Fexyn
Fexyn
All posts

VPN para preparadores de imposto

Fexyn Team··9 min read

VPN para preparadores de imposto entra na conversa porque o IRS exige que todo preparador de imposto pago mantenha um Written Information Security Plan (WISP). O requisito vem da Safeguards Rule da Gramm-Leach-Bliley Act (15 U.S.C. § 6801) como aplicada pela FTC, mais Publication 4557 do IRS e Form W-12 (aplicação do PTIN). O IRS começou a checar ativamente compliance WISP durante revisões EFIN em torno de 2022; não-compliance pode produzir sanções do IRS e exposição real de responsabilidade se uma violação de dados acontecer.

Uso de VPN é salvaguarda listada na Publication 4557 do IRS e no template WISP do IRS. A maioria dos preparadores de imposto lendo isso já sabe que precisa de WISP; a pergunta é o que sua VPN realmente tem que fazer pra que compliance seja defensável.

Isso não é aconselhamento legal ou fiscal. Somos uma empresa de VPN escrevendo sobre como nosso produto se encaixa numa postura que você deve validar com profissional de compliance.

O que o WISP realmente exige

Um WISP deve abordar a segurança de dados do contribuinte pela prática. O template do IRS (em Publication 4557 e em irs.gov) lista categorias que devem ser cobertas:

  • Coordenador de Segurança da Informação Designado. Uma pessoa nomeada responsável pelo plano.
  • Avaliação de risco. Identificar riscos internos e externos previsíveis.
  • Informação do cliente em repouso. Como dados são armazenados em mídia física e eletrônica.
  • Informação do cliente em trânsito. Como dados se movem entre você, clientes, IRS, fornecedores de software. É aqui que VPN aparece.
  • Controles de acesso. Quem pode acessar quais dados, como autenticação é implementada.
  • Provedores de serviço. Terceiros (nuvem, software, contratados) que tocam os dados.
  • Detecção de ataques. Monitoramento pra acesso não autorizado.
  • Resposta a incidentes. O que acontece quando algo dá errado.
  • Revisão e atualização anual.

O IRS chama VPN especificamente na Publication 4557:

"Use uma Virtual Private Network (VPN) pra conduzir negócio com segurança de qualquer localização, particularmente quando trabalhando remotamente."

Essa é uma frase num documento de várias páginas. VPN é uma salvaguarda entre muitas. A checklist de auditoria WISP trata como esperado, não opcional.

Onde uma VPN se encaixa no WISP

Concretamente, uma VPN aborda três categorias do template WISP:

1. Informação em trânsito, rede pública. Preparadores de imposto trabalhando de redes domésticas, cafeterias, quartos de hotel, Wi-Fi de conferência ou localizações de cliente movem dados de contribuinte sobre redes que o preparador não controla. Uma VPN criptografa esse trânsito. Defensabilidade WISP pra trabalho em rede não privada geralmente exige uma VPN.

2. Acesso remoto a sistemas da firma. Um preparador acessando software de imposto da firma, gestão de documentos ou drive compartilhado de fora do escritório usa um caminho de acesso remoto. Uma VPN tuneliza esse caminho. A maioria dos softwares de imposto (UltraTax, ProSeries, Lacerte, Drake) recomenda VPN pra acesso remoto na sua própria orientação de segurança.

3. Conexões de e-file IRS. Quando transmite declarações ao IRS pelo pipeline de e-file do seu software de imposto, os dados se movem sobre a internet pública. A própria infraestrutura do IRS é criptografada via TLS, mas o caminho da sua rede até a internet pública é sua responsabilidade. Uma VPN adiciona outra camada de criptografia sobre a camada TLS do IRS.

O que uma VPN não cobre

Uma postura compatível com WISP precisa de mais que só VPN:

Criptografia de armazenamento de documento. Dados de imposto armazenados no seu laptop, na nuvem ou em NAS precisam de criptografia em repouso. Uma VPN não fornece isso.

Autenticação. Senhas únicas fortes. Autenticação multi-fator em software de imposto, email, gestão de documentos. O IRS especificamente exige MFA em contas de software de imposto; a maioria das principais plataformas de prep de imposto agora aplica.

Segurança de endpoint. OS atual. Antivírus atual. Política conservadora de instalação de software. Preparadores de imposto são alvo de alto valor pra fraude fiscal; comprometimento de endpoint é o vetor de ataque principal.

Segurança de email. Email criptografado ponta a ponta (ou portal seguro de documento) pra transmitir documentos de cliente. Email regular é criptografado em trânsito entre servidores de mail mas não é criptografado ponta a ponta.

Segurança física. Escritórios trancados, dispositivos trancados, privacidade de tela.

Compliance de provedor de serviço. Postura de compliance do seu armazenamento de documento na nuvem. Postura de compliance do seu fornecedor de software de imposto. O IRS exige que você verifique que provedores de serviço atendem padrões equivalentes.

Resposta a incidentes e notificação de violação. O que você faz quando algo dá errado. Leis estaduais diferem sobre o que constitui violação e quando notificação é exigida.

Treinamento anual. A Safeguards Rule exige treinamento de equipe. Documentação de treinamento importa durante revisão do IRS.

Um WISP que diz "usamos VPN" e trata a VPN como a postura completa de compliance não é defensável. Um WISP que documenta uso de VPN como uma de múltiplas salvaguardas em camadas, com todas as categorias acima abordadas, é defensável.

