رفتن به محتوای اصلی
Certyneo

احراز هویت دو عاملی: راهنمای صنعت حسابداری

ایمن‌سازی دسترسی یک چالش حیاتی برای دفاتر حسابداری است. نحوه پیاده‌سازی احراز هویت دو عاملی برای محافظت از داده‌های کلاینت‌ها و رعایت تعهدات نظارتی را کشف کنید.

Équipe éditoriale Certyneo11 دقیقه مطالعه

Équipe éditoriale Certyneo

نویسنده — Certyneo · درباره Certyneo

text

چرا احراز هویت دو عاملی در حسابداری تخصصی ضروری است

دفاتر حسابداری تخصصی روزانه با داده‌های مالی بسیار محرمانه سروکار دارند: فهرست‌های مالیاتی، ترازنامه‌ها، فیش‌های حقوق، مختصات بانکی صدها شرکت کلاینت. در سال ۲۰۲۵، بر اساس گزارش سالانه ANSSI، حملات فیشینگ هدفمند برای حرفه‌های تنظیم‌شده ۳۷ درصد در یک سال افزایش یافته است. در برابر این تهدید، احراز هویت دو عاملی (2FA) — همچنین به نام احراز هویت چند عاملی (MFA) — اولین خط دفاع فنی توصیه‌شده را تشکیل می‌دهد.

احراز هویت دو عاملی بر اساس یک اصل ساده استوار است: برای دسترسی به یک سیستم، کاربر باید هویت خود را از طریق دو عنصر متفاوت اثبات کند. عنصر اول معمولاً «چیزی که می‌دانید» (رمز عبور) است، عنصر دوم «چیزی که دارید» (گوشی هوشمند، کلید فیزیکی) یا «چیزی که هستید» (داده‌های بیومتریک). این مکانیزم حملات سرقت رمز عبور تنها را تقریباً غیرممکن می‌سازد، که هنوز ۸۱ درصد نقض‌های داده را بر اساس گزارش Verizon DBIR ۲۰۲۴ نشان می‌دهد.

برای متخصصان حسابداری، تطبیق با مقررات eIDAS و نیازمندی‌های شناسایی قوی دیگر گزینه نیست: این یک ضرورت نظارتی و اخلاقی است. این مقاله نحوه پیکربندی 2FA در دفتر خود، انتخاب ابزارهای مناسب و همراهی همکاران خود در این انتقال را مرحله به مرحله توضیح می‌دهد.

---

روش‌های احراز هویت دو عاملی متناسب با صنعت حسابداری

برنامه‌های احراز هویت (TOTP)

روش پرکاربرد‌ترین در دفاتر حسابداری استفاده از برنامه‌ای است که کدهای زمان‌محور را تولید می‌کند (TOTP — Time-based One-Time Password). راه‌حل‌هایی مانند Google Authenticator، Microsoft Authenticator یا Authy یک کد ۶ رقمی را تولید می‌کنند که هر ۳۰ ثانیه تجدید می‌شود. این کد با یک راز مشترک مرتبط است که در مرحله ثبت‌نام در برنامه ذخیره می‌شود (اسکن کد QR).

مزایای دفاتر: استقرار بدون هزینه اضافی، بدون اتصال کار می‌کند، متناسب با تقریباً تمام نرم‌افزارهای حسابداری (Sage، Cegid، ACD، MyUnisoft). نقصان: اگر همکار گوشی خود را گم کند، روند بازیابی باید پیش‌بینی شود (کدهای پشتیبان برای نگهداری در مکان ایمن).

کلیدهای امنیتی فیزیکی (FIDO2/WebAuthn)

برای دفاتری که حجم زیادی از داده‌های حساس را پردازش می‌کنند یا مشمول تدقیق‌های مکرر هستند، کلیدهای امنیتی سخت‌افزاری (مانند YubiKey یا Feitian) بالاترین سطح حفاظت را فراهم می‌کنند. بر اساس استانداردهای FIDO2 و WebAuthn، آن‌ها در برابر فیشینگ مقاوم هستند: کلید بطور رمزنگاری حوزه سایت را قبل از احراز هویت تأیید می‌کند، که حملات «man-in-the-middle» را خنثی می‌کند.

