SEC (Stati Uniti)

La regola SEC 17a-4(f)(2) contiene requisiti tecnici per la conservazione elettronica dei registri per i broker-dealer. La Regola SEC 18a-6(e)(2) contiene requisiti simili per i SBSD (Security-based Swap Dealer) e i MSBSP (Major Security-based Swap Participant) che non sono registrati come broker-dealer (entità SBS).

Modifiche al requisito WORM e all'alternativa delle tracce di audit

A partire da gennaio 2023, SEC ha esteso il precedente requisito per il formato WORM (Write Once, Read Many) e ha aggiunto una nuova opzione di audit trail completa con timestamp come alternativa per la gestione e la conservazione dei record elettronici  in formato WORM. Le entità regolamentate hanno ora due opzioni:

• Formato WORM: conserva i record elettronici in un formato non riscrivibile e non cancellabile; oppure
• Audit trail completo con timestamp: utilizza un sistema di registrazione elettronica che conserva i record elettronici e un audit trail completo con timestamp in modo da consentire la ricreazione di un record originale se viene modificato o eliminato.

Per ulteriori informazioni su questa modifica consulta la Regola Finale della SEC - Requisiti per la registrazione elettronica per i broker-dealer, i Security-Based Swap Dealer e i Major Security-Based Swap Participant.

Supporto di Google Cloud al requisito WORM

Google Cloud aiuta i nostri clienti nella valutazione di Google Cloud Storage e servizio di Backup e DR di Google Cloud e dei requisiti WORM interagendo con Cohasset Associates, Inc. per eseguire una valutazione indipendente, come indicato in basso:

• Google Cloud Storage (valutazione)
• Panoramica del servizio di Backup e DR di Google Cloud (valutazione)

Cohasset ha stabilito che Google Cloud Storage soddisfa il requisito WORM se configurato correttamente e utilizzato con la funzionalità dei policy di conservazione in modalità bloccata. 

Cohasset ha stabilito che il servizio di backup e DR di Google Cloud soddisfa il requisito WORM se configurato correttamente con un periodo di conservazione minimo imposto. 

Tieni presente che le valutazioni di Cohasset non riguardano l'alternativa meno rigorosa dell'audit trail completo con timestamp.

Non sono più necessarie: dichiarazioni/attestazioni sul supporto di archiviazione elettronico

A partire da gennaio 2023, la SEC ha rimosso il requisito di rappresentazione ("Lettera di attestazione") che in precedenza indicava che il broker-dealer, il fornitore del supporto di archiviazione elettronico o un'altra terza parte dovevano fornire un'attestazione in cui si indicava che il supporto di archiviazione elettronico aveva soddisfatto il requisito WORM. Google Cloud non fornisce più questa lettera perché non è più necessaria.

Per ulteriori informazioni su questa modifica consulta la Regola Finale della SEC - Requisiti per la registrazione elettronica per i broker-dealer, i Security-Based Swap Dealer e i Major Security-Based Swap Participant

Nota: la Regola 18a-6 non contiene un requisito di rappresentanza per le entità SBS. Inoltre, il requisito di rappresentanza ora eliminato è diverso dal requisito per un impegno di terze parti ai sensi della regola SEC 17a-4(i)(1)(ii)(A) e della regola SEC 18a-6(f)(1)(ii)(A).

La Regola SEC 17a-4(i)(1)(ii)(A) contiene un requisito per una terza parte che prepara o conserva i registri normativi di un broker-dealer (indipendentemente dal fatto che i documenti sono in formato cartaceo o elettronico) per presentare un impegno scritto alla SEC.

Da gennaio 2023, la SEC ha introdotto una versione alternativa dell'impegno di terze parti specificatamente per i fornitori di servizi cloud come Google Cloud, denominata "Impegno alternativo". In precedenza, esisteva una sola versione dell'impegno di terze parti denominata "Impegno tradizionale".

Impegno tradizionale: richiede che la terza parte accetti, tra le altre cose, di consentire l'esame dei registri da parte dell'autorità competente e di fornire prontamente all'autorità competente copie cartacee veritiere, corrette, complete e aggiornate di questi registri.

Impegno alternativo: personalizzato in base al modo in cui i fornitori di servizi cloud conservano i registri elettronici per le entità regolamentate e può essere utilizzato al posto dell'Impegno tradizionale.

La regola SEC 18a-6(f)(1)(ii)(A) contiene un requisito simile per le persone giuridiche SBS.