Sazonalidade da temporada de imposto

O momento relevante de compliance pra maioria dos preparadores de imposto é janeiro a abril. Durante esses meses, o volume de manuseio de dados é alto, a pressão de tempo é alta, e a tentação de cortar caminho é maior. Uma auditoria WISP durante revisão EFIN é mais provável de cair nessa janela.

Implicações práticas:

  • Tenha a VPN já instalada e testada antes da temporada de imposto começar. Configurar uma nova VPN em março, enquanto rodando semanas de 80 horas de declarações, é a hora errada.
  • Documente o papel da VPN no seu WISP. Nome do fornecedor, o que fornece, quando é exigida estar ativa.
  • Se você tem equipe remota ou contratados, certifique-se que a configuração VPN deles é consistente. Configurações de equipe inconsistentes são achado de auditoria.
  • Teste o kill switch. Uma VPN que cai no meio da sessão e deixa tráfego sair não criptografado derrota a salvaguarda de compliance. O kill switch do Fexyn (baseado em Windows Filtering Platform, bloqueia no nível do kernel) é significativo aqui porque previne tráfego não criptografado de sair da sua máquina quando a VPN cai.

Onde o Fexyn se encaixa, honestamente

O Fexyn fornece a salvaguarda de criptografia em trânsito. Isso cobre uma categoria WISP específica. Somos apropriados pra:

  • Preparadores de imposto solo e pequenas firmas (até ~5 preparadores) lidando com sua própria configuração
  • Preparadores de imposto que viajam durante a baixa temporada ou trabalham de localizações não-firma
  • Práticas onde a VPN é uma salvaguarda numa postura em camadas, não a postura completa

Onde o Fexyn não finge cobrir o WISP completo:

  • Não fornecemos software de imposto
  • Não fornecemos armazenamento de documento com trilha de auditoria
  • Não fornecemos infraestrutura MFA pro seu software de imposto
  • Não fornecemos segurança de endpoint
  • Não fornecemos um tier business centralizado com reportagem de compliance; pra firmas querendo esse nível de controle administrativo, NordLayer ou Perimeter81 são melhores encaixes

Detalhe de preço relevante pra preparadores de imposto: oferecemos cobrança só em cripto como opção (alguns preparadores de imposto preferem manter custos recorrentes de software fora do cartão principal de negócio), cobrança em cartão como padrão, e preço Tier 1 pra usuários US a $9.99/mês. O teste grátis de 7 dias não exige cartão.

A pergunta do W-12

Form W-12 (Application for Preparer Tax Identification Number renewal) pergunta se o preparador tem WISP. A resposta honesta importa. Declaração incorreta no W-12 é problema próprio distinto de qualquer problema de violação de dados.

Ter um WISP que documenta suas salvaguardas (incluindo VPN) é o caminho que te deixa responder verdadeiramente. Um WISP pode ser um documento de 4 páginas pra preparador solo ou documento de 40 páginas pra firma multi-escritório. O template do IRS na Publication 4557 é ponto de partida razoável.

Perguntas frequentes

VPN é exigida pelo IRS?

Não literalmente. A Safeguards Rule do IRS e Publication 4557 exigem salvaguardas "razoáveis" proporcionais ao seu volume de dados e risco. VPN é explicitamente recomendada pra trabalho remoto e em rede não privada. Se sua situação específica exige VPN é determinação que você faz, mas pra quase qualquer preparador que trabalha de qualquer lugar diferente de uma rede de escritório única segura, a resposta é sim.

VPN grátis serve pra compliance fiscal?

Não recomendamos. VPNs grátis têm longa história de problemas de coleta de dados. A postura de compliance que você tá tentando manter é "criptografia em trânsito com fornecedor confiável"; uma VPN grátis que monetiza dados de usuário não satisfaz a segunda parte. VPNs pagas reputáveis (Fexyn, ProtonVPN, NordVPN, Mullvad, IVPN) são apropriadas.

Preciso de VPN separada pra cada preparador na minha firma?

Cada dispositivo que manuseia dados de contribuinte deve rodar VPN quando em rede não privada. A maioria dos provedores de VPN (incluindo Fexyn) vende assinaturas por conta que permitem múltiplas instalações de dispositivo. Pra firma pequena, uma assinatura por preparador (cobrindo seu laptop de trabalho e celular) é padrão.

E sobre software de imposto baseado em nuvem (TaxAct, TurboTax pra profissionais, versões online)?

Software de imposto na nuvem roda no data center do fornecedor. Sua conexão a ele é sobre internet pública. A postura de compliance do fornecedor cobre o lado deles; sua VPN cobre seu lado da conexão. Ambas as camadas são necessárias.

A VPN vai diminuir o e-filing?

Um pouco. As submissões de e-file do software de imposto são transferências de dados pequenas; a sobrecarga da VPN é negligenciável pra essas. Transferências de documento de longa duração de armazenamento na nuvem serão levemente mais lentas com VPN ativa, mas não notavelmente.

E se eu esquecer de ligar a VPN durante uma sessão remota?

Uma auditoria WISP não vai pegar uma única instância de VPN esquecida. Um padrão da VPN não rodando pode. Use features de auto-conectar (Fexyn suporta VPN "always-on" por dispositivo). Documente a política no WISP. Treine equipe nisso.

Experimente o Fexyn grátis por 7 dias — preço Tier 1 pra usuários US, $9.99/mês. O guia Como escolher uma VPN cobre a decisão de compra mais ampla; Kill switch explicado cobre o kill switch no nível do kernel que importa pra compliance.

Última revisão em 2026-05-09. Não é aconselhamento legal ou fiscal; valide com seu revisor de compliance.

VPN para preparadores de imposto | Fexyn VPN