SEC (Stati Uniti)

La Securities and Exchange Commission (SEC) è un'agenzia indipendente responsabile della supervisione del settore dei valori mobiliari negli Stati Uniti. La missione della SEC è proteggere gli investitori, mantenere mercati equi, ordinati ed efficienti e facilitare la formazione del capitale.

I prodotti e le norme di Google Cloud possono contribuire a soddisfare i requisiti della SEC. Disponiamo di documentazione sia per Google Cloud che per Google Workspace per permetterti di comprendere come possiamo aiutarti a soddisfare i requisiti della SEC.

Offerte relative alla conformità SEC

Scopri di più sulle linee guida e le normative principali previste dalla SEC.

La Regola SEC 17a-4(f)(2)(i) contiene requisiti tecnici per la conservazione dei registri elettronici per i broker-dealer. La Regola SEC 18a-6(e)(2)(i) contiene requisiti simili per i SBSD (Security-based Swap Dealer) e i MSBSP (Major Security-based Swap Participant) che non sono registrati come broker-dealer (entità SBS).

Modifiche al requisito WORM e all'alternativa Audit-Trail

A partire da gennaio 2023, la SEC ha modificato il precedente requisito per il formato WORM (write once, read many) e ha aggiunto una nuova opzione di audit trail come alternativa per la gestione e la conservazione dei registri elettronici. Le entità regolamentate hanno ora due opzioni:

Requisito WORM: conserva i registri elettronici in un formato non riscrivibile e non cancellabile; oppure

Requisito Audit-Trail: utilizza un sistema di registrazione elettronico che conserva i registri elettronici in modo da consentire la ricreazione di un registro originale se viene modificato o eliminato.

Per ulteriori informazioni su questa modifica, consulta la Regola finale della SEC - Requisiti per la registrazione elettronica per i broker-dealer, i Security-Based Swap Dealer e i Major Security-Based Swap Participant.

Supporto di Google Cloud al requisito WORM

Google Cloud aiuta i nostri clienti nella valutazione di Google Cloud Storage e dei requisiti WORM interagendo con Cohasset Associates, Inc. per eseguire una valutazione indipendente.

Cohasset ha stabilito che Google Cloud Storage soddisfa il requisito WORM se configurato correttamente e utilizzato con la funzionalità Criterio di conservazione in modalità di blocco. Tieni presente che la valutazione di Cohasset non considera l'alternativa Audit-Trail.

Non sono più necessarie: dichiarazioni/attestazioni sul supporto di archiviazione elettronico

A partire da gennaio 2023, la SEC ha rimosso il requisito di rappresentazione ("Lettera di attestazione") che in precedenza indicava che il broker-dealer, il fornitore del supporto di archiviazione elettronico o un'altra terza parte dovevano fornire un'attestazione in cui si indicava che il supporto di archiviazione elettronico aveva soddisfatto il requisito WORM. Google Cloud non fornisce più questa lettera perché non è più obbligatoria.

Per ulteriori informazioni su questa modifica consulta la Regola Finale della SEC - Requisiti per la registrazione elettronica per i broker-dealer, i Security-Based Swap Dealer e i Major Security-Based Swap Participant

Nota: la regola 18a-6 non contiene un requisito di rappresentazione per le entità SBS. Inoltre, il requisito di rappresentanza ormai eliminato è diverso da quello previsto per un'impresa di terze parti ai sensi della Regola SEC 17a-4(i)(1)(ii)(A) e della Regola SEC 18a-6(f)(1)(ii)(A).

La Regola SEC 17a-4(i)(1)(ii)(A) contiene un requisito per una terza parte che prepara o conserva i registri normativi di un broker-dealer (indipendentemente dal fatto che i documenti sono in formato cartaceo o elettronico) per presentare un impegno scritto alla SEC.

Da gennaio 2023, la SEC ha introdotto una versione alternativa dell'impegno di terze parti specificatamente per i fornitori di servizi cloud come Google Cloud, denominata "Impegno alternativo". In precedenza, esisteva una sola versione dell'impegno di terze parti denominata "Impegno tradizionale".

Impegno tradizionale: richiede che la terza parte accetti, tra le altre cose, di consentire l'esame dei registri da parte dell'autorità competente e di fornire prontamente all'autorità competente copie cartacee veritiere, corrette, complete e aggiornate di questi registri.

Impegno alternativo: personalizzato in base al modo in cui i fornitori di servizi cloud conservano i registri elettronici per le entità regolamentate e può essere utilizzato al posto dell'Impegno tradizionale.

La Regola SEC 18a-6(f)(1)(ii)(A) contiene un requisito simile per le Entità SBS.

