¿Necesito un WISP si solo tengo unos pocos clientes?

Sí. La Regla de Salvaguardas de la FTC (16 CFR Parte 314) aplica a todo preparador de impuestos que maneje información financiera personal de clientes, sin importar el tamaño de su práctica. Existe un malentendido común sobre el umbral de 5,000 clientes: ese umbral solo reduce ciertos requisitos de documentación adicional (como el reporte por escrito al consejo y la designación formal de un Qualified Individual con reporte anual), pero NO exime a nadie de tener un Plan Escrito de Seguridad de Información. Un preparador independiente con 30 clientes tiene la misma obligación legal de mantener un WISP que una firma con 500 clientes.

¿Puedo usar la plantilla gratuita del IRS?

Sí, la plantilla modelo publicada por el IRS Security Summit es un punto de partida válido y gratuito. Sin embargo, es un documento estático en Word: no se actualiza cuando cambian sus sistemas, no rastrea quién en su personal ha completado la capacitación anual, no verifica si su MFA realmente está activado, y no genera la evidencia de cumplimiento que un auditor del IRS o una aseguradora cibernética le pedirá ver. La diferencia es entre tener un documento archivado y tener un programa de cumplimiento activo y demostrable.

¿En qué idioma debe estar escrito mi WISP?

La ley federal no especifica el idioma. Sin embargo, el IRS y la FTC publican sus requisitos en inglés y cualquier examen, auditoría o investigación federal se conduciría en inglés. Recomendamos mantener su WISP oficial en inglés para cumplimiento formal, con una versión en español de referencia interna si su equipo la necesita para entrenamiento. WISPWolf genera su plan en inglés para que pase cualquier revisión del IRS, la FTC o su aseguradora cibernética sin fricción.

¿Cuánto tiempo tarda en crear mi WISP con WISPWolf?

La evaluación inicial toma aproximadamente 5 minutos. WISPWolf genera su plan personalizado de forma inmediata al finalizar. La configuración completa — incluyendo la conexión con Microsoft 365 para verificación automática de MFA, cifrado y políticas — toma menos de una hora. Comparado con las 15 a 40 horas que toma redactar un WISP desde cero con la plantilla del IRS, es la diferencia entre una tarde y un trimestre.

Cumplimiento IRS · FTC

Su Plan de Seguridad de Información: Lo Que el IRS Exige de Cada Preparador de Impuestos

Si usted prepara declaraciones de impuestos en Estados Unidos, la ley federal le exige tener un Plan Escrito de Seguridad de Información. Aquí le explicamos qué es, qué debe incluir, y qué pasa si no lo tiene.

Por el Equipo de Cumplimiento de WISPWolf · Actualizado junio 2026 · 8 min de lectura

Obtenga su puntuación de cumplimiento gratis

¿Qué es un Plan de Seguridad de Información?

Un Plan Escrito de Seguridad de Información — conocido en inglés como WISP, por Written Information Security Plan — es un documento legal requerido por el gobierno federal que detalla cómo su firma protege la información personal y financiera de sus clientes. No es una recomendación ni una buena práctica opcional: es un requisito explícito de la Publicación 5708 del IRS y de la Regla de Salvaguardas de la FTC (16 CFR Parte 314), publicada bajo la Ley Gramm-Leach-Bliley (GLBA).

Su WISP debe documentar las tres categorías de salvaguardas que la ley exige: administrativas (políticas, procedimientos y capacitación), técnicas (cifrado, MFA, controles de acceso) y físicas (protección de oficinas, dispositivos y documentos en papel). No es un formulario de una sola vez. Debe mantenerse actualizado, revisarse anualmente, y reflejar los sistemas y el personal que su firma realmente usa hoy. Aplica a firmas de cualquier tamaño, incluyendo preparadores independientes que trabajan desde casa con una sola computadora.

¿Quién está obligado a tener un WISP?

La obligación aplica a todo profesional que maneje datos financieros personales de clientes bajo la definición de "institución financiera" de GLBA — una categoría que, aunque suene corporativa, incluye explícitamente a los preparadores de impuestos:

Preparadores de impuestos con PTIN
Contadores Públicos Certificados (CPAs)
Agentes Inscritos (Enrolled Agents)
Tenedores de libros (bookkeepers)
Asesores financieros
Firmas multioficina y bilingües

Existe un malentendido común que vale la pena desmontar: "Tengo pocos clientes, esto no me aplica." Es falso. El umbral de 5,000 clientes que menciona la FTC solo reduce algunos requisitos de documentación adicional para firmas pequeñas — no exime a nadie de tener un WISP. La Publicación 4557 del IRS lo confirma: la obligación de proteger los datos del contribuyente y mantener un plan por escrito aplica desde el primer cliente.

¿Qué debe incluir su plan?

