Securities and Exchange Commission (SEC) Rule 17a-4, SEC Rule 18a-6, FINRA 4511, & CFTC 1.31 USA

Über die SEC, FINRA, & CFTC

Die US Securities and Exchange Commission (SEC) ist eine unabhängige Behörde der US-Bundesregierung und die primäre Aufsichts- und Regulierungsbehörde der US-Wertpapiermärkte. Sie übernimmt die Durchsetzungsgewalt über Bundespapiergesetze, schlägt neue Wertpapiervorschriften vor und überwacht die Marktregulierung der Wertpapierindustrie.

Die Financial Industry Regulatory Authority (FINRA) ist eine unabhängige, nichtstaatliche organization, die die Regeln für registrierte Broker und Broker-Händler-Unternehmen im USA schreibt und durchsetzt.

Die Commodity Futures Trading Commission (CFTC) ist eine unabhängige Bundesbehörde, die die Derivatemärkte, einschließlich Futures-Kontrakten, Optionen und Swaps, im USA reguliert. Zu ihren Zielen gehören die Förderung wettbewerbsfähiger und effizienter Märkte und der Schutz der Anleger vor Manipulation, missbräuchlichen Handelspraktiken und Betrug. Mit dem Commodity Futures Trading Commission Act wurde 1974 die CFTC gegründet.

Diese Organisationen definieren strenge und explizite Anforderungen für regulierte Entitäten, die sich dafür entscheiden, Bücher und Aufzeichnungen auf elektronischen Speichermedien aufzubewahren. Seit der ersten Veröffentlichung dieser Regeln gab es im Laufe der Jahre mehrere Aktualisierungen und Änderungen, die darauf abzielen, diese Regeln im Kontext moderner Speichersysteme und Clouddienste zu aktualisieren und neue Complianceoptionen für Finanzinstitute einzuführen.

Informationen zu SEC-Regeln 17a-4 und 18a-6

Der Code of Federal Regulations (CFR) enthält die folgenden Anforderungen. In 17 CFR § 240.17a4(f)(2) ("Regel 17a-4(f)") für die Wertpapierhändlerbranche und 17 CFR § 240.18a6(e)(2) ("Regel 18a-6(e)") für SBS-Händler (Security-Based Swap)-Händler und wichtige sicherheitsbasierte Swap-Teilnehmer, die SEC legt Anforderungen für elektronische Aufzeichnungssysteme fest. Ab dem 3. Januar 2023 erfordern die geänderten Regeln, dass elektronische Aufzeichnungssysteme folgendes erfüllen:

  • Option A, SEC-Regeln 17a-4(f)(2)(i)(A) und 18a-6(e)(2)(i)(A): Bewahren Sie einen Datensatz für die Dauer seines anwendbaren Aufbewahrungszeitraums auf eine Weise auf, die einen vollständigen Überwachungspfad mit Zeitstempel enthält, der Folgendes umfasst: (1) Alle Änderungen an und Löschungen des Datensatzes oder eines Teils davon; (2) Das Datum und die Uhrzeit der Aktionen, die den Datensatz erstellen, ändern oder löschen; (3) Gegebenenfalls die Identität der Person, die den Datensatz erstellt, ändert oder löscht; und (4) Alle anderen Informationen, die erforderlich sind, um einen Überwachungspfad des Datensatzes auf eine Weise zu verwalten, die Sicherheit, Signaturen und Daten aufrechterhält, um die Authentizität und Zuverlässigkeit des Datensatzes zu gewährleisten, und ermöglicht die erneute Erstellung des ursprünglichen Datensatzes, falls er geändert oder gelöscht wird.
  • Option B, SEC-Regeln 17a-4(f)(2)(i)(B) und 18a-6(e)(2)(i)(B): Bewahren Sie die Datensätze ausschließlich in einem nicht umschreibbaren, nicht löschbaren Format [auch bekannt als WORM oder Write-Once,Read-Many-Format] auf.

