A Comissão de Valores Mobiliários (SEC, na sigla em inglês) é uma agência independente responsável por supervisionar o setor de títulos nos Estados Unidos. A missão da SEC é proteger investidores, manter os mercados justos, ordenados e eficientes e facilitar a formação de capital.
Os produtos e as políticas do Google Cloud podem ajudar a atender aos requisitos da SEC. Temos documentação do Google Cloud e do Google Workspace para ajudar a entender como podemos ajudar você a atender aos requisitos da SEC.
Saiba mais sobre as principais regulamentações e diretrizes recomendadas pela SEC.
A Regra 17a-4(f)(2)(i) da SEC contém requisitos técnicos para a manutenção de registros eletrônicos para agentes. A regra 18a-6(e)(2)(i) da SEC contém requisitos semelhantes para revendedores de troca com base em segurança (SBSD) e principais participantes de troca baseados em segurança (MSBSP) que não sejam registrados como corretor-revendedor (Entidades SBS).
Mudanças no requisito de WORM e na alternativa de acompanhamento de auditoria
Em janeiro de 2023, a SEC modificou o requisito anterior de formato "gravar uma vez, ler muitos" (WORM, na sigla em inglês) e adicionou uma nova opção de trilha de auditoria como alternativa para manter e preservar registros eletrônicos. Agora as entidades regulamentadas têm duas opções:
Requisito de WORM: mantém e preserva registros eletrônicos em um formato não reescrevível e não apagável ou
Requisito de trilha de auditoria: use um sistema de registro eletrônico que mantenha e preserve registros eletrônicos de maneira que permita a recriação de um registro original, se ele for modificado ou excluído.
Para mais informações sobre essa mudança, consulte a Regra final da SEC: Requisitos de armazenamento de registros eletrônicos para corretoras, concessionárias de troca com base em segurança e Principais participantes de troca com base em segurança
Suporte do Google Cloud ao requisito WORM
O Google Cloud ajuda nossos clientes na avaliação do Google Cloud Storage e do requisito de WORM com a parceria da Cohasset Associates, Inc. para realizar uma análise independente avaliação.
A Cohasset determinou que o Google Cloud Storage atende ao requisito de WORM quando configurado corretamente e usado com o recurso de política de retenção no modo bloqueado. Observe que a avaliação da Cohasset não aborda a alternativa ao Audit-Trail.
Não é mais necessário: declarações / atestados sobre mídia de armazenamento eletrônico
Em janeiro de 2023, a SEC removeu o requisito de representação ("Carta de atestado") que estabelecia anteriormente que o corretor, o provedor de mídia de armazenamento eletrônico ou outro terceiro precisava fornecer um atestado de que a mídia de armazenamento eletrônico atendeu ao requisito do WORM. O Google Cloud não fornece mais esta carta porque ela não é mais necessária.
Para mais informações sobre essa mudança, consulte a Regra final da SEC: Requisitos de armazenamento de registros eletrônicos para corretoras, concessionárias de troca com base em segurança e Principais participantes de troca com base em segurança
Observe que a Regra 18a-6 não contém um requisito de representação para entidades do SBS. Além disso, o requisito de representação eliminado é diferente do requisito de um contrato terceirizado de acordo com a Regra 17a-4(i)(1)(ii)(A) da SEC e a Regra 18a-6 da SEC(f)(1)(ii)(A).
A Regra 17a-4(i)(1)(ii)(A) da SEC contém um requisito para um terceiro que prepara ou mantém os registros regulatórios de um corretor, independentemente de o registros em formato físico ou eletrônico) para registrar um empreendimento por escrito junto à SEC.
Desde janeiro de 2023, a SEC introduziu uma versão alternativa do empreendimento terceirizado especificamente para provedores de serviços de nuvem, como o Google Cloud, chamada de "empreendimento alternativo". Antes, havia apenas uma versão do empreendimento de terceiros chamada de "empreendimento tradicional".
Empreendimento tradicional: exige que o terceiro concorde, entre outras coisas, em permitir a análise dos registros pela autoridade relevante, bem como o fornecimento imediato à autoridade relevante cópias impressas verdadeiras, corretas, completas e atuais desses registros.
Empreendimento alternativo:adaptado à forma como os provedores de serviços em nuvem mantêm registros eletrônicos para entidades regulamentadas, e podem ser usados no lugar do empreendimento tradicional.
