Beancount.io LogoBeancount.io

Conformidade WISP: Por que todo profissional tributário precisa de um Plano de Segurança da Informação por Escrito em 2026

15 min para lerMike ThriftMike Thrift
Conformidade WISP: Por que todo profissional tributário precisa de um Plano de Segurança da Informação por Escrito em 2026

Aqui está um fato desconfortável: se você preparou sequer uma única declaração de imposto para um cliente pagante na última temporada e não tem um Plano de Segurança da Informação por Escrito (WISP) arquivado, você está tecnicamente operando fora da lei federal. A Federal Trade Commission (FTC) pode multá-lo em até US$ 46.517 por violação por dia. O IRS pode revogar seu PTIN. E sua seguradora de responsabilidade profissional pode negar uma reivindicação após uma violação ao apontar para o documento ausente.

A maioria dos preparadores de impostos e guarda-livros já ouviu o acrônimo "WISP", mas o trata como um problema de outra pessoa — o tipo de coisa com que as grandes empresas com diretores de conformidade se preocupam. Essa suposição está cerca de cinco anos defasada. A Regra de Salvaguardas da FTC alterada, totalmente em vigor desde junho de 2023, arrastou preparadores individuais, pequenas práticas de CPA e escritórios de contabilidade diretamente para o mesmo regime regulatório que rege os bancos comunitários. Todo preparador de impostos pago que solicita ou renova um PTIN deve agora atestar, no Formulário W-12 Linha 11, que compreende suas obrigações de segurança de dados.

Este guia aborda o que é realmente um WISP, os nove elementos que a FTC e o IRS esperam ver, os controles técnicos que passaram de "melhor prática" para "obrigatórios" e como construir um plano que resista a uma auditoria real em vez de apenas parecer bonito em uma pasta.

As duas leis que o trouxeram até aqui

Duas vias regulatórias sobrepostas convergem para o mesmo resultado: você precisa de um plano por escrito.

Gramm-Leach-Bliley Act (GLBA) e a Regra de Salvaguardas da FTC. O Congresso aprovou a GLBA em 1999 para governar como as instituições financeiras lidam com as informações dos clientes. O regulamento de implementação da FTC — a Regra de Salvaguardas (16 CFR Part 314) — define "instituição financeira" de forma ampla o suficiente para abranger qualquer empresa "significativamente engajada" em atividades financeiras. A FTC sustenta há muito tempo que a preparação de impostos, a guarda de livros e serviços semelhantes se qualificam. A Regra foi substancialmente alterada em dezembro de 2021, e os novos requisitos técnicos (MFA, criptografia, indivíduo qualificado, programa por escrito) entraram em vigor total em 9 de junho de 2023.

Publicação 4557 do IRS e o atestado do PTIN. A Seção 7216 e a Seção 6713 do Código de Receita Federal já impunham penalidades pela divulgação não autorizada de informações de declaração de imposto. O IRS adicionou a Publicação 4557 ("Protegendo os Dados dos Contribuintes") e a Publicação 5708 ("Criando um Plano de Segurança da Informação por Escrito para sua Prática de Impostos e Contabilidade") como o roteiro prático. O ciclo de renovação do PTIN de 2024 adicionou uma caixa de seleção obrigatória: os preparadores de impostos devem reconhecer sua conformidade com o WISP no Formulário W-12 Linha 11. Mentir nessa linha é um problema por si só.

O efeito líquido: uma pequena empresa de impostos individual em um centro comercial é mantida no mesmo padrão que uma firma regional de CPA. A Regra escala os controles conforme seu tamanho e complexidade, mas a obrigação de ter um plano por escrito é binária — ou você tem ou não tem.

Quem realmente precisa ter um

Você precisa de um WISP se você:

  • Prepara qualquer declaração de imposto federal mediante remuneração (incluindo trabalhos paralelos ocasionais para um cliente pagante)
  • Possui um PTIN, EFIN ou é um Provedor Autorizado de e-File do IRS
  • Fornece serviços de guarda-livros, folha de pagamento ou contabilidade que envolvam informações financeiras de clientes
  • Opera como um CFO virtual, controller fracionado ou contador terceirizado
  • Administra um Consultor de Investimentos Registrado (RIA), corretor de hipotecas, serviço de desconto de cheques ou outra entidade coberta pela GLBA

O volume não importa. A Regra não lhe dá passe livre por preparar menos de X declarações ou ganhar menos de Y em honorários. Um Agente Inscrito (Enrolled Agent) individual que prepara vinte declarações por ano é coberto da mesma forma que uma empresa de 200 pessoas — ambos devem ter um plano por escrito, atual e assinado.

