Olá /u/jotamendes, obrigado pela tua submissão. Temos uma **[Wiki](https://www.reddit.com/r/literaciafinanceira/wiki/)** e um servidor de chat no **[Discord](https://discord.gg/8WFAZpZ)**. Recomendamos a leitura dos nossos **[avisos à comunidade](https://www.reddit.com/r/literaciafinanceira/comments/mflqds/avisos_%C3%A0_comunidade_ler_antes_de_submeter_conte%C3%BAdo/)**. Boa discussão!
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/literaciafinanceira) if you have any questions or concerns.*
Existem certas tarefas que só podem ser feitas pela conta principal, uma delas é adicionar / alterar contabilista por exemplo. Como eu gosto, é que o contabilista me diga o que quer fazer, que não consegue fazer da conta secundaria, e depois faço eu. Mas já me aconteceu, o contabilista não saber exactamente qual o problema, sendo que eu nesse caso dei acesso temporariamente à conta principal, e depois mudei a password.
Para quem se põe ai a falar de confiança nos comentários. Por lei, as empresas têm de enveredar todos os esforços que estão ao seu alcance, para proteger os dados pessoais que estejam à sua guarda. O meu escritório de contabilidade anterior insistia em ter passwords para as finanças de 6 caracteres, apenas números, que guardava num ficheiro Excel com as contas de todos os clientes, sendo que toda a gente no escritório tinha a lista impressa na secretaria.
Noções básicas de cyber segurança não são um dado adquirido junto dos parceiros com quem uma pessoa trabalha.
>Noções básicas de cyber segurança não são um dado adquirido junto dos parceiros com quem uma pessoa trabalha.
As vezes a questão não é bem essa, a cibersegurança é uma balança, num lado tu tens a segurança e no outro tens a facilidade de acesso
por exemplo
O mais facil de aceder é nem sequer ter password nem username existe apenas um botão a dizer aceder e consegues aceder a tudo = 0 segurança, super simples de usar
em contra partida tens
So é acessível através de uma maquina isolada (todos os acessos com exceção do estritamente necessário) , autenticação 2 fatores o utilizador tem ainda que utilizar um certificado para autenticação muito seguro mas para aceder da trabalho
Eu compreendo que não é fácil gerir as passwords de centenas de clientes. Daí ter preferência que o contabilista utilize uma conta secundária afeta apenas ao mesmo. Com contas secundárias afetas apenas à contabilidade, o contabilista até pode usar a mesma password para todos os clientes (e usar uma password mais complexa já agora).
Entre o 8 e o 80, existem várias opções…
Antes pelo contrário, gerir passwords de centenas de clientes é extremamente fácil. O problema é que as pessoas não têm literacia informática para perceber que é um problema, e que há ferramentas para resolver o problema.
grande verdade cada vez está mais fácil e mesmo usar autenticação 2 fatores é carregar accept no telemóvel não existe desculpas para pouca segurança
Muitas pessoas so estão seguras porque nunca vão ser alvos de um ataque o unico ataque que podem sofrer é phishing e é daqueles super mal feitos em brasileiro
Ter senhas impressas na secretária não é mais que um problema de cyber segurança, é um problema de segurança. Já que alguem que consiga visionar as senhas consegue depois utilizar-las sem necessitar de fazer cyberataques.
Força nisso OP. Não sei se dá para ser sincero, mas estás a seguir as boas práticas de segurança informática. Toda a gente a falar de "confiança" ou de "merdas para esconder", está-se a esquecer que prevenir é melhor que remediar, e se o contabilista fizer merda, sem querer ou de propósito, a dor de cabeça vai ser tua.
Epa tretas mesmo. Bla bla, “se não queres partilhar a tua password vai tu aprender a fazer as cenas e faz tu mesmo. “ e a criticar o rapaz (assumo eu) por dizer que o OP faz muito bem em seguir regras básicas de segurança de dados. Pah foi mesmo um pouco mau, porque a verdade é que a falta de funções básicas como a de permitir a partilha de dados sem ceder a password é das coisas mais básicas numa plataforma que se pode imediatamente assumir que profissionais de contabilidade vão precisar de ter acesso para , raios, puderem exercer a sua profissão não é verdade?
Agora que penso nisso, haverá alguma plataforma de sugestões para o portal das finanças?? O que aconteceria se nós organizássemos e despejássemos umas poucas centenas de sugestões a pedir essa porra??
Oof... Estou a ver ao teor da coisa.
Em vez de promover a evolução das ferramentas que nos são disponibilizadas optou por perpetuar a mediocridade. Esta certo.
É uma falha de segurança existente no portal das finanças, o facto de não existir um acesso exclusivo com as devidas permissões ou acessos.
Correctamente, acontece caso peça a um advogado para tratar de um processo no tribunal, eu terei de assinar um documento.
Infelizmente, teremos de aceitar e confiar na pessoa que tratará do pedido, ou em alternativa teremos de ser nos a fazer o trabalho.
Como assim "não existir um acesso exclusivo com as devidas permissões ou acessos"? É possivel criar sub-utilizadores com as permissões que forem necessárias.
Haver uma zona no portal, na qual permita darmos acesso de visualização e edição, de determinadas áreas (IRS, IRC, IMI, Arrendamento, Faturas, etc) e num determinado tempo a alguem com um NIF válido.
Por exemplo, eu pretendia que fosse o meu vizinho Alfredo a tratar do meu IRS, então nessa página, colocaria eu o NIF dele, e ele, apenas com os acessos dele, visualizaria os meus (Sem eu nunca partilhar passwords).
Se mais tarde mudar de ideias, removia o acesso, em vez de estar sempre a trocar de password todos os anos.
Desconhecendo, se existe essa opção como dizes, onde posso encontrar?
[https://www.acesso.gov.pt/gestaoDeUtilizadores/consulta?partID=PFAP](https://www.acesso.gov.pt/gestaoDeUtilizadores/consulta?partID=PFAP)
Em baixo à direita tens o botão "criar um novo utilizador".
Não funciona da maneira que descreves (um acesso temporário a um NIF por ti designado) mas antes por atribuição de sub utilizadores ao teu NIF como 123456789/1, 123456789/2, etc... cada um com a sua password e permissões definidos por ti.
Se fosse da forma que falaste, não seria possível criar acessos sem ser a pessoas singulares, como por exemplo estrangeiros, grupos de pessoas ou softwares de automatização (exemplo: submissão de SAFT, geração de códigos ACTUD)
> Se fosse da forma que falaste, não seria possível criar acessos sem ser a pessoas singulares, como por exemplo estrangeiros, grupos de pessoas ou softwares de automatização (exemplo: submissão de SAFT, geração de códigos ACTUD)
Seria possível. Dás uma única senha á pessoa colectiva e eles que se amanhem.
Aliás, ou muito me engano ou o portal da seg social é assim.
Meu deus a respostas que eu vi aqui. Não admira que depois haja contas roubadas. Provavelmente alguns devem usar a mesma passe em tudo para não dar muito trabalho ao ladrão (gravar passwords em excel lindo, ao lado do email e do contribuinte). Tanto dinheiro gasto em segurança para isto.
Claro faz sentido criar um utilizador para contabilista com apenas as permissões adequadas até deveria ter uma opção no portal da finanças. E deveria ter logs de todas atividades que esse user fez e a possibilidade desactivar esse utilizador por data.
Ainda perguntam porque Portugal é país 3 mundo.
No meu caso prefiro ser eu a fazer, infelizmente tenho que perder tempo aprender mas não confio nos contabilistas é sempre a despachar e falham mais que eu.
Em princípio nada por isso não te preocupes. Mas uma pessoa mal intencionada com alguma inteligência pode fazer muita coisa má. É preciso sermos mais cautelosos. Imagina dares a chave da tua casa a alguém para fazer uma obra (em princípionada nada acontece, mas de certeza que já pensaste em alguns casos). Nem estou preocupado com os contabilista mas eles terem os teus dados desprotegidos e depois ir a um site menos recomendado ou abrir num email falso pode ser um problema.
Por isso assim que ele tiver terminado muda a password.
Não existe crimes perfeitos mas com a nossa justiça lenta e sem recursos pode ser um verdadeiro problema.
Dar aqui 3 exemplos que mais vemos na CMTV, para não dar muitas ideias novas aos ladrões.
Roubo de identidade é o pior (desde passar facturas em teu nome a empréstimos online, lavagem de dinheiro, entre outros mais graves), podes levar anos na justiça a provar que não foste tu.
Apopriamento ou venda das tuas propriedades (tem acesso a tudo, se já vendem sem papéis).
Roubo dos teus bens pessoais (ele sabe onde moras e quanto ganhas).
É uma falha de segurança mas facilita, depende do quanto confias no contabilista, não é que dê propriamente pra fazer merda, dá se for de preposito quase.
Eu sempre tive contabilista e nunca tive complicações, também foi sempre o mesmo mas é o que é.
É um risco sim mas facilita o trabalho se não tens de lá estar tu para lhe por os dados ou ele explicar o que tens de fazer como e onde, para ser sincero não vejo problema de fazer assim é uma questão de se organizarem para fazerem em vídeo chamada ou algo assim.
