Seguridad de Impuestos 101: Cumbre de seguridad insta a profesionales de impuestos a orientar a sus empleados acerca de seguridad de datos

Aviso: Contenido Histórico


Este es un documento de archivo o histórico y puede no reflejar la ley, las políticas o los procedimientos actuales.

IR-2018-170SP, 21 de agosto de 2018

WASHINGTON — El IRS y sus socios de la Cumbre de Seguridad pidieron hoy a los profesionales de impuestos que intensifiquen la educación de seguridad para todos sus empleados, incluidos ellos mismos, para mejor proteger los datos de los contribuyentes y ayudar a prevenir declaraciones de impuestos fraudulentas.

La advertencia del IRS, las agencias tributarias estatales y la industria tributaria de la nación resulta de un aumento este año en informes de robos de datos por parte de profesionales de impuestos. Los socios de la Cumbre de Seguridad les recuerdan a los profesionales que los datos de sus clientes y sus negocios son tan seguros como su empleado menos informado.

Este es el séptimo de una serie llamada "Proteja a sus clientes; protéjase a sí mismo: Seguridad de Impuestos 101”. La campaña de concienciación de la Cumbre de Seguridad tiene como objetivo proporcionar a los profesionales de impuestos la información básica que necesitan para proteger mejor los datos de los contribuyentes y ayudar a prevenir la presentación de declaraciones de impuestos fraudulentas.

Aunque la Cumbre de Seguridad progresa en sus esfuerzos contra el robo de identidad relacionado con los impuestos, los delincuentes cibernéticos continúan evolucionando y los robos de datos en las oficinas de profesionales de impuestos continúan en aumento. Los ladrones usan datos robados de los profesionales de impuestos para crear declaraciones fraudulentas que son más difíciles de detectar.

El IRS continúa viendo un aumento en el número de robos de datos reportados por profesionales de impuestos. Para el 9 de agosto, 217 profesionales de impuestos habían informado robos de datos este año, un aumento del 30 por ciento, de 167 para el mismo período en 2017.

Todos los empleados deben estar conscientes de los peligros relacionados con los correos electrónicos de phishing. Un empleado no tiene que ser un preparador de impuestos para divulgar accidentalmente información clave de contraseñas o descargar malware que podría infectar e impactar todas las computadoras de la oficina y arriesgar los datos de los clientes.

Todos los preparadores profesionales de declaraciones de impuestos deben cumplir con la "Regla de Protecciones" establecida por la Ley Gramm-Leach-Bliley de 1999 y administrada por la Comisión Federal de Comercio. La FTC establece una serie de áreas sugeridas para abordar, y que incluye el adiestramiento de los empleados. La FTC sugiere seguir esta lista y el IRS ha agregado algunas actualizaciones específicamente para los profesionales de impuestos:

  • Verificar las referencias o los antecedentes antes de contratar empleados que tendrán acceso a la información del cliente.
  • Pedir a cada empleado nuevo que firme un acuerdo para seguir los estándares de confidencialidad y seguridad de su empresa para manejar la información del cliente.
  • Limitar el acceso a la información del cliente a los empleados que tienen un motivo comercial para verla. Por ejemplo, brindar a los empleados que responden a preguntas de los clientes acceso a los archivos de los clientes, pero solo en la medida en que lo necesiten para hacer su trabajo.
  • Controlar el acceso a la información confidencial al requerir que los empleados usen contraseñas "fuertes" que deben cambiarse regularmente. (Las contraseñas difíciles de descifrar requieren el uso de al menos seis caracteres, letras mayúsculas y minúsculas, y una combinación de letras, números y símbolos.) (Sugerencia del IRS: las contraseñas deben tener un mínimo de ocho caracteres).
  • Usar protectores de pantalla activados con contraseña para bloquear las computadoras de los empleados después de un período de inactividad.
  • Desarrollar políticas para el uso apropiado y la protección de computadoras portátiles, asistentes digitales personales, teléfonos celulares u otros dispositivos móviles. Por ejemplo, asegurarse de que los empleados guarden estos dispositivos en un lugar seguro cuando no estén en uso. Además, tener en cuenta que la información del cliente en archivos cifrados estará mejor protegida en caso de robo de dicho dispositivo.
  • Adiestrar a los empleados para que tomen medidas básicas para mantener la seguridad, confidencialidad e integridad de la información del cliente, que incluye:
    • Asegurar salones y archivadores donde se guardan los archivos;
    • No compartir o publicar abiertamente las contraseñas de los empleados en las áreas de trabajo;
    • Cifrar información confidencial del cliente cuando se transmite electrónicamente a través de redes públicas;
    • Referir llamadas u otras solicitudes de información del cliente a personas designadas que han sido adiestradas acerca de cómo la empresa protege los datos personales; y
    • Reportar intentos sospechosos de obtener información del cliente al personal designado.
  • Periódicamente, recordarles a todos los empleados la política de su empresa y el requisito legal de mantener la información del cliente segura y confidencial. Por ejemplo, considere publicar recordatorios acerca de su responsabilidad de seguridad en áreas donde se almacena información del cliente, como salas de archivos.
  • Desarrollar políticas para los empleados que trabajan a distancia. Por ejemplo, considere si los empleados deben tener acceso a los datos del cliente o cómo acceder a ellos en casa. Además, requiera que los empleados que usan computadoras personales para almacenar o acceder a los datos de los clientes, usen protecciones contra virus, spyware y otras intrusiones no autorizadas.
  • Imponer medidas disciplinarias por violaciones a la política de seguridad.
  • Evitar que los empleados despedidos accedan a la información del cliente al desactivar inmediatamente sus contraseñas y nombres de usuario y tomando otras medidas apropiadas.

Todos los empleados dentro de la oficina de un profesional de impuestos deben familiarizarse con las regulaciones de la FTC y las publicaciones y sitios web del IRS que ayudarán a aumentar la conciencia de seguridad.

Para mejorar la concienciación acerca de la seguridad de datos por parte de todos los profesionales de impuestos, el IRS realizará un seminario en línea el próximo 26 de septiembre. La atención se centrará en los mismos temas que esta serie: "Proteja a sus clientes; protéjase a sí mismo: Seguridad de Impuestos 101". Aunque los preparadores de impuestos serán elegibles para un crédito de CPE, el IRS da la bienvenida a los profesionales de impuestos y sus empleados. Proteger la información del contribuyente es trabajo de todos.

La Cumbre de Seguridad les recuerda a los preparadores de impuestos que deben tener un plan de seguridad de datos escrito, como lo exige la Comisión Federal de Comercio y su Regla de Protección. También pueden obtener ayuda con las recomendaciones de seguridad en la Publicación 4557 PDF del IRS, Protección de datos del contribuyente (en inglés) revisada recientemente, y la Información de Seguridad para Pequeñas Empresas: Lo básico PDF del Instituto Nacional de Estándares y Tecnología.

La Publicación 5293 PDF, Guía de recursos de seguridad de datos para los profesionales de impuestos, recopila la información de robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben permanecer conectados con el IRS a través de suscripciones a e-News para profesionales de impuestos, Alertas rápidas y las redes sociales.