Supporto di Google Cloud al requisito dell'Impegno Alternativo

Per soddisfare il requisito dell'Impegno alternativo, Google offre ai clienti l'appendice SEC 17a-4(i) o l'appendice SEC 18a-6(f) per Google Cloud e Google Workspace. Il nostro team di vendita o il tuo rappresentante di Google Cloud possono aiutarti ad accedere a questa documentazione. I clienti dovranno fornire il nome e il numero del registrante. Una volta che un cliente avrà firmato l'Appendice, Google potrà firmare l'Impegno alternativo e condividerlo con il cliente per presentarlo all'autorità competente.

Per ulteriori informazioni su come presentare l'Impegno alternativo all'autorità competente, consulta:

Le Linee guida del personale della SEC per la compilazione di avvisi, dichiarazioni, impegni e report dei broker-dealer

La Dichiarazione del personale della SEC sull'invio di notifiche, dichiarazioni, applicazioni e report per le entità SBS

Per ulteriori informazioni sull'Impegno alternativo, consulta la pagina 56 del documento Regola Finale della SEC- Requisiti per la registrazione elettronica per i broker-dealer, i Security-Based Swap Dealer e i Major Security-Based Swap Participant. Consulta le pagine 137 e 145 per il testo esatto dell'Impegno alternativo rispettivamente per i broker-dealer e le Entità SBS.

Differenze tra Impegno tradizionale, Impegno alternativo e Impegno di terze parti designate

L'Impegno tradizionale e l'Impegno alternativo sono diversi dall'Impegno di terze parti designate ai sensi della regola SEC 17a-4(f)(3)(v)(A) e della regola 18a-6(e)(3)(v)(A). Una Terza parte designata o "D3P" è una terza parte che un'entità regolamentata conserva specificamente per accedere ai registri elettronici ai fini della revisione da parte dell'autorità competente. Questo non è un servizio fornito da Google Cloud. Se necessario, le entità regolamentate possono richiedere un servizio D3P e l'Impegno D3P da un fornitore indipendente.

Le Regulation SCI sono state adottate dalla SEC per far fronte ai rischi posti dai cambiamenti tecnologici che trasformano i mercati mobiliari statunitensi. Nel tentativo di rafforzare l'infrastruttura tecnologica dei mercati, le Regulation SCI richiedono che particolari organizzazioni di autoregolamentazione, sistemi alternativi di negoziazione, elaboratori di piani e organismi di compensazione esentati:

1. garantiscano che i loro sistemi abbiano capacità, integrità, resilienza, disponibilità e sicurezza sufficienti per mantenere la capacità operativa

2. conducano test sui propri piani di continuità aziendale e di ripristino di emergenza

3. intraprendano azioni correttive in merito a intrusioni, problemi di conformità e interruzioni dei sistemi, informando la Commissione e le parti interessate quando si verificano; e

4. svolgano revisioni periodiche dei sistemi

In qualità di fornitore di servizi in outsourcing, la mappatura di Google Cloud alle linee guida e al white paper aiuta i clienti a comprendere in che modo possiamo fornire loro assistenza nel soddisfare i requisiti delle Regulation SCI.

Il Sarbanes-Oxley Act è una legge statunitense che ha lo scopo di migliorare l'accuratezza e l'affidabilità delle divulgazioni aziendali. Nell'ambito dei requisiti SOX, la sezione 404 del Sarbanes Oxley Act stabilisce i requisiti per tutte le società per azioni statunitensi per segnalare pubblicamente la responsabilità della dirigenza nel definire e mantenere un'adeguata struttura di controllo interno, inclusi i controlli sui report finanziari, e i risultati della valutazione sull'efficacia del controllo interno sui report finanziari da parte della dirigenza.

Gli obblighi in materia di SOX includono la definizione e il monitoraggio dei controlli interni, inclusi quelli gestiti da terze parti, ad esempio un fornitore di servizi cloud. Qualsiasi organizzazione che tratti informazioni contabili o finanziarie su Google Cloud o Google Workspace deve giudicare autonomamente se determinati servizi Google Cloud o Google Workspace rientrano nell'ambito per il rispetto dei relativi obblighi SOX.

Per saperne di più su Google Cloud o Google Workspace, il report del Service Organization Control (SOC) 1 Tipo 2 fornisce le descrizioni di Google dei sistemi e dei controlli Google Cloud e Google Workspace e il parere di un revisore indipendente sulla precisione della descrizione dell'organizzazione, nonché sull'adeguatezza e sull'efficacia dei controlli descritti nel raggiungimento degli obiettivi dichiarati. I report SOC 1 Tipo 2 possono essere richiesti tramite Gestione dei report di conformità per Google Cloud e Google Workspace.