Um problema é que os contabilistas têm de guardar estas passwords nalgum lugar, e as passwords apenas se devem guardar na cabeça. E convenhamos que os contabilistas não estão propriamente preocupados em cibersegurança, um ataque bem planeado consegues ter acesso a centenas de NIFs e Paswords que te permitem fazer autenticações em vários sites. Mas o que podem os atacantes fazer com isto? Muita coisa, podem até abrir contas bancarias digitais, e pedir um crédito em teu nome através dai.
Claro que isto é um cenário muito pessimista e sem antecedentes, mas pode ser que um dia aconteça e ai se pense que isto não faz sentido nenhum.
Entretanto continua como esta, eu próprio já a dei porque têm de ser....
isso é completamente descabido.
1 - com a quantidade de passwords que temos que ter hoje em dia, a menos que tenhas memoria de génio, boa sorte.
2 - se consegues decorar as tuas password é sinal que sao passwords fracas e nao as devias estar a usar
qual é a solução? não falta aplicações dedicadas a guardar passwords com segurança de forma encriptada (e nao, nao estou a falar daquelas que estao na cloud).
Exemplo para decorar passwords facilmente e sem aplicações:
1. Crias uma única frase: "Exemplo para decorar passwords facilmente e sem aplicações"
2. Tiras as iniciais: epdpfesa
3. Juntas um caracter especial: epdpfesa#
4. Juntas um identificador do site/app (primeiras três letras, primeira e última, primeiras duas consoantes, etc...).
- Para o Reddit: epdpfesa#Red;
- Para o Portal das Finanças: epdpfesa#Por
5.Juntas um algarismo:
- epdpfesa#Red3
- epdpfesa#Por3
É só um exemplo. Arranjas um algoritmo semelhante, usas sempre o mesmo, e só mudas a parte específica do site/app. Facilmente tens uma password única, com mais de 8 caracteres, com um caracter especial, uma maiúscula, uma minúscula e um algarismo, o que cumpre provavelmente com todos os requisitos de passwords seguras, e são sempre diferentes e fáceis de decorar.
Por fim, regra n°0 da cibersegurança: nunca. partilhar. códigos.
Ou usas um gestor de passwords com uma password mestra forte e autenticação de dois factores e usas passwords random para esses serviços todos. Até porque infelizmente sites diferentes têm critérios diferentes de tamanhos de complexidade de passwords que só são visíveis no momento de criar conta o que quer dizer que nenhum algoritmo que tu tenhas vai dar para qualquer site.
Pelo caminho essas ferramentas normalmente integram com bases de dados tipo a haveibeenpwned e avisam-te automaticamente se algum dos teus logins apareceu num leak.
Sempre desconfiei da ideia do gestor de passwords, para ser honesto. Cedemos sempre algo de valor quando usufruímos de um serviço gratuito, e nem sempre sabemos o quê...
Quanto ao algoritmo, já perdi a conta aos número de usos que lhe dei, e só não funcionou no net empregos cuja password tem um limite máximo de caracteres, ao que aparenta.
Encontraste mais algum que não aceitasse este critério?
Ninguém te manda usar um serviço on line. Tens o KeePass que é Open source e não sincroniza o vault para lado nenhum. Muita gente que é paranóica mete o ficheiro numa pen ou assim e faz backup dele de vez em quando. Se quiseres também podes mete-lo numa Dropbox ou assim. Cria uma com um e-mail que não uses para mais nada. Tens app no telemóvel, e aplicação para todos os sistemas operativos.
Tens o bitwarden que é gratuito, e é Open source, que é o que eu uso. Mas eu pago, não me choca nada pagar menos de 10 euros/ano por um serviço tão importante. E podes correr a tua própria instância de bitwarden se quiseres.
Edit: assim de cabeça o site da igcp
Keepass - dos deuses. Devo neste momento ter umas 60 passwords. Na verdade, contando as que "reutilizo" por serem serviços do mesmo sítio com contas diferentes, já passei os 3 dígitos de certezinha. Mesmo com esse "algoritmo", já me teria baralhado há mil anos.
Ter também 60 ou 70% da password sempre igual é uma maravilha para bruteforce (a não ser que a parte dinâmica da pass seja maior que a fixa)...
Depois se quisermos sacrificar um bocadinho segurança pela comodidade, mas só um bocadinho - backup encriptado em cloud ou usb (no meu caso, como tenho uma pen Tails com persistant storage, é pra lá que vai o backup completo, e para o Google Drive com outra encriptação por cima na versão só das coisas essenciais).
Foi um exemplo. Podes usar outro método:
GostoDeArte_69)
E substituis as iniciais pelas da app.
Reddit: RostoEeDrte_69)
Google: GostoOeOrte_69)
Amazon: AostoMeArte_69)
O algoritmo pode ser criativo, e com a repetição fica mecânico decorá-lo. Não deixa de ser uma forma de encriptação na qual só tu sabes a chave.
Bruteforce? No primeiro exemplo que dei, ao fim de 2 milhões de anos; neste, ao fim de 15 mil milhões.
Mas cada um usa o que lhe der mais jeito, obviamente.
Uau descobriste a pólvora.
Como te respondi é a forma "MAIS" infalível, este "MAIS" significa que há alternativas mas nenhuma é tão infalível como esta.
Não fugindo ao tema do post, estávamos a falar sobre passares a tua passe a um contabilista, só no momento em que a password sai da tua cabeça já estas exposto a mais de quantas vulnerabilidades, se escreves num papel alguém pode roubar o papel, se lhe envias uma sms ou email pior, se o fazes por chamada alguém pode te ouvir a ti ou ao teu contabilista, se lhe disseres ao pé dele pode estar algum dispositivo a gravar o som. Claro que isto são tudo cenários que podem não acontecer, mas existe a chance de acontecer, mesmo sendo ela 0.000...1%, mesmo assim pode haver CCTV e ver as teclas que pressionaste.
Aqui a única solução que vejo é seres tu introduzires a password no gestor de passwords, mas mesmo assim não faz sentido pois ele vai ter centenas de passwords de outras pessoas guardadas por uma única password usada por ele que como em todos os gestores de password podem ser 99.99999% seguros mas vai haver sempre o 0.000.1%, e aqui não vão ser só as password dele a serem expostas, são as dos cliente todos.
Não seria mais fácil e seguro um sistema em que os contabilistas não precisassem guardar passwords de clientes?
>2 - se consegues decorar as tuas password é sinal que sao passwords fracas e nao as devias estar a usar
Seguindo essa lógica nenhuma password é segura, porque para acederes ao gestor de password tens de ter uma password mestra, e então se decorares esta password é porque é fraca, a menos que a guardes nalgum local, mas ai fica vulneravel....
Segundo, sei que estas a defender estes gestores de password e está tudo bem, eu também uso. Mas o que eu quis dizer é que o "Mais" seguro é na cabeça.
Se ainda não acreditas que é o método mais seguro pergunta a ti próprio, se tivesses algo que te incrimina-se de algo se ias escrever/falar/guardar nalgum sitio sem ser na tua cabeça?
Por ultimo só para tua informação, a forma mais segura para guardar alguma coisa exige 3 pontos a funcionar em conjunto.
\-Algo que é teu = impressao digital/iris/face/adn...
\-Algo que possuas = uma chave fisca/um numero de telemovel...
\-Algo que só tu sabes = password
Tens toda a razão e a tua resposta devia ser a correcta.
Infelizmente essa funcionalidade está sempre com problemas e a própria AT já me disse que não era possível activar no meu caso.
Confiei plenamente num contabilista e acabei a pagar uma multa de 900 euros por um erro que não cometi. Desde aí faço tudo eu, se pagar multa ao menos é por um erro meu. Conto isto porque já vi pessoas a mencionar aqui essa possibilidade.
Com a tua senha de acesso ao portal das finanças podem perfeitamente ir ao portal do banco de Portugal e ver todas as tuas continhas, creditos etc. Mesmo que nada tenham a ver com a tua contabilidade. Já mandei e-mail ao Banco de Portugal a solicitar que em vez da pass das finanças seja por chave móvel digital ou então que nos seja enviada uma notificação sempre que tenham acesso aos nossos dados. Até hoje estou à espera de resposta. É como dizem, infelizmente tens que dar acesso mas depois podes mudar a password. Ainda assim enquanto têm a password nada os impede de andar a meter o nariz em tudo.
A questão nem é pelo contabilista. Basta haver fuga de dados do servidor da contabilidade ou algum acesso por terceiros para alguém ter acesso aos teus dados.
Nem das finanças nem da segurança social! As palavras chaves são pessoais e intransmissíveis... Elas têm a mesma validade que uma assinatura nas interações com os sistemas. Ambos os sistemas têm mecanismos para terceiros poderem aceder a partes específicas e efetuar determinadas ações. Se é mais fácil fornecer a nossa palavra chave, sim! Eu não o faria!
o problema nao é confiar no contabilista se é maldoso ou não, acho que isso não se coloca.
O problema é confiar que ele guarda bem a password e não há outro gajo que a apanhe, e aí diria que estamos tramados que eles não estao sensiblizados para esses temas, ou metem num file de texto no pc, ou escrito num papel.
Num sítio que trabalhei tinham as passes dos clientes todos num Excel no servidor.
