Dvoufaktorová autentizace: průvodce pro účetnictví

Proč je dvoufaktorová autentizace nezbytná v účetnictví

Účetnické kanceláře denně zpracovávají vysoce důvěrné finanční údaje: daňové výkazy, účetní závěrky, výplatní pásky, bankovní údaje stovek klientů. V roce 2025 podle výroční zprávy ANSSI vzrostly útoky phishingem zaměřené na regulované profese meziročně o 37 %. Tváří v tvář této hrozbě je dvoufaktorová autentizace (2FA) — také nazývaná vícefaktorová autentizace (MFA) — doporučenou první linií technické obrany.

Dvoufaktorová autentizace je založena na jednoduchém principu: aby se uživatel přihlásil do systému, musí prokázat svou identitu dvěma odlišnými prvky. Prvním je obvykle „něco, co víte" (heslo), druhým je „něco, co máte" (chytrý telefon, fyzická klávesa) nebo „něco, co jste" (biometrické údaje). Tento mechanismus činí prakticky nemožnými útoky na krádež hesla, které podle zprávy Verizon DBIR 2024 stále představují 81 % porušení dat.

Pro účetní je soulad s nařízením eIDAS a jeho požadavky na silné identifikace již dlouho nezbytností: je to regulační a etická nezbytnost. Tento článek vám vysvětluje, jak nakonfigurovat 2FA v kanceláři, jaké nástroje zvolit a jak své kolegy v této přeměně doprovázet.

---

Metody dvoufaktorové autentizace vhodné pro účetnictví

Autentizační aplikace (TOTP)

Nejrozšířenější metodou v účetnických kancelářích je používání aplikace, která generuje časově závislé kódy (TOTP — Time-based One-Time Password). Řešení jako Google Authenticator, Microsoft Authenticator nebo Authy generují 6místný kód obnovený každých 30 sekund. Tento kód je spojen se sdíleným tajemstvím uloženým v aplikaci během fáze registrace (skenování QR kódu).

Výhody pro kanceláře: nasazení bez dodatečných nákladů, funguje bez připojení k internetu, kompatibilní s prakticky všemi účetními softwary (Sage, Cegid, ACD, MyUnisoft). Nevýhoda: pokud spolupracovník ztratí svůj telefon, musí být postup obnovení předem promyšlen (záložní kódy mají být uloženy na bezpečném místě).

Fyzické bezpečnostní klíče (FIDO2/WebAuthn)

Pro kanceláře zpracovávající velké objemy citlivých dat nebo podléhající běžným auditům nabízejí hardwarové bezpečnostní klíče (typ YubiKey nebo Feitian) nejvyšší úroveň ochrany. Na základě standardů FIDO2 a WebAuthn jsou odolné vůči phishingu z konstrukce: klíč kryptograficky ověří doménu webu před autentizací, čímž neutralizuje útoky typu „man-in-the-middle".

Čím dál více daňových portálů a povinných platforem pro ukládání (DGFiP, infogreffe) přijímá tyto standardy. Kancelář spravující asi sto mandátů si může vrátit náklady na nákup klíčů (přibližně 50-80 € za kus) v průběhu několika týdnů snížením času na správu bezpečnostních incidentů.

SMS OTP: je třeba se vyhnout citlivým údajům

Přestože kódy zaslané SMS zůstávají možností v mnoha systémech, americký NIST (National Institute of Standards and Technology) je v roce 2016 degradoval z kategorie silných autentizačních metod. Útoky přes SIM swapping (podvodný přenos telefonního čísla na SIM kartu kontrolovanou útočníkem) zasáhly v posledních letech několik francouzských účetnických kanceláří. Pro přístupy k daňovým údajům nebo k nástrojům pro elektronický podpis pro právnické a účetnické kanceláře by měl být SMS OTP považován pouze za poslední možnost.

---

Jak nakonfigurovat dvoufaktorovou autentizaci: podrobný průvodce

Krok 1 — Inventarizace aplikací a vymezení rozsahu

Před technickým nasazením vytvořte úplný inventář všech aplikací používaných v kanceláři:

• Účetní softwary: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Email a kolaborativní nástroje: Microsoft 365, Google Workspace, Slack
• Nástroje pro správu dokumentů a podpis: depozitní platformy, nástroje workflowu
• Vzdálené přístupy: VPN, RDP, virtuální plochy
• Portály pro klienty: prostory pro výměnu dokumentů s klienty

Pro každou aplikaci ověřte, zda je 2FA dostupná (sekce „Zabezpečení" nastavení) a jaká metoda je podporována (TOTP, FIDO2, SMS). Seřaďte aplikace podle kritičnosti na základě citlivosti přístupných dat.

