Trabajo virtual: haga plan para proteger datos y denunciar robo; parte 5 de consejos de la Cumbre de Seguridad para profesionales de impuestos

IR-2020-184SP, 18 de agosto de 2020

WASHINGTON — Los socios del Servicio de Impuestos Internos y la Cumbre de Seguridad les recordaron hoy a los profesionales de impuestos que la ley federal les exige tener un plan de seguridad de información por escrito.

En medio de las continuas amenazas de seguridad durante COVID-19, el IRS, los administradores de impuestos estatales y la industria tributaria de la nación − trabajando juntos como la Cumbre de Seguridad − también les recomendaron a los profesionales que creen un plan de respuesta de emergencia si experimentan un robo de datos. Ponerse en contacto con el IRS es el primer paso en el plan para proteger rápidamente a los profesionales de impuestos y sus clientes.

Hacer un plan para proteger los datos y denunciar el robo es la última de una serie de cinco partes llamada Trabajo virtual: Protección de los datos tributarios en el hogar y trabajo. La iniciativa especial de la Cumbre de Seguridad destaca los pasos básicos de seguridad para todos los profesionales deben seguir, especialmente aquellos que trabajan de forma remota o en distanciamiento social en respuesta a COVID-19.

"COVID-19 cambió la manera en que muchos de nosotros trabajamos, y más profesionales de impuestos trabajan desde casa. Con estos cambios, hay nuevos riesgos de los ciberdelincuentes. Nuestra serie especial de la Cumbre de Seguridad se diseñó para brindarles información crítica para proteger a sus clientes y su negocio", dijo Chuck Rettig, Comisionado del IRS.

"Todos tenemos una función en la protección de los datos de los contribuyentes, y la comunidad profesional de impuestos es una parte fundamental de ese esfuerzo", agregó Rettig. "Es más importante que nunca tomar las precauciones de seguridad adecuadas, proteger los sitios remotos de trabajo, usar la autenticación de dos factores y planificar todas las posibilidades".

Profesionales de impuestos: Creen un plan de seguridad para cumplir con los requisitos de la FTC

La ley federal administrada por la Comisión Federal de Comercio (FTC, por sus siglas en inglés) requiere que todos los "preparadores de impuestos profesionales" creen y mantengan un plan de seguridad de información por escrito que sea apropiado para el tamaño y la complejidad de la empresa.

Además, el plan de seguridad de información requerido por la FTC debe ser apropiado para la naturaleza y el alcance de las actividades de la compañía y la sensibilidad de la información del cliente que maneja. Un plan para un profesional de impuestos único diferiría de una empresa global con múltiples socios.

Los profesionales de impuestos que trabajan desde casa deben asegurarse de que los datos del cliente estén protegidos tal como lo harían en una oficina.

Según la FTC, cada compañía, como parte de su plan, debe:

  • designar a uno o más empleados para coordinar su programa de seguridad de información;
  • identificar y evaluar los riesgos para la información del cliente en cada área relevante de la operación de la compañía y evaluar la efectividad de las protecciones actuales para controlar estos riesgos;
  • diseñar e implementar un programa de protección y monitorizarlo y probarlo regularmente;
  • seleccionar proveedores de servicios que puedan mantener protecciones apropiadas, asegurarse de que el contrato les exija mantener protecciones y supervisar su manejo de la información del cliente; y
  • evaluar y ajustar el programa a la luz de las circunstancias relevantes, incluidos los cambios en el negocio o las operaciones de la empresa, o los resultados de las pruebas de seguridad y la monitorización. 

Tenga en cuenta: La FTC actualmente reevalúa la Regla de Protecciones y propuso nuevos reglamentos. Esté atento a cualquier cambio en la Regla de Protecciones y su efecto en la comunidad de preparación de impuestos.