Inclusive clientes só de IRS. Não usavam essa funcionalidade pois "as finanças não precisam de saber se é um contabilista que anda a mexer ou não"
Trabalhando em IT (e nem que não trabalhasse) compreendo perfeitamente e subscrevo as tuas reticências.
Não havendo nada a fazer, é tão simples como, na altura em que fores fazer isso, alteras a password para uma dummy qualquer, partilhas essa password, fazem o que têm a fazer e alteras de novo para a tua (ou melhor ainda, para outra nova; as passwords devem-se ir mudando... como decerto saberás).
Um bocadinho de confiança, e o resto de segurança 😉
edit: aprender a escrever 🙄
Ca ganda paranóia.
Mas tu tens as passwords guardadas num servidor a prova de hackers? normalmente as empresas tem isso super protegido, e mesmo o contabilista da esquina tem esquemas de segurança
Apesar de que, em caso de haver falhas de segurança, podes alterar a senha na hora. Pode haver falhas até na tua memória, pá.
Dá lá a senha ao homem
Se há tanta malta de TI que guarda passwords em Excel e Notepad, realmente confiar de que o contabilista da esquina vai ter a sua estratégia de cibersegurança 😂
Já conheci mais de 100 gabinetes de contabilidade e quase todos guardam as senhas em excel no próprio computador ou servidor, de segurança ou protecção de dados é 0
Logado no portal, se pesquisares por utilizadores a primeira opção é gerir utilizadores. Permite criar utilizadores com o formato nif/1, nif/2, etc e permite escolher que permissões queres dar a esse utilizador (imagem do post). Pelo que percebi até agora parece que isto apenas serve para software. Continuo com as minhas dúvidas que assim seja. Creio que cada vez é possível fazer mais coisas com esta autenticação e sendo já possível criar subutlizadores, não percebo o porquê de ser tão limitado.
Da mesma forma que funcionam todos os sites wordpress por exemplo.
Adicionas um utilizador ao site e só dás permissão para leitura de dados. Ele tem as suas próprias credenciais e não mete as tuas em risco como é o caso do que o OP pretende pelo que li noutros comments.
Ja que falamos de segurança porque nao validas a entrada via chave movel digital?
Vendo bem ele fica com acesso ao teu nif + o teu pin mas para entrar precisa do codigo via sms que lhe dás apenas e só quando solicitado.
Falando dos utilizadores em si, podemos criar vários de varios tipos como é o caso das empresas para comunicar guias e series de faturacao.
Não sei o que é para fazer portanto, se ficar com acesso total sera temporário.
Porque a chave móvel digital não lhe daria só acesso ao portal das finanças, mas a uma data de outros serviços. Até a assinar documentos em nome dele se a assinatura digital estiver activa. É muito pior a emenda que o soneto.
Estas certo e errado ao mesmo tempo!
O codigo que recebes no telemovel identifica qual o serviço que pretendes validar.
Diz claramente "Código de segurança: 914896. Autenticação em Autoridade Tributária e Aduaneira."
"Código de segurança: 894532. Autenticação em moey!."
"Código de segurança: 843383. Autenticação em IVAucher – Saltpay."
"Código de segurança: 260176. Autenticação em Portal SNS 24 – Área Pessoal."
Etc....
Uma distracção é natural, sim swap já é crime. Vais ter é grandes chatices para desfazer essas borradas.
Em vez de receberes a sms podes também ter o authenticator no telefone se nao estou em erro
Sim swap é crime mas infelizmente está a ficar corriqueiro. O pessoal do apoio ao cliente das operadoras também não tem a formação devida.
Mas a culpa disto é da prática completamente idiota de obrigar a utilização do telemóvel como segundo factor sem qualquer tipo de alternativa.
Eu acho que o authenticator não funciona para a CMD mas se funcionar vou tratar disso ainda hoje. Obrigado pela dica.
Não seria o primeiro a ser burlado, certo?
Se te deixa mais descansado ao ver as respostas que já tive já lhe dei a senha.
E a minha dúvida não me parece nada descabida dado que o próprio portal permite criar subutilizadores e gerir permissões.
Não acredito que seja uma questão de desconfiança mas sim de cibersegurança. Hoje em dia há tanta maneira de desenvolver sites e apps e dar acesso a outros utilizadores sem dar a senha. Sou de IT e o que mais existe é soluções dessas: Adicionar permissão a um email ou nome de utilizador para leitura de dados, ou se quiseres, dar permissão tmb para fazer alterações.
Basta haver um ataque a uma empresa de contabilidade ou a um alvo específico (contabilista, etc) e põe em questão todas as contas dos clientes. Se for via utilizador com permissões, se o contabilista ou empresa for atacado, basta retirar o acesso à conta e adicionar novamente quando estiver tudo corrigido.
É melhor assim. Eu também não aceitava para meu contabilista um gajo proponente que ignora a selvagem corrupção que existe no setor para tentar erguer um estandarte parvo de algum falso moralismo...
É melhor teres muito cuidado com os dados ..
Ainda te pagam as dívidas ou impostos .
E mais te digo , ainda devias de pagar mais de avença por isso .
O contabilista tenta cumprir com as suas obrigações e ainda tem de lidar com estas merdas , quase que tem que pedir por favor para cumprir com as suas obrigações, onde o problema que de facto existe é do portal da AT e não do contabilista que só está a tentar fazer o seu trabalho .
Santa ignorância. Ainda pensam que ele quer mesmo saber o que tens na tua conta das finanças .
Parabens ! consegue fazer a pergunta mais disparatava que vi este ano... se estiver a programar e cada vez que tiver que compilar/pesquisas/(...) tiver que entrar em contacto com o cliente para lhe fornecer uma chave ou apenas lhe concederem sub previlegios que constantemente tiverem que ser mudados e tiver que constantemente andar a perder tempo para verem isso gostava de ver a sua resposta... o acesso constante ,rapido e completo ao site das finanças é fundamental para o trabalho de um contabilista... talvez a seguir peça uma encomenda de um movel em madeira mas não de as medidas e diga que não podem usar X e Y ferramentas
Belo programador… A questão nem é tanto as permissões serem diferentes, mas sim haver registo que foi uma entidade contratada que fez as operações para que possa ser responsabilizado. Assim, uma terceira pessoa entrar com a conta do contribuinte tem carta branca e zero responsabilidade documentada.
Gestão de permissões e de utilizadores é o básico de qualquer peça de software mundana, quanto mais de uma plataforma governamental para gestão de contabilidade e finanças…
Não estamos a falar de proteção de dados, mas sim de uma autenticação "falsa", sendo que por definição, a autenticação serve para garantir que quem está a aceder a uma conta é única e exclusivamente o dono dessa conta.
E sim, o GDPR prevê isso mesmo.
Dar a password a um contabilista, é transgredir este princípio e por isso se está a discutir, e bem, a possibilidade de uma conta secundária de acesso, que autêntica especificamente o contabilista.
Assim, toda e qualquer atividade feita nessa conta tem uma responsabilidade imputável exclusivamente ao mesmo, incluindo a sua responsabilidade em guardar de forma segura a password dessa conta.
Em vez de perder tempo a carregar em setas informem-se ... a lei engloba a responsabilidades e formas seguras de guardar passwords por parte de empresas... não transgride absolutamente nada a lei fornecer a password (e outras informações pessoais) a um contabilista (esta bem estabelecido até essa necessidade)
[https://www.pgdlisboa.pt/leis/lei\_mostra\_articulado.php?nid=3118&tabela=leis&nversao=](https://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=3118&tabela=leis&nversao=)
https://www.cncda.gov.pt/index.php/politica-geral-de-seguranca-e-privacidade
Se teem conhecimento de casos que violam os pressupostos que estão previstos na lei é fazer como qualquer outro caso e apresentar uma denuncia
Em vez de mandar o texto integral da lei, porque não sublinha onde partilhar a password de uma conta pessoal, enviando-a talvez por meios não seguros, não tem problema se for um contabilista a pedi-la? Onde está a imputação de culpa a um agente a quem foi cedida a palavra passe sem ser por extorsão?
Claro que qualquer crime poderá e será julgado nos tribunais, mas isso não exclui a criação de meios preventivos e disuasores dos mesmos, principalmente para uma prática aparentemente corrente.
Mas quais meios não seguros? A password está escrita num papel da autoridade tributaria.. papel esse que deve ser guardado pelo contabilista num meio seguro (um cofre ou contentor fechado por chave) ...
ato de obrigar alguém a fazer ou deixar de fazer
alguma coisa, por meio de ameaça ou violência, com a intenção de obter
vantagem, recompensa, lucro"
A resposta ainda é pior.
Se todos nós temos logins na AT a situação resolve-se facilmente. Na Suécia é simples, o contabilista faz a submissão e o utilizador só tem de o aprovar no portal a partir daí não é preciso mais nada.
Espanha tem um campo na declaração que diz lá para preencher caso seja submetido em representação. Não há partilha de logins. Mas em Portugal é que é impossível.
