SEC（美国）

SEC 规则 17a-4(f)(2)(i) 包含针对经纪交易商保留电子记录的技术要求。SEC 规则 18a-6(e)(2)(i) 包含针对基于证券的掉期交易商 (SBSD) 和未注册为经纪交易商（SBS 实体）的大型基于证券的掉期参与方 (MSBSP) 的类似要求。

WORM 要求和审计跟踪替代方案的变更

自 2023 年 1 月起，SEC 修改了以前的“一次写入，多次读取”(WORM) 格式要求，并添加了新的审核跟踪选项，作为维护和保留电子记录的备选方案。受监管实体现在有两种选项：

WORM 要求：以不可重写、不可擦除的格式维护和保留电子记录；或

审计跟踪要求：使用的电子记录保留系统支持在原始电子记录遭到修改或删除后重新创建该记录。

如需详细了解此变更，请参阅 SEC 最终规则 - 针对经纪交易商、基于证券的掉期交易商和主要基于证券的掉期参与方的电子记录保留要求。

Google Cloud 对 WORM 要求的支持情况

Google Cloud 聘用 Cohasset Associates, Inc. 来执行独立的评估，帮助客户评估 Google Cloud Storage 和 WORM 要求。

Cohasset 认定，在正确配置和使用保留政策功能（在锁定模式下）的情况下，Google Cloud Storage 符合 WORM 要求。请注意，Cohasset 的评估并未涵盖审计跟踪备选方案。

不再需要：关于电子存储介质的陈述/证明

2023 年 1 月，SEC 移除了经纪交易商、电子存储介质提供商或其他第三方必须提供电子存储介质满足 WORM 要求的证明的陈述要求（下称“证明函”）。Google Cloud 不再提供此证明函，因为已不再需要该信息。

如需详细了解此变更，请参阅 SEC 最终规则 - 针对经纪交易商、基于证券的掉期交易商和主要基于证券的掉期参与方的电子记录保留要求

请注意，规则 18a-6 不包含针对 SBS 实体的陈述要求。此外，现已取消的这一陈述要求不同于 SEC 规则 17a-4(i)(1)(ii)(A) 和 SEC 规则 18a-6(f)(1)(ii)(A) 中对第三方承诺的陈述要求。

SEC 规则 17a-4(i)(1)(ii)(A) 包含针对制作或维护经纪交易商监管记录（无论记录以纸质或电子形式提供）以便向 SEC 提交书面承诺的第三方的要求。

2023 年 1 月，SEC 专门为 Google Cloud 等云服务提供商推出了第三方承诺的另一版本，称为“备选承诺”。之前，只有一种版本的第三方承诺，称为“传统承诺”。

传统承诺：第三方须同意以下要求（以及其他事要求）：允许相关机构检查记录，以及及时向相关机构提供此类记录的真实、正确、完整且最新的硬拷贝。

备选承诺：专门针对云服务提供商如何为受监管实体保存电子记录而量身定制，可以代替传统承诺。

SEC 规则 18a-6(f)(1)(ii)(A) 包含针对 SBS 实体的类似要求。

Google Cloud 对备选承诺要求的支持情况

为了满足备选承诺的要求，Google 向客户提供针对 Google Cloud 和 Google Workspace 的 SEC 17a-4(i) 附录或 SEC 18a-6(f) 附录。我们的销售团队或您的 Google Cloud 代表帮助您访问此文档。客户需要提供您的注册者名称和注册者编号。客户签署本附录后，Google 将能够签署备选承诺，并将其分享给客户以提交给相关机构。

如需详细了解如何向相关机构提交备选承诺，请参阅：

SEC 关于提交经纪交易商通知、声明、承诺和报告的员工指南

SEC 关于为 SBS 实体提交通知、声明、申请和报告的员工声明

如需详细了解备选承诺，请参阅 SEC 最终规则第 56 页 - 针对经纪交易商、基于证券的掉期交易商和主要基于证券的掉期参与者的电子记录保留要求。请分别参阅第 137 页和第 145 页，了解针对经纪交易商和 SBS 实体的备选承诺的确切措辞。

传统承诺、备选承诺和指定第三方承诺之间的区别

传统承诺和备选承诺不同于 SEC 规则 17a-4(f)(3)(v)(A) 和规则 18a-6(e)(3)(v)(A) 下的指定第三方承诺。指定第三方（简称“D3P”）是指受管制实体为了访问电子记录以供相关机构进行审核而专门保留的第三方。这不是 Google Cloud 提供的服务。如果需要，受监管实体可以从独立提供商处购买 D3P 服务和 D3P 承诺。

SEC 采用法规 SCI 来应对转变美国证券市场的技术变革带来的风险。为了加强市场的技术基础设施，法规 SCI 要求某些自我监管组织、其他交易系统、方案处理方和豁免清算机构满足以下条件：

1. 确保其系统具有足够的容量、完整性、弹性、可用性和安全性，以维持运营能力

2. 测试其业务连续性和灾难恢复计划

3. 针对系统中断、系统合规性问题和系统入侵采取纠正措施，并在发生此类情况时通知委员会和受影响的相关方；以及

4.定期审核系统

作为外包服务提供商，Google Cloud 与准则和白皮书之间的对应关系可帮助客户了解我们如何支持他们满足其监管 SCI 要求。

《萨班斯-奥克斯利法案》是美国的一项法律，旨在提高公司信息披露的准确性和可靠性。根据 SOX 要求，《萨班斯-奥克斯利法案》第 404 条规定，所有美国上市公司都需要公开报告管理层在建立和维护适当的内部控制结构（包括财务报告控制）方面的职责，以及管理层对财务报告内部控制的有效性的评估结果。

SOX 义务包括建立和监控内部控制措施，包括由云服务提供商等第三方维护的控制措施。 任何在 Google Cloud 或 Google Workspace 上处理会计或财务信息的组织都必须自行判断特定的 Google Cloud 或 Google Workspace 服务是否在此范围内以履行其 SOX 义务。

如果您想进一步了解 Google Cloud 或 Google Workspace，服务组织控制 (SOC) 1 类型 2 报告提供了 Google 对 Google Cloud 和 Google Workspace 系统及控制措施的说明，以及独立审计方关于组织说明的准确性以及所述控制措施对于实现既定目标的适宜性和有效性的观点。对于 Google Cloud 和 Google Workspace，您可以通过合规报告管理器索取 SOC 1 类型 2 报告。