Beancount.io LogoBeancount.io

راهنمای عملیاتی WISP ۲۰۲۶ برای متخصصان مالیات و دفترداران: ایجاد برنامه امنیت داده منطبق با قوانین FTC Safeguards بدون نیاز به مدیر ارشد امنیت اطلاعات (CISO)

زمان مطالعه 15 دقیقهMike ThriftMike Thrift
راهنمای عملیاتی WISP ۲۰۲۶ برای متخصصان مالیات و دفترداران: ایجاد برنامه امنیت داده منطبق با قوانین FTC Safeguards بدون نیاز به مدیر ارشد امنیت اطلاعات (CISO)

اگر موسسه شما اظهارنامه‌های فدرال تهیه می‌کند، لیست حقوق و دستمزد را مدیریت می‌کند، یا به تراکنش‌های بانکی مشتری دسترسی دارد، دولت فدرال از پیش شما را یک "موسسه مالی" در نظر می‌گیرد — و از فصل مالیاتی ۲۰۲۶، IRS شماره PTIN شما را تمدید نخواهد کرد مگر اینکه تحت مجازات سوگند دروغ تایید کنید که یک برنامه امنیتی اطلاعات مکتوب (WISP) در اختیار دارید. این تاییدیه صرفاً یک فرمالیته نیست. این یک اظهارنامه سوگند یاد شده است که نشان می‌دهد موسسه شما ۹ عنصر قانون حفاظتی FTC را اجرا کرده، یک فرد واجد شرایط را برای مدیریت برنامه تعیین کرده، آن را در سال گذشته آزمایش کرده و برنامه‌ای برای گزارش رخنه به نهادهای ناظر در عرض ۳۰ روز دارد.

اکثر شاغلان انفرادی و موسسات کوچک دفترداری زمانی از الزام WISP باخبر می‌شوند که یا مشتری به عنوان بخشی از پرسشنامه بررسی دقت فروشنده آن را درخواست می‌کند، یا زمانی که IRS پس از یک حادثه فیشینگ، نامه "آگاهی امنیتی متخصص مالیاتی" را ارسال می‌کند. هیچ‌کدام از این لحظات زمان مناسبی برای شروع از صفر نیست. این راهنما به بررسی آنچه WISP واقعاً باید شامل شود، نحوه انطباق قانون حفاظتی FTC با واقعیت یک موسسه کوچک، و نحوه برپایی یک برنامه معتبر بدون استخدام یک CISO پاره‌وقت یا خرید ابزار GRC سازمانی می‌پردازد.

چرا WISP دیگر اختیاری نیست

دو نهاد ناظر بر فعالیت هر تنظیم‌کننده مالیاتی و دفتردار در ایالات متحده نظارت می‌کنند و یکدیگر را تقویت می‌نمایند.

اولی IRS است که سال‌هاست تحت بخش ۷۲۱۶ و قانون گرام-لیچ-بلایلی (Gramm-Leach-Bliley Act) داشتن یک برنامه امنیتی مکتوب را الزامی کرده، اما اخیراً ضمانت‌های اجرایی جدی برای آن وضع کرده است. با شروع چرخه تمدید PTIN در سال ۲۰۲۴، هر تنظیم‌کننده‌ای باید تایید کند که یک WISP معتبر دارد. پنجره تمدید سال ۲۰۲۶ یک گواهی صریح درباره ۹ عنصر قانون حفاظتی FTC اضافه می‌کند. تاییدیه‌های نادرست یا بی‌دقت مواردی هستند که بعد از وقوع حادثه و طی تحقیقات رخنه کشف می‌شوند و اظهارنظر خلاف واقع در درخواست PTIN، خود یک خطر مجزا از خودِ رخنه امنیتی محسوب می‌شود.

دومی کمیسیون تجارت فدرال (FTC) است که قانون حفاظتی را تحت بخش ۳۱۴ از ۱۶ CFR اجرا می‌کند. FTC قدرت وضع جریمه‌های مدنی تا سقف ۱۰۰,۰۰۰ دلار به ازای هر تخلف را علیه موسساتی که در حفظ یک برنامه منطبق شکست می‌خورند، دارد و "تخلف" می‌تواند به صورت محدود تعریف شود — یک کنترل ناقص در صدها پرونده مشتری، از آن نوع محاسباتی است که منجر به احکام رضایت‌نامه هشت‌رقمی علیه تنظیم‌کنندگان بزرگتر شده است.