Krok 2 — Technické nasazení a registrace spolupracovníků

U služby Microsoft 365 se konfigurace provádí prostřednictvím portálu Azure Active Directory (Entra ID). Aktivujte „Security Defaults" nebo pro kanceláře s více než 10 spolupracovníky nakonfigurujte politiky podmíněného přístupu (dostupné od licence Business Premium). Tyto politiky umožňují vyžadovat 2FA pouze za určitých podmínek: přístup zvenčí kanceláře, přihlášení z neznámého zařízení, neobvyklá doba.

Pro účetní softwary se postup liší podle vydavatele:

• Cegid Loop: nastavení zabezpečení > aktivace dvojí autentizace > generování QR kódů pro každého uživatele
• MyUnisoft: správa > zabezpečení > silná autentizace > vynucování 2FA pro všechny profily
• Sage 100 Cloud: obraťte se na správce Sage nebo svého prodejce, aby aktivoval modul MFA

Naplánujte registrační relaci s každým spolupracovníkem (15 až 20 minut na osobu). Distribuujte každému uživateli přehledový list se svými záložními kódy, které si má uchovat na bezpečném a fyzickém místě (trezor kanceláře atd.).

Krok 3 — Politika řízení a nouzové postupy

Technické zavedení je jen polovina práce. Zdokumentovaná bezpečnostní politika musí upřesňovat:

• Kdo může 2FA dočasně deaktivovat (pouze správce systému, nikdy sám spolupracovník)
• Postup ztráty zařízení: okamžitou blokaci účtu, regeneraci záložních kódů, kontrolovanou změnu registrace
• Frekvence revize: pololetní audit přístupu a autentizačních metod
• Správa odchodů: okamžité zrušení přístupu a tajemství 2FA při jakémkoli odchodu spolupracovníka

Tato politika se přirozeně integruje do vašeho plánu kontinuity činnosti (PCA) a do registru zpracování údajů ve smyslu GDPR. Konzultace s centrem technické podpory Certyneo vám může poskytnout šablony politik přizpůsobené malým a středním strukturám.

---

Integrace 2FA s nástroji pro elektronický podpis

Pokročilý nebo kvalifikovaný elektronický podpis, jak je definován v nařízení eIDAS, vyžaduje silnou identifikaci podepisujícího. Konkrétně, když vaše kancelář odešle klientovi dopis o pověření nebo smlouvu o poskytování služeb k podpisu, platforma pro podpis musí ověřit totožnost podepisujícího robustním způsobem. Přesně zde vstupuje 2FA.

Na platformách pro podpis v souladu s eIDAS (pokročilá nebo kvalifikovaná úroveň) obdrží podepisující odkaz e-mailem a poté musí ověřit svou totožnost prostřednictvím druhého kanálu (SMS, autentizační aplikace nebo kvalifikovaný certifikát). Tento proces vytváří revizní stopu s časovým razítkem a kryptograficky ověřitelnou, která v případě sporu představuje nezvratný důkaz — zásadní otázka pro účetní, kteří svou odpovědnost za každý mandát angažují.

Aby jste porozuměli různým úrovním podpisu a vybrali si ten, který je vhodný pro vaše procesy dokumentů, doporučuje se přečtení si úplného průvodce elektronickým podpisem. Kanceláře, které používají Certyneo, mají výhodu v podobě nativní integrace 2FA do procesu podepisování, což snižuje tření pro podepisujícího a přitom si udržuje požadovanou úroveň souladu.

Zvláštní pozornost by měla být věnována dopisům o pověření (povinné podle profesní normy 2400 OEC) a zprávám auditora: tyto dokumenty angažují osobní odpovědnost profesionála a vyžadují bezchybnou stopu autentizace. Můžete také použít generátor smluv s umělou inteligencí pro automatizaci vytváření těchto dokumentů a zároveň integraci požadavků na silnou autentizaci již na počátku návrhu.

---

Školení a povědomí spolupracovníků: lidský faktor

Nejpřísnější technické nasazení je znehodnoceno, pokud spolupracovníci neporozumí problémům nebo obejdou bezpečnostní zařízení. V účetnictví se týmy často skládají z velmi rozmanitých profilů: senior partneři, младší spolupracovníci, stážisté, asistentky. Školení by mělo být přizpůsobeno každému profilu.