A Regra 18a-6(f)(1)(ii)(A) da SEC contém um requisito semelhante para Entidades do SBS.
Suporte do Google Cloud ao requisito de compromisso alternativo
Para atender ao requisito do Empreendimento alternativo, o Google oferece aos clientes um Adendo SEC 17a-4(i) ou um Adendo SEC 18a-6(f) para o Google Cloud e o Google Workspace. Nossa equipe de vendas ou seu representante do Google Cloud pode ajudar a fornecer acesso a essa documentação. Os clientes vão precisar fornecer o nome e o número do responsável pelo registro. Depois que um cliente assinar o Adendo, o Google poderá assinar o empreendimento alternativo e compartilhá-lo com o cliente para ser enviado à autoridade relevante.
Para mais informações sobre como enviar o empreendimento alternativo à autoridade relevante, consulte:
Para mais informações sobre o empreendimento alternativo, consulte a página 56 da regra final da SEC: Requisitos de armazenamento de registros eletrônicos para corretoras, concessionárias de troca baseadas em segurança e participantes de troca com base em segurança importante. Consulte as páginas 137 e 145 para ver o texto exato do Projeto alternativo para agentes e entidades do SBS, respectivamente.
As diferenças entre empreendimento tradicional, empreendimento alternativo e empreendimento terceirizado designado
O empreendimento tradicional e o empreendimento alternativo são diferentes do empreendimento terceirizado designado de acordo com as normas 17a-4(f)(3)(v)(A) e 18a-6(e) da SEC (3)(v)(A). Um terceiro designado, ou "D3P", é um terceiro que uma entidade regulamentada retém especificamente para acessar registros eletrônicos para análise da autoridade relevante. Esse não é um serviço fornecido pelo Google Cloud. Se necessário, as entidades regulamentadas podem adquirir um serviço D3P e o compromisso D3P de um provedor independente.
O SCI de regulamentação foi adotado pela SEC para lidar com os riscos apresentados por alterações tecnológicas que transformam os mercados de títulos dos EUA. Para fortalecer a infraestrutura tecnológica dos mercados, a SCI de regulamentação exige que determinadas organizações de autorregulação, sistemas de negociação alternativos, processadores de planos e isenções de agências de compensação:
1. Garantam que os sistemas tenham capacidade, integridade, resiliência, disponibilidade e segurança suficientes para manter a capacidade operacional
2. Realizem testes dos planos de continuidade dos negócios e recuperação de desastres
3. Tomem ações corretivas em relação a interrupções nos sistemas, problemas de conformidade e intrusões nos sistemas e que notifiquem a comissão e as partes afetadas quando elas ocorrerem e
4. Façam revisões regulares do sistema
Como um provedor de serviços terceirizado, o mapeamento do Google Cloud com as diretrizes e o artigo ajudam os clientes a entender como podemos apoiá-los no cumprimento dos requisitos do SCI de Regulamentação.
A Lei Sarbanes-Oxley é uma legislação dos EUA que visa melhorar a acurácia e a confiabilidade das divulgações corporativas. Como parte dos requisitos da SOX, a seção 404 da Lei Sarbanes Oxley estabelece requisitos para que todas as empresas públicas dos EUA informem publicamente sobre a responsabilidade da gerência de estabelecer e manter uma estrutura de controle interno, incluindo controles sobre relatórios financeiros e os resultados da avaliação do gerenciamento da eficácia do controle interno sobre relatórios financeiros.
As obrigações da SOX incluem estabelecer e monitorar controles internos, incluindo os mantidos por terceiros, como um provedor de serviços de nuvem. Qualquer organização que processa informações contábeis ou financeiras no Google Cloud ou no Google Workspace precisa julgar se serviços específicos do Google Cloud ou do Google Workspace estão no escopo para atender às obrigações previstas na SOX.
Se você quiser mais informações sobre o Google Cloud ou o Google Workspace, o relatório de Controle de Organização de Serviço 1 (SOC, na sigla em inglês) Tipo 2 fornece as descrições do Google dos sistemas e controles do Google Cloud e do Google Workspace, além da opinião do auditor independente sobre a precisão da descrição da organização e a adequação e eficácia dos controles descritos no cumprimento dos objetivos estabelecidos. Os relatórios do SOC 1 Tipo 2 podem ser solicitados por meio do Gerenciador de relatórios de compliance para o Google Cloud e o Google Workspace.
Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.