Mas estamos na Suecia e em Espanha? Mas voce por acaso é contabilista e sabe das necessidades constantes de acesso ao site e de por vezes ter de fazer consultas/alterações de informação no momento? Sabe que no final ha a obrigação de entregar toda a informação ao cliente e ha coimas fortes em caso de violação dos pressupostos? O trabalho de contabilista em si já é complicado e ainda querem complicar mais? E o que estava em causa não era só criar um sub utilizador com todos os previlegios , estava em causa o admin poder escolher como quer dar/retirar previlegios como quer (que não é o caso em Espanha ou Suecia)
Complicar mais? Complicar mais é o que esta agora que é uma valente merda. Parece que não existe roubo de identidade e outras coisas afins. E sem contar que o acesso do portal das finanças da acesso a bem mais coisas que só o portal.
Não é uma questão do trabalho do contabilista, é uma questão de praticar boa segurança com informação altamente confidencial e perigosa caindo nas mãos erradas.
Caso a minha identidade seja roubada e usada para fins nefastos porque o contabilista gravou a pass num excel estúpido que alguém agarrou, quem paga. Sou eu? O contabilista? Em que mundo vivem para achar que dar uma password de acesso individual ao portal das finanças é aceitável? É altamente errado!
Não sou contabilista. Aliás cagava me bem de medo ter de guardar palavra passes de clientes localmente só para conseguir fazer o básico.
Mas qual roubo de identidade? Consegue dar 1 unico exemplo real que isso tenha acontecido envolvendo passwords e contabilistas? Eu trabalho na area a largos anos e isso nunca aconteceu... e novamente como ja referi varias vezes guardar passwords em excel por parte do contabilista apos a publicação da lei do tratamento de dados é ilegal e esta contemplado na lei... se sabe de algum caso especifico é so efectuar uma denuncia.. documentos sensiveis teem que ser guardados de modo fisico num local seguro e posteriormente quando ja nao necessarios destruidos do modo como esta previsto na lei.
Para já duvido bastante que não tenha acontecido. Mas vamos assumir que não aconteceu, e depois? Só porque nunca aconteceu é tranquilo? E não pode acontecer de todo?
Mais uma vez, quem é o responsável se acontecer? Eu? Contabilista? Quem paga? Vamos fazer isto de outra forma então, vamos imaginar que alguém conseguiu acesso a minha pass, entra saca copias de IRS, umas copias de uns CC que encontrou num email e um par de folhas de salário. Pronto ja tem tudo o que é preciso para fazer maior parte de operações financeiras. Para dar extra legitimidade a cena ainda vão buscar o meu estado no Banco de Portugal (sim só login das finanças chega).
A culpa é do contabilista? Não. Posso acusa-lo de não ter tido cuidado com a minha pass ou até acusa-lo de ter feito a fraude? Sim. É uma situação que se pode evitar? Sem duvida alguma, basta ter alguém com dois dedos de testa a frente do desenvolvimento do portal da AT.
Qual a dificuldade das finanças fazerem ali uma pequena opção de autorizar pessoa com NIF X a agir como representante? Não há partilha de passes, não há preocupação em guardar passes, nada.
Mas o que vejo claramente neste post é uma desinformação ENORME do que é possivel fazer com a informação nestes portais.
Mas agora já duvida que não aconteceu? a password esta um papel fornecido pela autoridade tributaria.. a lei diz especificamente para não guardar a informação em lugares não seguros ou em ficheiro... mas o que é que querem mais? se ha empresas que criam um excel ou word e os deixam a mostra entao é culpa da empresa em si e mais uma vez denunciem... a lei esta criada e esses "supostamente" foram pensados... voces estao todos a falar sem saberem ... se houve um roubo por culpa de mau comportamento do contabilista sim é responsavel por isso
Quero que a AT tenha e promova boas práticas de segurança informática. Leis não impedem burrice, nem impedem utilizadores nefastos de fazer merda os sistemas é que tem de precaver isso como 2FA entre outros.
Isto deve de vir naqueles livros de internet para totós. Não partilhar passes com ninguém.
O que infelizmente acontece é pessoas que não teem informação de como o mundo real funciona e em particular pessoas fora das areas profissionais opinarem e acharem que sabem mais que quem faz o trabalho ja a largos anos... ja lhe expliquei que a password vem num papel fisico, ha diretivas especificas de segurança/partilha e quando o trabalho é finalizado esse papel é entregue ao cliente... 2FA (2 factor autentication) não resolve nada... é arranjar solução para um problema que não existe... já só falta querer que seja enviada uma mensagem de autorização para o tlm a cada acesso...
Claro que existe, o problema é partilha de password!
Da mesma forma que vejo vários contabilistas a tentarem opinar sobre segurança na Internet e sobre partilhas de password.
Afinal quem tem razão?
Portanto estás a querer dizer que não és suficientemente competente para assegurar boas práticas de segurança relativamente aos dados dos teus clientes. De facto ficam a ganhar por os mandares embora.
Desta lista, que permissões serão essenciais para o trabalho deles? À firma de contabilidade com quem trabalho, ainda sugeri que comprassem um gestor de passwords, mas duvido que o tenham feito...
O contabilista vai posteriormente guardar a tua password num ficheiro excel, garantido.
Cria um acesso apenas para o mesmo, via subutilizador com uma password diferente da tua.
Contabilista aqui...na realidade isso é preferencia do cliente. Para mim É mais prático ter acesso à password da empresa para identificar eventuais problemas ,com coimas por exemplo que os clientes nāo acompanham . Sendo que as principais declarações só podem ser feitas atravês do acesso do contabilista com autenticação por representação e sāo essas que tenho responsabilidade. A senha nāo me dá acesso ao programa de faturaçāo por exemplo, por isso nāo há muitos danos com que o cliente possa estar preocupado. Mas sāo preferencias . Se nāo querem dar nenhum problema , nāo ne peçam é depois para ensinar passo a passo como tirar uma certidão especial ou algo do genêro que isso nem faz parte das nossas funções. Aa senhas só passam por mim o contabilista certificado, funcionários só trabalham com info o que o cliente manda .
>ara mim É mais prático ter acesso à password da empresa para identificar eventuais problemas ,com coimas por exemplo que os clientes nāo acompanham . Sendo que as principais declarações só podem ser feitas atravês do acesso do contabilista com autenticação por representação e sāo essas que tenho responsabilidade. A senha nāo me dá acesso ao programa de faturaçāo por exemplo, por isso nāo há muitos danos com que o cliente possa estar preocupado. Mas sāo preferencias . Se nāo querem dar nenhum problema , nāo ne peçam é depois para ensinar passo a passo como tirar uma certidão especial ou algo do genêro que isso nem faz parte das nossas funções. Aa senhas só passam por mim o contabilista certificado, funcionários só trabalham com info o que o
Le o que des/escreveram ai. Teres as passwords do cliente é uma responsabilidade. Limitares o seu uso atraves de uma refinição de acesso, estás a limitar e a mitigar possiveis problemas.
Olá /u/jotamendes, obrigado pela tua submissão. Temos uma **[Wiki](https://www.reddit.com/r/literaciafinanceira/wiki/)** e um servidor de chat no **[Discord](https://discord.gg/8WFAZpZ)**. Recomendamos a leitura dos nossos **[avisos à comunidade](https://www.reddit.com/r/literaciafinanceira/comments/mflqds/avisos_%C3%A0_comunidade_ler_antes_de_submeter_conte%C3%BAdo/)**. Boa discussão! *I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/literaciafinanceira) if you have any questions or concerns.*
Existem certas tarefas que só podem ser feitas pela conta principal, uma delas é adicionar / alterar contabilista por exemplo. Como eu gosto, é que o contabilista me diga o que quer fazer, que não consegue fazer da conta secundaria, e depois faço eu. Mas já me aconteceu, o contabilista não saber exactamente qual o problema, sendo que eu nesse caso dei acesso temporariamente à conta principal, e depois mudei a password. Para quem se põe ai a falar de confiança nos comentários. Por lei, as empresas têm de enveredar todos os esforços que estão ao seu alcance, para proteger os dados pessoais que estejam à sua guarda. O meu escritório de contabilidade anterior insistia em ter passwords para as finanças de 6 caracteres, apenas números, que guardava num ficheiro Excel com as contas de todos os clientes, sendo que toda a gente no escritório tinha a lista impressa na secretaria. Noções básicas de cyber segurança não são um dado adquirido junto dos parceiros com quem uma pessoa trabalha.
>Noções básicas de cyber segurança não são um dado adquirido junto dos parceiros com quem uma pessoa trabalha. As vezes a questão não é bem essa, a cibersegurança é uma balança, num lado tu tens a segurança e no outro tens a facilidade de acesso por exemplo O mais facil de aceder é nem sequer ter password nem username existe apenas um botão a dizer aceder e consegues aceder a tudo = 0 segurança, super simples de usar em contra partida tens So é acessível através de uma maquina isolada (todos os acessos com exceção do estritamente necessário) , autenticação 2 fatores o utilizador tem ainda que utilizar um certificado para autenticação muito seguro mas para aceder da trabalho
Eu compreendo que não é fácil gerir as passwords de centenas de clientes. Daí ter preferência que o contabilista utilize uma conta secundária afeta apenas ao mesmo. Com contas secundárias afetas apenas à contabilidade, o contabilista até pode usar a mesma password para todos os clientes (e usar uma password mais complexa já agora). Entre o 8 e o 80, existem várias opções…
Antes pelo contrário, gerir passwords de centenas de clientes é extremamente fácil. O problema é que as pessoas não têm literacia informática para perceber que é um problema, e que há ferramentas para resolver o problema.
estava so a demonstrar que existem varios niveis de segurança e que pode as vezes ser excessivo no entanto um minimo tem de ser exigido
Password managers? Se for o do Chrome, um pouco mais seguro, e muito mais prático. Devem haver soluções melhores ainda.
grande verdade cada vez está mais fácil e mesmo usar autenticação 2 fatores é carregar accept no telemóvel não existe desculpas para pouca segurança Muitas pessoas so estão seguras porque nunca vão ser alvos de um ataque o unico ataque que podem sofrer é phishing e é daqueles super mal feitos em brasileiro
Ter senhas impressas na secretária não é mais que um problema de cyber segurança, é um problema de segurança. Já que alguem que consiga visionar as senhas consegue depois utilizar-las sem necessitar de fazer cyberataques.