Doporučený program zvyšování povědomí pro kanceláře se 5 až 30 zaměstnanci:

1. Spouštěcí relace (1 hod.): předložení konkrétních rizik (příklady anonymizovaných skutečných incidentů v sektoru), živá ukázka konfigurace, otázky a odpovědi
2. Krátké výuková videa (3-5 minut každé): jeden tutoriál na kritickou aplikaci, dostupný v intranetu kanceláře
3. Simulovaný phishingový test: poslání falešného phishingového emailu po 3 měsících nasazení k měření skutečné ostražitosti a identifikaci spolupracovníků vyžadujících další podporu
4. Integrace do onboardingu: každý nový spolupracovník si nakonfiguruje 2FA na svůj první den s určeným referentem

Komora účetních (OEC) také nabízí vzdělávací zdroje v oblasti kybernetické bezpečnosti v rámci povinného celoživotního vzdělání (40 hodin ročně pro účetní zapsané v registru). Tato školení lze oceňovat v rámci vašeho systému řízení kvality, pokud je vaše kancelář certifikována dle ISO 9001 nebo se snaží získat certifikaci kybernetické bezpečnosti (značka ExpertCyber ANSSI apod.).

Právní rámec aplikovatelný na silnou autentizaci v účetnictví

Zavedení dvoufaktorové autentizace v účetnické kanceláři se pohybuje v hustém regulačním rámci articulovaném kolem několika základních textů.

Nařízení eIDAS č. 910/2014 a jeho revize eIDAS 2.0 (Nařízení EU 2024/1183) tvoří referenční základ pro všechno, co se týká elektronické identifikace v Evropě. Článek 8 definuje tři úrovně záruky pro prostředky elektronické identifikace: nízkou, podstatnou a vysokou. Pro akty angažující odpovědnost účetního (podepisování zpráv, ověřování daňových výkazů online) je vyžadována úroveň záruky „podstatná" nebo „vysoká", což nevyhnutelně implikuje vícefaktorovou autentizaci.

GDPR (Nařízení EU 2016/679), v článku 32, ukládá správcům údajů zavádění „vhodných technických a organizačních opatření" k zajištění bezpečnosti osobních údajů. Účetnická kancelář zpracovává citlivé osobní údaje (finanční údaje, údaje o zdraví prostřednictvím výplatních listů se zprávami o nemocenské atd.). Absence 2FA na přístupu k účetním softwarům velmi pravděpodobně představuje porušení tohoto článku, vystavujícího kancelář sankcím až do výše 4 % ročního globálního obratu (článek 83 GDPR).

Občanský zákoník, články 1366 a 1367, upravují právní hodnotu elektronického podpisu. Článek 1367 uvádí, že „spolehlivost postupu elektronického podpisu se, pokud se neprokazuje opak, má za prokázanou, má-li tento postup za následek kvalifikovaný elektronický podpis". Silná autentizace je nezbytnou součástí této presumpcí spolehlivosti.

Směrnice NIS2 (Směrnice EU 2022/2555), přenesena do francouzského práva zákonem č. 2024-449 ze 21. května 2024 a jeho prováděcími nařízením, rozšiřuje povinnosti kybernetické bezpečnosti na широký spektrum subjektů. Přestože účetnické kanceláře nejsou přímo uvedeny jako podstatné subjekty, ty, které poskytují digitální služby podstatným nebo důležitým subjektům (zdravotnická zařízení, místní samosprávy, podniky kritické infrastruktury), mohou být vázány povinnostmi reflexivně prostřednictvím svých smluv o poskytování služeb.

Profesní norma 2400 Komory účetních také ukládá zesílenou povinnost péče v oblasti bezpečnosti informačních systémů pro kanceláře zajišťující zákonné mise. ANSSI explicitně doporučuje MFA jako minimální opatření ve svém průvodci „Bezpečnost informačních systémů pro malé a střední podniky" (vydání 2024).

Odpovědnost za profesní chyby: v případě porušení údajů klientů vyplývajícího z absence 2FA může pojišťovna RCP kanceláře vyvolat pochybení k redukci nebo odmítnutí své záruky. Důrazně se doporučuje uchovávat dokumentaci technického nasazení 2FA jako důkaz náležité péče.

