serveis

Cada proveïdor amb accés a les dades dels clients —programari fiscal, emmagatzematge al núvol, gestió documental, suport informàtic, proveïdors de nòmines, eines de signatura electrònica, fins i tot l'empresa de trituració— ha de ser:

  • Seleccionat amb la diligència deguda pel que fa a les seves pràctiques de seguretat
  • Vinculat per un contracte escrit que exigeixi les salvaguardes adequades
  • Reavaluat periòdicament (normalment cada any)

Demaneu als proveïdors un informe SOC 2 Tipus II o equivalent. El contracte hauria d'incloure una clàusula de notificació de bretxes amb un termini definit —la majoria d'empreses exigeixen un avís dins de les 72 hores posteriors a la descoberta.

7. Mantenir el programa actualitzat

Reavalueu i ajusteu el WISP cada vegada que el panorama d'amenaces canviï o les vostres operacions variïn. Nova oficina? Nou programari? Heu adquirit un despatx petit? Actualitzeu el pla.

8. Establir un pla de resposta a incidents per escrit

El pla ha de cobrir:

  • Escalat intern: qui s'assabenta de l'incident i en quin ordre
  • Contenció i remei: qui atura el problema
  • Notificació externa: clients, fiscals generals de l'estat, la FTC i l'IRS
  • Documentació: preservar registres, proves i una línia de temps
  • Lliçons apreses: anàlisi postmortem amb accions correctives documentades

L'IRS espera que els preparadors d'impostos informin del robatori de dades dins de les 24 hores posteriors a la seva descoberta a través de l'IRS Stakeholder Liaison i la Federation of Tax Administrators. Segons les esmenes de la Norma de Salvaguardes efectives a partir del 13 de maig de 2024, també heu de notificar a la FTC qualsevol incident de seguretat que afecti 500 o més consumidors com a màxim 30 dies després de la descoberta —aquesta notificació és pública.

9. Informar a la junta (o a la propietat)

La persona qualificada ha de presentar almenys un informe escrit anual a la junta directiva o, en el cas d'empreses més petites, al directiu responsable. L'informe cobreix l'estat general del programa, els resultats de l'avaluació de riscos, els esdeveniments significatius durant l'any i qualsevol canvi recomanat.

Preparador individual? L'escriviu per a vosaltres mateixos, el signeu i el guardeu a l'arxiu. Sí, realment.

Registres comptables: L'element de compliment oblidat

Si mai es presenta un regulador o un auditor, el primer que demanarà és documentació. El vostre WISP diu que vau formar el personal al març, vau pagar un proveïdor extern de proves de penetració al juliol, vau substituir una estació de treball al setembre i vau renovar la ciberassegurança al novembre —i necessiteu rebuts, factures i seients al llibre diari per recolzar cadascuna d'aquestes afirmacions. Les pràctiques que tracten la despesa en seguretat com una línia de "diversos" en un extracte de targeta de crèdit acaben tenint problemes.

Configureu una segregació clara del pla de comptes per a les despeses relacionades amb la seguretat (formació, programari, auditories, assegurances, maquinari) per poder obtenir un informe comparatiu anual net quan es demani. Els mateixos registres en text pla que satisfan el vostre comptable a l'hora dels impostos es converteixen en el vostre expedient de proves quan la FTC us pregunti com vau posar en marxa el vostre pla.

Els controls tècnics que fan ensopegar la gent

Dos requisits representen la majoria dels errors del WISP a la pràctica.

Autenticació multifactor, a tot arreu. La Norma no permet l'MFA "on sigui convenient". S'aplica a qualsevol persona que accedeixi a la informació dels clients des de qualsevol sistema. Això inclou el vostre programari fiscal, el portal de presentació telemàtica, el portal de clients, el correu electrònic (que conté fitxers adjunts amb dades fiscals), l'emmagatzematge al núvol, el programari de comptabilitat i qualsevol eina d'accés remot. L'IRS afavoreix clarament les aplicacions d'autenticació o els tokens de maquinari per sobre de l'SMS, que és vulnerable als atacs d'intercanvi de SIM.

Una comprovació ràpida: tanqueu la sessió de totes les aplicacions empresarials que utilitzeu. Intenteu tornar-hi a entrar. Si alguna d'elles només requereix una contrasenya, teniu una deficiència.

Xifratge de dades en repòs. El xifratge de disc complet és obligatori en tots els dispositius que emmagatzemen informació dels clients —incloent-hi el portàtil personal que el preparador estacional porta a l'oficina a casa. BitLocker a Windows Pro i FileVault a macOS compleixen el requisit si estan configurats correctament. Xifreu les còpies de seguretat, les unitats USB i qualsevol mitjà portàtil. Xifreu el correu electrònic quan contingui dades dels clients (un portal de clients sol ser una millor solució que el correu electrònic xifrat).

L'altre control que se sol passar per alt és la supervisió de proveïdors. Moltes empreses tenen un informe SOC 2 del seu proveïdor de programari fiscal, però no tenen cap contracte ni avaluació per a l'eina especialitzada d'emmagatzematge al núvol on es van registrar l'any passat, el connector de signatura electrònica que van provar o el contractista informàtic que té credencials d'administrador. Elaboreu un inventari de proveïdors i actualitzeu-lo anualment.

