Dvojfaktorová autentifikácia: Sprievodca pre účtovníctvo

Prečo je dvojfaktorová autentifikácia nevyhnutná v účtovnom poradenstve

Kancelárie účtovného poradenstva spracúvajú denne vysoko dôverné finančné údaje: daňové výkazy, bilančné listy, výplatné pásky, bankové koordináty stoviek klientskych podnikov. V roku 2025 podľa ročnej správy ANSSI útoky prostredníctvom phishingu zamerané na regulované profesie sa zvýšili o 37 % za rok. V súčasnosti sa s touto hrozbou potýkame, dvojfaktorová autentifikácia (2FA) — tiež nazývaná viacfaktorová autentifikácia (MFA) — predstavuje prvú technickú líniu obrany.

Dvojfaktorová autentifikácia sa opiera o jednoduchý princíp: na prístup do systému musí používateľ preukázať svoju totožnosť prostredníctvom dvoch odlišných prvkov. Prvý je zvyčajne „niečo, čo vieš" (heslo), druhý je „niečo, čo vlastníš" (smartphone, fyzický kľúč) alebo „niečo, čo si" (biometrické údaje). Tento mechanizmus robí prakticky nemožnými útoky krádežou hesla, ktoré stále predstavujú 81 % porušení údajov podľa správy Verizon DBIR 2024.

Pre účtovných poradcov sa dodržiavanie nariadenia eIDAS a jeho požiadaviek na silnú identifikáciu už nie je možnosťou: je to regulačná a etická nevyhnutnosť. Tento článok vám vysvetlí krok za krokom, ako nakonfigurovať 2FA v kancelárii, ktoré nástroje vybrať a ako sprevádzať vašich kolegov pri tejto zmene.

---

Metódy dvojfaktorovej autentifikácie vhodné pre účtovný sektor

Autentifikačné aplikácie (TOTP)

Najčastejšie používaná metóda v účtovných kanceláriách je použitie aplikácie generujúcej dočasné kódy (TOTP — Time-based One-Time Password). Riešenia ako Google Authenticator, Microsoft Authenticator alebo Authy generujú 6-ciferný kód obnovený každých 30 sekúnd. Tento kód je spojený so zdieľaným tajomstvom uloženým v aplikácii počas fázy zápisu (skenovanie QR kódu).

Výhody pre kancelárie: nasadenie bez dodatočných nákladov, funguje bez pripojenia na internet, kompatibilné s takmer všetkými účtovacím softvérom (Sage, Cegid, ACD, MyUnisoft). Nevýhoda: ak kolega stratí telefón, procedúra obnovy musí byť napredu pripravená (záložné kódy uchovávané na bezpečnom mieste).

Fyzické bezpečnostné kľúče (FIDO2/WebAuthn)

Pre kancelárie spracúvajúce rozsahlé objemy citlivých údajov alebo podliehajúce častým auditom ponúkajú hardvérové bezpečnostné kľúče (typ YubiKey alebo Feitian) najvyšší stupeň ochrany. Založené na štandardoch FIDO2 a WebAuthn sú odolné voči phishingu z princípu: kľúč kryptograficky overuje domену webovej stránky pred autentifikáciou, čím neutralizuje útoky typu „man-in-the-middle".

Čoraz viac daňových portálov a povinných platforiem na podávanie (DGFiP, infogreffe) má tendenciu akceptovať tieto štandardy. Kancelária spravujúca stovku mandátov si môže vybrať kľúče (približne 50-80 € za kus) za niekoľko týždňov vďaka zníženiu času na riadenie bezpečnostných incidentov.

SMS OTP: je potrebné sa vyhýbať citlivým údajom

Hoci kódy poslané SMS zostávajú možnosťou v mnohých systémoch, americký NIST (National Institute of Standards and Technology) ich v roku 2016 poňal v kategórii silných metód autentifikácie. Útoky prostredníctvom SIM swappingu (podvodný transfer telefónneho čísla na SIM kartu kontrolovanú útočníkom) zasiahli niekoľko francúzskych účtovných kancelárií v posledných rokoch. Pre prístupy k daňovým údajom alebo nástrojom elektronickej podpisu pre právne a účtovné kancelárie by sa SMS OTP mal považovať iba za riešenie poslednej možnosti.

---

Ako nakonfigurovať dvojfaktorovú autentifikáciu: podrobný sprievodca

Krok 1 — Inventúra aplikácií a vymedzenie rozsahu

Pred akýmkoľvek technickým nasadením si vytvorte vyčerpávajúcu inventúru všetkých aplikácií používaných v kancelárii:

• Účtovný softvér: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• E-mail a spolupracovné nástroje: Microsoft 365, Google Workspace, Slack
• Nástroje na správu dokumentov a podpisy: platfor­my na podávanie, nástroje na pracovný postup
• Vzdialený prístup: VPN, RDP, virtuálne pracovné plochy
• Portály klientov: priestory na výmenu dokumentov s klientmi

Pre každú aplikáciu skontrolujte, či je dostupná 2FA (sekcía „Bezpečnosť" nastavení) a ktorá metóda je podporovaná (TOTP, FIDO2, SMS). Zaraďte aplikácie podľa kritičnosti na základe citlivosti dostupných údajov.

