La Comisión de Bolsa y Valores de EE. UU. (SEC) es una agencia independiente responsable de supervisar el sector de los valores en ese país. La misión de la SEC es proteger a los inversores, mantener mercados justos, ordenados y eficientes, y facilitar la formación de capital.
Los productos y las políticas de Google Cloud pueden ayudar a cumplir los requisitos de la SEC. Disponemos de documentación tanto de Google Cloud como de Google Workspace para ayudarte a comprender cómo podemos ayudarte a cumplir los requisitos de la SEC.
Consulta más información sobre las principales normativas y directrices que estipula la SEC.
La regla 17a‐4(f)(2)(i) de la SEC contiene requisitos técnicos para corredores de bolsa relativos a la conservación de registros electrónicos. La regla 18a‐6(e)(2)(i) de la SEC contiene requisitos similares para los corredores de intercambios basados en valores y para los principales participantes en estos intercambios que no están registrados como corredores de bolsa (entidades SBS).
Cambios en el requisito de WORM y en la alternativa de registro de auditoría
En enero del 2023, la SEC modificó el requisito de formato anterior de "escritura única y lectura múltiple" (WORM) y añadió una nueva opción de registro de auditoría como alternativa para mantener y conservar los registros electrónicos. Ahora, las entidades reguladas tienen dos opciones:
Requisito de WORM: mantener y conservar registros electrónicos en un formato que no se pueda reescribir ni borrar. O bien:
Requisito de registro de auditoría: usar un sistema de conservación de registros electrónicos que mantenga y conserve los registros electrónicos de modo que se pueda recrear un registro original si se modifica o se elimina.
Para obtener más información sobre este cambio, consulta la regla final de la SEC sobre los requisitos de conservación de registros electrónicos para corredores de bolsa, corredores de intercambios basados en valores y principales participantes en intercambios basados en valores.
Cumplimiento por parte de Google Cloud del requisito de WORM
Google Cloud ayuda a nuestros clientes a evaluar Google Cloud Storage y el requisito de WORM, ya que les permite interactuar con Cohasset Associates, Inc. para realizar una evaluación independiente.
Cohasset ha determinado que Google Cloud Storage cumple el requisito de WORM cuando se configura correctamente y se utiliza con la función de la política de retención en el modo Bloqueo. Ten en cuenta que la evaluación de Cohasset no aborda la alternativa de registro de auditoría.
Ya no se necesita: representaciones o atestaciones sobre el medio de almacenamiento electrónico
En enero del 2023, la SEC eliminó el requisito de representación ("Certificación") que anteriormente indicaba que el corredor de bolsa, el proveedor de medios de almacenamiento electrónico u otro tercero tenían que proporcionar una atestación que demostrara que el medio de almacenamiento electrónico cumplía el requisito de WORM. Google Cloud ha dejado de proporcionar esta certificación porque ya no es necesaria.
Para obtener más información sobre este cambio, consulta la regla final de la SEC sobre los requisitos de conservación de registros electrónicos para corredores de bolsa, corredores de intercambios basados en valores y principales participantes en intercambios basados en valores.
Ten en cuenta que la regla 18a‐6 no contiene ningún requisito de representación para las entidades SBS. Además, el requisito de representación que ya se ha eliminado es diferente del requisito para una empresa de terceros según las reglas 17a-4(i)(1)(ii)(A) y 18a-6(f)(1)(ii)(A) de la SEC.
La regla 17a‐4(i)(1)(ii)(A) de la SEC contiene un requisito para los terceros que preparan o mantienen los registros normativos de un corredor de bolsa (independientemente de si están en papel o tienen un formato electrónico) para presentar un compromiso por escrito ante la SEC.
Desde enero del 2023, la SEC presentó una versión alternativa del compromiso de terceros específicamente para proveedores de servicios en la nube como Google Cloud, denominado "compromiso alternativo". Antes, solo había una versión del compromiso de terceros denominado "compromiso tradicional".
Compromiso tradicional: se exige que el tercero acuerde, entre otras cosas, permitir el análisis de los registros por parte de la autoridad pertinente, así como proporcionar a la autoridad pertinente copias impresas verdaderas, correctas, completas y actuales de esos registros.
Compromiso alternativo: adaptado a la forma en que los proveedores de servicios en la nube guardan registros electrónicos de entidades reguladas y se pueden utilizar en lugar del compromiso tradicional.
