VPN для налоговых консультантов

VPN для налоговых консультантов нужен потому, что IRS требует от каждого платного налогового консультанта поддерживать Written Information Security Plan (WISP). Требование идёт от Safeguards Rule Gramm-Leach-Bliley Act (15 U.S.C. § 6801) в энфорсменте FTC, плюс IRS Publication 4557 и Form W-12 (PTIN-заявка). IRS начал активно проверять WISP-compliance во время EFIN-ревью около 2022; non-compliance может дать IRS-санкции и реальное liability-exposure при бриче.

Использование VPN — listed-safeguard в IRS Publication 4557 и WISP-шаблоне IRS. Большинство налоговых консультантов, читающих это, уже знают, что им нужен WISP; вопрос — что VPN реально должен делать для compliance быть защитимой.

Это не юридический и не налоговый совет. Мы — VPN-компания, пишущая, как продукт вписывается в позу, которую стоит валидировать с compliance-профессионалом.

Что WISP реально требует

WISP должен адресовать безопасность taxpayer-данных по практике. Шаблон IRS (в Publication 4557 и на irs.gov) перечисляет категории, которые должны быть покрыты:

Designated Information Security Coordinator. Назначенный человек, ответственный за план.
Risk assessment. Идентификация foreseeable внутренних и внешних рисков.
Customer information at rest. Как данные хранятся на физических и электронных носителях.
Customer information in transit. Как данные двигаются между тобой, клиентами, IRS, software-вендорами. Тут появляется VPN.
Access controls. Кто к каким данным имеет доступ, как реализована аутентификация.
Service providers. Third parties (облако, софт, контракторы), которые касаются данных.
Detection of attacks. Мониторинг несанкционированного доступа.
Incident response. Что происходит, когда что-то идёт не так.
Annual review and update.

IRS явно зовёт VPN в Publication 4557:

«Use a Virtual Private Network (VPN) to securely conduct business from any location, particularly when working remotely.»

Это одно предложение в multi-page-документе. VPN — один safeguard среди многих. WISP-аудит-чеклист трактует его как ожидаемый, не опциональный.

Куда вписывается VPN в WISP

Конкретно VPN адресует три категории WISP-шаблона:

1. Информация в транзите, публичная сеть. Налоговые консультанты, работающие с домашних сетей, кофеен, отелей, конференц-Wi-Fi или клиентских локаций, двигают taxpayer-данные по сетям, которые консультант не контролирует. VPN шифрует этот транзит. WISP-защитимость для не-private-сетевой работы обычно требует VPN.

2. Удалённый доступ к firm-системам. Консультант, обращающийся к налоговому софту, document-management или shared-drive за пределами офиса, использует remote-access-путь. VPN туннелирует. Большинство налогового софта (UltraTax, ProSeries, Lacerte, Drake) рекомендует VPN для удалённого доступа в собственном security-гайдансе.

3. IRS e-file-соединения. При передаче возвратов в IRS через e-file-pipeline налогового софта данные движутся по публичному интернету. Инфраструктура IRS TLS-зашифрована, но путь от твоей сети до публичного интернета — твоя ответственность. VPN добавляет ещё один шифрующий слой поверх TLS-слоя IRS.

Что VPN не покрывает

WISP-compliant-поза нуждается в большем, чем просто VPN:

Шифрование document-storage. Налоговые данные на ноуте, в облаке или на NAS нуждаются в encryption at rest. VPN не предоставляет.

Аутентификация. Сильные уникальные пароли. MFA на налоговом софте, email, document-management. IRS конкретно требует MFA на аккаунтах налогового софта; большинство крупных платформ теперь энфорсят.

Endpoint security. Свежая ОС. Свежий антивирус. Консервативная политика установки. Налоговые консультанты — высокоценная цель для tax-fraud; endpoint-компромис — основной вектор атаки.

Email-безопасность. End-to-end-зашифрованный email (или защищённый портал документов) для передачи клиентских документов. Обычный email TLS-зашифрован между mail-серверами, но не end-to-end.

Физическая безопасность. Запертые офисы, запертые устройства, privacy экранов.

Service-provider-compliance. Compliance-поза твоего облачного хранилища документов. Compliance-поза вендора налогового софта. IRS требует, чтобы ты верифицировал, что service-providers соответствуют эквивалентным стандартам.