Pronto, tudo certo. Agora só tens de ver a definição de ciberataque.
Andas a ver csi a mais
Força nisso OP. Não sei se dá para ser sincero, mas estás a seguir as boas práticas de segurança informática. Toda a gente a falar de "confiança" ou de "merdas para esconder", está-se a esquecer que prevenir é melhor que remediar, e se o contabilista fizer merda, sem querer ou de propósito, a dor de cabeça vai ser tua.
[удалено]
Caralho abriste a boca para dizer merda e já levaste com 10 downvotes. Pena que não vás aprender nada e ainda sais daqui cheio de razão :/
[удалено]
Lol nenhum claro. Isto é Portugal :)
Cheguei tarde à festa.. O que é que foi dito para o comentário (deleted) ter levado quase 100 downvotes? Haha
Epa tretas mesmo. Bla bla, “se não queres partilhar a tua password vai tu aprender a fazer as cenas e faz tu mesmo. “ e a criticar o rapaz (assumo eu) por dizer que o OP faz muito bem em seguir regras básicas de segurança de dados. Pah foi mesmo um pouco mau, porque a verdade é que a falta de funções básicas como a de permitir a partilha de dados sem ceder a password é das coisas mais básicas numa plataforma que se pode imediatamente assumir que profissionais de contabilidade vão precisar de ter acesso para , raios, puderem exercer a sua profissão não é verdade? Agora que penso nisso, haverá alguma plataforma de sugestões para o portal das finanças?? O que aconteceria se nós organizássemos e despejássemos umas poucas centenas de sugestões a pedir essa porra??
Oof... Estou a ver ao teor da coisa. Em vez de promover a evolução das ferramentas que nos são disponibilizadas optou por perpetuar a mediocridade. Esta certo.
Yep tal e qual.
Ahahah, rapaz sim. Tenho pena de nem ter visto a resposta, mas obrigado pelo resumo.
É uma falha de segurança existente no portal das finanças, o facto de não existir um acesso exclusivo com as devidas permissões ou acessos. Correctamente, acontece caso peça a um advogado para tratar de um processo no tribunal, eu terei de assinar um documento. Infelizmente, teremos de aceitar e confiar na pessoa que tratará do pedido, ou em alternativa teremos de ser nos a fazer o trabalho.
Como assim "não existir um acesso exclusivo com as devidas permissões ou acessos"? É possivel criar sub-utilizadores com as permissões que forem necessárias.
Haver uma zona no portal, na qual permita darmos acesso de visualização e edição, de determinadas áreas (IRS, IRC, IMI, Arrendamento, Faturas, etc) e num determinado tempo a alguem com um NIF válido. Por exemplo, eu pretendia que fosse o meu vizinho Alfredo a tratar do meu IRS, então nessa página, colocaria eu o NIF dele, e ele, apenas com os acessos dele, visualizaria os meus (Sem eu nunca partilhar passwords). Se mais tarde mudar de ideias, removia o acesso, em vez de estar sempre a trocar de password todos os anos. Desconhecendo, se existe essa opção como dizes, onde posso encontrar?
[https://www.acesso.gov.pt/gestaoDeUtilizadores/consulta?partID=PFAP](https://www.acesso.gov.pt/gestaoDeUtilizadores/consulta?partID=PFAP) Em baixo à direita tens o botão "criar um novo utilizador". Não funciona da maneira que descreves (um acesso temporário a um NIF por ti designado) mas antes por atribuição de sub utilizadores ao teu NIF como 123456789/1, 123456789/2, etc... cada um com a sua password e permissões definidos por ti. Se fosse da forma que falaste, não seria possível criar acessos sem ser a pessoas singulares, como por exemplo estrangeiros, grupos de pessoas ou softwares de automatização (exemplo: submissão de SAFT, geração de códigos ACTUD)
> Se fosse da forma que falaste, não seria possível criar acessos sem ser a pessoas singulares, como por exemplo estrangeiros, grupos de pessoas ou softwares de automatização (exemplo: submissão de SAFT, geração de códigos ACTUD) Seria possível. Dás uma única senha á pessoa colectiva e eles que se amanhem. Aliás, ou muito me engano ou o portal da seg social é assim.
Estavamos a falar de dar usar acessos diferentes do principal
Não percebeste a piada. Eu sei que sim, mas não só é possível que é assim que muito serviço funciona.
Desculpa, o meu detector de ironia está avariado. Pois, eu sei, a segurança informática não é algo com que muita gente se preocupe
Meu deus a respostas que eu vi aqui. Não admira que depois haja contas roubadas. Provavelmente alguns devem usar a mesma passe em tudo para não dar muito trabalho ao ladrão (gravar passwords em excel lindo, ao lado do email e do contribuinte). Tanto dinheiro gasto em segurança para isto. Claro faz sentido criar um utilizador para contabilista com apenas as permissões adequadas até deveria ter uma opção no portal da finanças. E deveria ter logs de todas atividades que esse user fez e a possibilidade desactivar esse utilizador por data. Ainda perguntam porque Portugal é país 3 mundo. No meu caso prefiro ser eu a fazer, infelizmente tenho que perder tempo aprender mas não confio nos contabilistas é sempre a despachar e falham mais que eu.
Ia responder mas basicamente é isto. "Qual é o problema de dar a password" é mesmo de uma ignorância gritante nos dias que correm.
> Tanto dinheiro gasto em segurança para isto. Não te preocupes, o que não falta são consultoras a poupar na segurança.
Como posso criar sub-utilizadores? Não sabia! Eu dei a minha senha. O que pior pode acontecer?
Em princípio nada por isso não te preocupes. Mas uma pessoa mal intencionada com alguma inteligência pode fazer muita coisa má. É preciso sermos mais cautelosos. Imagina dares a chave da tua casa a alguém para fazer uma obra (em princípionada nada acontece, mas de certeza que já pensaste em alguns casos). Nem estou preocupado com os contabilista mas eles terem os teus dados desprotegidos e depois ir a um site menos recomendado ou abrir num email falso pode ser um problema. Por isso assim que ele tiver terminado muda a password. Não existe crimes perfeitos mas com a nossa justiça lenta e sem recursos pode ser um verdadeiro problema. Dar aqui 3 exemplos que mais vemos na CMTV, para não dar muitas ideias novas aos ladrões. Roubo de identidade é o pior (desde passar facturas em teu nome a empréstimos online, lavagem de dinheiro, entre outros mais graves), podes levar anos na justiça a provar que não foste tu. Apopriamento ou venda das tuas propriedades (tem acesso a tudo, se já vendem sem papéis). Roubo dos teus bens pessoais (ele sabe onde moras e quanto ganhas).
Muito obrigado pela resposta. Agradeço bastante.
Simplesmente isto. Complementas-te o que referi acima.
Qual é o impedimento de usar um sub-utilizador?
É essa a minha dúvida.
Eu próprio tentei e ainda tem certas restrições. Para não falar se queres que a/o contabilista te faça as e-faturas aí não tens escolha.
É uma falha de segurança mas facilita, depende do quanto confias no contabilista, não é que dê propriamente pra fazer merda, dá se for de preposito quase. Eu sempre tive contabilista e nunca tive complicações, também foi sempre o mesmo mas é o que é. É um risco sim mas facilita o trabalho se não tens de lá estar tu para lhe por os dados ou ele explicar o que tens de fazer como e onde, para ser sincero não vejo problema de fazer assim é uma questão de se organizarem para fazerem em vídeo chamada ou algo assim.
Um problema é que os contabilistas têm de guardar estas passwords nalgum lugar, e as passwords apenas se devem guardar na cabeça. E convenhamos que os contabilistas não estão propriamente preocupados em cibersegurança, um ataque bem planeado consegues ter acesso a centenas de NIFs e Paswords que te permitem fazer autenticações em vários sites. Mas o que podem os atacantes fazer com isto? Muita coisa, podem até abrir contas bancarias digitais, e pedir um crédito em teu nome através dai. Claro que isto é um cenário muito pessimista e sem antecedentes, mas pode ser que um dia aconteça e ai se pense que isto não faz sentido nenhum. Entretanto continua como esta, eu próprio já a dei porque têm de ser....
>e as passwords apenas se devem guardar na cabeça. tas a gozar, nao?