La Regla de Salvaguardas actualizada de la FTC y la Publicación 5708 del IRS exigen seis componentes mínimos. Su WISP debe documentar cada uno con evidencia específica de su firma, no con texto genérico copiado de una plantilla.

1. Evaluación de riesgos documentada

Identifique amenazas a los datos de sus clientes, tanto internas como externas. La evaluación debe estar por escrito, fechada, y revisarse cuando cambien sus sistemas o personal.

2. Políticas de control de acceso

Documente quién puede acceder a qué información y bajo qué condiciones. Debe incluir autenticación multifactor (MFA) en todos los sistemas que toquen datos de clientes — no solo el correo.

3. Cifrado de datos

Los datos de clientes deben estar cifrados tanto en tránsito como en reposo, usando el estándar AES-256. Esto incluye laptops, copias de seguridad y archivos compartidos con el cliente.

4. Plan de respuesta a incidentes

Qué hacer en caso de una brecha de seguridad, quién notifica al IRS dentro de las 24 horas exigidas, y cómo proteger y comunicarse con los clientes afectados.

5. Capacitación del personal

Documentación de que usted y su personal reciben capacitación anual en seguridad de datos. Debe incluir registros firmados, fechas y contenido cubierto.

6. Revisión anual del plan

El plan debe revisarse y actualizarse al menos una vez al año, o cuando ocurran cambios significativos en sus sistemas, personal o servicios. La revisión debe quedar documentada.

¿Qué pasa si no tiene uno?

Las consecuencias de operar sin un WISP válido no son hipotéticas. La pregunta no es si el IRS o la FTC van a hacer cumplir estos requisitos — ya lo están haciendo en 2026. Esto es lo que está en juego:

Multas de la FTC

Hasta $51,744 por violación por día bajo la Sección 5 de la Ley FTC. Una sola brecha sin WISP puede acumular cientos de miles de dólares en penalidades.

Suspensión del PTIN

El IRS ahora requiere certificación de WISP en la renovación del PTIN. Sin un WISP válido, no puede renovar su PTIN — y sin PTIN, no puede presentar declaraciones electrónicas.

Reclamaciones denegadas

Si ocurre una brecha y su aseguradora cibernética descubre que no tenía un WISP actualizado, pueden negar su reclamación por incumplimiento de las condiciones de la póliza.

Responsabilidad civil

Sus clientes pueden demandarle directamente si sus datos son comprometidos y usted no tenía las salvaguardas exigidas por GLBA y la FTC.

Órdenes de consentimiento

La FTC puede exigirle supervisión externa por terceros independientes durante 5 a 20 años, con auditorías regulares pagadas por su firma.

Pérdida de clientes

Las firmas más grandes, los empleadores corporativos y muchos clientes con NIT ya exigen evidencia de WISP antes de compartir datos sensibles con su práctica.

Cómo WISPWolf le ayuda

WISPWolf es una plataforma de preparación para el cumplimiento construida específicamente para preparadores de impuestos, CPAs y agentes inscritos en Estados Unidos. No es un documento estático: es un programa de cumplimiento activo que genera evidencia continua.

Plan generado en minutos

WISPWolf crea su Plan de Seguridad personalizado basado en los sistemas, el personal y los servicios reales de su firma — no una plantilla genérica que un auditor puede identificar a primera vista.

Puntuación de cumplimiento en tiempo real

Vea exactamente dónde está su firma en relación con los requisitos de la Publicación 5708 del IRS y la Regla de Salvaguardas de la FTC, con priorización clara de las brechas que importan más.

Integración con Microsoft 365

WISPWolf verifica automáticamente su configuración de MFA, cifrado y políticas de seguridad en Microsoft 365 y las usa como evidencia técnica de cumplimiento — no solo afirmaciones en un documento.

Renovación anual automatizada

Recordatorios de revisión, atestación firmada, registros de capacitación y exportación lista para auditoría o aseguradora — todo en un solo lugar, listo cuando el IRS o la FTC lo pidan.

Preguntas frecuentes

Fuentes

Publicación 5708 del IRS — Cómo Crear un Plan Escrito de Seguridad de Información (irs.gov)
Publicación 4557 del IRS — Protección de los Datos del Contribuyente (irs.gov)
Regla de Salvaguardas de la FTC, 16 CFR Parte 314 (ftc.gov)
Programa de Seguridad del IRS — IRS Security Summit y plantilla modelo de WISP
Ley Gramm-Leach-Bliley (GLBA)
Informe de Costo de Brecha de Datos de IBM 2024 — costo promedio global de $4.88 millones por incidente

Versión en inglés: Written Information Security Plan — Complete Guide

Descubra en 5 minutos si su firma cumple con el IRS

Responda 15 preguntas breves y reciba su puntuación de cumplimiento, las brechas específicas que debe cerrar antes de su próxima renovación de PTIN, y un plan personalizado listo para auditoría.

Obtenga su puntuación de cumplimiento gratis