Fexyn
Fexyn
All posts

VPN para preparadores de impuestos

Fexyn Team··9 min read

El IRS requiere a cada preparador de impuestos pago mantener un Plan Escrito de Seguridad de Información (WISP). El requisito viene de la Regla de Salvaguardas del Gramm-Leach-Bliley Act (15 U.S.C. § 6801) según la aplica la FTC, más la Publicación IRS 4557 y el Formulario W-12 (aplicación PTIN). El IRS empezó a chequear activamente cumplimiento del WISP durante revisiones de EFIN alrededor de 2022; el incumplimiento puede producir sanciones del IRS y exposición real de responsabilidad si pasa una brecha de datos.

El uso de VPN es una salvaguarda listada en la Publicación IRS 4557 y la plantilla WISP del IRS. La mayoría de los preparadores leyendo esto ya saben que necesitan un WISP; la pregunta es qué tiene que hacer su VPN para que el cumplimiento sea defendible.

Esto no es asesoramiento legal o fiscal. Somos una empresa VPN escribiendo sobre cómo nuestro producto encaja en una postura que deberías validar con un profesional de cumplimiento.

Qué requiere realmente el WISP

Un WISP debe abordar la seguridad de los datos del contribuyente a través de la práctica. La plantilla del IRS (en la Publicación 4557 y en irs.gov) lista categorías que deben estar cubiertas:

  • Coordinador de Seguridad de Información Designado. Una persona nombrada responsable del plan.
  • Evaluación de riesgo. Identificar riesgos internos y externos previsibles.
  • Información del cliente en reposo. Cómo se almacenan los datos en medios físicos y electrónicos.
  • Información del cliente en tránsito. Cómo se mueven los datos entre vos, clientes, el IRS, vendedores de software. Acá aparece la VPN.
  • Controles de acceso. Quién puede acceder a qué datos, cómo se implementa la autenticación.
  • Proveedores de servicio. Terceros (nube, software, contratistas) que tocan los datos.
  • Detección de ataques. Monitoreo de acceso no autorizado.
  • Respuesta a incidentes. Qué pasa cuando algo sale mal.
  • Revisión y actualización anual.

El IRS llama a la VPN específicamente en la Publicación 4557:

"Usá una Red Privada Virtual (VPN) para conducir negocios de forma segura desde cualquier ubicación, particularmente cuando trabajás de forma remota."

Esa es una oración en un documento de varias páginas. La VPN es una salvaguarda entre muchas. La lista de auditoría WISP la trata como esperada, no opcional.

Dónde encaja una VPN en el WISP

Concretamente, una VPN aborda tres categorías de la plantilla WISP:

1. Información en tránsito, red pública. Los preparadores de impuestos trabajando desde redes hogareñas, cafeterías, habitaciones de hotel, Wi-Fi de conferencias o ubicaciones de cliente mueven datos del contribuyente sobre redes que el preparador no controla. Una VPN encripta este tránsito. La defensibilidad WISP para trabajo en redes no privadas generalmente requiere una VPN.

2. Acceso remoto a sistemas del despacho. Un preparador accediendo al software fiscal del despacho, gestión de documentos o disco compartido desde fuera de la oficina usa un camino de acceso remoto. Una VPN tunelea ese camino. La mayoría del software fiscal (UltraTax, ProSeries, Lacerte, Drake) recomienda VPN para acceso remoto en su propia guía de seguridad.

3. Conexiones e-file del IRS. Cuando se transmiten declaraciones al IRS a través del pipeline e-file de tu software fiscal, los datos se mueven sobre internet pública. La propia infraestructura del IRS está encriptada con TLS, pero el camino de tu red a internet pública es tu responsabilidad. Una VPN suma otra capa de encriptación sobre la capa TLS del IRS.