فزاینده‌ای درگاه‌های مالیاتی و پلتفرم‌های تسلیم اجباری (DGFiP، infogreffe) این استانداردها را پذیرفته‌اند. دفتری که صد تفویض را مدیریت می‌کند می‌تواند خرید کلیدها (حدود ۵۰-۸۰ یورو در واحد) را در چند هفته از طریق کاهش زمان مدیریت حوادث امنیتی بازگشت سرمایه کند.

OTP پیامکی: برای داده‌های حساس باید پرهیز کرد

اگرچه کدهای ارسال‌شده توسط پیامک در بسیاری از سیستم‌ها یک گزینه باقی می‌مانند، NIST آمریکایی (National Institute of Standards and Technology) آن‌ها را در سال ۲۰۱۶ از دسته روش‌های احراز هویت قوی مجدداً طبقه‌بندی کرده است. حملات SIM swapping (انتقال تقلبی شماره تلفن به کارت SIM کنترل‌شده توسط مهاجم) چند دفتر حسابداری فرانسوی را در سال‌های اخیر هدف قرار داده است. برای دسترسی به داده‌های مالیاتی یا ابزارهای امضای الکترونیکی برای دفاتر حقوقی و حسابداری، OTP پیامکی فقط باید به‌عنوان راه‌حل آخرین چاره در نظر گرفته شود.

---

چگونه احراز هویت دو عاملی را پیکربندی کنید: راهنمای گام به گام

مرحله ۱ — موجودی برنامه‌ها و تعریف محدوده

قبل از هرگونه استقرار فنی، فهرست جامعی از تمام برنامه‌های مورد استفاده در دفتر خود تهیه کنید:

  • نرم‌افزارهای حسابداری: Cegid Loop، Sage 100 Cloud، ACD Inforce، Quadratus، MyUnisoft
  • پیام‌رسان‌ها و ابزارهای همکاری: Microsoft 365، Google Workspace، Slack
  • ابزارهای مدیریت اسناد و امضا: پلتفرم‌های تسلیم، ابزارهای گردش کار
  • دسترسی‌های راه دور: VPN، RDP، دسکتاپ‌های مجازی
  • درگاه‌های کلاینت: فضاهای تبادل اسناد با کلاینت‌ها

برای هر برنامه، بررسی کنید آیا 2FA موجود است (بخش «امنیت» تنظیمات) و چه روشی پشتیبانی می‌شود (TOTP، FIDO2، SMS). برنامه‌ها را بر اساس حساسیت داده‌های قابل دسترسی به اولویت طبقه‌بندی کنید.

مرحله ۲ — استقرار فنی و ثبت‌نام همکاران

برای Microsoft 365، پیکربندی از طریق درگاه Azure Active Directory (Entra ID) انجام می‌شود. «Security Defaults» را فعال کنید یا برای دفاتر بیش از ۱۰ همکار، سیاست‌های Accès conditionnel را پیکربندی کنید (از لایسنس Business Premium موجود). این سیاست‌ها 2FA را فقط در شرایط خاص الزامی می‌کنند: دسترسی از خارج دفتر، ورود از دستگاه ناشناخته، ساعت غیرمعمول.

برای نرم‌افزارهای حسابداری، روند بسته به ویرایشگر متفاوت است:

  • Cegid Loop: تنظیمات امنیتی > فعال کردن احراز هویت دوگانه > تولید کدهای QR برای هر کاربر
  • MyUnisoft: مدیریت > امنیت > احراز هویت قوی > اجبار 2FA برای تمام پروفیل‌ها
  • Sage 100 Cloud: برای فعال‌کردن ماژول MFA با مدیریت Sage یا فروشنده‌تان تماس بگیرید

یک جلسه ثبت‌نام با هر همکار برنامه‌ریزی کنید (۱۵ تا ۲۰ دقیقه در ازای هر شخص). کدهای بازیابی خود را با هر کاربر یک برگه خلاصه توزیع کنید، تا در جای امن و فیزیکی نگهداری شود (صندوق دفتر، مثلاً).