قانون حفاظتی همچنین طی سه سال گذشته سخت‌گیرانه‌تر شده است. اصلاحیه اکتبر ۲۰۲۳ موسسات را ملزم می‌کند تا ظرف ۳۰ روز پس از هر "واقعه اطلاع‌رسانی" — دسترسی غیرمجاز به اطلاعات رمزگذاری‌نشده مشتری که ۵۰۰ نفر یا بیشتر را تحت تاثیر قرار دهد — به FTC اطلاع دهند. این الزام گزارش‌دهی از مه ۲۰۲۴ اجرایی شد و FTC از قبل از آن برای شناسایی موسساتی که در زمان وقوع رخنه، WISP نداشتند استفاده کرده است. رخنه بدون برنامه، وضعیتی به مراتب بدتر از رخنه با داشتن برنامه است.

برای متخصصان مالیاتی، این ساختار چندلایه به این معنی است که یک حادثه فیشینگ ساده می‌تواند منجر به خطر افتادن PTIN در نزد IRS، جریمه‌های مدنی در FTC، تحقیقات دادستان کل ایالتی تحت قوانین اطلاع‌رسانی رخنه در ۵۰ ایالت، و موجی از ادعاهای سرقت هویت از سوی مشتریان آسیب‌دیده شود. WISP تنها سندی است که به طور معناداری ابعاد این بحران را کاهش می‌دهد.

نه عنصری که باید مستند کنید

قانون حفاظتی FTC ۹ عنصر برنامه خاص را در ۱۶ CFR § 314.4 فهرست می‌کند. الگوی IRS در نشریه ۵۷۰۸ بخش‌های خود را حول همین ۹ مورد سازماندهی کرده است و WISP ای که به صورت مکتوب به هر یک از آن‌ها نپردازد، یک WISP منطبق نیست. در اینجا معنای واقعی هر عنصر در یک موسسه کوچک آورده شده است.

۱. تعیین یک فرد واجد شرایط

شما باید یک نفر را — با عنوان و نام — که مسئول برنامه امنیتی است، معرفی کنید. FTC صراحتاً اعلام کرده که فرد واجد شرایط نیازی به مدرک یا گواهینامه خاصی ندارد. آنچه مهم است این است که این نقش مستند شده باشد، فرد قدرت تصمیم‌گیری داشته باشد و حداقل سالانه به مدیریت ارشد گزارش دهد. در یک فعالیت انفرادی، فرد واجد شرایط معمولاً مالک است. در یک موسسه کوچک، اغلب شریک مدیر یا مدیر دفتر است که توسط یک MSP (ارائه دهنده خدمات مدیریت شده) خارجی برای کارهای فنی پشتیبانی می‌شود. این نقش را می‌توان برون‌سپاری کرد، اما مسئولیت آن قابل واگذاری نیست.

۲. انجام ارزیابی ریسک مکتوب

ارزیابی ریسک، ریسک‌های داخلی و خارجی قابل پیش‌بینی برای اطلاعات مشتریان را در سوابق کاغذی، فایل‌های دیجیتال، برنامه‌های ابری، ایمیل، دستگاه‌های تلفن همراه و هر سرویس شخص ثالثی که استفاده می‌کنید، شناسایی می‌کند. این ارزیابی باید مکتوب باشد، باید دوره‌ای باشد و باید آنقدر دقیق باشد که کسی با خواندن آن ببیند چه تهدیداتی را در نظر گرفته‌اید. یک جدول تک‌صفحه‌ای که "دارایی ← تهدید ← احتمال ← تاثیر ← کاهش ریسک" را نگاشت می‌کند برای اکثر موسسات کوچک کافی است. یک جمله دوخطی مبنی بر اینکه "ما از نرم‌افزار آنتی‌ویروس استفاده می‌کنیم" کافی نیست.

۳. طراحی و پیاده‌سازی پادمان‌ها

قانون پادمان‌ها (Safeguards Rule) کنترل‌های فنی خاصی را نام می‌برد که برنامه شما باید به آن‌ها بپردازد: کنترل‌های دسترسی، موجودی دارایی‌ها، رمزنگاری اطلاعات مشتریان در حالت سکون و در حال انتقال، روش‌های توسعه ایمن برای هرگونه نرم‌افزار داخلی، احراز هویت چندعاملی برای هر سیستمی که به داده‌های مشتری دسترسی دارد، امحای ایمن اطلاعات مشتری حداکثر دو سال پس از آخرین تعامل، مدیریت تغییر و نظارت بر فعالیت کاربران مجاز.

