Beancount.io LogoBeancount.io

Súlad s WISP: Prečo každý daňový odborník potrebuje písomný plán informačnej bezpečnosti v roku 2026

13 minúty čítaniaMike ThriftMike Thrift
Súlad s WISP: Prečo každý daňový odborník potrebuje písomný plán informačnej bezpečnosti v roku 2026

Tu je nepohodlný fakt: ak ste v minulej sezóne pripravili hoci len jedno daňové priznanie pre platiaceho klienta a nemáte v evidencii písomný plán informačnej bezpečnosti (Written Information Security Plan – WISP), technicky fungujete mimo federálneho zákona. Federálna obchodná komisia (FTC) vám môže udeliť pokutu až do výšky 46 517 USD za každé porušenie denne. IRS vám môže odobrať váš PTIN. A váš poisťovateľ poistenia zodpovednosti za škodu môže po úniku údajov zamietnuť nárok poukázaním na chýbajúci dokument.

Väčšina spracovateľov daní a účtovníkov už počula skratku „WISP“, ale pristupuje k nej ako k problému niekoho iného – k veci, o ktorú sa starajú veľké firmy s pracovníkmi pre dodržiavanie predpisov. Tento predpoklad je približne päť rokov neaktuálny. Novelizované pravidlo FTC Safeguards Rule, ktoré je plne účinné od júna 2023, vtiahlo samostatných spracovateľov, malé praxe CPA a účtovné firmy priamo do rovnakého regulačného režimu, ktorý riadi komunitné banky. Každý platený spracovateľ daní, ktorý žiada o PTIN alebo ho obnovuje, musí teraz na formulári W-12, riadok 11, potvrdiť, že rozumie svojim povinnostiam v oblasti bezpečnosti údajov.

Táto príručka prechádza tým, čo WISP v skutočnosti je, deviatimi prvkami, ktoré FTC a IRS očakávajú, technickými kontrolami, ktoré sa presunuli z kategórie „osvedčených postupov“ do kategórie „povinných“, a tým, ako vytvoriť plán, ktorý obstojí pri skutočnom audite namiesto toho, aby len pekne vyzeral v zakladači.

Dva zákony, ktoré vás sem dostali

Dve prekrývajúce sa regulačné cesty smerujú k rovnakému výsledku: potrebujete písomný plán.

Zákon Gramm-Leach-Bliley (GLBA) a pravidlo FTC Safeguards Rule. Kongres schválil GLBA v roku 1999, aby upravil, ako finančné inštitúcie narábajú s informáciami o zákazníkoch. Implementačný predpis FTC — Safeguards Rule (16 CFR časť 314) — definuje „finančnú inštitúciu“ dostatočne široko na to, aby zahŕňala akýkoľvek podnik „významne zapojený“ do finančných činností. FTC dlhodobo zastáva názor, že príprava daní, účtovníctvo a podobné služby spĺňajú tieto podmienky. Pravidlo bolo podstatne zmenené v decembri 2021 a nové technické požiadavky (MFA, šifrovanie, kvalifikovaná osoba, písomný program) nadobudli plnú účinnosť 9. júna 2023.

Publikácia IRS 4557 a potvrdenie PTIN. Oddiel 7216 a oddiel 6713 zákona o vnútorných príjmoch (Internal Revenue Code) už predtým ukladali sankcie za neoprávnené zverejnenie informácií z daňových priznaní. IRS pridala publikáciu 4557 („Zabezpečenie údajov daňovníkov“) a publikáciu 5708 („Vytvorenie písomného plánu informačnej bezpečnosti pre vašu daňovú a účtovnú prax“) ako praktický návod. Cyklus obnovy PTIN na rok 2024 pridal povinné zaškrtávacie políčko: spracovatelia daní musia potvrdiť súlad s WISP na formulári W-12, riadok 11. Klamstvo v tomto riadku predstavuje samostatný problém.

Čistý efekt: na malú prevádzku spracovania daní pre jednu osobu v nákupnom centre sa vzťahujú rovnaké základné požiadavky ako na regionálnu firmu CPA. Pravidlo prispôsobuje kontroly vašej veľkosti a zložitosti, ale povinnosť mať písomný plán je binárna – buď ho máte, alebo nie.

