Dlaczego doradcy podatkowi potrzebują lepszego bezpieczeństwa danych

Oto aktualizacja prawna dla doradców podatkowych: Jeśli nie ustanowiłeś praktyk bezpieczeństwa w celu ochrony danych swoich klientów, ta porażka może spowodować wszczęcie dochodzenia przez Federalną Komisję Handlu (FTC).

Co więcej, IRS może potraktować naruszenie zasady zabezpieczenia FTC. Procedura ta określa zasady dla profesjonalistów podatkowych, którzy uczestniczą jako autoryzowani dostawcy plików elektronicznych IRS.

The Financial Services Modernization Act of 1999, also known as the Gramm-Leach-Bliley (GLB) Act, gives the FTC the authority to set information safeguard regulations for various entities, including professional tax preparers.

W pierwszym z powyższych linków definicja “instytucji finansowej” obejmuje przedsiębiorstwa, które zazwyczaj nie opisują się w ten sposób. W rzeczywistości zasada dotycząca zabezpieczeń ma zastosowanie do wszystkich przedsiębiorstw, bez względu na ich wielkość, które są “znacząco zaangażowane” w dostarczanie produktów lub usług finansowych.

Obejmuje to firmy zajmujące się praniem czeków, kredytodawców płatności, brokerów hipotecznych, kredytodawców niebankowych, rzeczoznawców majątkowych i nieruchomości, firmy kurierskie, agencje informacji kredytowej i operatorów bankomatów, którzy uzyskują informacje o klientach innych instytucji finansowych i przygotowujących rozliczenia podatkowe.

Poza opracowaniem własnych środków ostrożności, przedsiębiorstwa objęte zasadą zabezpieczeń są odpowiedzialne za podjęcie kroków mających na celu zapewnienie, że ich oddziały i usługodawcy zabezpieczą informacje o klientach w ich opiece. Ponadto, członkowie Komitetu Doradczego IRS Elektronicznej Administracji Podatkowej (ETAAC) w czerwcu zauważyli, że ich zdaniem “znacznie mniej niż połowa specjalistów podatkowych jest świadoma swoich obowiązków wynikających z zasady zabezpieczeń FKH i jeszcze mniej specjalistów …wdrożyło wymagane praktyki bezpieczeństwa”.

Plan bezpieczeństwa informacji wymagany przez FKH musi być odpowiedni do wielkości i złożoności przedsiębiorstwa, charakteru i zakresu jego działalności oraz wrażliwości informacji o klientach, którymi się zajmuje. Oznacza to, zgodnie z FKH, że każda spółka musi:

– Wyznaczyć jednego lub więcej pracowników do koordynowania swojego programu bezpieczeństwa informacji

– Identyfikacja i ocena ryzyka związanego z informacjami o klientach w każdym z istotnych obszarów działalności firmy oraz ocena skuteczności obecnych zabezpieczeń w zakresie kontroli tego ryzyka

– Zaprojektować i wdrożyć program zabezpieczający oraz regularnie go monitorować i testować

– Wybierz dostawców usług, którzy mogą utrzymać odpowiednie zabezpieczenia, upewnij się, że umowa wymaga od nich utrzymania zabezpieczeń i nadzoru nad postępowaniem z informacjami o klientach

.

– Oceniać i dostosowywać program w świetle odpowiednich okoliczności, w tym zmian w działalności lub operacjach firmy, lub wyników testów bezpieczeństwa i monitorowania

FKH mówi, że wymagania są zaprojektowane tak, aby były elastyczne i umożliwiały przedsiębiorstwom wdrożenie zabezpieczeń odpowiednich do ich własnej sytuacji. Zasada zabezpieczeń wymaga, aby spółki oceniały i zajmowały się ryzykiem związanym z informacjami o klientach we wszystkich obszarach swojej działalności.

IRS zauważa, że zasada zabezpieczeń wymaga od firm oceny ryzyka dla danych klientów w trzech kluczowych obszarach: zarządzanie pracownikami i szkolenia, systemy informatyczne oraz wykrywanie i zarządzanie awariami systemów.

Na przykład, FKH zaleca w swojej regule rozporządzania następujące cztery strategie ochrony danych klientów:

– Wyznaczyć lub zatrudnić kierownika ds. przechowywania dokumentacji, który będzie nadzorował usuwanie dokumentacji zawierającej informacje o klientach. Jeżeli dotyczy to firmy zewnętrznej, należy wcześniej przeprowadzić badanie due diligence w celu sprawdzenia referencji lub zażądać, aby firma została certyfikowana przez uznaną grupę branżową.

– Spalić, sproszkować lub rozdrobnić papier zawierający informacje o kliencie, tak aby nie można było ich odczytać lub odtworzyć.

– Niszczenie lub usuwanie danych podczas usuwania komputerów, dysków, płyt CD, taśm magnetycznych, dysków twardych, laptopów, palmtopów, telefonów komórkowych lub innych mediów elektronicznych lub sprzętu zawierającego informacje o kliencie.

– Monitoruj strony internetowe dostawców oprogramowania i czytaj odpowiednie publikacje branżowe, aby uzyskać informacje o pojawiających się zagrożeniach i dostępnych zabezpieczeniach.