Supporto di Google Cloud al requisito dell'Impegno Alternativo

Per soddisfare il requisito dell'Impegno alternativo, Google offre ai clienti l'appendice SEC 17a-4(i) o l'appendice SEC 18a-6(f) per Google Cloud e Google Workspace. Il nostro team di vendita o il tuo rappresentante di Google Cloud possono aiutarti ad accedere a questa documentazione. I clienti dovranno fornire il nome e il numero del registrante. Una volta che un cliente avrà firmato l'Appendice, Google potrà firmare l'Impegno alternativo e condividerlo con il cliente per presentarlo all'autorità competente.

Per ulteriori informazioni su come presentare l'Impegno alternativo all'autorità competente, consulta:

Le Linee guida del personale della SEC per la compilazione di avvisi, dichiarazioni, impegni e report dei broker-dealer

La Dichiarazione del personale della SEC sull'invio di notifiche, dichiarazioni, applicazioni e report per le entità SBS

Per ulteriori informazioni sull'Impegno alternativo, consulta la pagina 56 del documento Regola Finale della SEC- Requisiti per la registrazione elettronica per i broker-dealer, i Security-Based Swap Dealer e i Major Security-Based Swap Participant. Consulta le pagine 137 e 145 per il testo esatto dell'Impegno alternativo rispettivamente per i broker-dealer e le Entità SBS.

Differenze tra Impegno tradizionale, Impegno alternativo e Impegno di terze parti designate

L'Impegno tradizionale e l'Impegno alternativo sono diversi dall'Impegno di terze parti designate ai sensi della regola SEC 17a-4(f)(3)(v)(A) e della regola 18a-6(e)(3)(v)(A). Una Terza parte designata o "D3P" è una terza parte che un'entità regolamentata conserva specificamente per accedere ai registri elettronici ai fini della revisione da parte dell'autorità competente. Questo non è un servizio fornito da Google Cloud. Se necessario, le entità regolamentate possono richiedere un servizio D3P e l'Impegno D3P da un fornitore indipendente.

Le Regulation SCI sono state adottate dalla SEC per far fronte ai rischi posti dai cambiamenti tecnologici che trasformano i mercati mobiliari statunitensi. Nel tentativo di rafforzare l'infrastruttura tecnologica dei mercati, le Regulation SCI richiedono che particolari organizzazioni di autoregolamentazione, sistemi alternativi di negoziazione, elaboratori di piani e organismi di compensazione esentati:

1. garantiscano che i loro sistemi abbiano capacità, integrità, resilienza, disponibilità e sicurezza sufficienti per mantenere la capacità operativa

2. conducano test sui propri piani di continuità aziendale e di ripristino di emergenza

3. intraprendano azioni correttive in merito a intrusioni, problemi di conformità e interruzioni dei sistemi, informando la Commissione e le parti interessate quando si verificano; e

4. svolgano revisioni periodiche dei sistemi

In qualità di fornitore di servizi in outsourcing, la mappatura di Google Cloud alle linee guida e al white paper aiuta i clienti a comprendere in che modo possiamo fornire loro assistenza. nel soddisfare i requisiti delle Regulation SCI.

Il Sarbanes-Oxley Act è una legge statunitense che ha lo scopo di migliorare l'accuratezza e l'affidabilità delle divulgazioni aziendali. Nell'ambito dei requisiti SOX, la sezione 404 del Sarbanes Oxley Act stabilisce i requisiti per tutte le società per azioni statunitensi per segnalare pubblicamente la responsabilità della dirigenza nel definire e mantenere un'adeguata struttura di controllo interno, inclusi i controlli sui report finanziari, e i risultati della valutazione sull'efficacia del controllo interno sui report finanziari da parte della dirigenza.

Gli obblighi in materia di SOX includono la definizione e il monitoraggio dei controlli interni, inclusi quelli gestiti da terze parti, ad esempio un fornitore di servizi cloud. Qualsiasi organizzazione che tratti informazioni contabili o finanziarie su Google Cloud o Google Workspace deve giudicare autonomamente se determinati servizi Google Cloud o Google Workspace rientrano nell'ambito per il rispetto dei relativi obblighi SOX.

Per saperne di più su Google Cloud o Google Workspace, il report del Service Organization Control (SOC) 1 Tipo 2 fornisce le descrizioni di Google dei sistemi e dei controlli Google Cloud e Google Workspace e il parere di un revisore indipendente sulla precisione della descrizione dell'organizzazione, nonché sull'adeguatezza e sull'efficacia dei controlli descritti nel raggiungimento degli obiettivi dichiarati. I report SOC 1 Tipo 2 possono essere richiesti tramite Gestione dei report di conformità per Google Cloud e Google Workspace.