Krok 2 — Technické nasadenie a zápis kolegov

Pre Microsoft 365 sa konfigurácia vykonáva cez portál Azure Active Directory (Entra ID). Aktivujte „Security Defaults" alebo pre kancelárie s viac ako 10 kolegami nakonfigurujte politiky podmieneného prístupu (dostupné od licencie Business Premium). Tieto politiky umožňujú vyžadovať 2FA iba za určitých podmienok: prístup zvonku kancelárie, prihlásenie z neznámeho zariadenia, nezvyčajný čas.

Pre účtovný softvér sa postup líši podľa vydavateľa:

• Cegid Loop: nastavenia bezpečnosti > aktivácia dvojitej autentifikácie > generovanie QR kódov pre každého používateľa
• MyUnisoft: administrácia > bezpečnosť > silná autentifikácia > vynútiť 2FA pre všetky profily
• Sage 100 Cloud: kontaktujte správcu Sage alebo vášho predajcu na aktiváciu modulu MFA

Naplánujte relačnú registráciu s každým kolegom (15 až 20 minút na osobu). Distribuujte každému používateľovi súbor zhrnutia s jeho kódmi obnovy, ktoré má uchovávať na bezpečnom a fyzickom mieste (napr. trezor v kancelárii).

Krok 3 — Politika riadenia a postupy v núdzovom prípade

Technické nasadenie je iba polovicou práce. Dokumentovaná bezpečnostná politika musí špecifikovať:

• Kto môže dočasne deaktivovať 2FA (iba správca systému, nikdy sám kolega)
• Postup pri strate zariadenia: okamžité zablokovaní účtu, regenerácia kódov obnovy, kontrolovaný nový zápis
• Frekvencia prehliadky: polročný audit prístupu a metód autentifikácie
• Správa odchodov: okamžitá revokácia prístupu a 2FA tajomstiev pri akomkoľvek odchode kolegu

Táto politika sa prirodzene integruje do vášho plánu kontinuity aktivít (PCA) a do vášho registra spracúvania údajov podľa GDPR. Konzultácia Certyneo centrum podpory vám môže poskytnúť šablóny politík prispôsobené malým a stredným štruktúram.

---

Integrácia 2FA s nástrojmi elektronickej podpisu

Pokročilá alebo kvalifikovaná elektronická podpis, tak ako ju vymedzuje nariadenie eIDAS, vyžaduje silnú identifikáciu podpisujúceho. V praxi, keď vaša kancelária odošle listinu o zverení misie alebo zmluvu o poskytovaní služieb na podpis klientovi, musí platforma na podpisovanie overiť totožnosť podpisujúceho robustným spôsobom. Práve tu vstupuje do hry 2FA.

V platformách podpisu vyhovujúcich eIDAS (pokročilá alebo kvalifikovaná úroveň) podpisujúci dostane odkaz e-mailom a potom musí overiť svoju totožnosť cez druhý kanál (SMS, autentifikačná aplikácia alebo kvalifikovaný certifikát). Tento proces vytvára audit trail s časovými značkami a kryptograficky overiteľný, čo predstavuje neochvejný dôkaz v prípade sporu — kritická úloha pre odborných účtovných poradcov, ktorí angažujú svoju profesijnú občiansku zodpovednosť pri každej misii.

Aby ste pochopili rôzne úrovne podpisu a vybrali si ten vhodný pre vaše dokumentárne toky, odporúča sa čítať úplný sprievodca elektronickou podpisou. Kancelárie, ktoré používajú Certyneo, majú výhodu pôvodnej integrácie 2FA v procese podpisu, čím sa znižuje friction pre podpisujúceho a zároveň sa udržiava požadovaná úroveň zhody.

Zvláštna pozornosť by mala byť venovaná listinám o zverení misie (povinné podľa profesionálneho štandardu 2400 OEC) a správam audítora: tieto dokumenty angažujú osobnú zodpovednosť odborníka a vyžadujú si bezchybnú stopu autentifikácie. Môžete tiež použiť AI generátor zmluvy na automatizáciu vytvorenia týchto dokumentov pri súčasnej integrácii požiadaviek na silnú autentifikáciu v návrhu.

---

Školenie a osveta kolegov: ľudský faktor

Najprísnejšie technické nasadenie je neúčinné, ak kolegovia nerozumejú Stakes alebo obchádzajú bezpečnostné zariadenia. V účtovnom poradenstve sú tímy často zložené z veľmi rôznych profilov: starší sociálni partneri, mladší kolegovia, stážisti, asistentky vedenia. Školenie musí byť prispôsobené každému profilu.