Scénáře použití: 2FA v praxi v účetnických kancelářích

Scénář 1 — Střední velká účetnická kancelář

Kancelář s patnácti spolupracovníky, která spravuje asi 400 aktivních mandátů, se rozhodla zavést 2FA na všech svých nástrojích poté, co došlo k incidentu phishingu, který téměř vykompromitoval přístup k jejímu software pro správu mezd. Vedení se rozhodlo pro Microsoft Authenticator na Microsoft 365 (email, SharePoint, Teams) a pro nativní TOTP aplikace svého cloudového účetního software.

Nasazení bylo realizováno za tři týdny: jeden týden inventarizace a konfigurace, jeden týden registrace spolupracovníků v skupinách po pěti, jeden týden sledování a opravy problémů. Výsledek: žádný incident porušení účtu v následujících 12 měsících, na rozdíl od dvou incidentů v předchozím roce. Čas věnovaný správě bezpečnostních incidentů se snížil o přibližně 70 %. Kancelář také mohla prokázat několika klientům s velkým kapitálem (včetně jednoho průmyslového malého podniku klienta s vlastní bezpečnostní chartou dodavatele), že její systémy splňují požadavky MFA.

Scénář 2 — Kancelář specializovaná na zákonný audit malých podniků

Kancelář s právem auditovat a spravující asi šedesát mandátů audit se setkala se specifickým požadavkem: její klienti čím dál více požadují důkaz souladu s GDPR při obnovení misí. Kancelář se rozhodla nasadit hardwarové bezpečnostní klíče FIDO2 pro partnery (přístup k nejcitlivějším složkám) a TOTP aplikace pro staršího spolupracovníka, přičemž SMS OTP zachovávala pouze pro přístupy s nízkou citlivostí.

Paralelně kancelář integrovala pokročilý elektronický podpis do svých tokendů zpráv auditorů se systematickou silnou autentizací podepisujícího. Díky generované revizní stopě mohly být dva potenciální spory s klienty, kteří zpochybňovali skutečné datum doručení zprávy, vyřešeny ve prospěch kanceláře předložením horodatovaných protokolů autentizace. Také se zkrátily lhůty pro podepsání zpráv (v průměru z 5 dní na méně než 24 hodin), což plynuleji upravilo fakturaci a zlepšilo peněžní tok kanceláře o přibližně 15 %.

Scénář 3 — Kancelář v růstové fázi externí expanze

Místní síť účetnických kanceláří, která absorbovala tři samostatné struktury během dvou let, se ocitla s významnou heterogenitou systémů: některé absorbované kanceláře nemohly žádnou politiku 2FA, jiné používaly SMS OTP. Skupina se rozhodla využít tuto integraci k harmonizaci jednotného řešení správy identit (IAM — Identity and Access Management) s povinnou 2FA.

Počáteční investice (licence IAM, školení, podpora) se odhadla na přibližně 8 000 € pro celou skupinu (přibližně 45 spolupracovníků). Výměnou za to se snížily náklady související s bezpečnostními incidenty (zásahy IT poskytovatele, řízení krize) na odhadem 15 000-20 000 € v prvním roce. Skupina mohla také vyjednat snížení své pojistky cyber o přibližně 20 % tím, že své pojišťovně poskytla dokumentaci nasazení 2FA.

Závěr

Dvoufaktorová autentizace již není luxus vyhrazený velkým strukturám: je to bezpečnostní a regulační nezbytnost pro každou účetnickou kancelář, bez ohledu na velikost. Mezi požadavky GDPR, doporučeními ANSSI, povinnostmi eIDAS pro elektronický podpis a rostoucím tlakem klientů na bezpečnostní standardy jejich poskytovatelů se 2FA stala nezvratným standardem sektoru.

Dobrá zpráva: nasazení je dnes dostupné, rychlé a levné. Pokud budete postupovat podle kroků popsaných v tomto článku — inventarizaci aplikací, volbě vhodné metody, registraci spolupracovníků, vypracování zdokumentované politiky — může vaše kancelář dosáhnout robustní úrovně bezpečnosti během několika týdnů.

Certyneo nativně integruje silnou autentizaci do svých procesů elektronického podpisu, což vám umožňuje kombinovat soulad s eIDAS a bezpečnost MFA bez dodatečné složitosti. Podívejte se na naše nabídky a ceny nebo kontaktujte náš tým pro individuální asistenci při přizpůsobení vaší kanceláře.