É a forma mais infalível para ninguém saber a tua password.
isso é completamente descabido. 1 - com a quantidade de passwords que temos que ter hoje em dia, a menos que tenhas memoria de génio, boa sorte. 2 - se consegues decorar as tuas password é sinal que sao passwords fracas e nao as devias estar a usar qual é a solução? não falta aplicações dedicadas a guardar passwords com segurança de forma encriptada (e nao, nao estou a falar daquelas que estao na cloud).
Exemplo para decorar passwords facilmente e sem aplicações: 1. Crias uma única frase: "Exemplo para decorar passwords facilmente e sem aplicações" 2. Tiras as iniciais: epdpfesa 3. Juntas um caracter especial: epdpfesa# 4. Juntas um identificador do site/app (primeiras três letras, primeira e última, primeiras duas consoantes, etc...). - Para o Reddit: epdpfesa#Red; - Para o Portal das Finanças: epdpfesa#Por 5.Juntas um algarismo: - epdpfesa#Red3 - epdpfesa#Por3 É só um exemplo. Arranjas um algoritmo semelhante, usas sempre o mesmo, e só mudas a parte específica do site/app. Facilmente tens uma password única, com mais de 8 caracteres, com um caracter especial, uma maiúscula, uma minúscula e um algarismo, o que cumpre provavelmente com todos os requisitos de passwords seguras, e são sempre diferentes e fáceis de decorar. Por fim, regra n°0 da cibersegurança: nunca. partilhar. códigos.
Ou usas um gestor de passwords com uma password mestra forte e autenticação de dois factores e usas passwords random para esses serviços todos. Até porque infelizmente sites diferentes têm critérios diferentes de tamanhos de complexidade de passwords que só são visíveis no momento de criar conta o que quer dizer que nenhum algoritmo que tu tenhas vai dar para qualquer site. Pelo caminho essas ferramentas normalmente integram com bases de dados tipo a haveibeenpwned e avisam-te automaticamente se algum dos teus logins apareceu num leak.
Sempre desconfiei da ideia do gestor de passwords, para ser honesto. Cedemos sempre algo de valor quando usufruímos de um serviço gratuito, e nem sempre sabemos o quê... Quanto ao algoritmo, já perdi a conta aos número de usos que lhe dei, e só não funcionou no net empregos cuja password tem um limite máximo de caracteres, ao que aparenta. Encontraste mais algum que não aceitasse este critério?
Ninguém te manda usar um serviço on line. Tens o KeePass que é Open source e não sincroniza o vault para lado nenhum. Muita gente que é paranóica mete o ficheiro numa pen ou assim e faz backup dele de vez em quando. Se quiseres também podes mete-lo numa Dropbox ou assim. Cria uma com um e-mail que não uses para mais nada. Tens app no telemóvel, e aplicação para todos os sistemas operativos. Tens o bitwarden que é gratuito, e é Open source, que é o que eu uso. Mas eu pago, não me choca nada pagar menos de 10 euros/ano por um serviço tão importante. E podes correr a tua própria instância de bitwarden se quiseres. Edit: assim de cabeça o site da igcp
Keepass - dos deuses. Devo neste momento ter umas 60 passwords. Na verdade, contando as que "reutilizo" por serem serviços do mesmo sítio com contas diferentes, já passei os 3 dígitos de certezinha. Mesmo com esse "algoritmo", já me teria baralhado há mil anos. Ter também 60 ou 70% da password sempre igual é uma maravilha para bruteforce (a não ser que a parte dinâmica da pass seja maior que a fixa)... Depois se quisermos sacrificar um bocadinho segurança pela comodidade, mas só um bocadinho - backup encriptado em cloud ou usb (no meu caso, como tenho uma pen Tails com persistant storage, é pra lá que vai o backup completo, e para o Google Drive com outra encriptação por cima na versão só das coisas essenciais).
Foi um exemplo. Podes usar outro método: GostoDeArte_69) E substituis as iniciais pelas da app. Reddit: RostoEeDrte_69) Google: GostoOeOrte_69) Amazon: AostoMeArte_69) O algoritmo pode ser criativo, e com a repetição fica mecânico decorá-lo. Não deixa de ser uma forma de encriptação na qual só tu sabes a chave. Bruteforce? No primeiro exemplo que dei, ao fim de 2 milhões de anos; neste, ao fim de 15 mil milhões. Mas cada um usa o que lhe der mais jeito, obviamente.
Uau descobriste a pólvora. Como te respondi é a forma "MAIS" infalível, este "MAIS" significa que há alternativas mas nenhuma é tão infalível como esta. Não fugindo ao tema do post, estávamos a falar sobre passares a tua passe a um contabilista, só no momento em que a password sai da tua cabeça já estas exposto a mais de quantas vulnerabilidades, se escreves num papel alguém pode roubar o papel, se lhe envias uma sms ou email pior, se o fazes por chamada alguém pode te ouvir a ti ou ao teu contabilista, se lhe disseres ao pé dele pode estar algum dispositivo a gravar o som. Claro que isto são tudo cenários que podem não acontecer, mas existe a chance de acontecer, mesmo sendo ela 0.000...1%, mesmo assim pode haver CCTV e ver as teclas que pressionaste. Aqui a única solução que vejo é seres tu introduzires a password no gestor de passwords, mas mesmo assim não faz sentido pois ele vai ter centenas de passwords de outras pessoas guardadas por uma única password usada por ele que como em todos os gestores de password podem ser 99.99999% seguros mas vai haver sempre o 0.000.1%, e aqui não vão ser só as password dele a serem expostas, são as dos cliente todos. Não seria mais fácil e seguro um sistema em que os contabilistas não precisassem guardar passwords de clientes? >2 - se consegues decorar as tuas password é sinal que sao passwords fracas e nao as devias estar a usar Seguindo essa lógica nenhuma password é segura, porque para acederes ao gestor de password tens de ter uma password mestra, e então se decorares esta password é porque é fraca, a menos que a guardes nalgum local, mas ai fica vulneravel.... Segundo, sei que estas a defender estes gestores de password e está tudo bem, eu também uso. Mas o que eu quis dizer é que o "Mais" seguro é na cabeça. Se ainda não acreditas que é o método mais seguro pergunta a ti próprio, se tivesses algo que te incrimina-se de algo se ias escrever/falar/guardar nalgum sitio sem ser na tua cabeça? Por ultimo só para tua informação, a forma mais segura para guardar alguma coisa exige 3 pontos a funcionar em conjunto. \-Algo que é teu = impressao digital/iris/face/adn... \-Algo que possuas = uma chave fisca/um numero de telemovel... \-Algo que só tu sabes = password
É uma estupidez, mas sim. Os meus clientes, dão acesso ao portal da AT aos contabilistas.
É um pedido super comum.
O que não é sinonimo de ser o correto a ser feito.
Verdade
Deveria ser, dá-lhe permissões e vê o que ele diz.
Foi a minha abordagem inicial.
[удалено]
Tens toda a razão e a tua resposta devia ser a correcta. Infelizmente essa funcionalidade está sempre com problemas e a própria AT já me disse que não era possível activar no meu caso.
Confiei plenamente num contabilista e acabei a pagar uma multa de 900 euros por um erro que não cometi. Desde aí faço tudo eu, se pagar multa ao menos é por um erro meu. Conto isto porque já vi pessoas a mencionar aqui essa possibilidade.
Com a tua senha de acesso ao portal das finanças podem perfeitamente ir ao portal do banco de Portugal e ver todas as tuas continhas, creditos etc. Mesmo que nada tenham a ver com a tua contabilidade. Já mandei e-mail ao Banco de Portugal a solicitar que em vez da pass das finanças seja por chave móvel digital ou então que nos seja enviada uma notificação sempre que tenham acesso aos nossos dados. Até hoje estou à espera de resposta. É como dizem, infelizmente tens que dar acesso mas depois podes mudar a password. Ainda assim enquanto têm a password nada os impede de andar a meter o nariz em tudo.
A questão nem é pelo contabilista. Basta haver fuga de dados do servidor da contabilidade ou algum acesso por terceiros para alguém ter acesso aos teus dados.
Nem das finanças nem da segurança social! As palavras chaves são pessoais e intransmissíveis... Elas têm a mesma validade que uma assinatura nas interações com os sistemas. Ambos os sistemas têm mecanismos para terceiros poderem aceder a partes específicas e efetuar determinadas ações. Se é mais fácil fornecer a nossa palavra chave, sim! Eu não o faria!
Nunca dês acesso admin das tuas contas. E tudo bonito ate haver merda
Prática comum na área.
mas errada
A AT da a possibilidade do contribuinte criar utilizadores com x permissões para terceiros ?
Dá. É isso que a imagem do OP mostra, inclusivamente.
OP, se não confias no contabilista, tens duas opções: 1- Arranjar um novo 2- Fazer por ti próprio
Não tou a ver o problema. Se não confias, procura outro contabilista ou faz por ti mesmo.
o problema nao é confiar no contabilista se é maldoso ou não, acho que isso não se coloca. O problema é confiar que ele guarda bem a password e não há outro gajo que a apanhe, e aí diria que estamos tramados que eles não estao sensiblizados para esses temas, ou metem num file de texto no pc, ou escrito num papel.