مرحله ۳ — سیاست مدیریت و روندهای بحران

پیاده‌سازی فنی تنها نیمی از کار است. سیاست امنیتی مستند باید شامل موارد زیر باشد:

  • چه کسی می‌تواند 2FA را موقتاً غیرفعال کند (فقط مدیریت سیستم، هرگز خود کاربر)
  • روند از دست دادن دستگاه: بلوکه کردن فوری حساب، تولید مجدد کدهای پشتیبان، بازثبت‌نام نظارت‌شده
  • فرکانس بررسی: حسابرسی شش‌ماهه دسترسی‌ها و روش‌های احراز هویت
  • مدیریت ترک شغل: لغو فوری دسترسی‌ها و اسرار 2FA هنگام هرگونه ترک‌ دفتر

این سیاست به‌طور طبیعی در طرح تداوم فعالیت (PCA) و ثبت پردازش داده‌های خود بر اساس RGPD یکپارچه می‌شود. مراجعه به مرکز کمک Certyneo می‌تواند نمونه سیاست‌های متناسب با ساختارهای کوچک و متوسط فراهم کند.

---

ادغام 2FA با ابزارهای امضای الکترونیکی

امضای الکترونیکی پیشرفته یا معتبر، همان‌طور که توسط مقررات eIDAS تعریف می‌شود، شناسایی قوی امضاکننده را الزام می‌کند. عملاً، زمانی که دفتر شما نامه‌ای از ماموریت یا قرارداد خدمات را برای امضا به کلاینت ارسال می‌کند، پلتفرم امضا باید هویت امضاکننده را به‌طور سخت‌افزاری تأیید کند. این دقیقاً جایی است که 2FA دخیل می‌شود.

در پلتفرم‌های امضای منطبق بر eIDAS (سطح پیشرفته یا معتبر)، امضاکننده پیوندی را از طریق ایمیل دریافت می‌کند، سپس باید هویت خود را از طریق کانال دوم (SMS، برنامه احراز هویت یا گواهی معتبر) تأیید کند. این فرآیند یک مسیر حسابرسی ساعت‌دار و تأیید‌شده رمزنگاری ایجاد می‌کند، که اثبات غیرقابل رد در مورد اختلاف تشکیل می‌دهد — یک مسئله حیاتی برای متخصصان حسابداری که مسئولیت شخصی خود را در هر ماموریت به بازی می‌اندازند.

برای فهم سطوح مختلف امضا و انتخاب آن‌چه متناسب با جریانات اسناد شما است، خواندن راهنمای جامع امضای الکترونیکی توصیه‌شده است. کابینه‌هایی که از Certyneo استفاده می‌کنند از یکپارچگی بومی 2FA در مسیر امضا بهره‌مند می‌شوند، که اصطکاک برای امضاکننده را کاهش می‌دهد در حالی که سطح انطباق لازم را حفظ می‌کند.

توجه ویژه‌ای باید به نامه‌های ماموریت (اجباری بر اساس استاندارد حرفه‌ای ۲۴۰۰ OEC) و گزارش‌های بازرسی قانونی داشت: این اسناد مسئولیت شخصی متخصص را درگیر می‌کنند و نیازمند ردپایی احراز هویت بی‌نقص هستند. علاوه بر این، می‌توانید از یک تولیدکننده قرارداد توسط AI استفاده کنید تا ایجاد این اسناد را خودکار کنید و در حالی‌که نیازمندی‌های احراز هویت قوی را از طراحی یکپارچه کنید.

---

تدریس و آگاه‌سازی همکاران: عامل انسانی

سخت‌ترین استقرار فنی اگر همکاران مسائل را درک نکنند یا دستگاه‌های امنیتی را دور بزنند بی‌اثر می‌شود. در حسابداری تخصصی، تیم‌ها اغلب از پروفیل‌های بسیار متنوع تشکیل شده‌اند: سهامداران ارشد، همکاران جوان، کارآموز‌ها، دستیاران مدیریت. آموزش باید برای هر نقش تطبیق‌یافته باشد.

