美國證交會

美國證交會規定 17a-4(f)(2)(i) 含有證券商須遵守的電子記錄保存技術相關規定。美國證交會規定 18a-6(e)(2)(i) 的類似規定則適用於未註冊為證券商 (SBS 實體) 的證券類交換交易商 (SBSD)、證券類交換交易主要參與者 (MSBSP)。

WORM 規定和稽核追蹤替代方案異動

2023 年 1 月，美國證交會修改了先前的「一次寫入，多次讀取」(WORM) 格式規定，並新增「稽核追蹤」為維護及保留電子記錄的替代選項。受管制實體可依以下兩種規定維護及保留電子記錄：

WORM 規定：以無法重新寫入且無法清除的格式維護及保留電子記錄，或是

稽核追蹤規定：使用電子記錄保存系統來維護及保留電子記錄，原始記錄如遭修改或刪除，系統會重新建立一筆資料。

如要進一步瞭解這項異動，請參閱美國證交會《最終規則》的「證券商、證券類交換交易商和證券類交換交易主要參與者須遵守的電子記錄保留規定」。

Google Cloud 如何協助客戶遵循 WORM 規定

Google Cloud 與 Cohasset Associates, Inc. 共同執行獨立評估，協助客戶確認 Google Cloud Storage 是否符合 WORM 規定。

Cohasset 判定妥善設定的 Google Cloud Storage 與鎖定模式的資料保留政策功能搭配使用時，符合 WORM 規定。請注意，Cohasset 的評估作業無法代替稽核追蹤替代方案。

已不需提供的項目：電子儲存媒介的聲明/認證

2023 年 1 月起，美國證交會移除了聲明規定 (下稱「認證書」)，不再要求證券商、電子儲存媒介提供者，或其他第三方提供認證來證明電子儲存媒介符合 WORM 規定，因此 Google Cloud 往後不會提供這類文件。

如要進一步瞭解這項異動，請參閱美國證交會《最終規則》的「證券商、證券類交換交易商和證券類交換交易主要參與者須遵守的電子記錄保留規定」

請注意，美國證交會規定 18a-6 不含 SBS 實體須遵守的聲明要求。此外，現已廢除的聲明規定不同於美國證交會規定 17a-4(i)(1)(ii)(A) 和 18a-6(f)(1)(ii)(A) 的第三方證明 (Third Party Undertaking) 規定。

美國證交會規定 17a-4(i)(1)(ii)(A) 要求為證券商準備或維護監管記錄 (無論紙本或電子格式) 的第三方，須向美國證交會提供書面證明。

2023 年 1 月起，美國證交會專為 Google Cloud 等雲端服務供應商推出第三方證明的替代方案，稱為「替代證明」。在此之前只有「傳統證明」一個版本。

傳統證明：第三方必須同意相關主管機關審查記錄與其他重要事項，並以紙本方式向相關主管機關及時提供這些記錄真實、正確、完整且最新的版本。

替代證明：這項方案特別考量了雲端服務供應商為受監管實體保留電子記錄的方式，可代替「傳統證明」。

美國證交會規定 18a-6(f)(1)(ii)(A) 中有 SBS 實體須遵守的類似規定。

Google Cloud 如何幫助客戶遵守「替代證明」規定

為了幫助客戶遵守「替代證明」規定，Google Cloud 與 Google Workspace　均提供美國證交會 17a-4(i) 及 18a-6(f) 附加條款。我們的銷售團隊或 Google Cloud 代表可協助您取得這類文件。客戶必須提供註冊者名稱與註冊者號碼。客戶簽署附加條款後，Google 即可簽署「替代證明」並提供給客戶，以便他們提交給相關主管機關。

如需進一步瞭解如何向相關主管機關提交「替代證明」，請參考以下資源：

美國證交會《專員提供的指引：證券商聲言、聲明、證明與報告的填寫方式》

美國證交會《專員聲明事項：專為 SBS 實體提供的聲言、聲明、申請與報告提交須知》

如需進一步瞭解替代證明，請參閱美國證交會《最終規定》第 56 頁的「證券商、證券類交換交易商和證券類交換交易主要參與者須遵守的電子記錄保留規定」。如需瞭解證券商與 SBS 實體「替代證明」的確切定義，請分別參閱《最終規定》的第 137 頁與第 145 頁。

「傳統證明」、「替代證明」和「指定第三方證明」的差異

「傳統證明」和「替代證明」與美國證交會規定 17a-4(f)(3)(v)(A) 及 18a-6(e)(3)(v)(A) 所述的「指定第三方證明」不同。「指定第三方」或「D3P」是為指受監管實體採用的第三方，職責是取得電子記錄供相關主管機關審查。D3P 並非 Google Cloud 提供的服務。如有需要，受監管實體可向獨立供應商採購 D3P 服務和 D3P 證明。

技術變革改變了美國證券市場，因此美國證交會採用監管SCI規定來因應這些變革帶來的風險。為了強化市場的技術基礎架構，監管系統法規遵循與完整性規定某些自我規範組織、替代交易系統、計畫處理者以及豁免清算機構必須採取下列行動：

1. 確保自家系統具備足夠的容量、完整性、彈性、可用性和安全性來維持營運能力

2. 測試持續營運能力和災難復原計畫

3. 針對系統的服務中斷、法規遵循問題和入侵事件進行修正，並在發生這些情況時，通知美國證交會和受影響者

4. 定期檢查系統

做為外包服務供應商，Google Cloud 建立了法規對照表與白皮書，協助客戶瞭解如何遵循系統法規遵循與完整性規定。

《沙賓法案》是美國法律，旨在提升公司揭露資料的準確度和可靠性。根據《沙賓法案》第 404 節，該節要求所有美國上市公司公開說明管理階層如何負責建立和維護適當的內部控管結構，包括財務報表控管機制，以及管理階層對於財務報表的內部控管成效的評估結果。

《沙賓法案》義務涵蓋建立及監控內部控管機制，包括由第三方 (例如：雲端服務供應商) 維護的控管機制。 凡是透過 Google Cloud 或 Google Workspace 處理會計或財務資訊的機構，都必須自行判斷是否使用了特定 Google Cloud 或 Google Workspace 服務，以善盡《沙賓法案》義務。

如需進一步瞭解 Google Cloud 或 Google Workspace，可在服務機構控制 (SOC) 1 Type 2 報告中，找到 Google 對 Google Cloud 和 Google Workspace 系統與控管機制的說明，以及獨立稽核單位提供的下列評估：受稽核機構的說明準確度、控管機制是否適合用於達成指定目標，以及控管機制實現目標的效力。您可以透過 Google Cloud 和 Google Workspace 的法規遵循報告管理員，索取 SOC 1 Type 2 報告。