هل يرفع محاسبك قسائم رواتبك إلى مواقع PDF عشوائية؟
يتعامل محاسبك مع قسائم الرواتب والعقود والإقرارات الضريبية. وإذا دمج أو قسّم تلك الملفات على موقع عشوائي، فإن بياناتك قد غادرت بين يديك. إليك الحل.
فكّر في مَن لمس قسيمة راتبك هذا العام. أنت، وصاحب العمل، وبكل تأكيد تقريبًا محاسب أو مكتب رواتب. والآن فكّر في اللحظة التي احتاج فيها ذلك الملف بصيغة PDF إلى أن يُدمج مع ملف الشهر الماضي، أو أن يُقسّم إلى صفحات منفصلة للبنك. أين حدث ذلك؟
بالنسبة لكثير من المهنيين، الجواب هو موقع مجاني عثروا عليه في الصفحة الأولى من نتائج البحث. يسحبون قسيمة راتبك إليه، وينقرون زرًا، ويحمّلون النتيجة، ثم يمضون. إنه يعمل. لكنه يعني أيضًا أن راتبك وتفاصيل حسابك المصرفي ورقم هويتك الوطنية قد سافرت للتو إلى خادم لم تسمع به من قبل.
هذا هو الجزء الذي يستحق الحديث عنه.
المستندات التي تمرّ عبر أيدي الآخرين
نادرًا ما تعالج ملفات PDF الحساسة الخاصة بك بنفسك. إنها تمرّ عبر وسطاء.
مكاتب الرواتب والمحاسبون يطّلعون على قسائم الرواتب والعقود والإقرارات الضريبية والشهادات المصرفية. أقسام الموارد البشرية تتعامل مع صور الهويات وأرقام الضمان الاجتماعي والإجازات المرضية وأحيانًا الشهادات الطبية. مكاتب المحاماة تتعامل مع كل شيء، من أوراق الطلاق إلى مستندات الميراث. ومكتب إدارة العيادة يدمج خطابات الإحالة ونتائج الفحوصات في ملف واحد لشركة التأمين.
كل واحد من هؤلاء، في لحظة ما، يحتاج إلى القيام بأمر مملّ على ملف PDF. دمج أربعة ملفات في ملف واحد. استخراج الصفحات من 3 إلى 7 من مستند ممسوح ضوئيًا من 40 صفحة. تصغير ملف ليناسب رسالة بريد إلكتروني. لا شيء من هذا عمل مبهر، وهذا بالضبط سبب إنجازه على أي أداة أسرع، لا على أي أداة أكثر أمانًا.
”تُحذف بعد ساعة واحدة” ليس ضمانًا
معظم أدوات PDF عبر الإنترنت ترفع ملفك إلى خادمها، وتنفّذ العملية هناك، ثم تعيد إليك النتيجة. اللافتة الصغيرة التي تقول “تُحذف ملفاتك بعد ساعة واحدة” قد تكون صادقة تمامًا. المشكلة أنك لا تستطيع التحقق منها، ولا يستطيع ذلك المحاسب الذي يستخدمها أيضًا.
بمجرد أن تصبح قسيمة الراتب على خادم شخص آخر، ولو للحظة، تخرج بضعة أمور عن سيطرة الجميع. قد تحتفظ السجلات والنسخ الاحتياطية بنسخ بعد انتهاء المهلة الموعودة. وقد يُخترق الخادم نفسه. وقد تعمل الأداة على بنية تحتية لا تملكها، فتمرّر ملفك عبر حاويات تخزين وطوابير معالجة لم يذكرها أحد. المستند الذي لا يغادر حاسوبًا محمولًا لا يمكن أن يتسرب في اختراق يحدث في مكان آخر.
بالنسبة لصورة من إجازة، لا أحد يأبه. أما بالنسبة لملف يحمل راتبك ورقم هويتك، فالحساب مختلف.
ما الذي يطلبه منهم GDPR فعلًا
هذا هو الجزء الذي يتجاوزه المهنيون أحيانًا. عندما يتعامل محاسب أو مكتب موارد بشرية مع بياناتك، فإن GDPR لا يعدّها ملكهم الشخصي يفعلون بها ما يشاؤون. إنهم يعالجون بيانات شخصية نيابة عن الآخرين، وهذا يأتي مع واجبات.