Kto ho v skutočnosti musí mať

WISP potrebujete, ak:

  • Pripravujete akékoľvek federálne daňové priznanie za odmenu (vrátane príležitostnej vedľajšej práce pre platiaceho klienta)
  • Ste držiteľom PTIN, EFIN alebo ste autorizovaným poskytovateľom IRS e-File
  • Poskytujete účtovné, mzdové alebo finančné služby, ktoré zahŕňajú finančné informácie o zákazníkoch
  • Pôsobíte ako virtuálny CFO, externý kontrolór alebo outsourcovaný účtovník
  • Prevádzkujete registrovaného investičného poradcu (RIA), hypotekárneho makléra, zmenáreň šekov alebo iný subjekt podliehajúci GLBA

Na objeme nezáleží. Pravidlo vám neudeľuje výnimku za spracovanie menej ako X priznaní alebo zárobok menej ako Y na poplatkoch. Samostatný zapísaný agent pripravujúci dvadsať priznaní ročne je krytý identicky ako firma s 200 zamestnancami – obaja musia mať písomný, aktuálny a podpísaný plán.

V pravidle Safeguards Rule existuje úzka výnimka pre inštitúcie, ktoré uchovávajú informácie o zákazníkoch pre menej ako 5 000 spotrebiteľov, čo zmierňuje niekoľko požiadaviek na dokumentáciu (písomné posúdenie rizík, plán reakcie na incidenty, výročná správa predstavenstvu). Základná povinnosť – určenie kvalifikovanej osoby, implementácia bezpečnostných opatrení a existencia písomného programu – však platí bez ohľadu na veľkosť.

Deväť prvkov, ktoré musí váš WISP obsahovať

Zmenené pravidlo Safeguards Rule špecifikuje deväť povinných zložiek. Váš WISP nemusí používať presne tieto nadpisy, ale každá z nich musí byť v dokumente niekde spracovaná. Šablóna v publikácii IRS 5708 sleduje rovnakú štruktúru.

1. Určenie kvalifikovanej osoby

Musíte formálne vymenovať jednu osobu zodpovednú za dohľad nad programom informačnej bezpečnosti. Pre samostatného spracovateľa ste to vy. Pre firmu je to zvyčajne riadiaci partner, vedúci IT alebo – čoraz častejšie – externý vCISO. Kvalifikovaná osoba nemusí byť expertom na bezpečnosť, ale musí mať právomoc prijímať rozhodnutia a podávať správy majiteľom alebo predstavenstvu.

Menovanie zdokumentujte písomne. Uveďte dátum začiatku, rozsah právomocí a líniu podávania správ.

2. Vypracujte písomné posúdenie rizík

Identifikujte, aké informácie o zákazníkoch zhromažďujete, kde sú uložené, kto k nim má prístup a čo by sa mohlo pokaziť. Posúdenie musí byť písomné a pravidelne aktualizované — aspoň raz ročne a vždy, keď sa vaše prostredie podstatne zmení (nový softvér, noví zamestnanci, nová kancelária, porušenie bezpečnosti).

Minimálny rozsah:

  • Inventár údajov: čísla sociálneho zabezpečenia, dátumy narodenia, čísla finančných účtov, kópie formulárov W-2 a 1099, bankové výpisy, daňové priznania za predchádzajúci rok, údaje EIN, formuláre K-1
  • Miesta uloženia: databázy daňového softvéru, cloudové zálohy, e-mailové prílohy, klientske portály, papierové spisy, mobilné zariadenia, USB kľúče
  • Scenáre hrozieb: phishing, ransomware, stratený notebook, nečestný zamestnanec, narušenie bezpečnosti u dodávateľa, fyzické vlámanie
  • Pravdepodobnosť a dopad: zoradte každý scenár tak, aby vaše ochranné opatrenia mohli byť primerané

3. Navrhnite a implementujte ochranné opatrenia

Toto je jadro WISP (písomného plánu informačnej bezpečnosti). Pravidlo vyžaduje špecifické technické a administratívne kontroly, z ktorých viaceré už nie sú voliteľné:

  • Kontrola prístupu: obmedzte prístup k údajom zákazníkov len na osoby, ktoré ich nevyhnutne potrebujú (princíp „need-to-know“); okamžite odoberte prístup, keď zamestnanec odíde
  • Šifrovanie uložených údajov a údajov pri prenose: AES-256 (alebo ekvivalent) na všetkých zariadeniach, pevných diskoch, zálohách a vymeniteľných médiách; TLS 1.2 alebo vyšší pre dáta v pohybe; úplné šifrovanie disku na každom notebooku a pracovnej stanici
  • Viacfaktorová autentifikácia (MFA): vyžaduje sa pre každého, kto pristupuje k informáciám o zákazníkoch z akéhokoľvek systému — daňový softvér, portály na elektronické podávanie (e-file), cloudové úložiská, e-maily, nástroje na vzdialený prístup. MFA iba cez SMS sa postupne vyraďuje; ak je to možné, používajte autentifikačné aplikácie alebo hardvérové kľúče
  • Bezpečný vývoj a konfigurácia: ak vytvárate alebo prispôsobujete softvér, aplikujte štandardy bezpečného kódovania; aktualizujte systémy v definovaných intervaloch
  • Inventarizácia a likvidácia: sledujte zariadenia a bezpečne likvidujte médiá (skartovaním alebo vymazaním podľa štandardov NIST 800-88)
  • Riadenie zmien: dokumentujte a schvaľujte zmeny v systémoch, ktoré narábajú s údajmi zákazníkov