Existe uma isenção restrita na Regra de Salvaguardas para instituições que mantêm informações de menos de 5.000 consumidores, o que flexibiliza alguns requisitos de documentação (avaliação de risco por escrito, plano de resposta a incidentes, relatório anual ao conselho). Mas a obrigação central — designar um indivíduo qualificado, implementar salvaguardas e ter um programa por escrito — aplica-se independentemente do tamanho.

Os nove elementos que seu WISP deve abordar

A Regra de Salvaguardas alterada especifica nove componentes obrigatórios. Seu WISP não precisa usar exatamente esses títulos, mas cada um deles deve ser abordado em algum lugar do documento. O modelo da Publicação 5708 do IRS segue a mesma estrutura.

1. Designar um Indivíduo Qualificado

Você deve nomear formalmente uma pessoa responsável por supervisionar o programa de segurança da informação. Para um preparador individual, esse é você. Para uma empresa, geralmente é o sócio-gerente, um líder de TI ou — cada vez mais — um vCISO terceirizado. O indivíduo qualificado não precisa ser um especialista em segurança, mas precisa de autoridade para tomar decisões e reportar aos proprietários ou ao conselho.

Documente a nomeação por escrito. Inclua a data de início, o escopo da autoridade e a linha de subordinação.

2. Realizar uma Avaliação de Risco por Escrito

Identifique quais informações de clientes você coleta, onde elas são armazenadas, quem pode acessá-las e o que poderia dar errado. A avaliação deve ser por escrito e atualizada periodicamente — pelo menos anualmente e sempre que seu ambiente mudar materialmente (novo software, nova equipe, novo escritório, violação de dados).

Cobertura mínima:

  • Inventário de dados: números de Seguro Social, datas de nascimento, números de contas financeiras, cópias de formulários W-2 e 1099, extratos bancários, declarações de anos anteriores, dados de EIN, K-1s
  • Locais de armazenamento: bancos de dados de softwares fiscais, backups na nuvem, anexos de e-mail, portais de clientes, arquivos em papel, dispositivos móveis, unidades USB
  • Cenários de ameaça: phishing, ransomware, notebook perdido, funcionário mal-intencionado, violação de fornecedor, invasão física
  • Probabilidade e impacto: classifique cada cenário para que suas salvaguardas sejam proporcionais

3. Projetar e Implementar Salvaguardas

Esta é a essência do WISP (Plano Escrito de Segurança da Informação). A Regra exige controles técnicos e administrativos específicos, vários dos quais não são mais opcionais:

  • Controles de acesso: limite o acesso aos dados dos clientes com base na necessidade de conhecimento; remova o acesso imediatamente quando um funcionário sair
  • Criptografia em repouso e em trânsito: AES-256 (ou equivalente) em todos os dispositivos, discos rígidos, backups e mídias removíveis; TLS 1.2 ou superior para dados em movimento; criptografia de disco total em cada notebook e estação de trabalho
  • Autenticação multifator (MFA): obrigatória para qualquer pessoa que acesse informações de clientes de qualquer sistema — software fiscal, portais de e-file, armazenamento na nuvem, e-mail, ferramentas de acesso remoto. O MFA apenas por SMS está sendo descontinuado; use aplicativos autenticadores ou chaves de hardware sempre que possível
  • Desenvolvimento e configuração seguros: se você constrói ou personaliza software, aplique padrões de codificação segura; instale patches nos sistemas em uma cadência definida
  • Inventário e descarte: rastreie dispositivos e descarte as mídias de forma segura (trituradas ou apagadas conforme os padrões NIST 800-88)
  • Gestão de mudanças: documente e aprove mudanças nos sistemas que lidam com dados de clientes

4. Monitorar e Testar as Salvaguardas Regularmente

Você deve verificar se os controles realmente funcionam. A Regra oferece dois caminhos aceitáveis:

  • Monitoramento contínuo: ferramentas como SIEM, EDR ou serviços de detecção e resposta gerenciados que registram e alertam sobre atividades suspeitas
  • Teste de intrusão anual mais avaliações de vulnerabilidade semestrais: testes tradicionais de terceiros se você não tiver monitoramento contínuo implementado

Para um preparador individual, o "monitoramento contínuo" pode significar um produto de proteção de endpoint devidamente configurado que alerta sobre anomalias. Para uma empresa maior, espere contratar um serviço de teste externo.

5. Treinar sua Equipe

O treinamento anual de conscientização em segurança é obrigatório para todo o pessoal com acesso aos dados dos clientes — incluindo contratados e preparadores sazonais. Os tópicos devem incluir reconhecimento de phishing, higiene de senhas, segurança de dispositivos, engenharia social e relato de incidentes.

Mantenha registros de presença. "Eu avisei em uma reunião de equipe" não conta.