Lo que una VPN no cubre

Una postura compatible con WISP necesita más que solo una VPN:

Encriptación de almacenamiento de documentos. Los datos fiscales almacenados en tu laptop, en la nube o en un NAS necesitan encriptación en reposo. Una VPN no provee esto.

Autenticación. Contraseñas únicas fuertes. Autenticación multifactor en software fiscal, email, gestión de documentos. El IRS específicamente requiere MFA en cuentas de software fiscal; la mayoría de las plataformas mayores ahora la aplican.

Seguridad de endpoint. SO actual. Antivirus actual. Política conservadora de instalación de software. Los preparadores de impuestos son objetivo de alto valor para fraude fiscal; el compromiso de endpoint es el vector principal de ataque.

Seguridad de email. Email encriptado end-to-end (o un portal seguro de documentos) para transmitir documentos del cliente. Un email regular está encriptado en tránsito entre servidores de correo pero no end-to-end.

Seguridad física. Oficinas con llave, dispositivos con llave, privacidad de pantalla.

Cumplimiento del proveedor de servicio. La postura de cumplimiento de tu almacenamiento de documentos en la nube. La postura de cumplimiento de tu vendedor de software fiscal. El IRS te requiere verificar que los proveedores de servicio cumplen estándares equivalentes.

Respuesta a incidentes y notificación de brecha. Qué hacés cuando algo sale mal. Las leyes estatales difieren en qué constituye una brecha y cuándo se requiere notificación.

Capacitación anual. La Regla de Salvaguardas requiere capacitación del personal. La documentación de capacitación importa durante una revisión del IRS.

Un WISP que dice "usamos una VPN" y trata a la VPN como la postura completa de cumplimiento no es defendible. Un WISP que documenta el uso de VPN como una de múltiples salvaguardas en capas, con todas las categorías arriba abordadas, es defendible.

Estacionalidad de temporada de impuestos

El momento relevante de cumplimiento para la mayoría de los preparadores de impuestos es enero a abril. Durante esos meses, el volumen de manejo de datos es alto, la presión de tiempo es alta y la tentación de cortar esquinas está más alta. Una auditoría WISP durante revisión EFIN es más probable de aterrizar en esta ventana.

Implicaciones prácticas:

  • Tené la VPN ya instalada y probada antes que empiece la temporada de impuestos. Configurar una VPN nueva en marzo, mientras corrés semanas de 80 horas de declaraciones, es el momento equivocado.
  • Documentá el rol de la VPN en tu WISP. Nombre del proveedor, qué provee, cuándo se requiere que esté activa.
  • Si tenés personal remoto o contratistas, asegurate que su configuración de VPN sea consistente. Las configuraciones inconsistentes del personal son un hallazgo de auditoría.
  • Probá el kill switch. Una VPN que cae a mitad de sesión y deja salir tráfico sin encriptar derrota la salvaguarda de cumplimiento. El kill switch de Fexyn (basado en Windows Filtering Platform, bloquea a nivel de kernel) es significativo acá porque previene que tráfico sin encriptar deje tu máquina cuando la VPN cae.

Dónde encaja Fexyn, honestamente

Fexyn provee la salvaguarda de encriptación-en-tránsito. Eso cubre una categoría WISP específica. Somos apropiados para:

  • Preparadores de impuestos solo y pequeños despachos (bajo ~5 preparadores) manejando su propia configuración
  • Preparadores de impuestos que viajan durante la temporada baja o trabajan desde ubicaciones que no son del despacho
  • Prácticas donde la VPN es una salvaguarda en una postura por capas, no la postura completa

Donde Fexyn no finge cubrir el WISP completo:

  • No proveemos software fiscal
  • No proveemos almacenamiento de documentos con rastro de auditoría
  • No proveemos infraestructura MFA para tu software fiscal
  • No proveemos seguridad de endpoint
  • No proveemos un tier de negocio centralizado con reportes de cumplimiento; para despachos que quieren ese nivel de control administrativo, NordLayer o Perimeter81 son mejores ajustes

Detalle de precio relevante para preparadores de impuestos: ofrecemos facturación solo cripto como opción (algunos preparadores prefieren mantener costos recurrentes de software fuera de su tarjeta empresarial principal), facturación con tarjeta como predeterminado, y precios Tier 1 para usuarios EE. UU. a $9.99/mes. La prueba gratuita de 7 días no requiere tarjeta.