يُتوقع منهم تطبيق تدابير تقنية مناسبة للحفاظ على أمان تلك البيانات (المادة 32). ويُفترض أن يعرفوا مع مَن يشاركونها، وأي موقع PDF عشوائي يستقبل ملفًا مرفوعًا هو طرف ثالث في تلك السلسلة. وإذا مرّروا بياناتك إلى معالِج، فمن المفترض وجود عقد ينظّم ذلك. وإذا تعرّض ذلك الموقع لاختراق، فإن مَن انكشفت قسائم رواتبهم هم مَن يدفعون الثمن، توترًا وما هو أسوأ.
رفع إقرار ضريبي لعميل إلى أداة مجانية مجهولة لتوفير ثلاثين ثانية أمرٌ يصعب التوفيق بينه وبين أيٍّ من ذلك. معظم المهنيين الذين يفعلونه ببساطة لم يفكروا قط في وجهة الملف. بدت الأداة كآلة حاسبة، لا كنقل للبيانات.
الحل: أبقِ الملف على الجهاز
هناك فئة من أدوات PDF تعمل بشكل مختلف. فبدلًا من إرسال ملفك إلى خادم، تنفّذ العملية بأكملها داخل المتصفح. تُنزَّل الشيفرة إلى الجهاز مرة واحدة، ويُفتح ملف PDF الخاص بك ويُعدَّل داخل ذاكرة المتصفح نفسه، ويُحفظ الملف النهائي مباشرة إلى الجهاز ذاته. المستند لا يذهب إلى أي مكان.
هكذا يعمل reader.me، وهذا هو سبب ملاءمته للمستندات الحساسة. عندما يستخدم مكتب رواتب أداة دمج PDF لدينا لجمع كومة من قسائم الرواتب، تُعالَج تلك الملفات على حاسوبهم، في متصفحهم. لا يُرفع أي شيء إلينا، لأنه لا توجد خطوة خادم لِيُرفع إليها. أغلق علامة التبويب، وتختفي الذاكرة العاملة.
ولست مضطرًا إلى تصديق ذلك على عماية. افتح أدوات المطوّر DevTools في المتصفح، وانتقل إلى علامة تبويب الشبكة Network، ونفّذ عملية دمج، وراقب: لا يحمل أي طلب ملفك إلى الخارج. وإذا لم يكن الملف في أي جسم طلب، فهو لم يُرسل إلى أي مكان.
ما الذي ينبغي فعله فعلًا
إذا كنت المهنيّ، فغيّر عادة واحدة. قبل أن تضع قسيمة راتب عميل أو عقده في أداة ويب، اسأل ما إذا كانت تعالج في المتصفح أم على خادم. وإذا لم تستطع التمييز، فأجرِ اختبار DevTools مرة واحدة واكتشف ذلك. اختر أداة تعمل من جهة العميل واجعلها افتراضك. إنها أسرع على أي حال، لأنه لا توجد جولة رفع وتنزيل، وتظل تعمل عندما ينقطع واي-فاي المكتب.
وإذا كنت العميل، فمن حقك أن تسأل. في المرة القادمة التي يتعامل فيها مكتبك أو قسم الموارد البشرية مع مستنداتك، اسألهم كيف يعالجون ملفات PDF الخاصة بك وما إذا كانت الملفات تغادر حاسوبهم. الجواب الجيد هو “كل شيء يبقى على جهازنا”. أما هزّ الكتفين فإشارة تستحق المتابعة. إنه راتبك وهويتك على تلك الصفحات، والسؤال عن وجهتها أمرٌ معقول تمامًا.
العمل نفسه روتيني. دمج بضعة ملفات يستغرق ثوانٍ. السؤال الوحيد هو ما إذا كانت تلك الثواني تجري على جهازك أم على خادم شخص غريب، وبالنسبة لقسيمة راتب، فهذا سؤال يستحق أن تجيب عنه بشكل صحيح.