SEC(미국)

SEC 규칙 17a-4(f)(2)(i)에는 증권사의 전자 기록 보관에 대한 기술 요구사항이 포함되어 있습니다. SEC 규칙 18a-6(e)(2)(i)에는 증권사(SBS 법인)로 등록되어 있지 않은 증권 기반 스왑 딜러(SBSD) 및 주요 증권 기반 스왑 관계자(MSBSP)에 대한 유사한 요구사항이 포함되어 있습니다.

WORM 요구사항 및 감사 추적 대안에 대한 변경사항

2023년 1월부터 SEC는 이전의 '한 번 쓰기, 여러 번 읽기'(WORM) 형식 요구사항을 수정하고 전자 기록을 유지 및 보존하기 위한 대안으로 새로운 감사 추적 옵션을 추가했습니다. 규제 대상 법인은 이제 두 가지 옵션이 있습니다.

WORM 요구사항: 전자 기록을 재작성 및 삭제가 불가능한 형식으로 유지관리 및 보존해야 합니다. 또는

감사 추적 요구사항: 수정 또는 삭제 시 원본 기록의 재생성을 허용하는 방식으로 전자 기록을 유지 및 보존하는 전자 기록 보관 시스템을 사용합니다.

이 변경사항에 대한 자세한 내용은 SEC 최종 규칙 - 증권사, 보안 기반 스왑 딜러, 주요 보안 기반 스왑 관계자의 전자 기록 보관 요구사항을 참조하세요.

Google Cloud의 WORM 요구사항 지원

Google Cloud는 고객이 Google Cloud Storage 및 WORM 요구사항을 평가할 수 있도록 지원하기 위해 Cohasset Associates, Inc.에 의뢰하여 독립적인 평가를 수행합니다.

Cohasset은 Google Cloud Storage가 올바르게 구성되고 잠금 모드에서 보관 정책 기능과 함께 사용될 경우 WORM 요구사항을 충족한다고 판단했습니다. Cohasset의 평가에서는 감사 추적 대안을 다루지 않습니다.

더 이상 필요하지 않음: 전자 저장 매체에 대한 표시/증명

2023년 1월부터 SEC는 이전에 증권사, 전자 저장 매체 제공업체 또는 제3자가 전자 저장 매체가 WORM 요구사항을 충족했다는 증명을 제공해야 하는 표시 요구사항('증명서')를 삭제했습니다. 이 증명서는 더 이상 필요하지 않으므로 Google Cloud에서 더 이상 제공하지 않습니다.

이 변경사항에 관한 자세한 내용은 SEC 최종 규칙 - 증권사, 보안 기반 스왑 딜러, 주요 보안 기반 스왑 관계자의 전자 기록 보관 요구사항을 참조하세요.

규칙 18a-6에는 SBS 법인에 대한 표시 요구사항이 포함되어 있지 않습니다. 또한 이제 삭제된 표시 요구사항은 SEC 규칙 17a-4(i)(1)(ii)(A) 및 SEC 규칙 18a-6(f)(1)(ii)(A)에 따른 제3자 계약과 다릅니다.

SEC 규칙 17a-4(i)(1)(ii)(A)에는 서면 또는 전자 양식인지 여부에 관계없이 증권사의 규제 기록을 준비하거나 유지하는 제3자가 SEC에 대한 서면 계약을 제출해야 하는 요구사항이 포함되어 있습니다.

2023년 1월부터 SEC는 Google Cloud와 같은 클라우드 서비스 제공업체를 위한 제3자 계약의 대체 버전을 도입했으며 이를 '대체 계약'이라고 부릅니다. 이전에는 '기존 계약'이라고 하는 한 가지 버전의 제3자 계약만 있었습니다.

기존 계약: 무엇보다도 관련 기관의 기록 조사를 허용하고 관련 기관에 해당 기록의 정확하고 완전한 최신 인쇄본을 즉시 제공하는 데 제3자가 동의해야 합니다.

대체 계약: 클라우드 서비스 제공업체가 규제 대상 법인의 전자 기록을 보관하는 방식에 맞게 조정되며 기존 계약 대신 사용할 수 있습니다.

SEC 규칙 18a-6(f)(1)(ii)(A)에는 SBS 법인에 대한 유사한 요구사항이 포함되어 있습니다.