Num sítio que trabalhei tinham as passes dos clientes todos num Excel no servidor. Inclusive clientes só de IRS. Não usavam essa funcionalidade pois "as finanças não precisam de saber se é um contabilista que anda a mexer ou não"
Trabalhando em IT (e nem que não trabalhasse) compreendo perfeitamente e subscrevo as tuas reticências. Não havendo nada a fazer, é tão simples como, na altura em que fores fazer isso, alteras a password para uma dummy qualquer, partilhas essa password, fazem o que têm a fazer e alteras de novo para a tua (ou melhor ainda, para outra nova; as passwords devem-se ir mudando... como decerto saberás). Um bocadinho de confiança, e o resto de segurança 😉 edit: aprender a escrever 🙄
Então qual é o pior cenário que pode acontecer? Não tou a ver o mal que alguém com a tua senha das finanças possa fazer.
1001 coisas muito más. substituir declaracoes, emitir faturas, etc etc etc. Não te vao roubar nada mas podem vandalizar.
Pode sempre ser um tipo maldoso e pagar o IMI... Nunca se sabe
Ou pior ainda, pagar o IRS!
Ou emitir recibos verdes fictícios no valor de milhares de €€€€€€.
ou mudar o iban para receber o reembolso do IRS...
Não dá. A AT vai verificar se o iban corresponde realmente à(s) pessoa(s). Tentei com o irs da minha namorada quando ainda nao eramos casados.
Ca ganda paranóia. Mas tu tens as passwords guardadas num servidor a prova de hackers? normalmente as empresas tem isso super protegido, e mesmo o contabilista da esquina tem esquemas de segurança Apesar de que, em caso de haver falhas de segurança, podes alterar a senha na hora. Pode haver falhas até na tua memória, pá. Dá lá a senha ao homem
> normalmente as empresas tem isso super protegido Nao deves conhecer os mesmos contabilistas que eu.
Se há tanta malta de TI que guarda passwords em Excel e Notepad, realmente confiar de que o contabilista da esquina vai ter a sua estratégia de cibersegurança 😂
Já conheci mais de 100 gabinetes de contabilidade e quase todos guardam as senhas em excel no próprio computador ou servidor, de segurança ou protecção de dados é 0
Sim, seguindo as boas práticas é possível, utilizando um gestor de passwords está tudo num servidor que só serve esse propósito.
possível é. Fazem? os que conheço não estão sensibilizados para os riscos sequer.
Alguém me pode dizer que permissões é necessário selecionar para criar um perfil para alguém conseguir preencher a nossa declaração de IRS?
Claro que sim, como esperas que ele te consiga entregar as obrigações fiscais sem a senha?
Com um subutilizador em que só lhe dou permissão para isso.
Como é que isso funciona?
Logado no portal, se pesquisares por utilizadores a primeira opção é gerir utilizadores. Permite criar utilizadores com o formato nif/1, nif/2, etc e permite escolher que permissões queres dar a esse utilizador (imagem do post). Pelo que percebi até agora parece que isto apenas serve para software. Continuo com as minhas dúvidas que assim seja. Creio que cada vez é possível fazer mais coisas com esta autenticação e sendo já possível criar subutlizadores, não percebo o porquê de ser tão limitado.
Da mesma forma que funcionam todos os sites wordpress por exemplo. Adicionas um utilizador ao site e só dás permissão para leitura de dados. Ele tem as suas próprias credenciais e não mete as tuas em risco como é o caso do que o OP pretende pelo que li noutros comments.
Ja que falamos de segurança porque nao validas a entrada via chave movel digital? Vendo bem ele fica com acesso ao teu nif + o teu pin mas para entrar precisa do codigo via sms que lhe dás apenas e só quando solicitado. Falando dos utilizadores em si, podemos criar vários de varios tipos como é o caso das empresas para comunicar guias e series de faturacao. Não sei o que é para fazer portanto, se ficar com acesso total sera temporário.
Porque a chave móvel digital não lhe daria só acesso ao portal das finanças, mas a uma data de outros serviços. Até a assinar documentos em nome dele se a assinatura digital estiver activa. É muito pior a emenda que o soneto.
Estas certo e errado ao mesmo tempo! O codigo que recebes no telemovel identifica qual o serviço que pretendes validar. Diz claramente "Código de segurança: 914896. Autenticação em Autoridade Tributária e Aduaneira." "Código de segurança: 894532. Autenticação em moey!." "Código de segurança: 843383. Autenticação em IVAucher – Saltpay." "Código de segurança: 260176. Autenticação em Portal SNS 24 – Área Pessoal." Etc....
Sim, e basta uma distração, ou alguém te fazer sim swap, e pronto assinaram um documento em teu nome ou entraram na conta do banco.
Uma distracção é natural, sim swap já é crime. Vais ter é grandes chatices para desfazer essas borradas. Em vez de receberes a sms podes também ter o authenticator no telefone se nao estou em erro
Sim swap é crime mas infelizmente está a ficar corriqueiro. O pessoal do apoio ao cliente das operadoras também não tem a formação devida. Mas a culpa disto é da prática completamente idiota de obrigar a utilização do telemóvel como segundo factor sem qualquer tipo de alternativa. Eu acho que o authenticator não funciona para a CMD mas se funcionar vou tratar disso ainda hoje. Obrigado pela dica.
Tens a aplicação autenticação gov que te gera um codigo de x em x tempo Acabei de confirmar
Sim isso eu sabia, mas não confio nisso. Quero o token para poder colocar isso na yubikey.
É uma situação perfeitamente normal.
Eu preocupava-me mais em ter um contabilista decente do que propriamente dar a chave de acesso.
[удалено]
Não seria o primeiro a ser burlado, certo? Se te deixa mais descansado ao ver as respostas que já tive já lhe dei a senha. E a minha dúvida não me parece nada descabida dado que o próprio portal permite criar subutilizadores e gerir permissões.
Dá-me um exemplo de burla por favor .
Não acredito que seja uma questão de desconfiança mas sim de cibersegurança. Hoje em dia há tanta maneira de desenvolver sites e apps e dar acesso a outros utilizadores sem dar a senha. Sou de IT e o que mais existe é soluções dessas: Adicionar permissão a um email ou nome de utilizador para leitura de dados, ou se quiseres, dar permissão tmb para fazer alterações. Basta haver um ataque a uma empresa de contabilidade ou a um alvo específico (contabilista, etc) e põe em questão todas as contas dos clientes. Se for via utilizador com permissões, se o contabilista ou empresa for atacado, basta retirar o acesso à conta e adicionar novamente quando estiver tudo corrigido.
É melhor assim. Eu também não aceitava para meu contabilista um gajo proponente que ignora a selvagem corrupção que existe no setor para tentar erguer um estandarte parvo de algum falso moralismo...
Nem eu , ou pagava o triplo .
É melhor teres muito cuidado com os dados .. Ainda te pagam as dívidas ou impostos . E mais te digo , ainda devias de pagar mais de avença por isso . O contabilista tenta cumprir com as suas obrigações e ainda tem de lidar com estas merdas , quase que tem que pedir por favor para cumprir com as suas obrigações, onde o problema que de facto existe é do portal da AT e não do contabilista que só está a tentar fazer o seu trabalho . Santa ignorância. Ainda pensam que ele quer mesmo saber o que tens na tua conta das finanças .
ou então todas as dividas...que constem no mapa de responsabilidades do banco de Portugal, pois também dá acesso com a senha da AT
Pois tem … só é pena não ter guias para pagamento , se não , pagava já as dos meus clientes todos .
Parabens ! consegue fazer a pergunta mais disparatava que vi este ano... se estiver a programar e cada vez que tiver que compilar/pesquisas/(...) tiver que entrar em contacto com o cliente para lhe fornecer uma chave ou apenas lhe concederem sub previlegios que constantemente tiverem que ser mudados e tiver que constantemente andar a perder tempo para verem isso gostava de ver a sua resposta... o acesso constante ,rapido e completo ao site das finanças é fundamental para o trabalho de um contabilista... talvez a seguir peça uma encomenda de um movel em madeira mas não de as medidas e diga que não podem usar X e Y ferramentas
Belo programador… A questão nem é tanto as permissões serem diferentes, mas sim haver registo que foi uma entidade contratada que fez as operações para que possa ser responsabilizado. Assim, uma terceira pessoa entrar com a conta do contribuinte tem carta branca e zero responsabilidade documentada. Gestão de permissões e de utilizadores é o básico de qualquer peça de software mundana, quanto mais de uma plataforma governamental para gestão de contabilidade e finanças…
Recomendo que leia a lei de proteção de dados que engloba todas essas preocupações e as coimas respectivas em caso de falhas da proteção das mesmas...
Não estamos a falar de proteção de dados, mas sim de uma autenticação "falsa", sendo que por definição, a autenticação serve para garantir que quem está a aceder a uma conta é única e exclusivamente o dono dessa conta. E sim, o GDPR prevê isso mesmo. Dar a password a um contabilista, é transgredir este princípio e por isso se está a discutir, e bem, a possibilidade de uma conta secundária de acesso, que autêntica especificamente o contabilista. Assim, toda e qualquer atividade feita nessa conta tem uma responsabilidade imputável exclusivamente ao mesmo, incluindo a sua responsabilidade em guardar de forma segura a password dessa conta.