La Publicación 4557 del IRS, Protección de los datos del contribuyente (en inglés) PDF, detalla las medidas críticas de seguridad que todos los profesionales de impuestos deben adoptar. La publicación también incluye información acerca de cómo cumplir con la Regla de Protecciones de la FTC, incluida una lista de verificación de elementos para un posible plan de seguridad de datos. Se les pide a los profesionales de impuestos que se concentren en áreas clave como la gestión y adiestramiento de los empleados; sistemas de información; y detectar y gestionar fallas del sistema.

El IRS también puede tratar una violación de la Regla de Protecciones de la FTC como una violación del Procedimiento Tributario 2007-40, que establece las reglas para los profesionales de impuestos que participan como un Proveedor autorizado de presentación electrónica del IRS.

Crear un plan de respuesta de robo de datos; informar robos de datos al IRS

Los profesionales de impuestos que experimentan un robo de datos deben informar el delito al IRS de inmediato para que se puedan tomar medidas para proteger a los contribuyentes, y a la empresa. Los socios de la Cumbre de Seguridad recomiendan que los profesionales creen un plan de respuesta para que las acciones se puedan tomar rápidamente y la información de contacto esté disponible.

Si un cliente o la empresa son víctimas de robo de datos, deben inmediatamente:

  • Informar a la oficina local del Enlace de partes interesadas del IRS (en inglés). Los Enlaces de las partes interesadas notificarán al Departamento de Investigación Criminal del IRS y a otros dentro de la agencia. La rapidez es crítica. Si se informa rápidamente, el IRS puede tomar medidas para bloquear las declaraciones fraudulentas en los nombres de los clientes y ayudará durante el proceso.
  • Envíe un correo electrónico a la Federación de Administradores Tributarios a statealert@taxadmin.org. Obtenga información acerca de cómo reportar la información de la víctima a los estados. La mayoría de los estados requieren que el fiscal general del estado se notifique de las violaciones de datos. Este proceso de notificación puede involucrar múltiples oficinas.

Encuentre más información en Información acerca de robo de datos para profesionales de impuestos (en inglés).

Además de tratar de robar datos de clientes, los ladrones también pueden intentar robar la identidad de un profesional de impuestos, al usar sus números de PTIN, EFIN y CAF para presentar declaraciones fraudulentas o robar aún más información. Los ladrones pueden incluso tratar de hacerse pasar por el profesional de impuestos para obtener transcripciones de impuestos u otros archivos de impuestos.

Los profesionales deben verificar de manera rutinaria su solicitud de presentación electrónica de servicios electrónicos del IRS para ver un recuento semanal de declaraciones de impuestos presentadas con sus Números de Identificación de Presentación Electrónica o EFIN. Las presentaciones excesivas son una señal de robo de datos. Las aplicaciones de E-File también deben mantenerse actualizadas.

Los profesionales de la Circular 230 también pueden revisar semanalmente el número de declaraciones de impuestos presentadas con su Número de Identificación Tributaria del Preparador o PTIN. Una vez más, las presentaciones excesivas son una señal de robo de datos.

Los preparadores con un Archivo de autorización centralizado, o números CAF, que permiten el acceso de terceros a la información o representación tributaria, deben mantener esos archivos actualizados. Los profesionales deben notificar al IRS cuando ya no necesiten autorización de terceros para los clientes.

Recursos adicionales

Los profesionales de impuestos también pueden obtener ayuda con las recomendaciones de seguridad al revisar la Publicación 4557, Protección de los datos del contribuyente (en inglés) PDF, e Información de seguridad para pequeñas empresas: los fundamentos (en inglés) PDF del Instituto Nacional de Estándares y Tecnología.

La Publicación 5293 (SP), Guía de Recursos de Seguridad de Datos para los Profesionales de Impuestos PDF, provee una recopilación de información acerca del robo de datos, disponible en IRS.gov. Además, los profesionales de impuestos deben mantenerse conectados con el IRS a través de suscripciones a Noticias electrónicas para profesionales de impuestos (en inglés) y medios sociales o visitar el Centro informativo sobre el robo de identidad en IRS.gov/robodeidentidad.