4. Pravidelne monitorujte a testujte ochranné opatrenia

Musíte overiť, či kontroly skutočne fungujú. Pravidlo ponúka dve prijateľné cesty:

  • Nepretržité monitorovanie: nástroje ako SIEM, EDR alebo riadené služby detekcie a odozvy (managed detection-and-response), ktoré zaznamenávajú a upozorňujú na podozrivú aktivitu
  • Ročné penetračné testovanie plus polročné posúdenie zraniteľností: tradičné testovanie treťou stranou, ak nemáte zavedené nepretržité monitorovanie

Pre samostatného spracovateľa môže „nepretržité monitorovanie“ znamenať správne nakonfigurovaný produkt na ochranu koncových bodov, ktorý upozorňuje na anomálie. Pri väčšej firme počítajte s využitím externej testovacej služby.

5. Školte svojich zamestnancov

Ročné školenie o bezpečnostnom povedomí je povinné pre všetkých pracovníkov s prístupom k údajom zákazníkov — vrátane dodávateľov a sezónnych pracovníkov. Témy musia zahŕňať rozpoznávanie phishingu, hygienu hesiel, bezpečnosť zariadení, sociálne inžinierstvo a hlásenie incidentov.

Veďte si záznamy o účasti. „Povedal som im to na porade tímu“ sa nepočíta.

6. Dohliadajte na poskytovateľov služieb

Každý dodávateľ s prístupom k údajom zákazníkov — daňový softvér, cloudové úložisko, správa dokumentov, IT podpora, poskytovatelia mzdových služieb, nástroje na elektronický podpis, dokonca aj vaša skartovacia spoločnosť — musí byť:

  • Vybraný s náležitou starostlivosťou (due diligence) s ohľadom na ich bezpečnostné postupy
  • Viazaný písomnou zmluvou vyžadujúcou primerané ochranné opatrenia
  • Pravidelne prehodnocovaný (zvyčajne raz ročne)

Žiadajte od dodávateľov správu SOC 2 typu II alebo ekvivalent. Zmluva by mala obsahovať doložku o oznámení porušenia ochrany údajov s definovaným časovým rámcom — väčšina firiem vyžaduje oznámenie do 72 hodín od zistenia.

7. Udržiavajte program aktuálny

Prehodnocujte a upravujte WISP vždy, keď sa zmení prostredie hrozieb alebo sa zmenia vaše operácie. Nová kancelária? Nový softvér? Kúpili ste malú prax? Aktualizujte plán.

8. Vytvorte písomný plán reakcie na incidenty

Plán musí pokrývať:

  • Internú eskaláciu: kto sa o incidente dozvie a v akom poradí
  • Izoláciu a nápravu: kto zastaví únik údajov
  • Externú notifikáciu: klienti, generálni prokurátori štátov, FTC a IRS
  • Dokumentáciu: uchovávajte logy, dôkazy a časovú os
  • Ponaučenia: posmrtná analýza (postmortem) s dokumentovanými nápravnými opatreniami

IRS očakáva, že spracovatelia daní nahlásia krádež údajov do 24 hodín od zistenia prostredníctvom styčného dôstojníka IRS (Stakeholder Liaison) a Federácie daňových správcov (Federation of Tax Administrators). Podľa dodatkov k pravidlu Safeguards Rule účinných od 13. mája 2024 musíte o každej bezpečnostnej udalosti postihujúcej 500 alebo viac spotrebiteľov informovať aj FTC, a to najneskôr do 30 dní od zistenia — toto podanie je verejné.

9. Podávajte správy správnej rade (alebo majiteľom)

Kvalifikovaná osoba musí predložiť aspoň ročnú písomnú správu správnej rade alebo, v prípade menších firiem, zodpovednému vedúcemu pracovníkovi. Správa pokrýva celkový stav programu, výsledky posúdenia rizík, významné udalosti počas roka a všetky odporúčané zmeny.