Què passa quan ho fas malament

Les sancions no són teòriques:

  • Sancions civils de la FTC de fins a 46.517 $ per infracció i dia sota la Norma de Salvaguardes esmenada
  • Sancions per falta de notificació que han arribat als 500.000 $ en accions publicades
  • Suspensió o revocació del PTIN per part de l'IRS, cosa que posa fi efectivament a la vostra capacitat per preparar declaracions
  • Accions dels fiscals generals estatals sota les lleis de notificació de violacions de dades (que existeixen als 50 estats)
  • Litigis privats de clients afectats, amb danys i perjudicis legals en alguns estats
  • Denegacions de les assegurances quan una pòlissa de negligència professional o de ciberseguretat exclou les reclamacions derivades de l'incompliment
  • Conseqüències reputacionals, que per a un despatx fiscal sovint suposa la pèrdua d'una part significativa de la cartera de clients en dotze mesos

L'IRS ha estat explícit en el fet que la falta d'un WISP es tracta com una prova d'un error de compliment més ampli, no com un simple problema de paperassa.

Un full de ruta realista per a un WISP defensable

Passar de zero a un pla defensable és un projecte de quatre a sis setmanes per a un preparador autònom i un esforç de diversos mesos per a una empresa més gran. Una seqüència realista:

Setmana 1: Inventari. Llisteu cada sistema que toca dades de clients, cada empleat o contractista amb accés, cada proveïdor en la cadena de dades i cada dispositiu que tingueu. Aquest és el vostre material de treball.

Setmana 2: Avaluació de riscos. Repasseu les amenaces versemblants contra l'inventari. Puntueu cada escenari. Identifiqueu les vostres cinc exposicions principals.

Setmana 3: Anàlisi de deficiències. Compareu els vostres controls actuals amb els nou elements obligatoris. Noteu cada mancança. Les deficiències més grans per a les empreses petites solen ser la cobertura de l'MFA, els contractes amb proveïdors i els procediments de resposta davant incidents.

Setmana 4: Remediació. Activeu l'MFA a tot arreu. Implementeu el xifratge de disc complet en cada dispositiu. Signeu acords per escrit amb els proveïdors clau. Programeu la formació. Documenteu-ho tot.

Setmana 5: Escriure el WISP. Utilitzeu la plantilla de la Publicació 5708 de l'IRS com a punt de partida i personalitzeu-la sense miraments —un pla copiat i enganxat és pitjor que no tenir pla, perquè demostra mala fe. Feu que la persona qualificada el signi.

Setmana 6 (i anualment): Prova, formació i informe. Realitzeu un simulacre de sobretaula sobre el vostre pla de resposta davant incidents. Feu la formació anual. Genereu l'informe anual per a la propietat. Programeu la propera revisió.

Establiu recordatoris al calendari per al cicle anual. El fracàs de compliment més comú no és el WISP inicial —és l'empresa que en va escriure un el 2023 i no el va tornar a tocar mai més.

Algunes idees falses comunes

"El meu programari fiscal té la certificació SOC 2, així que ja estic cobert." No. El compliment del proveïdor de programari cobreix el seu entorn, no el vostre. Encara necessiteu un WISP per a tot el que feu fora de la seva plataforma: correu electrònic, fitxers locals, la vostra xarxa d'oficina.

"Treballo des de casa, així que les regles són diferents." No ho són. Una consulta a casa té les mateixes obligacions de WISP que una oficina. En tot cas, els controls són més difícils perquè la línia entre els sistemes personals i els professionals es difumina.

"Externalitzo la comptabilitat a un equip a l'estranger, així que ells s'encarreguen de la seguretat." Ells són el vostre proveïdor segons la Norma. Vosaltres sou els responsables d'avaluar-los, contractar-los i supervisar els seus controls.

"Tinc una assegurança de ciberseguretat, així que estic protegit." La majoria de les pòlisses de ciberseguretat ara requereixen un WISP com a condició de cobertura. Llegir la lletra petita després d'una violació de dades és un mal moment per descobrir-ho.

Mantingueu les vostres finances organitzades des del primer dia

Un WISP defensable es basa en la documentació, i el mateix passa amb una comptabilitat defensable. Tant si esteu fent el seguiment de les subscripcions de programari de seguretat, les factures de formació i les taxes d'auditoria que demostren que el vostre programa de compliment és real, com si simplement porteu els registres comptables que els vostres propis clients confien que gestioneu, la comptabilitat en text pla us ofereix una cosa que el programari de caixa negra no pot: transparència total, control de versions i una traça d'auditoria que realment us pertany. Beancount.io ofereix una comptabilitat en text pla que és transparent, controlada per versions i preparada per a la IA —sense dependència de proveïdors ni exportacions opaques. Comenceu gratis i descobriu per què els desenvolupadors i els professionals de les finances s'estan passant a la comptabilitat en text pla.