La regla 18a-6(f)(1)(ii)(A) de la SEC contiene un requisito similar para las entidades SBS.
Cumplimiento por parte de Google Cloud del requisito de compromiso alternativo
Para satisfacer el requisito de compromiso alternativo, Google ofrece a los clientes un anexo 17a‐4(i) o 18a‐6(f) de la SEC para Google Cloud y Google Workspace. Nuestro equipo de Ventas o tu representante de Google Cloud pueden ayudarte a acceder a esta documentación. Los clientes deberán indicar el nombre y el número del titular del dominio. Una vez que un cliente haya firmado el anexo, Google podrá firmar el compromiso alternativo y compartirlo con el cliente para que lo envíe a la autoridad pertinente.
Para obtener más información sobre cómo enviar el compromiso alternativo a la autoridad pertinente, consulta los siguientes recursos:
Para obtener más información sobre el compromiso alternativo, consulta la página 56 de la regla final de la SEC sobre los requisitos de conservación de registros electrónicos para corredores de bolsa, corredores de intercambios basados en valores y principales participantes en intercambios basados en valores. Consulta las páginas 137 y 145 para ver los textos exactos del compromiso alternativo para corredores de bolsa y entidades SBS, respectivamente.
Diferencias entre un compromiso tradicional, un compromiso alternativo y un compromiso de terceros designado
El compromiso tradicional y el compromiso alternativo son diferentes del compromiso de terceros designado según las normas 17a-4(f)(3)(v)(A) y 18a-6(e)(3)(v)(A) de la SEC. Un tercero designado, o "D3P", es un tercero que una entidad regulada conserva específicamente para acceder a los registros electrónicos para su revisión por parte de la autoridad pertinente. No se trata de un servicio proporcionado por Google Cloud. En caso necesario, las entidades reguladas pueden aprovisionar un servicio D3P y el compromiso D3P de un proveedor independiente.
La SEC ha adoptado la normativa SCI para poder abordar los riesgos que planteaban los cambios tecnológicos que estaban transformando los mercados de valores de EE. UU. Para reforzar la infraestructura tecnológica de los mercados, la normativa SCI exige que determinadas organizaciones autorreguladas, sistemas comerciales alternativos, procesadores de planes y agencias de aduanas de exención hagan lo siguiente:
1. Asegurarse de que sus sistemas tengan suficiente capacidad, integridad, resiliencia, disponibilidad y seguridad para mantener la capacidad operativa
2. Probar la continuidad de la actividad de su empresa y de sus planes de recuperación tras fallos
3. Tomar medidas correctivas con respecto a las interrupciones en los sistemas, problemas de cumplimiento e intrusiones en los sistemas, y notificar a la Comisión y a las partes afectadas cuando se produzcan
4. Llevar a cabo revisiones periódicas del sistema
Como proveedor de servicios externalizados, la asignación de Google Cloud a las directrices y al informe ayuda a los clientes a entender cómo podemos ayudarles a cumplir los requisitos de SCI relativos a normativas.
La ley estadounidense Sarbanes-Oxley tiene como objetivo mejorar la precisión y la fiabilidad de la divulgación de información empresarial. Como parte de los requisitos de la SOX, la sección 404 de la ley Sarbanes Oxley establece requisitos que indican que todas las sociedades cotizadas de EE. UU. deben informar públicamente sobre quién es el responsable de dirigir, crear y mantener una estructura de control interno, incluidos los controles sobre la información financiera y los resultados de la evaluación que hace la dirección sobre la efectividad del control interno de la información financiera.
Entre las obligaciones que contempla la SOX se incluyen el establecimiento y la supervisión de controles internos, incluidos los llevados a cabo por un tercero, como un proveedor de servicios en la nube. Cualquier organización que trate información financiera o de auditoría en Google Cloud o Google Workspace debe decidir si se aplica a determinados servicios de Google Cloud o de Google Workspace para cumplir sus obligaciones de SOX.
Si quieres obtener más información sobre Google Cloud o Google Workspace, el informe de control de organización de servicios 1 de tipo 2 incluye las descripciones de Google de los sistemas y los controles de Google Cloud y Google Workspace, la opinión de un auditor independiente sobre la exactitud de la descripción de la organización, así como sobre la adecuación y la eficacia de los controles descritos para cumplir los objetivos indicados. Los informes SOC 1 de tipo 2 se pueden solicitar a través del Administrador de informes de cumplimiento para Google Cloud y Google Workspace.
Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.