6. Supervisionar Prestadores de Serviços

Todo fornecedor com acesso aos dados dos clientes — software fiscal, armazenamento na nuvem, gestão de documentos, suporte de TI, provedores de folha de pagamento, ferramentas de assinatura eletrônica, até mesmo sua empresa de trituração — deve ser:

  • Selecionado com a devida diligência (due diligence) sobre suas práticas de segurança
  • Vinculado por um contrato por escrito que exija salvaguardas apropriadas
  • Reavaliado periodicamente (normalmente anualmente)

Peça aos fornecedores um relatório SOC 2 Tipo II ou equivalente. O contrato deve incluir uma cláusula de notificação de violação com um cronograma definido — a maioria das empresas exige notificação em até 72 horas após a descoberta.

7. Manter o Programa Atualizado

Reavalie e ajuste o WISP sempre que o cenário de ameaças mudar ou suas operações sofrerem alterações. Novo escritório? Novo software? Adquiriu um pequeno escritório de contabilidade? Atualize o plano.

8. Estabelecer um Plano de Resposta a Incidentes por Escrito

O plano deve cobrir:

  • Escalonamento interno: quem fica sabendo sobre o incidente, em que ordem
  • Contenção e remediação: quem interrompe o problema
  • Notificação externa: clientes, procuradores-gerais estaduais, a FTC e o IRS
  • Documentação: preservar logs, evidências e uma linha do tempo
  • Lições aprendidas: pós-morte com ações corretivas documentadas

O IRS espera que os preparadores de impostos relatem o roubo de dados em até 24 horas após a descoberta através do Stakeholder Liaison do IRS e da Federation of Tax Administrators. Sob as emendas da Safeguards Rule em vigor desde 13 de maio de 2024, você também deve notificar a FTC sobre qualquer evento de segurança que afete 500 ou mais consumidores em no máximo 30 dias após a descoberta — essa notificação é pública.

9. Relatar ao Conselho (ou Proprietários)

O indivíduo qualificado deve enviar pelo menos um relatório anual por escrito ao conselho de administração ou, para empresas menores, ao executivo sênior responsável. O relatório cobre o estado geral do programa, resultados da avaliação de risco, eventos significativos durante o ano e quaisquer mudanças recomendadas.

Preparador individual? Você escreve para si mesmo, assina e coloca no arquivo. Sim, sério.

Registros Contábeis: O Anexo de Conformidade Esquecido

Se um regulador ou auditor aparecer, a primeira coisa que pedirão é documentação. Seu WISP diz que você treinou a equipe em março, pagou um fornecedor externo de pen-test em julho, substituiu uma estação de trabalho em setembro e renovou seu seguro cibernético em novembro — e você precisa de recibos, faturas e lançamentos contábeis para comprovar cada uma dessas afirmações. Escritórios que tratam os gastos com segurança como uma linha de despesas diversas em uma fatura de cartão de crédito acabam se complicando.

Configure uma segregação clara no plano de contas para despesas relacionadas à segurança (treinamento, software, auditorias, seguros, hardware) para que você possa gerar um relatório limpo de comparação anual sob demanda. Os mesmos registros em texto simples que satisfazem seu contador na época dos impostos tornam-se seu arquivo de evidências quando a FTC perguntar como você operacionalizou seu plano.

Os Controles Técnicos que Mais Causam Problemas

Dois requisitos representam a maioria das falhas de WISP na prática.

Autenticação de múltiplos fatores (MFA), em todos os lugares. A Regra não permite MFA apenas "onde for conveniente". Ela se aplica a qualquer pessoa que acesse informações de clientes de qualquer sistema. Isso inclui seu software de impostos, seu portal de declaração eletrônica (e-file), portal do cliente, e-mail (que carrega anexos contendo dados fiscais), armazenamento em nuvem, software de contabilidade e quaisquer ferramentas de acesso remoto. O IRS favorece fortemente aplicativos de autenticação ou tokens de hardware em vez de SMS, que é vulnerável a ataques de troca de SIM (SIM-swap).

Uma verificação rápida: saia de cada aplicativo de negócios que você usa. Tente entrar novamente. Se qualquer um deles exigir apenas uma senha, você tem uma irregularidade.

Criptografia de dados em repouso. A criptografia de disco completo é exigida em todos os dispositivos que armazenam informações de clientes — incluindo o laptop pessoal que seu preparador temporário traz para o escritório em casa. O BitLocker no Windows Pro e o FileVault no macOS atendem ao requisito quando configurados corretamente. Criptografe backups, unidades USB e qualquer mídia portátil. Criptografe e-mails quando eles contiverem dados de clientes (um portal do cliente geralmente é uma solução melhor do que o e-mail criptografado).

O outro controle comumente esquecido é a supervisão de fornecedores. Muitas empresas possuem um relatório SOC 2 de seu fornecedor de software de impostos, mas nenhum contrato ou avaliação para a ferramenta de armazenamento em nuvem específica que contrataram no ano passado, o plug-in de assinatura eletrônica que testaram ou o prestador de serviços de TI que possui credenciais de administrador. Crie um inventário de fornecedores e atualize-o anualmente.