Odporúčaný program osvety pre kanceláriu s 5 až 30 ľuďmi:

1. Sprievodná relacia (1h): prezentácia konkrétnych rizík (anonymizované príklady skutočných incidentov v sektore), živá demonštrácia konfigurácie, otázky/odpovede
2. Krátke videonávody (3-5 minút každý): jeden návod na kritickú aplikáciu, dostupný v intranete kancelárie
3. Simulovaná phishingová cvičenie: odoslanie falošného phishingového e-mailu za 3 mesiace od nasadenia na meranie skutočnej vigilancie a identifikáciu kolegov potrebujúcich dodatočnú podporu
4. Integrácia do zavádzania: každý nový kolega konfiguruje svoju 2FA v prvý deň s dedikovaným referentom

Poradný poriadok Experts-Comptables (OEC) tiež ponúka zdroje na vzdelávanie v oblasti kybernetickej bezpečnosti v rámci povinných ročných školení (40 hodín pre registrovaných účtovných poradcov). Tieto školenia je možné zlepšovať v rámci vášho procesu kvality, ak je vaša kancelária certifikovaná ISO 9001 alebo sa zameriava na certifikáciu kybernetickej bezpečnosti (štítok ExpertCyber ANSSI, napríklad).

Právny rámec vzťahujúci sa na silnú autentifikáciu v účtovnom poradenstve

Zavedenie dvojfaktorovej autentifikácie v kancelárii účtovného poradenstva sa riadi hustým regulačným rámcom zloženým z niekoľkých základných textov.

Nariadenie eIDAS č. 910/2014 a jeho revízia eIDAS 2.0 (Nariadenie EÚ 2024/1183) tvoria základ odkazovania všetkého, čo sa týka elektronickej identifikácie v Európe. Článok 8 vymedzuje tri úrovne istoty pre prostriedky elektronickej identifikácie: nízka, podstatná a vysoká. Pre akty angažujúce zodpovednosť účtovného poradcu (podpisovanie správ, validácia daňových výkazov online) je požadovaná úroveň istoty „podstatná" alebo „vysoká", čo nevyhnutne implicitne vyžaduje viacfaktorovú autentifikáciu.

GDPR (Nariadenie EÚ 2016/679), v jej článku 32, ukládá správcom údajov, aby zaviedli „vhodné technické a organizačné opatrenia" na zaistenie bezpečnosti osobných údajov. Kancelária účtovného poradenstva spracúva citlivé osobné údaje (finančné údaje, údaje o zdravotnom stave prostredníctvom výplatného lístka s chorobnosťou atď.). Absenciu 2FA na prístupy k účtovnému softvéru veľmi pravdepodobne predstavuje porušenie tohto článku, čím sa kancelária vystavuje pokutnám až 4 % celoročného obratu na svete (článok 83 GDPR).

Občiansky zákonník, články 1366 a 1367, regulujú právnu hodnotu elektronickej podpisu. Článok 1367 vymedzuje, že „spoľahlivosť procesu elektronickej podpisu sa predpokladá, pokiaľ sa nepreukáže opak, keď tento postup zavádza kvalifikovaný elektronický podpis". Silná autentifikácia je základnou zložkou tejto predpokladu spoľahlivosti.

Smernica NIS2 (Smernica EÚ 2022/2555), prenesená do francúzkeho práva zákonom č. 2024-449 z 21. mája 2024 a jeho vykonávacimi nariadeniami, rozširuje povinnosti kybernetickej bezpečnosti na širokú škálu subjektov. Hoci kancelárie účtovného poradenstva nie sú priamo uvedené ako základné subjekty, tie, ktoré poskytujú digitálne služby základným alebo dôležitým subjektom (zdravotnícke zariadenia, miestne komunity, podniky kritickej infraštruktúry), môžu byť podvrhu viazané na povinnosti prostredníctvom svojich zmlúv o poskytovaní služieb.

Profesionálny štandard 2400 Poriadku Experts-Comptables ďalej ukladá posilnenú povinnosť prostriedkov v oblasti bezpečnosti informačných systémov pre kancelárie vykonávajúce právne misie. ANSSI výslovne odporúča MFA ako minimálne opatrenie vo svojom sprievodcovi „Bezpečnosť informačných systémov pre malé a stredné podniky" (vydanie 2024).

Odborná občianska zodpovednosť: v prípade porušenia klientskych údajov v dôsledku absencie 2FA, poistovateľ RCP kancelárie môže vyvolať charakterizované pochybenie na zníženie alebo odmietnutie svojej záruky. Dôrazne sa odporúča uchovávať dokumentáciu technického nasadenia 2FA ako dôkaz starostlivosti.