La pregunta del W-12

El Formulario W-12 (Aplicación para Renovación del Número de Identificación de Preparador de Impuestos) pregunta si el preparador tiene un WISP. La respuesta honesta importa. La declaración errónea en el W-12 es su propio problema distinto de cualquier problema de brecha de datos.

Tener un WISP que documente tus salvaguardas (incluyendo VPN) es el camino que te deja responder con sinceridad. Un WISP puede ser un documento de 4 páginas para un preparador solo o un documento de 40 páginas para un despacho multi-oficina. La plantilla del IRS en la Publicación 4557 es un punto de partida razonable.

Preguntas frecuentes

¿El IRS requiere una VPN?

No literalmente. La Regla de Salvaguardas del IRS y la Publicación 4557 requieren salvaguardas "razonables" proporcionales a tu volumen de datos y riesgo. La VPN está explícitamente recomendada para trabajo remoto y en redes no privadas. Si tu situación específica requiere una VPN es una determinación que hacés, pero para casi cualquier preparador que trabaja desde cualquier lado que no sea una sola red de oficina segura, la respuesta es sí.

¿Una VPN gratis está bien para cumplimiento fiscal?

No la recomendamos. Las VPNs gratis tienen un largo historial de problemas de recolección de datos. La postura de cumplimiento que estás tratando de mantener es "encriptación en tránsito con un proveedor confiable"; una VPN gratis que monetiza datos del usuario no satisface la segunda parte. Las VPNs pagas reputables (Fexyn, ProtonVPN, NordVPN, Mullvad, IVPN) son apropiadas.

¿Necesito una VPN separada para cada preparador en mi despacho?

Cada dispositivo que maneja datos del contribuyente debería correr una VPN cuando esté en una red no privada. La mayoría de los proveedores VPN (incluyendo Fexyn) venden suscripciones por cuenta que permiten múltiples instalaciones de dispositivo. Para un despacho pequeño, una suscripción por preparador (cubriendo su laptop de trabajo y teléfono) es estándar.

¿Y el software fiscal basado en la nube (TaxAct, TurboTax para profesionales, versiones online)?

El software fiscal en la nube corre en el centro de datos del vendedor. Tu conexión a él es sobre internet pública. La postura de cumplimiento del vendedor cubre su lado; tu VPN cubre tu lado de la conexión. Ambas capas son necesarias.

¿La VPN frenará la presentación electrónica?

Un poco. Las presentaciones electrónicas del software fiscal son transferencias de datos pequeñas; el overhead de la VPN es despreciable para estas. Las transferencias de documentos largas desde almacenamiento en la nube serán levemente más lentas con VPN activa, pero no notablemente.

¿Qué pasa si me olvido de prender la VPN durante una sesión remota?

Una auditoría WISP no atrapará una sola instancia de VPN olvidada. Un patrón de la VPN no corriendo podría. Usá funciones de auto-conectar (Fexyn soporta VPN "siempre activa" por dispositivo). Documentá la política en el WISP. Capacitá al personal sobre ella.

Probá Fexyn gratis 7 días — precios Tier 1 para usuarios EE. UU., $9.99/mes. La guía Cómo elegir una VPN cubre la decisión de compra más amplia; Kill switch explicado cubre el kill switch a nivel de kernel que importa para cumplimiento.

Última revisión 2026-05-09. No es asesoría legal o fiscal; validá con tu revisor de cumplimiento.

VPN para preparadores de impuestos | Fexyn VPN