O Que Acontece Quando Você Comete Erros

As penalidades não são teóricas:

  • Penalidades civis da FTC de até US$ 46.517 por violação, por dia, sob a Regra de Salvaguardas alterada
  • Penalidades por falha de notificação que atingiram US$ 500.000 em ações publicadas
  • Suspensão ou revogação do PTIN pelo IRS, o que efetivamente encerra sua capacidade de preparar declarações
  • Ações dos procuradores-gerais estaduais sob as leis estaduais de notificação de violação (que existem em todos os 50 estados dos EUA)
  • Litígios privados de clientes afetados, com danos previstos em lei em alguns estados
  • Negativas de seguro quando uma apólice de erro profissional ou cibernética exclui sinistros decorrentes de não conformidade
  • Danos à reputação, que para uma prática tributária geralmente significa perder uma parcela significativa da carteira de clientes em doze meses

O IRS tem sido explícito ao afirmar que a ausência de um WISP é tratada como evidência de uma falha de conformidade mais ampla, e não como um problema de papelada.

Um Roteiro Realista para um WISP Defensável

Sair do zero para um plano defensável é um projeto de quatro a seis semanas para um preparador individual e um esforço de vários meses para uma empresa maior. Uma sequência realista:

Semana 1: Inventário. Liste cada sistema que toca dados de clientes, cada funcionário ou contratado com acesso, cada fornecedor na cadeia de dados e cada dispositivo que você possui. Este é o seu material bruto.

Semana 2: Avaliação de risco. Analise ameaças plausíveis contra o inventário. Pontue cada cenário. Identifique suas cinco principais exposições.

Semana 3: Análise de lacunas. Compare seus controles atuais com os nove elementos exigidos. Observe cada lacuna. As maiores lacunas para pequenas empresas são tipicamente a cobertura de MFA, contratos de fornecedores e procedimentos de resposta a incidentes.

Semana 4: Remediação. Ative o MFA em todos os lugares. Implemente a criptografia de disco completo em todos os dispositivos. Assine acordos por escrito com os principais fornecedores. Agende treinamentos. Documente tudo.

Semana 5: Escreva o WISP. Use o modelo da Publicação 5708 do IRS como ponto de partida e personalize-o rigorosamente — um plano copiado e colado é pior do que nenhum plano, pois demonstra má-fé. Peça para o indivíduo qualificado assiná-lo.

Semana 6 (e anualmente): Testar, treinar, relatar. Realize um exercício simulado sobre seu plano de resposta a incidentes. Conduza o treinamento anual. Gere o relatório anual para os proprietários. Agende a próxima revisão.

Defina lembretes no calendário para o ciclo anual. A falha de conformidade mais comum não é o WISP inicial — é a empresa que escreveu um em 2023 e nunca mais o tocou.

Algumas Equívocos Comuns

"Meu software de impostos é certificado SOC 2, então estou coberto." Não. A conformidade do provedor de software cobre o ambiente deles, não o seu. Você ainda precisa de um WISP para tudo o que faz fora da plataforma deles — e-mail, arquivos locais, rede do seu escritório.

"Eu trabalho de casa, então as regras são diferentes." Não são. Uma prática baseada em casa tem as mesmas obrigações de WISP que uma baseada em escritório. Na verdade, os controles são mais difíceis porque a linha entre os sistemas pessoais e comerciais se torna tênue.

"Eu terceirizo a contabilidade para uma equipe no exterior, então eles cuidam da segurança." Eles são seus fornecedores sob a Regra. Você é responsável por avaliá-los, contratar com eles e supervisionar seus controles.

"Eu tenho seguro cibernético, então estou protegido." A maioria das apólices cibernéticas agora exige um WISP como condição de cobertura. Ler as letras miúdas após uma violação é um péssimo momento para descobrir isso.

Mantenha suas Finanças Organizadas desde o Primeiro Dia

Um WISP defensável é construído sobre documentação — e o mesmo vale para um conjunto de livros contábeis defensável. Esteja você rastreando assinaturas de software de segurança, faturas de treinamento e taxas de auditoria que provam que seu programa de conformidade é real, ou simplesmente mantendo os registros contábeis que seus próprios clientes confiam que você gerencie, a contabilidade em texto simples oferece algo que os softwares de "caixa preta" não podem: transparência total, controle de versão e uma trilha de auditoria que você realmente possui. O Beancount.io oferece contabilidade em texto simples que é transparente, controlada por versão e pronta para IA — sem aprisionamento tecnológico (vendor lock-in), sem exportações opacas. Comece gratuitamente e veja por que desenvolvedores e profissionais de finanças estão mudando para a contabilidade em texto simples.