Ste samostatný spracovateľ? Napíšete ju sami sebe, podpíšete a založíte do spisu. Áno, naozaj.

Účtovné záznamy: Zabudnutý dôkaz o súlade s predpismi

Ak sa u vás niekedy objaví kontrolór alebo audítor, prvá vec, ktorú bude žiadať, je dokumentácia. Váš WISP hovorí, že ste v marci vyškolili zamestnancov, v júli zaplatili externému dodávateľovi za penetračný test, v septembri vymenili pracovnú stanicu a v novembri obnovili kybernetické poistenie — a na podloženie každého z týchto tvrdení potrebujete účtenky, faktúry a záznamy v hlavnej knihe. Firmy, ktoré považujú výdavky na bezpečnosť za „rôzne položky“ na výpise z kreditnej karty, nakoniec panikária.

Nastavte si v účtovnej osnove jasnú segregáciu pre výdavky súvisiace s bezpečnosťou (školenia, softvér, audity, poistenie, hardvér), aby ste mohli na požiadanie vygenerovať čistý medziročný report. Tie isté plain-text záznamy, ktoré uspokoja vášho účtovníka počas daňového obdobia, sa stanú vaším dôkazovým súborom, keď sa FTC opýta, ako ste svoj plán realizovali v praxi.

Technické opatrenia, ktoré robia ľuďom problémy

Dve požiadavky sú zodpovedné za väčšinu zlyhaní WISP v praxi.

Viacfaktorová autentifikácia (MFA), všade. Pravidlo nepovoľuje MFA len „tam, kde je to pohodlné“. Vzťahuje sa na každého, kto pristupuje k informáciám o zákazníkoch z akéhokoľvek systému. To zahŕňa váš daňový softvér, portál na elektronické podávanie priznaní, klientsky portál, e-mail (ktorý obsahuje prílohy s daňovými údajmi), cloudové úložisko, účtovný softvér a akékoľvek nástroje na vzdialený prístup. IRS dôrazne uprednostňuje autentifikačné aplikácie alebo hardvérové tokeny pred SMS správami, ktoré sú zraniteľné voči útokom typu SIM-swap.

Rýchla sebakontrola: odhláste sa zo všetkých podnikových aplikácií, ktoré používate. Skúste sa znova prihlásiť. Ak niektorá z nich vyžaduje iba heslo, máte problém.

Šifrovanie uložených dát. Šifrovanie celého disku sa vyžaduje na každom zariadení, ktoré uchováva informácie o zákazníkoch — vrátane osobného notebooku, ktorý si váš sezónny pracovník prinesie do domácej kancelárie. BitLocker vo verzii Windows Pro a FileVault v systéme macOS spĺňajú túto požiadavku, ak sú správne nakonfigurované. Šifrujte zálohy, USB kľúče a všetky prenosné médiá. Šifrujte e-maily, ak obsahujú údaje o zákazníkoch (klientsky portál je zvyčajne lepším riešením ako šifrovaný e-mail).

Ďalším bežne vynechávaným opatrením je dohľad nad dodávateľmi. Mnohé firmy majú správu SOC 2 od svojho dodávateľa daňového softvéru, ale nemajú žiadnu zmluvu ani posúdenie pre ten špeciálny nástroj na cloudové úložisko, ktorý si predplatili minulý rok, pre zásuvný modul na elektronický podpis, ktorý testovali, alebo pre IT dodávateľa, ktorý má administrátorské prístupy. Vytvorte si zoznam dodávateľov a každoročne ho aktualizujte.

Čo sa stane, keď urobíte chybu

Sankcie nie sú len teoretické:

  • Občianskoprávne sankcie FTC až do výšky 46 517 USD za každé porušenie denne podľa upraveného pravidla o bezpečnostných opatreniach (Safeguards Rule)
  • Sankcie za neoznámenie úniku dát, ktoré v zverejnených prípadoch dosiahli až 500 000 USD
  • Pozastavenie alebo zrušenie PTIN zo strany IRS, čo fakticky ukončuje vašu schopnosť pripravovať daňové priznania
  • Opatrenia štátnych generálnych prokurátorov podľa štátnych zákonov o oznamovaní porušenia bezpečnosti (ktoré existujú vo všetkých 50 štátoch USA)
  • Súkromné súdne spory od dotknutých klientov, v niektorých štátoch so zákonnou náhradou škody
  • Zamietnutie poistného plnenia, keď poistka proti zanedbaniu odbornej starostlivosti alebo kybernetickým rizikám vylučuje nároky vzniknuté v dôsledku nedodržania predpisov
  • Poškodenie reputácie, čo pre daňovú prax často znamená stratu významnej časti klientov v priebehu dvanástich mesiacov

IRS sa vyjadril jasne: chýbajúci WISP sa považuje za dôkaz širšieho zlyhania v dodržiavaní predpisov, nie za administratívnu chybu.