دو کنترلی که اکثر شرکت‌های کوچک در آن اشتباه می‌کنند، رمزنگاری و MFA (احراز هویت چندعاملی) هستند. این قانون رمزنگاری اطلاعات مشتری را روی سیستم‌های شما و در حال انتقال الزامی می‌کند. اگر قراردادهای خدمات شما در یک پوشه Dropbox غیررمزنگاری‌شده که با یک لپ‌تاپ شخصی همگام‌سازی شده قرار دارند، این یک تخلف است. MFA باید حداقل از دو مورد از سه عامل احراز هویت — دانش، تملک، ویژگی ذاتی — استفاده کند و تنها راه صرف‌نظر از آن، تایید کتبی از سوی فرد واجد شرایط برای یک کنترل معادل است. «راحت نبودن» یک کنترل معادل محسوب نمی‌شود.

۴. نظارت و آزمایش منظم پادمان‌ها

قانون، نظارت مستمر یا تست نفوذ سالانه و ارزیابی‌های آسیب‌پذیری دوسالانه را الزامی می‌کند. برای یک شرکت کوچک، مسیر واقع‌بینانه گزینه دوم است: اسکن آسیب‌پذیری احراز هویت شده دو بار در سال، و یک تست نفوذ سالانه در صورتی که حجم قابل توجهی از اظهارنامه‌ها یا هرگونه داده‌های مشتریان پرخطر را مدیریت می‌کنید. نتایج آزمایش باید مستند شده و توسط فرد واجد شرایط بررسی شود.

۵. کارکنان خود را آموزش دهید

هر کارمندی که به اطلاعات مشتری دسترسی دارد، به آموزش امنیتی متناسب با نقش خود نیاز دارد و این آموزش باید به طور دوره‌ای تازه شود. فرد واجد شرایط به چیزی بیش از آموزش‌های پایه نیاز دارد. شبیه‌سازی‌های فیشینگ، بهداشت رمز عبور، جابجایی ایمن فایل‌ها و روش‌های گزارش‌دهی حادثه، موضوعات اساسی و اولیه هستند. گزارش‌های آموزشی — شامل تاریخ، شرکت‌کننده و موضوع — باید در پوشه WISP نگهداری شوند.

۶. نظارت بر ارائه‌دهندگان خدمات

اگر از فروشنده نرم‌افزار مالیاتی، پلتفرم ذخیره‌سازی ابری، سرویس امضای اسناد، پردازشگر حقوق و دستمزد یا یک اپلیکیشن دفترداری استفاده می‌کنید، این‌ها طبق قانون، ارائه‌دهندگان خدمات محسوب می‌شوند. شما باید آن‌ها را بر اساس توانایی‌شان در حفظ پادمان‌های مناسب انتخاب کنید، آن‌ها را به صورت قراردادی ملزم به انجام این کار کنید و به طور دوره‌ای ارزیابی کنید که آیا همچنان این استانداردها را رعایت می‌کنند یا خیر. گزارش‌های SOC 2 Type II شواهد استاندارد هستند؛ فروشنده‌ای که نتواند چنین گزارشی ارائه دهد، یک هشدار جدی است.

۷. برنامه را به‌روز نگه دارید

یک WISP (طرح کتبی امنیت اطلاعات) یک سند زنده است. قانون از شما می‌خواهد که برنامه را با توجه به نتایج آزمایش‌ها، تغییرات اساسی در عملیات و تغییرات در چشم‌انداز تهدیدات، ارزیابی و اصلاح کنید. حداقل بررسی سالانه، به علاوه یک به‌روزرسانی در هر زمان که نرم‌افزار مالیاتی خود را تغییر می‌دهید، به یک پلتفرم ابری جدید مهاجرت می‌کنید، دفتر جدیدی باز می‌کنید یا شریک جدیدی می‌آورید.

۸. یک طرح کتبی واکنش به حوادث بنویسید

طرح واکنش به حوادث (IRP) باید فرآیند داخلی برای واکنش به یک رویداد امنیتی را مشخص کند: اهداف، نقش‌ها و مسئولیت‌ها، ارتباطات داخلی، ارتباطات خارجی، حفظ شواهد، مراحل اصلاح و بررسی پس از حادثه. این طرح همچنین باید شامل مسیر اطلاع‌رسانی نظارتی باشد — به FTC ظرف ۳۰ روز برای رویدادهایی که بیش از ۵۰۰ نفر را تحت تاثیر قرار می‌دهند، به رابط ذینفعان IRS برای هرگونه سرقت داده، و به دادستان کل هر ایالت طبق قانون مربوط به نقض داده‌های آن ایالت.