Google Cloud의 대체 계약 요구사항 지원

대체 계약 요구사항을 충족하기 위해 Google은 고객에게 Google Cloud 및 Google Workspace에 대한 SEC 17a-4(i) 추가 조항 또는 SEC 18a-6(f) 추가 조항을 제공합니다. Google 영업팀 또는 Google Cloud 담당자가 이 문서에 액세스할 수 있도록 도움을 드릴 수 있습니다. 고객이 등록자 이름과 등록자 번호를 제공해야 합니다. 고객이 추가 조항에 서명하면 Google은 대체 계약에 서명하고 이를 고객과 공유하여 관련 기관에 제출할 수 있습니다.

관련 기관에 대체 계약을 제출하는 방법에 대한 자세한 내용은 다음을 참조하세요.

증권사 고지, 명세서, 계약서, 보고서 제출을 위한 SEC 직원 안내

SBS 법인의 고지, 명세서, 신청서, 보고서 제출에 관한 SEC 직원 설명서

대체 계약에 대한 자세한 내용은 SEC 최종 규칙 - 증권사, 보안 기반 스왑 딜러, 주요 보안 기반 스왑 관계자의 전자 기록 보관 요구사항의 56페이지를 참조하세요. 증권사와 SBS 법인을 위한 대체 계약의 정확한 표현은 각각 137페이지와 145페이지를 참조하세요.

기존 계약, 대체 계약, 지정된 제3자 계약 간의 차이점

기존 계약 및 대체 계약은 SEC 규칙 17a-4(f)(3)(v)(A) 및 규칙 18a-6(e)(3)(v)(A)에 따른 지정된 제3자 계약과 다릅니다. 지정된 제3자 또는 'D3P'는 규제 대상 법인이 관련 기관의 검토를 위해 전자 기록에 액세스하기 위해 특별히 보유하는 제3자입니다. 이는 Google Cloud에서 제공하는 서비스가 아닙니다. 필요한 경우 규제 대상 법인은 독립 제공업체로부터 D3P 서비스 및 D3P 계약을 조달할 수 있습니다.

미국 증권 시장을 변화시키는 기술적 변화에 따른 위험을 해결하기 위해 SEC에서 규제 SCI를 도입했습니다. 시장의 기술 인프라를 강화하기 위해 규제 SCI는 특정 자체 규제 조직, 대체 거래 시스템, 계획 프로세서 및 면제 청산 기관에 대해 다음을 요구합니다.

1. 시스템 운영 역량 유지를 위한 충분한 용량, 무결성, 복원력, 가용성, 보안 확인

2. 비즈니스 연속성 및 재해 복구 계획 테스트

셋째, 시스템 중단, 시스템 규정 준수 문제 및 시스템 침입과 관련하여 시정 조치를 수행하고 이와 같은 문제 발생 시 위원회와 영향을 받는 당사자에게 알림

4. 정기적인 시스템 검토 실시

아웃소싱 서비스 제공업체로서 Google Cloud의 가이드라인 안내서 및 백서는 고객이 규제 SCI 요구사항을 충족할 수 있도록 지원하는 방법을 이해하는 데 도움이 됩니다.

사베인즈 옥슬리법은 기업 공개의 정확성과 신뢰성을 개선하기 위한 미국 법률입니다. SOX 요구사항의 일환으로 사베인즈 옥슬리법 404항은 재무 보고에 대한 통제, 재무 보고에 관해 내부 통제의 효과에 대한 경영진의 평가 결과를 포함하여 모든 미국 공기업에서 적절한 내부 통제 구조를 수립하고 유지하는 경영진의 책임을 공개적으로 보고해야 하는 요구사항을 규정합니다.

SOX 의무 사항에는 클라우드 서비스 제공업체 등 제3자가 유지관리하는 서비스 등을 포함해 내부 통제의 수립 및 모니터링이 포함됩니다. Google Cloud 또는 Google Workspace에서 회계 또는 재무 정보를 처리하는 모든 조직은 특정 Google Cloud 또는 Google Workspace 서비스가 SOX 의무 사항 충족 범위에 포함되는지 자체적으로 판단해야 합니다.

Google Cloud 또는 Google Workspace에 대한 자세한 정보가 필요한 경우 SOC(Service Organization Control) 1 유형 2 보고서에서 Google Cloud 및 Google Workspace 시스템 및 제어에 대한 설명, 조직 설명의 정확성, 명시된 목표를 충족하는 데 설명된 제어의 적합성 및 효과에 관한 독립적인 감사자 의견을 제공합니다. SOC 1 유형 2 보고서는 Google Cloud 및 Google Workspace의 규정 준수 보고서 관리자를 통해 요청할 수 있습니다.