Securities and Exchange Commission (SEC) Rule 17a-4, SEC Rule 18a-6, FINRA 4511, & CFTC 1.31 Stati Uniti

Informazioni su SEC, FINRA, & CFTC

La US Securities and Exchange Commission (SEC) è un'agenzia indipendente del governo federale degli Stati Uniti e il principale supervisore e regolatore dei mercati dei titoli degli Stati Uniti. Esercita l'autorità di imposizione sulle leggi federali sui titoli, propone nuove regole sui titoli e supervisiona la regolamentazione del mercato del settore dei titoli.

La Financial Industry Regulatory Authority (FINRA) è un'organizzazione indipendente e non governativa che scrive e applica le regole che disciplinano i broker registrati e le società di broker-dealer nella Stati Uniti.

La Commodity Futures Trading Commission (CFTC) è un'agenzia federale indipendente che regola i mercati dei derivati, inclusi contratti future, opzioni e swap, nel Stati Uniti. I suoi obiettivi includono la promozione di mercati competitivi ed efficienti e la protezione degli investitori da manipolazioni, pratiche commerciali abusive e frodi. Il Commodity Futures Trading Commission Act ha istituito il CFTC nel 1974.

Queste organizzazioni definiscono requisiti rigorosi ed espliciti per le entità regolamentate che scelgono di conservare libri e record su supporti di archiviazione elettronici. Da quando queste regole sono state pubblicate per la prima volta, nel corso degli anni sono stati apportati diversi aggiornamenti e modifiche che cercano di aggiornare queste regole nel contesto dei moderni sistemi di archiviazione e dei servizi cloud, introducendo nuove opzioni di conformità per gli istituti finanziari.

Informazioni sulle regole SEC 17a-4 e 18a-6

Il Codice delle normative federali (CFR) include i requisiti seguenti. In 17 CFR § 240.17a4(f)(2) ("Regola 17a-4(f)") per l'industria broker-dealer di titoli e 17 CFR § 240.18a6(e)(2) ("Regola 18a-6(e)") per i rivenditori di scambio basati sulla sicurezza (SBS) e i principali partecipanti allo scambio basato sulla sicurezza, la SEC stabilisce i requisiti per i sistemi elettronici di registrazione. A partire dal 3 gennaio 2023, le regole modificate richiedono sistemi elettronici di registrazione per soddisfare:

• Opzione A, Regole SEC 17a-4(f)(2)(i)(A) e 18a-6(e)(2)(i)(A): Mantenere un record per la durata del periodo di conservazione applicabile in modo da mantenere un audit trail con timestamp completo che include: (1) Tutte le modifiche e le eliminazioni del record o di una parte di esso; (2) Data e ora delle azioni che creano, modificano o eliminano il record; (3) Se applicabile, l'identità del singolo che crea, modifica o elimina il record; e (4) Qualsiasi altra informazione necessaria per mantenere un audit trail del record in modo da mantenere la sicurezza, le firme e i dati per garantire l'autenticità e l'affidabilità del record e consentirà di ricreare il record originale se viene modificato o eliminato.
• Opzione B, regole SEC 17a-4(f)(2)(i)(B) e 18a-6(e)(2)(i)(B): mantenere i record esclusivamente in un formato non riscrivibile e non cancellabile [noto anche come WORM o formato di lettura-molti una sola volta].

I requisiti aggiuntivi sono enumerati nelle regole 17a 4(f) e 18a 6(e).

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Le piattaforme e i servizi cloud Microsoft seguenti includono funzionalità che possono essere configurate in modo da essere conformi alle regole seguenti:

• Microsoft Archiviazione BLOB di Azure
• Exchange Online
• Microsoft Teams
• OneDrive for Business
• SharePoint Online
• Viva Engage (Yammer)

Servizi Microsoft che assistono le attività di conformità dei clienti

Archiviazione BLOB non modificabile di Microsoft Azure con blocco dei criteri e Microsoft Office 365 con blocco di archiviazione può aiutare gli istituti finanziari a soddisfare i requisiti di archiviazione non modificabili della regola SEC 17a-4(f)(2)(i)(B).

L'aggiornamento più recente alla regola, pubblicato il 3 novembre 2022, ha introdotto una nuova alternativa all'audit trail, descritta nel paragrafo (f)(2)(i)(A). Questa alternativa usa funzionalità moderne del servizio cloud, ad esempio conservazione, controllo delle versioni e dati affidabili del log di controllo, per ricostruire versioni specifiche dei record. Microsoft Office 365 supporta la conformità con l'alternativa audit trail tramite le soluzioni Purview, ad esempio Gestione del ciclo di vita dei dati, eDiscovery (Premium) e Audit (Premium).

Vedere la sezione 1.3 dei report indipendenti sulla valutazione della conformità (vedere i collegamenti nella sezione Valutazioni indipendenti) per le funzionalità specifiche e l'ambito dei servizi Microsoft valutati.

Valutazioni indipendenti

Microsoft ha collaborato con Cohasset Associates, Inc. per valutare la conformità di Azure e Microsoft 365 con SEC 17a-4(f)(2), SEC 18a-6(e)(2), FINRA 4511(c) e CFTC 1.31(c)-(d). Cohasset è una società di consulenza professionale specializzata nella gestione dei record e nella governance delle informazioni.