برنامه آگاه‌سازی توصیه‌شده برای دفتری با ۵ تا ۳۰ نفر:

  1. جلسه راه‌اندازی (۱ ساعت): ارائه خطرات عملی (نمونه‌های واقعی بی‌نام در صنعت)، نمایش زنده پیکربندی، سؤالات و پاسخ‌ها
  2. آموزش‌های ویدیویی کوتاه (۳-۵ دقیقه): یک آموزش برای هر برنامه حیاتی، موجود در اینترنت دفتر
  3. تمرین فیشینگ شبیه‌سازی‌شده: ارسال ایمیل فیشینگ جعلی در ۳ ماه بعد از استقرار برای اندازه‌گیری هشیاری واقعی و شناسایی همکاران نیازمند کمک‌های اضافی
  4. یکپارچگی در onboarding: هر همکار جدید در اولین روز خود 2FA را پیکربندی می‌کند، با یک مشاور اختصاص‌یافته

Ordre des Experts-Comptables (OEC) همچنین منابع آموزش مستمر در سایبر امنیتی را در چارچوب تعهدات آموزشی سالانه (۴۰ ساعت برای متخصصان حسابداری ثبت‌شده در جدول) فراهم می‌کند. این آموزش‌ها می‌تواند در روند کیفیت شما ارزیابی شوند اگر دفتر شما ISO 9001 معتبر باشد یا به‌دنبال معتبرهای سایبر امنیتی باشد (برچسب ExpertCyber از ANSSI).

چارچوب حقوقی قابل اعمال بر احراز هویت قوی در حسابداری تخصصی

پیاده‌سازی احراز هویت دو عاملی در دفتر حسابداری تخصصی در یک چارچوب تنظیمی متراکم، حول چندین متن بنیادی، گنجانده می‌شود.

Règlement eIDAS n°910/2014 و بازنگری eIDAS 2.0 (Règlement UE 2024/1183) مبنای مرجع برای هرچیز مربوط به شناسایی الکترونیکی در اروپا را تشکیل می‌دهند. مادهٔ ۸ سه سطح اطمینان برای وسایل شناسایی الکترونیکی تعریف می‌کند: ضعیف، موثر و عالی. برای اعمالی که مسئولیت حرفه‌ای متخصص حسابداری را درگیر می‌کند (امضای گزارش‌ها، تأیید فهرست‌های مالیاتی به‌صورت آنلاین)، سطح اطمینان «موثر» یا «عالی» مورد نیاز است، که الزاماً احراز هویت چند عاملی را به همراه دارد.

RGPD (Règlement UE 2016/679) در مادهٔ ۳۲ خود، مسئولان پردازش را مجبور می‌کند تا «اقدامات فنی و سازمانی مناسب» را برای تضمین امنیت داده‌های شخصی اعمال کنند. دفتر حسابداری تخصصی داده‌های شخصی حساس (داده‌های مالی، داده‌های سلامت از طریق فیش‌های حقوق با عطالت بیماری و غیره) را پردازش می‌کند. فقدان 2FA بر روی دسترسی‌های نرم‌افزار حسابداری احتمالاً نقض این مادهٔ است، که دفتر را در برابر جریمه‌هایی حداکثر ۴ درصد درآمد سالانه جهانی (مادهٔ ۸۳ RGPD) قرار می‌دهد.

Code civil، مواد ۱۳۶۶ و ۱۳۶۷، ارزش حقوقی امضای الکترونیکی را تنظیم می‌کند. مادهٔ ۱۳۶۷ مشخص می‌کند که «قابلیت اطمینان یک روش امضای الکترونیکی، تا ثابت شود غیر از این است، زمانی فرض می‌شود که این روش امضای الکترونیکی معتبر را اعمال کند». احراز هویت قوی جزء ضروری این فرض قابلیت اطمینان است.

Directive NIS2 (Directive UE 2022/2555) الزامات سایبر امنیتی را به طیف گسترده‌ای از نهادها گسترش می‌دهد. اگرچه دفاتر حسابداری تخصصی مستقیماً به‌عنوان نهادهای ضروری فهرست‌شده نیستند، کسانی که خدمات دیجیتال را برای نهادهای ضروری یا مهم (مؤسسات بهداشتی، دولت‌های محلی، شرکت‌های زیرساخت حیاتی) فراهم می‌کنند ممکن است از طریق قرارداد خدمات فراهم‌کننده تحت تعهدات باشند.

