SEC（美国）

SEC 规则 17a-4(f)(2)(i) 包含针对经纪交易商的电子记录保留技术要求。SEC 规则 18a-6(e)(2)(i) 包含未注册为经纪交易商（SBS 实体）的基于证券的掉期交易商 (Security-based Swap Dealer, SBSD) 和主要基于证券的掉期参与方 (Major Security-based Swap Participant, MSBSP) 须遵守的类似要求。

WORM 要求和审计跟踪替代方案的变更

自 2023 年 1 月起，SEC 修改了以前的“一次写入，多次读取”(WORM) 格式要求，并添加了新的审核跟踪选项，以作为维护和保留电子记录的备选方案。受监管实体现在有两种选项：

WORM 要求：以不可重写、不可擦除的格式维护和保留电子记录；或

审计跟踪要求：使用电子记录保留系统来维护及保留电子记录，原始电子记录如遭到修改或刪除，允许系统重新创建该记录。

如需详细了解此变更，请参阅 SEC 最终规则 - 针对经纪交易商、基于证券的掉期交易商和主要基于证券的掉期参与方的电子记录保留要求。

Google Cloud 对 WORM 要求的支持情况

Google Cloud 聘用 Cohasset Associates, Inc. 来执行独立的评估，帮助客户评估 Google Cloud Storage 和 WORM 要求。

Cohasset 认定，在正确配置和使用保留政策功能（在锁定模式下）的情况下，Google Cloud Storage 符合 WORM 要求。请注意，Cohasset 的评估并未涵盖审计跟踪备选方案。

不再需要：关于电子存储介质的陈述/证明

自 2023 年 1 月起，SEC 移除了一项陈述要求（下称“证明函”），该要求之前规定经纪交易商、电子存储介质提供商或其他第三方必须提供电子存储介质满足 WORM 要求的证明。Google Cloud 不再提供此证明函，因为已不再需要该信息。

如需详细了解此变更，请参阅 SEC 最终规则 - 针对经纪交易商、基于证券的掉期交易商和主要基于证券的掉期参与方的电子记录保留要求

请注意，规则 18a-6 不包含针对 SBS 实体的陈述要求。此外，现已取消的这一陈述要求不同于 SEC 规则 17a-4(i)(1)(ii)(A) 和 SEC 规则 18a-6(f)(1)(ii)(A) 中对第三方承诺的陈述要求。

SEC 规则 17a-4(i)(1)(ii)(A) 包含一项要求，规定制作或维护经纪交易商监管记录（无论是纸质记录还是电子记录）的第三方必须向 SEC 提交书面承诺。

自 2023 年 1 月起，SEC 专门为 Google Cloud 等云服务提供商推出了第三方承诺的另一版本，称为“备选承诺”。之前，只有一种版本的第三方承诺，称为“传统承诺”。

传统承诺：第三方须同意以下要求（以及其他事项）：允许相关机构检查记录，以及及时向相关机构提供此类记录的真实、正确、完整且最新的纸质版。

备选承诺：专门针对云服务提供商如何为受监管实体保存电子记录而量身定制，可以代替传统承诺。

SEC 规则 18a-6(f)(1)(ii)(A) 包含针对 SBS 实体的类似要求。

Google Cloud 对备选承诺要求的支持情况

为了满足备选承诺的要求，Google 向客户提供针对 Google Cloud 和 Google Workspace 的 SEC 17a-4(i) 附录或 SEC 18a-6(f) 附录。我们的销售团队或您的 Google Cloud 代表可帮助您访问此文档。客户需要提供您的注册者名称和注册者编号。客户签署本附录后，Google 将能够签署备选承诺，并将其分享给客户以提交给相关机构。

如需详细了解如何向相关机构提交备选承诺，请参阅：

SEC 关于提交经纪交易商通知、声明、承诺和报告的员工指南

SEC 关于为 SBS 实体提交通知、声明、申请和报告的员工声明

如需详细了解备选承诺，请参阅“SEC 最终规则 - 针对经纪交易商、基于证券的掉期交易商和主要基于证券的掉期参与方的电子记录保留要求”第 56 页。如需了解针对经纪交易商和 SBS 实体的备选承诺的确切措辞，请分别参阅第 137 页和第 145 页。

传统承诺、备选承诺和指定第三方承诺之间的区别

传统承诺和备选承诺不同于依据 SEC 规则 17a-4(f)(3)(v)(A) 和规则 18a-6(e)(3)(v)(A) 的指定第三方承诺。指定第三方（简称“D3P”）是指受监管实体为了访问电子记录以供相关机构进行审核而专门保留的第三方。这不是 Google Cloud 提供的服务。如果需要，受监管实体可以从独立提供商处购买 D3P 服务和 D3P 承诺。

SEC 采用法规 SCI 来应对转变美国证券市场的技术变革带来的风险。为了加强市场的技术基础设施，法规 SCI 要求某些自我监管组织、备选交易系统、方案处理方和豁免清算机构满足以下条件：

1. 确保其系统有足够的容量、完整性、弹性、可用性和安全性，可以维持运营能力

2. 测试其业务连续性和灾难恢复计划

3. 针对系统中断、系统合规性问题和系统入侵采取纠正措施，并在发生此类情况时通知委员会和受影响的相关方；以及

4. 定期审核系统

作为外包服务提供商，Google Cloud 与准则和白皮书之间的对应关系可帮助客户了解我们如何支持他们满足其监管 SCI 要求。

《萨班斯-奥克斯利法案》是美国的一项法律，旨在提高公司信息披露的准确性和可靠性。根据 SOX 要求，《萨班斯-奥克斯利法案》第 404 条规定，所有美国上市公司都需要公开报告管理层在建立和维护适当的内部控制结构（包括财务报告控制）方面的职责，以及管理层对财务报告内部控制有效性的评估结果。

SOX 义务包括建立和监控内部控制措施，包括由云服务提供商等第三方维护的控制措施。 任何在 Google Cloud 或 Google Workspace 上处理会计或财务信息的组织都必须自行判断特定的 Google Cloud 或 Google Workspace 服务是否在此范围内以履行其 SOX 义务。

如果您想进一步了解 Google Cloud 或 Google Workspace，服务组织控制 (SOC) 1 类型 2 报告提供了 Google 对 Google Cloud 和 Google Workspace 系统及控制措施的说明，以及独立审计方关于组织说明的准确性以及所述控制措施对于实现既定目标的适宜性和有效性的观点。对于 Google Cloud 和 Google Workspace，您可以通过合规报告管理器索取 SOC 1 类型 2 报告。