Le valutazioni annotate nelle sezioni seguenti descrivono le funzionalità all'interno dei prodotti Microsoft che consentono la conformità dei clienti con queste regole e il modo in cui queste funzionalità devono essere configurate per mantenere la conformità.

Azure

• Azure - Valutazione Cohasset - Regola SEC 17a-4(f) - Archiviazione BLOB di Azure (2021)

Microsoft 365

• Office 365 - Valutazione Cohasset - Regola SEC 17a-4(f) - Archiviazione non modificabile & Alternativa audit trail (2023)

Funzionario esecutivo designato o impresa di terze parti

Le regole SEC 17 CFR § 240.17a 4(f)(3)(v) e 17 CFR § 240.18a 6(e)(3)(v) richiedono al broker-dealer e all'entità SBS, rispettivamente, di designare un dirigente dell'azienda (responsabile esecutivo designato) o una terza parte non affiliata (terze parti designata) per inviare un'impresa richiesta alla sua Autorità di esame designata (DEA).

Microsoft non fornisce lettere o servizi di terze parti.

Le organizzazioni broker-dealer e entità SBS sono responsabili di (a) designare un dirigente dell'azienda o di una terza parte, (b) ottenere l'impegno richiesto e (c) inviare l'impresa alla propria autorità di esame designata.

Lettera di impegno SEC e regole SEC 17a-4(i)(1)(ii) e 18a-6(f)(1)(ii)

Separati dai requisiti del sistema di registrazione elettronica, 17 CFR § 240.17a-4(i) ("Regola 17a-4(i)") per il settore broker-dealer di titoli e 17 CFR § 240.18a-6(f) ("Regola 18a-6(f)") per i rivenditori di swap basati sulla sicurezza e i principali partecipanti allo scambio basato sulla sicurezza, la SEC richiede a terze parti che prepara o mantiene Broker-Dealer record normativi o record normativi SBS (indipendentemente dal fatto che i record siano in formato cartaceo o elettronico) per presentare un'impresa scritta alla Commissione firmata da persona autorizzata.

Ai sensi delle modifiche del 3 gennaio 2023, le regole SEC 17a-4(i)(1)(ii) e 18a-6(f)(1)(ii) stabiliscono l'impegno richiesto quando l'entità broker-dealer o SBS rappresenta che:

1. Gestisce e conserva i record tramite un sistema elettronico di registrazione, come definito nelle regole 17a-4(f) e 18a-6(e),
2. Ha accesso indipendente ai record detenuti da terze parti e
3. È in grado di consentire l'esame dei libri e dei registri in qualsiasi momento o di volta in volta durante l'orario di lavoro da parte di rappresentanti o designati della Commissione e di fornire tempestivamente alla Commissione o al suo designato una copia cartacea vera, corretta, completa e attuale di una o di tutte o di una parte di tali documenti.

Microsoft ha stabilito un processo per fornire un impegno per la conformità alle regole SEC 17a-4(i)(1)(ii) e 18a-6(f)(1)(ii).

1. Passare alla interfaccia di amministrazione di Microsoft 365. Nota: se l'organizzazione acquista servizi Microsoft tramite un rivenditore, potrebbe essere necessario collaborare con il rivenditore per creare una richiesta di servizio.

2. Passare alla sezione Supporto a sinistra. Potrebbe essere necessario selezionare Mostra tutto per visualizzare.

3. Selezionare Nuova richiesta di servizio.

4. Quando si invia la richiesta, inserire Request for SEC Undertaking nella riga dell'oggetto e all'inizio della documentazione.

5. Il tecnico del supporto assegnato per gestire la richiesta passa la richiesta a un team di escalation per completare il processo di richiesta, che include:

   1. Raccolta delle informazioni sui clienti e delle rappresentazioni associate.
   2. Creazione di una lettera di impegno personalizzata con firma elettronica da parte di Microsoft.
   3. Deposito della lettera con la SEC via e-mail con il contatto del cliente su cc per la consapevolezza.

Clienti e partner possono contattare FSIAssist@microsoft.com per assistenza o chiarimenti.

Nota: il contenuto fornito qui è destinato solo a scopo informativo e non deve essere interpretato come consulenza legale. Sebbene sia stato fatto uno sforzo per garantire l'accuratezza delle informazioni, non è garantito che siano corrette, complete o aggiornate. Non è consigliabile agire o basarsi su queste informazioni senza chiedere il parere di un professionista. Qualsiasi azione eseguita sulle informazioni è a proprio rischio e Microsoft non è responsabile per eventuali perdite o danni correlati all'uso delle informazioni.

Risorse

• Documentazione sulla conformità di Azure
• Azure offre un mondo di conformità
• Securities and Exchange Commission (SEC)
• Risorse dei servizi finanziari di Microsoft Cloud
• Compliance Program per Microsoft Cloud

Ulteriore assistenza e feedback

Clienti e partner possono contattare FSIAssist@microsoft.com per assistenza o chiarimenti.