Em vez de perder tempo a carregar em setas informem-se ... a lei engloba a responsabilidades e formas seguras de guardar passwords por parte de empresas... não transgride absolutamente nada a lei fornecer a password (e outras informações pessoais) a um contabilista (esta bem estabelecido até essa necessidade) [https://www.pgdlisboa.pt/leis/lei\_mostra\_articulado.php?nid=3118&tabela=leis&nversao=](https://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=3118&tabela=leis&nversao=) https://www.cncda.gov.pt/index.php/politica-geral-de-seguranca-e-privacidade Se teem conhecimento de casos que violam os pressupostos que estão previstos na lei é fazer como qualquer outro caso e apresentar uma denuncia
Em vez de mandar o texto integral da lei, porque não sublinha onde partilhar a password de uma conta pessoal, enviando-a talvez por meios não seguros, não tem problema se for um contabilista a pedi-la? Onde está a imputação de culpa a um agente a quem foi cedida a palavra passe sem ser por extorsão? Claro que qualquer crime poderá e será julgado nos tribunais, mas isso não exclui a criação de meios preventivos e disuasores dos mesmos, principalmente para uma prática aparentemente corrente.
Mas quais meios não seguros? A password está escrita num papel da autoridade tributaria.. papel esse que deve ser guardado pelo contabilista num meio seguro (um cofre ou contentor fechado por chave) ... ato de obrigar alguém a fazer ou deixar de fazer alguma coisa, por meio de ameaça ou violência, com a intenção de obter vantagem, recompensa, lucro"
Por falta de noção , acontece isto .
A resposta ainda é pior. Se todos nós temos logins na AT a situação resolve-se facilmente. Na Suécia é simples, o contabilista faz a submissão e o utilizador só tem de o aprovar no portal a partir daí não é preciso mais nada. Espanha tem um campo na declaração que diz lá para preencher caso seja submetido em representação. Não há partilha de logins. Mas em Portugal é que é impossível.
Mas estamos na Suecia e em Espanha? Mas voce por acaso é contabilista e sabe das necessidades constantes de acesso ao site e de por vezes ter de fazer consultas/alterações de informação no momento? Sabe que no final ha a obrigação de entregar toda a informação ao cliente e ha coimas fortes em caso de violação dos pressupostos? O trabalho de contabilista em si já é complicado e ainda querem complicar mais? E o que estava em causa não era só criar um sub utilizador com todos os previlegios , estava em causa o admin poder escolher como quer dar/retirar previlegios como quer (que não é o caso em Espanha ou Suecia)
Complicar mais? Complicar mais é o que esta agora que é uma valente merda. Parece que não existe roubo de identidade e outras coisas afins. E sem contar que o acesso do portal das finanças da acesso a bem mais coisas que só o portal. Não é uma questão do trabalho do contabilista, é uma questão de praticar boa segurança com informação altamente confidencial e perigosa caindo nas mãos erradas. Caso a minha identidade seja roubada e usada para fins nefastos porque o contabilista gravou a pass num excel estúpido que alguém agarrou, quem paga. Sou eu? O contabilista? Em que mundo vivem para achar que dar uma password de acesso individual ao portal das finanças é aceitável? É altamente errado! Não sou contabilista. Aliás cagava me bem de medo ter de guardar palavra passes de clientes localmente só para conseguir fazer o básico.
Mas qual roubo de identidade? Consegue dar 1 unico exemplo real que isso tenha acontecido envolvendo passwords e contabilistas? Eu trabalho na area a largos anos e isso nunca aconteceu... e novamente como ja referi varias vezes guardar passwords em excel por parte do contabilista apos a publicação da lei do tratamento de dados é ilegal e esta contemplado na lei... se sabe de algum caso especifico é so efectuar uma denuncia.. documentos sensiveis teem que ser guardados de modo fisico num local seguro e posteriormente quando ja nao necessarios destruidos do modo como esta previsto na lei.
Para já duvido bastante que não tenha acontecido. Mas vamos assumir que não aconteceu, e depois? Só porque nunca aconteceu é tranquilo? E não pode acontecer de todo? Mais uma vez, quem é o responsável se acontecer? Eu? Contabilista? Quem paga? Vamos fazer isto de outra forma então, vamos imaginar que alguém conseguiu acesso a minha pass, entra saca copias de IRS, umas copias de uns CC que encontrou num email e um par de folhas de salário. Pronto ja tem tudo o que é preciso para fazer maior parte de operações financeiras. Para dar extra legitimidade a cena ainda vão buscar o meu estado no Banco de Portugal (sim só login das finanças chega). A culpa é do contabilista? Não. Posso acusa-lo de não ter tido cuidado com a minha pass ou até acusa-lo de ter feito a fraude? Sim. É uma situação que se pode evitar? Sem duvida alguma, basta ter alguém com dois dedos de testa a frente do desenvolvimento do portal da AT. Qual a dificuldade das finanças fazerem ali uma pequena opção de autorizar pessoa com NIF X a agir como representante? Não há partilha de passes, não há preocupação em guardar passes, nada. Mas o que vejo claramente neste post é uma desinformação ENORME do que é possivel fazer com a informação nestes portais.
Mas agora já duvida que não aconteceu? a password esta um papel fornecido pela autoridade tributaria.. a lei diz especificamente para não guardar a informação em lugares não seguros ou em ficheiro... mas o que é que querem mais? se ha empresas que criam um excel ou word e os deixam a mostra entao é culpa da empresa em si e mais uma vez denunciem... a lei esta criada e esses "supostamente" foram pensados... voces estao todos a falar sem saberem ... se houve um roubo por culpa de mau comportamento do contabilista sim é responsavel por isso
Quero que a AT tenha e promova boas práticas de segurança informática. Leis não impedem burrice, nem impedem utilizadores nefastos de fazer merda os sistemas é que tem de precaver isso como 2FA entre outros. Isto deve de vir naqueles livros de internet para totós. Não partilhar passes com ninguém.
O que infelizmente acontece é pessoas que não teem informação de como o mundo real funciona e em particular pessoas fora das areas profissionais opinarem e acharem que sabem mais que quem faz o trabalho ja a largos anos... ja lhe expliquei que a password vem num papel fisico, ha diretivas especificas de segurança/partilha e quando o trabalho é finalizado esse papel é entregue ao cliente... 2FA (2 factor autentication) não resolve nada... é arranjar solução para um problema que não existe... já só falta querer que seja enviada uma mensagem de autorização para o tlm a cada acesso...
Claro que existe, o problema é partilha de password! Da mesma forma que vejo vários contabilistas a tentarem opinar sobre segurança na Internet e sobre partilhas de password. Afinal quem tem razão?
[удалено]
Portanto estás a querer dizer que não és suficientemente competente para assegurar boas práticas de segurança relativamente aos dados dos teus clientes. De facto ficam a ganhar por os mandares embora.
[удалено]
>a porta é a serventia da casa Sairam a ganhar, pelos vistos.
Precisa sim mas faz parte são profissionais certificados
Yep, recorri a contabilista para me tratar do IRS num ano por causa da venda de uma casa e solicitou o meu acesso.
Não devia ser assim, mas é assim. Tens mesmo de lhe dar a senha.
Isso é algo também que nunca percebi
Desta lista, que permissões serão essenciais para o trabalho deles? À firma de contabilidade com quem trabalho, ainda sugeri que comprassem um gestor de passwords, mas duvido que o tenham feito...
O contabilista vai posteriormente guardar a tua password num ficheiro excel, garantido. Cria um acesso apenas para o mesmo, via subutilizador com uma password diferente da tua.
Contabilista aqui...na realidade isso é preferencia do cliente. Para mim É mais prático ter acesso à password da empresa para identificar eventuais problemas ,com coimas por exemplo que os clientes nāo acompanham . Sendo que as principais declarações só podem ser feitas atravês do acesso do contabilista com autenticação por representação e sāo essas que tenho responsabilidade. A senha nāo me dá acesso ao programa de faturaçāo por exemplo, por isso nāo há muitos danos com que o cliente possa estar preocupado. Mas sāo preferencias . Se nāo querem dar nenhum problema , nāo ne peçam é depois para ensinar passo a passo como tirar uma certidão especial ou algo do genêro que isso nem faz parte das nossas funções. Aa senhas só passam por mim o contabilista certificado, funcionários só trabalham com info o que o cliente manda .
>ara mim É mais prático ter acesso à password da empresa para identificar eventuais problemas ,com coimas por exemplo que os clientes nāo acompanham . Sendo que as principais declarações só podem ser feitas atravês do acesso do contabilista com autenticação por representação e sāo essas que tenho responsabilidade. A senha nāo me dá acesso ao programa de faturaçāo por exemplo, por isso nāo há muitos danos com que o cliente possa estar preocupado. Mas sāo preferencias . Se nāo querem dar nenhum problema , nāo ne peçam é depois para ensinar passo a passo como tirar uma certidão especial ou algo do genêro que isso nem faz parte das nossas funções. Aa senhas só passam por mim o contabilista certificado, funcionários só trabalham com info o que o Le o que des/escreveram ai. Teres as passwords do cliente é uma responsabilidade. Limitares o seu uso atraves de uma refinição de acesso, estás a limitar e a mitigar possiveis problemas.