Incident response и breach notification. Что делаешь, когда что-то идёт не так. Законы штатов отличаются по тому, что считается брычем и когда уведомление требуется.

Ежегодный тренинг. Safeguards Rule требует тренинга персонала. Документация тренинга важна во время IRS-ревью.

WISP, говорящий «мы используем VPN» и трактующий VPN как всю compliance-позу, не защитим. WISP, документирующий использование VPN как один из multiple-layered-safeguards со всеми категориями выше — защитим.

Сезонность налогового сезона

Релевантный compliance-момент для большинства налоговых консультантов — январь-апрель. В эти месяцы объём обработки данных высок, time-pressure высок, и искушение срезать углы — максимально. WISP-аудит во время EFIN-ревью скорее всего попадает в это окно.

Практические импликации:

Установи и протестируй VPN до начала налогового сезона. Настройка нового VPN в марте, при 80-часовых неделях — не то время.
Документируй роль VPN в WISP. Имя вендора, что предоставляет, когда требуется быть активным.
Если есть удалённый персонал или контракторы, убедись, что их настройка VPN последовательна. Inconsistent-конфигурации — audit-finding.
Тестируй kill switch. VPN, падающий в сессии и пускающий незашифрованный трафик, побеждает compliance-safeguard. Kill switch Fexyn (Windows-Filtering-Platform-based, блокирует на kernel-level) тут значим, потому что не даёт незашифрованному трафику покинуть машину при падении VPN.

Куда вписывается Fexyn, честно

Fexyn даёт encryption-in-transit-safeguard. Это одна категория WISP. Подходим для:

Соло-консультантов и small-firm (под ~5 препареров), управляющих своей настройкой
Налоговых консультантов, путешествующих в off-season или работающих не из firm-локаций
Практик, где VPN — один safeguard в слоёной позе, не вся поза

Где Fexyn не претендует покрыть весь WISP:

Не предоставляем налоговый софт
Не предоставляем document-storage с audit-trail
Не предоставляем MFA-инфраструктуру для налогового софта
Не предоставляем endpoint-security
Не предоставляем централизованный business-tier с compliance-отчётностью; для фирм, желающих такого админ-контроля — NordLayer или Perimeter81 подходят лучше

Ценовая деталь, релевантная для налоговых консультантов: предлагаем крипто-биллинг как опцию (часть консультантов предпочитает держать recurring-software-расходы вне основной business-карты), карточный биллинг как дефолт, и Tier 1-цены для US-юзеров $9.99/мес. 7-дневный триал не требует карту.

Вопрос W-12

Form W-12 (Application for Preparer Tax Identification Number renewal) спрашивает, есть ли у консультанта WISP. Честный ответ имеет значение. Misstatement на W-12 — своя проблема, отдельная от data-breach-проблемы.

Иметь WISP, документирующий safeguards (включая VPN) — путь, позволяющий ответить честно. WISP может быть 4-страничным документом для соло или 40-страничным для multi-office-фирмы. Шаблон IRS в Publication 4557 — разумная отправная точка.

Часто спрашивают

VPN требуется IRS?

Не буквально. IRS Safeguards Rule и Publication 4557 требуют «разумных» safeguards пропорционально data-объёму и риску. VPN явно рекомендован для удалённой и не-private-сетевой работы. Требует ли твоя ситуация VPN — определение, которое делаешь, но почти для любого консультанта, работающего откуда-то, кроме одной защищённой офисной сети — ответ да.

Бесплатный VPN ок для налоговой compliance?

Не рекомендуем. У бесплатных VPN долгая история проблем со сбором данных. Поза, которую пытаешься поддерживать — «шифрование в транзите с надёжным провайдером»; бесплатный VPN, монетизирующий пользовательские данные, не удовлетворяет вторую часть. Репутационные платные (Fexyn, ProtonVPN, NordVPN, Mullvad, IVPN) уместны.

Нужен отдельный VPN на каждого консультанта в фирме?

Каждое устройство, обрабатывающее taxpayer-данные, должно гонять VPN на не-private-сети. Большинство VPN-провайдеров (включая Fexyn) продают per-account-подписки, разрешающие несколько device-установок. Для маленькой фирмы одна подписка на консультанта (покрывая рабочий ноут и телефон) стандартно.

Последняя проверка 2026-05-09. Не юридический и не налоговый совет; валидируй с compliance-ревьюером.