۹. گزارش سالانه به هیئت مدیره (یا مالک)

فرد واجد شرایط باید حداقل سالی یک بار گزارش کتبی به بدنه حاکمیتی شرکت — هیئت مدیره، شریک مدیریتی یا مالک انفرادی — ارائه دهد. این گزارش وضعیت کلی برنامه، ریسک‌های با اهمیت، نتایج آزمایش‌ها، مسائل مربوط به ارائه‌دهندگان خدمات و هرگونه رویداد امنیتی را پوشش می‌دهد. برای یک شرکت تک‌نفره، این به معنای آن است که مالک یادداشتی برای خود می‌نویسد، تاریخ می‌زند و آن را بایگانی می‌کند. این کار تا زمانی که مقابل بازرس FTC ننشسته‌اید، مضحک به نظر می‌رسد.

نشریه ۵۷۰۸ سازمان IRS آسان‌ترین نقطه شروع است

«نشست امنیتی» (Security Summit) — که مشارکتی بین IRS، آژانس‌های مالیاتی ایالتی و فروشندگان بزرگ نرم‌افزار مالیاتی است — یک قالب قابل پر کردن WISP را به عنوان نشریه ۵۷۰۸ سازمان IRS منتشر می‌کند. این یک سند ۲۸ صفحه‌ای است که حول ۹ عنصر FTC ساختار یافته و یک شرکت کوچک را در تمام بخش‌های مورد نیاز راهنمایی می‌کند. بازبینی‌های اخیر، ادبیاتی در مورد گردش کار تایید MFA، جایگزین‌های رمزنگاری و فرآیند اطلاع‌رسانی ۳۰ روزه نقض داده‌ها را اضافه کرده است.

دو نکته کاربردی درباره نشریه ۵۷۰۸:

  • با آن به عنوان یک چارچوب برخورد کنید، نه یک طرح تمام شده. این قالب از شما می‌خواهد که پادمان‌های خاص شرکت، فروشندگان، موضوعات آموزشی و مخاطبان واکنش به حادثه خود را پر کنید. یک WISP که هنوز متن پیش‌فرض در آن است، بدتر از نبود WISP است — این مدرکی مستند است که نشان می‌دهد شما ارزیابی ریسک را انجام نداده‌اید.
  • از بخش‌های ضمیمه صرف‌نظر نکنید. ضمیمه طبقه‌بندی داده‌ها، موجودی دارایی‌ها و لیست فروشندگان در این قالب، بخش‌هایی هستند که WISP را قابل دفاع می‌کنند. واکنش به نقضی که با «ما دقیقاً نمی‌دانیم کدام مشتریان تحت تأثیر قرار گرفته‌اند» شروع شود، به دلیل عدم وجود موجودی دارایی‌ها، بدترین نقطه شروع ممکن است.

نشریه همراه، نشریه ۴۵۵۷ سازمان IRS — محافظت از داده‌های مودیان مالیاتی، یک راهنمای آموزشی طولانی‌تر است که چشم‌انداز وسیع‌تری را پوشش می‌دهد: قوانین فدرال و ایالتی اطلاع‌رسانی نقض داده‌ها، الگوهای حمله رایج علیه متخصصان مالیاتی، گردش کار گزارش‌دهی به IRS در صورت لو رفتن EFIN یک تنظیم‌کننده، و لیستی از منابع فنی رایگان یا کم‌هزینه. آن را یک بار بخوانید، علامت‌گذاری کنید و هنگام جذب کارکنان جدید دوباره به آن مراجعه کنید.

پیاده‌سازی در دنیای واقعی: یک نقشه راه ۹۰ روزه برای یک موسسه کوچک

راه‌اندازی یک WISP (طرح مکتوب امنیت اطلاعات) از ابتدا دلهره‌آور است، عمدتاً به این دلیل که مقررات، یک برنامه امنیتی سازمانی را با زبانی توصیف می‌کنند که به وضوح برای یک موسسه حسابداری رسمی (CPA) شش نفره قابل درک نیست. در اینجا توالی مراحلی آورده شده است که واقعاً با ساختار یک کسب‌وکار کوچک همخوانی دارد.