Realistický plán pre obhájiteľný WISP

Prechod z nuly na obhájiteľný plán je projekt na štyri až šesť týždňov pre samostatného spracovateľa a viacmesačné úsilie pre väčšiu firmu. Realistická postupnosť:

1. týždeň: Inventarizácia. Spíšte každý systém, ktorý prichádza do styku s údajmi zákazníkov, každého zamestnanca alebo dodávateľa s prístupom, každého predajcu v dátovom reťazci a každé zariadenie, ktoré vlastníte. To je váš základný materiál.

2. týždeň: Posúdenie rizík. Prejdite si pravdepodobné hrozby voči inventáru. Ohodnoťte každý scenár. Identifikujte svojich päť najväčších rizík.

3. týždeň: Analýza nedostatkov. Porovnajte svoje súčasné opatrenia s deviatimi požadovanými prvkami. Poznačte si každý nedostatok. Najväčšími nedostatkami malých firiem bývajú zvyčajne pokrytie MFA, zmluvy s dodávateľmi a postupy reakcie na incidenty.

4. týždeň: Náprava. Zapnite MFA všade. Zaveďte šifrovanie celého disku na každom zariadení. Podpíšte písomné dohody s kľúčovými dodávateľmi. Naplánujte školenia. Všetko zdokumentujte.

5. týždeň: Vypracovanie WISP. Použite šablónu IRS Publication 5708 ako východiskový bod a dôkladne si ju prispôsobte — skopírovaný plán je horší ako žiadny plán, pretože vykazuje zlý úmysel. Nechajte ho podpísať kompetentnou osobou.

6. týždeň (a každoročne): Testovanie, školenie, podávanie správ. Vykonajte modelové cvičenie vášho plánu reakcie na incidenty. Realizujte každoročné školenie. Vypracujte výročnú správu pre majiteľov. Naplánujte ďalšiu revíziu.

Nastavte si v kalendári pripomienky na ročný cyklus. Najčastejším zlyhaním v dodržiavaní predpisov nie je počiatočný WISP — je to firma, ktorá ho napísala v roku 2023 a odvtedy sa ho nedotkla.

Niekoľko bežných omylov

„Môj daňový softvér má certifikáciu SOC 2, takže som krytý.“ Nie. Súlad poskytovateľa softvéru s predpismi sa týka ich prostredia, nie vášho. Stále potrebujete WISP pre všetko, čo robíte mimo ich platformy — e-maily, lokálne súbory, vaša kancelárska sieť.

„Pracujem z domu, takže pravidlá sú iné.“ Nie sú. Prax založená na domácom pracovisku má rovnaké povinnosti ohľadom WISP ako prax v kancelárii. Ak vôbec niečo, opatrenia sú náročnejšie, pretože hranica medzi osobnými a podnikovými systémami sa stiera.

„Účtovníctvo outsourcujem tímu v zahraničí, takže bezpečnosť riešia oni.“ Podľa pravidla sú vaším dodávateľom. Ste zodpovední za ich posúdenie, uzatvorenie zmluvy s nimi a dohľad nad ich opatreniami.

„Mám kybernetické poistenie, takže som chránený.“ Väčšina kybernetických poistiek v súčasnosti vyžaduje WISP ako podmienku krytia. Čítať drobné písmo až po incidente je zlý spôsob, ako sa to dozvedieť.

Udržujte si poriadok vo financiách od prvého dňa

Obhájiteľný WISP je postavený na dokumentácii — a rovnako aj obhájiteľné účtovné knihy. Či už sledujete predplatné bezpečnostného softvéru, faktúry za školenia a poplatky za audit, ktoré dokazujú, že váš program dodržiavania predpisov je skutočný, alebo jednoducho vediete účtovné záznamy, pri ktorých vám vaši vlastní klienti dôverujú, účtovníctvo v čistom texte (plain-text accounting) vám poskytuje niečo, čo uzavretý softvér nedokáže: úplnú transparentnosť, kontrolu verzií a auditnú stopu, ktorú skutočne vlastníte. Beancount.io poskytuje účtovníctvo v čistom texte, ktoré je transparentné, verziované a pripravené na AI — bez viazanosti na dodávateľa a bez neprehľadných exportov. Začnite zadarmo a zistite, prečo vývojári a finanční profesionáli prechádzajú na účtovníctvo v čistom texte.