استاندارد حرفه‌ای ۲۴۰۰ Ordre des Experts-Comptables بر علاوه تعهد بهبود تقویت‌شده در امنیت سیستم‌های اطلاعات برای دفاتری که ماموریت‌های قانونی را پردازش می‌کنند تأکید می‌کند. ANSSI کاملاً MFA را به‌عنوان حداقل اقدام در راهنمای «امنیت سیستم‌های اطلاعات برای TPE/PME» (نسخهٔ ۲۰۲۴) توصیه می‌کند.

مسئولیت حرفه‌ای مدنی: در صورت نقض داده‌های کلاینت ناشی از عدم وجود 2FA، بیمه‌گر RCP دفتر می‌تواند خطای واضح را برای کاهش یا امتناع تضمین خود استدلال کند. توصیه شدت داشت تا مستندات فنی استقرار 2FA را به‌عنوان اثبات سعی صادقانه نگه‌دارید.

حالات استفاده: 2FA در عمل در دفاتر حسابداری

حالت ۱ — دفتر حسابداری تخصصی اندازهٔ میان

دفتری که حدود پانزده همکار و حدود ۴۰۰ تفویض فعال را مدیریت می‌کند تصمیم گرفت پس از یک حادثهٔ فیشینگ که تقریباً دسترسی به نرم‌افزار حقوق‌اش را به خطر انداخت، 2FA را بر تمام ابزارهایش استقرار دهد. مدیریت برای Microsoft 365 (پیام‌رسانی، SharePoint، Teams) و برای برنامه‌های TOTP بومی نرم‌افزار حسابداری ابری خود بر Microsoft Authenticator انتخاب کرد.

استقرار در سه هفتهٔ انجام شد: یک هفتهٔ موجودی و پیکربندی، یک هفتهٔ ثبت‌نام همکاران در گروه‌های پنج‌نفری، یک هفتهٔ پیگیری و اصلاح مسائل. نتیجه: صفر حادثهٔ سازشت حساب در دوازده ماه بعد، در مقابل دو حادثهٔ سال قبل. زمان مدیریت حوادث امنیتی حدود ۷۰ درصد کاهش یافت. دفتر همچنین نسبت به چندین کلاینت بزرگ‌اندازهٔ (از جملهٔ یک شرکتٔ کوچک و متوسط صنعتی کلاینت با منشور امنیتی تامین‌کننده) بتوانست اثبات کند سیستم‌های خود نیازمندی‌های MFA را رعایت می‌کنند.

حالت ۲ — دفتر تخصصی در حسابرسی قانونی SME

دفتر بازرسی قانونی که حدود شصت تفویض حسابرسی قانونی را مدیریت می‌کند با یک نیازمندی خاص مواجه شد: کلاینت‌های فزاینده‌ای هنگام تجدید ماموریت‌ها، اثبات انطباق RGPD را درخواست می‌کنند. دفتر کلیدهای امنیتی FIDO2 را برای سهامداران (دسترسی به پرونده‌های حساس‌ترین) و برنامه‌های TOTP برای همکاران ارشد استقرار دهد، در حالی‌که SMS OTP را فقط برای دسترسی‌های حساسیت‌پایین نگاه داشت.

به‌موازات این، دفتر امضای الکترونیکی پیشرفته را در جریان‌های گزارش‌های بازرسی خود یکپارچه کرد، با احراز هویت قوی امضاکننده سیستماتیک. بفضل مسیر حسابرسی تولیدشدهٔ، دو مناقشهٔ احتمالی با کلاینت‌هایی که تاریخ تسلیم مؤثر گزارش را به چالش می‌کشیدند، به نفع دفتر با تولید کدهای احراز هویت ساعت‌دار حل شد. کاهش تأخیر امضای گزارش‌ها (از میانگین ۵ روز به کمتر از ۲۴ ساعت) همچنین جریان امضا را روان کرد و بهبود تسویهٔ تقریبا

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.