Scenáre použitia: 2FA v praxi v účtovných kanceláriách

Scenár 1 — Kancelária stredného velikosti

Kancelária zoskupujúca pätnásť kolegov a spravujúca približne 400 aktívnych mandátov sa rozhodla nasadiť 2FA na všetky nástroje po incidente phishingu, ktorý takmer ohrozil prístup k jej softvéru na výplaty. Vedenie sa rozhodlo pre Microsoft Authenticator na Microsoft 365 (e-mail, SharePoint, Teams) a pre pôvodné aplikácie TOTP svojho cloudového účtovného softvéru.

Nasadenie bolo realizované za tri týždne: jeden týždeň inventúry a konfigurácie, jeden týždeň zápisu kolegov v skupinách po piatich, jeden týždeň sledovania a opravy problémov. Výsledok: žiadny incident porušenia účtu v nasledujúcich 12 mesiacoch v porovnaní s dvoma incidentmi v predchádzajúcom roku. Čas na riadenie bezpečnostných incidentov sa znížil približne o 70 %. Kancelária tiež mohla odsúhlasiť niekoľko klientov velkých spoločností (vrátane priemyselného malého a stredného podniku klienta s vlastnou bezpečnostnou chartou dodávateľov), že jej systémy spĺňajú požiadavky MFA.

Scenár 2 — Kancelária špecializovaná na právny audit malých a stredných podnikov

Kancelária audítora, ktorá spravuje približne šesťdesiat mandátov právneho auditu, sa stretla so špecifickou požiadavkou: čoraz viac jej klientov žiada dôkaz GDPR súladu pri obnovení misiónov. Kancelária sa rozhodla nasadiť bezpečnostné kľúče FIDO2 pre partnerov (prístup k najcitlivejším súborom) a aplikácie TOTP pre vedúcich kolegov, zatiaľ čo SMS OTP udržiavala iba pre prístupy s nízkou citlivosťou.

Paralelne kancelária integrovala pokročilý elektronický podpis do svojich tokov správ audítora s povinnou silnou autentifikáciou podpisujúceho. Vďaka vytvorenej audit trail sme mohli vyriešiť dva potenciálne spory s klientmi, ktorí spochybňovali efektívny dátum odoslania správy, v prospech kancelárie poskytnutím logaritmov autentifikácie s časovou značkou. Skrátenie času podpisov správ (z priemeru 5 dní na menej ako 24 hodín) tiež plynulo zlepšilo fakturáciu a zlepšilo likviditu kancelárie približne o 15 %.

Scenár 3 — Kancelária v fáze externáleho rastu

Regionálna sieť kancelárií počítajúca tri nezávislé štruktúry absorbované za dva roky sa ocitnula s významnou heterogenitou systémov: niektoré absorbované kancelárie nemali žiadnu politiku 2FA, iné používali SMS OTP. Skupina využila túto integráciu na harmonizáciu na zjednotené riešenie správy identít (IAM — Identity and Access Management) s povinnou 2FA.

Počiatočná investícia (licencie IAM, školenie, podpora) bola odhadnutá na približne 8 000 € na celú skupinu (približne 45 kolegov). Na oplátku sa zníženie nákladov spojených s bezpečnostnými incidentmi (zásahy poskytovateľa IT, manažment kríz) odhaduje na 15 000-20 000 € v prvom roku. Skupina tiež mohla vyjednávať zníženie svojej poistky kybernetickej bezpečnosti o približne 20 % tým, že svojmu poistovateľovi poskytla dokumentáciu nasadenia 2FA.

Záver

Dvojfaktorová autentifikácia už nie je luxus vyhradený veľkým štruktúram: je to imperatív bezpečnosti a zhody pre akúkoľvek kanceláriu účtovného poradenstva, bez ohľadu na jej veľkosť. Medzi požiadavkami GDPR, odporúčaniami ANSSI, povinnosťami eIDAS pre elektronický podpis a rastúcim tlakom klientov na bezpečnostné normy svojich poskytovateľov sa 2FA stala neobchádzateľným štandardom odvetvia.

Dobrá správa: nasadenie je dnes dostupné, rýchle a málo nákladné. Nasledovaním krokov popísaných v tomto článku — inventúra aplikácií, výber vhodnej metódy, zápis kolegov, príprava dokumentovanej politiky — môže vaša kancelária dosiahnuť robustnú bezpečnosť za niekoľko týždňov.

Certyneo natívne integruje silnú autentifikáciu do svojich tokov elektronickej podpisu, čo vám umožňuje kombinovať zhodu eIDAS a bezpečnosť MFA bez dodatočnej zložitosti. Objavte naše ponuky a ceny alebo kontaktujte náš tím na prispôsobenú podporu pri dosahovaní zhody vašej kancelárie.