روزهای ۱ تا ۱۴ — موجودی‌برداری و تعیین مسئول. «شخص واجد شرایط» (Qualified Individual) را به صورت مکتوب تعیین کنید. سیاهه دارایی‌ها را تهیه کنید: هر دستگاهی که با داده‌های مشتری در تماس است، هر اپلیکیشن ابری، هر محل فایل‌های کاغذی و هر ارائه‌دهنده خدمات. این موجودی، کلیدی‌ترین سند در WISP است؛ ارزیابی ریسک، تصمیمات رمزنگاری، نظارت بر فروشندگان و پاسخ به حوادث همگی به آن ارجاع می‌دهند.

روزهای ۱۵ تا ۳۰ — ارزیابی ریسک. موجودی را مرور کرده و تهدیدات قابل پیش‌بینی را شناسایی کنید. فیشینگ علیه کارکنان. لپ‌تاپ گم‌شده با فایل‌های همگام‌سازی شده مشتری. باج‌افزاری که مخزن اسناد را رمزنگاری می‌کند. نقض امنیتی در زیرساخت فروشنده که آپلودهای مشتری را فاش می‌کند. به هر کدام امتیاز دهید، اقدامات حفاظتی فعلی را یادداشت کنید و شکاف‌ها را علامت‌گذاری کنید.

روزهای ۳۱ تا ۶۰ — اجرای کنترل‌ها. شکاف‌ها را پر کنید. فعال‌سازی احراز هویت چندعاملی (MFA) در تمام سیستم‌هایی که با داده‌های مشتری در تماس هستند، از جمله نرم‌افزارهای مالیاتی، ایمیل، فضای ذخیره‌سازی ابری، امضای اسناد و پلتفرم‌های دفترداری. رمزنگاری کامل دیسک (Full-disk encryption) در تمام ایستگاه‌های کاری و لپ‌تاپ‌ها. رویه‌های دفع ایمن برای کاغذها، هارد دیسک‌ها و پوشه‌های مشتریان سابق. به‌روزرسانی قراردادهای فروشندگان برای گنجاندن تعهدات امنیتی. راه‌اندازی آموزش کارکنان همراه با گزارش پیگیری تکمیل دوره.

روزهای ۶۱ تا ۸۰ — نگارش طرح. نشریه ۵۷۰۸ را باز کنید و هر بخش را بر اساس موجودی، ارزیابی ریسک و کنترل‌هایی که اکنون پیاده‌سازی کرده‌اید، پر کنید. طرح پاسخ به حوادث را با مخاطبان مشخص، گردش کار گزارش‌دهی به FTC و رابط ذینفعان IRS برای منطقه خود بنویسید. جدول زمانی بررسی سالانه را مستند کنید.

روزهای ۸۱ تا ۹۰ — آزمایش، آموزش، گزارش. یک تمرین رومیزی (tabletop exercise) برای طرح پاسخ به حوادث اجرا کنید. یک اسکن آسیب‌پذیری از یک ارائه‌دهنده معتبر دریافت کنید. جلسه آموزشی رسمی کارکنان را برگزار کرده و لیست حضور و غیاب را ثبت کنید. اولین گزارش سالانه «شخص واجد شرایط» را بنویسید، امضا کنید و بایگانی کنید.

در پایان ۹۰ روز، شما یک WISP قابل دفاع دارید. این یک پروژه یک‌باره نیست؛ بلکه شروع یک چرخه سالانه است که هر سال برنامه را یک گام به جلو می‌برد.

جایی که اکثر موسسات کوچک هنوز در آن کوتاهی می‌کنند

پس از مشاهده صدها کسب‌وکار کوچک که اولین چرخه WISP خود را سپری کرده‌اند، شکاف‌های مشابهی مکرراً مشاهده می‌شود.

