Mejores prácticas para enviar datos fiscales a un profesional fiscal

Navega tus respuestas
7

Comencé a hacer negocios con mis preparadores de impuestos cuando todos vivíamos en la misma ciudad. Recientemente me mudé a un estado diferente. Solicité que enviaran mi "Organizador de impuestos" que contiene algunos datos personales:

  • Dirección del hogar
  • Fecha de nacimiento
  • número de teléfono
  • dirección de correo electrónico
  • Nombre del banco, pero no número de cuenta
  • Nombre del empleador
  • Algunos totales de impuestos anteriores

Les envié un correo electrónico desde la dirección de correo electrónico que tengo archivada con ellos y les di mi nombre, dirección y fecha de nacimiento. En base a esto, me enviaron un archivo PDF. El título del archivo contenía todos menos el último dígito de mi número de seguro social. El archivo está protegido por contraseña con mi número de casa, que se incluyó en mi correo electrónico a ellos.

Siento que debería tener una discusión con mis preparadores de impuestos sobre cómo están manejando mis datos, pero no estoy seguro de qué decirles que hagan en su lugar. ¿Cuál sería una mejor manera de intercambiar datos? ¿Hay alguna forma que no implique que exija que se registren para nuevos servicios caros?

    
pregunta Anna Matrices 10.03.2016 - 19:18
fuente

3 respuestas

6

En este caso, lo mejor es utilizar algún tipo de cifrado. Sin embargo, el problema con el cifrado cuando se habla con profesionales que no son de tecnología suele ser doble:

  • El intercambio de la contraseña a menudo se realiza de forma insegura, por ejemplo. msgstr "enviar una contraseña en un correo electrónico separado." El intercambio de contraseñas, si se utiliza la protección por contraseña, debe realizarse por teléfono o fuera de línea. Además, como ha notado, a menudo las contraseñas son fáciles de adivinar.
  • Dificultad de uso: a menudo, la experiencia del usuario de usar herramientas de cifrado (como PGP) es tan prohibitiva, tanto para la persona que la envía como para el destinatario, que las medidas de seguridad se desactivan o debilitan para facilitar la tarea.

El cifrado de PDF cuando se utiliza un software moderno de PDF es bastante bueno y utiliza AES de forma predeterminada, al menos en la implementación de Adobe. Sin embargo, si usa una contraseña débil, entonces esos beneficios se deshacen en gran medida.

Sin embargo, hay algunas buenas soluciones que son fáciles de usar:

  • Complementos de cifrado de correo electrónico: existen varios programas fáciles de usar para proteger los correos electrónicos. Un ejemplo de esto es Virtru .
  • Servicios de intercambio de archivos auto alojados como ownCloud : puede configurar una instancia de ownCloud para compartir archivos de forma segura con un enlace y se pueden establecer fechas de caducidad para archivos.
  • Servicios de intercambio de archivos alojados como box.com: puede compartir archivos cifrados con contraseñas y fechas de caducidad.

Recomiendo sugerir estas opciones a su empresa de preparación de impuestos, para que puedan evitar incidentes de seguridad potencialmente costosos y onerosos debido a sus prácticas actuales.

    
respondido por el Herringbone Cat 10.03.2016 - 19:54
fuente
1

Una forma de resolver este problema sin romper el banco y sin demasiada complejidad es usar un programa como WinZip para cifrar sus archivos. Las versiones actuales de WinZip admiten el cifrado AES256, que los expertos del sector consideran altamente seguros (consulte enlace para obtener más información) ).

Este tipo de cifrado (cifrado simétrico) utiliza la misma contraseña para cifrar archivos y descifrar archivos. Simplemente póngase de acuerdo con su preparador de impuestos por teléfono para usar una contraseña (asegúrese de elegir una que sea lo suficientemente larga y compleja para evitar un ataque de fuerza bruta), luego pídale a su preparador de impuestos que cifre cualquier archivo que le envíe usando WinZip con esta contraseña. Luego, use la misma contraseña para descifrar los archivos que recibe de ellos.

    
respondido por el mti2935 10.03.2016 - 19:40
fuente
0

Diría que, siempre y cuando solo envíen correos electrónicos a una dirección de correo electrónico registrada con ellos (y este registro de dirección de correo electrónico se haya creado de manera segura, por ejemplo, mostrando la tarjeta de identificación y completando un formulario físicamente en la oficina de impuestos). ), hay una solución que la oficina de impuestos puede hacer, sin hacer nada complicado:

Pueden configurar el sistema utilizado para enviar estos archivos PDF y datos confidenciales, para requerir el soporte de STARTTLS en el servidor de correo en el extremo del receptor, y luego retroceder en, por ejemplo, archivos PDF encriptados con largas contraseñas enviadas por SMS a un instalador seguro. número de móvil, si el servidor de destino no es compatible con STARTTLS. Esto brinda máxima compatibilidad, por ejemplo, con clientes que no tienen ningún número de teléfono con su oficina de impuestos configurada.

La mayoría de los servidores de correo admiten el cifrado STARTTLS, y si necesita el cifrado STARTTLS, el correo electrónico se cifrará por cable y, por lo tanto, no se filtrarán datos.

Por supuesto, esto significa que parte de la responsabilidad recae en el usuario final (que recibe el PDF sensible) para configurar su cliente de correo electrónico para usar SSL para POP3 / IMAP. Pero en la mayoría de los casos, es seguro ejecutarse sin cifrado aquí, porque tan pronto como los datos ingresan al servidor de correo, se encuentra dentro de la red del ISP, siempre que el usuario use su correo del ISP y, por lo tanto, permanezca seguro contra cualquier indagación.

Por lo tanto, el correo estaría encriptado:

Si el Cliente que está recibiendo los documentos no ha configurado POP3S / IMAPS, sería así: 

Tax Office Employee ===> Tax Office SMTP ========internet=========> Your ISP SMTP -----> Client

Donde ---- > no está encriptado, y ==== > está encriptado.

Y si POP3S / IMAPS está configurado, se cifrará completamente.

    
respondido por el sebastian nielsen 10.03.2016 - 20:28
fuente

Lea otras preguntas en las etiquetas

Asegurar las claves de cifrado de datos simétricas (AES) almacenadas en el HSM en la memoria del servidor ¿Cuál es el punto de restringir una clave de API de Google por medio del referenciador HTTP?