  • برخورد با WISP به عنوان یک سند Word به جای یک روال عملیاتی. طرحی که در کشو بایگانی شده باشد، یک برنامه نیست. اثبات انطباق (Compliance) در گزارش‌های آموزشی، بررسی‌های فروشندگان، گزارش‌های اسکن آسیب‌پذیری و گزارش‌های سالانه هیئت مدیره نهفته است، نه در خودِ سند طرح.
  • اشتباه گرفتن محرمانگی مشتری با امنیت داده‌ها. بند محرمانگی در قرارداد خدمات، یک تعهد قراردادی است. «قانون حفاظتی FTC» یک الزام رگولاتوری با الزامات کنترلی فنی، اداری و فیزیکی است. این‌ها همپوشانی دارند اما یکی نیستند.
  • نادیده گرفتن دستگاه‌های شخصی. اگر شریک شرکت ایمیل‌های مشتری را روی گوشی شخصی چک می‌کند، آن گوشی در محدوده WISP قرار می‌گیرد. ارزیابی ریسک باید به آن بپردازد، MFA باید روی آن اجباری شود و طرح پاسخ به حوادث باید آن را در نظر بگیرد.
  • چشم‌پوشی از بررسی ارائه‌دهندگان خدمات. فروشنده‌ای که دچار نقض امنیتی شود و مشتریان شما را تحت تأثیر قرار دهد، اگر نتوانید نظارت مناسب خود را اثبات کنید، باز هم مسئولیت اطلاع‌رسانی به FTC را بر عهده شما می‌گذارد. بررسی سالانه گزارش SOC 2 یک ساعت زمان می‌برد و ممکن است موسسه را نجات دهد.
  • بایگانی کردن گردش کار گزارش نقض تحت عنوان «اگر اتفاق افتاد فکری به حالش می‌کنیم». مهلت ۳۰ روزه FTC از زمان کشف حادثه شروع می‌شود، نه از تاریخی که شما تصمیم می‌گیرید آن را واقعی تلقی کنید. قرار دادن پیشاپیش فرم گزارش‌دهی، لیست تماس برای اطلاع‌رسانی ایالتی و شماره بیمه سایبری در WISP، تفاوت بین یک حادثه کنترل‌شده و یک فاجعه نظارتی است.

ارتباط دفترداری خوب با این موضوع

WISP در اصل داستانی درباره سوابق است — چه چیزی دارید، کجا نگهداری می‌شود، چه کسی می‌تواند به آن دسترسی داشته باشد و وقتی مشکلی پیش می‌آید چه می‌کنید. موسساتی که بیشترین مشکل را با «قانون حفاظتی» دارند، همان‌هایی هستند که با دفاتر مالی خود نیز مشکل دارند: سوابق پراکنده در سیستم‌های غیرمرتبط، بدون تاریخچه نسخه‌ها و بدون ردپای حسابرسی برای اینکه چه کسی، چه چیزی را در چه زمانی تغییر داده است.

این ارتباط تصادفی نیست. یک سیستم دفترداری که بر پایه حسابداری متن‌ساده (Plain-text) و کنترل نسخه بنا شده است، همان ابزارهای اولیه‌ای را به شما می‌دهد که یک برنامه امنیتی معتبر به آن نیاز دارد: منبع واحد حقیقت (Single source of truth)، تاریخچه‌ای که دستکاری در آن آشکار می‌شود، توانایی بازسازی دقیق وضعیت جهان در هر تاریخ معین و امکان اعطای یا لغو دسترسی بدون از دست دادن ردپاها. وقتی FTC می‌پرسد در تاریخ حادثه چه داده‌هایی از مشتری را در اختیار داشتید، عبارت «اجازه دهید دفتر کل را در آن برچسب زمانی استعلام کنم» بسیار برتر از «اجازه دهید بررسی کنم آیا آن بک‌آپ هنوز سالم است یا خیر» عمل می‌کند.

سوابق مالی موسسه خود را به اندازه WISP خود دفاع‌پذیر نگه دارید

یک طرح مکتوب امنیت اطلاعات (WISP) تنها به اندازه سوابقی که از آن‌ها محافظت می‌کند خوب است. اگر دفاتر مالی خودتان در سیستم‌های مبهم و بدون تاریخچه نسخه نگهداری می‌شوند، شما از قبل ردپای حسابرسی (Audit trail) مورد انتظار «قانون حفاظتی FTC»، بیمه‌گر مسئولیت حرفه‌ای و مشتریانتان را از دست داده‌اید. Beancount.io حسابداری متن‌ساده و مبتنی بر نسخه Git را ارائه می‌دهد که به موسسات حسابداری شفافیت کامل بر داده‌های مالی خودشان را می‌دهد — هر تراکنش، هر طبقه‌بندی مجدد و هر مغایرت‌گیری در یک تاریخچه غیرقابل دستکاری که واقعاً در کنترل شماست ثبت می‌شود. به صورت رایگان شروع کنید و موسسه خود را با همان استانداردهای مستندی اداره کنید که به مشتریان خود مدیون هستید.