Zusätzliche Anforderungen sind in Artikel 17a 4 Buchstabe f und Artikel 18a 6 Buchstabe e aufgeführt.

Zu Microsoft gehörende Cloudplattformen und -dienste

Die folgenden Microsoft-Cloudplattformen und -Dienste enthalten Features, die für die Einhaltung dieser Regeln konfiguriert werden können:

  • Microsoft Azure Blob Storage
  • Exchange Online:
  • Microsoft Teams
  • OneDrive for Business
  • SharePoint Online
  • Viva Engage (Yammer)

Microsoft-Dienste unterstützen die Compliancebemühungen von Kunden

Microsoft Azure Unveränderlicher Blobspeicher mit Richtliniensperre und Microsoft Office 365 mit Erhaltungssperre kann Finanzinstituten dabei helfen, die unveränderlichen Speicheranforderungen der SEC-Regel 17a-4(f)(2)(i)(B) zu erfüllen.

Mit der neuesten Aktualisierung der Regel, die am 3. November 2022 veröffentlicht wurde, wurde eine neue Audit Trail Alternative eingeführt, die in Absatz (f)(2)(i)(A) beschrieben wird. Diese Alternative verwendet moderne Clouddienstfeatures wie Aufbewahrung, Versionsverwaltung und stabile Überwachungsprotokolldaten, um bestimmte Versionen von Datensätzen zu rekonstruieren. Microsoft Office 365 unterstützt die Einhaltung der Audit Trail Alternative durch unsere Purview-Lösungen wie Data Lifecycle Management, eDiscovery (Premium) und Audit (Premium).

Informationen zu den spezifischen Features und dem Umfang der bewerteten Microsoft-Dienste finden Sie in Abschnitt 1.3 der unabhängigen Compliancebewertungsberichte (siehe Links im Abschnitt Unabhängige Bewertungen).

Unabhängige Bewertungen

Microsoft hat sich mit Cohasset Associates, Inc. zusammengetan, um die Einhaltung von Azure und Microsoft 365 gemäß SEC 17a-4(f)(2), SEC 18a-6(e)(2), FINRA 4511(c) und CFTC 1.31(c)-(d) zu bewerten. Cohasset ist ein professionelles Beratungsunternehmen, das sich auf Datensatzverwaltung und Informationsgovernance spezialisiert hat.

Die in den folgenden Abschnitten aufgeführten Bewertungen beschreiben die Features in Microsoft-Produkten, die kundenseitig die Einhaltung dieser Regeln ermöglichen, und wie diese Features konfiguriert werden sollten, um die Compliance aufrechtzuerhalten.

Azure

Microsoft 365

Benannter Executive Officer oder Drittunternehmen

SEC-Regeln 17 CFR § 240.17a 4(f)(3)(v) und 17 CFR § 240.18a 6(e)(3)(v) erfordern den Broker-Händler und sbs-Entität, bzw. entweder einen Leitenden Mitarbeiter des Unternehmens (benannter Executive Officer) oder einen nicht verbundenen Dritten (benannter Dritter) zu benennen, der seiner benannten Prüfungsbehörde (DEA) eine erforderliche Zusage vorlegen soll.

Microsoft stellt keine Schreiben oder Dienste von Drittanbietern zur Verfügung.

Die Broker-Dealer-Organisationen und SBS-Entitäten sind dafür verantwortlich, (a) entweder einen Leitenden Mitarbeiter der Firma oder einen Dritten zu ernennen, (b) das erforderliche Unternehmen zu erhalten und (c) das Unternehmen seiner benannten Prüfungsbehörde vorzulegen.

SEC-Unternehmensschreiben und SEC-Regeln 17a-4(i)(1)(ii) und 18a-6(f)(1)(ii)

Getrennt von den Anforderungen an das elektronische Aufzeichnungssystem, 17 CFR § 240.17a-4(i) ("Regel 17a-4(i)") für die Wertpapierhändlerbranche und 17 CFR § 240.18a-6(f) ("Regel 18a-6(f)") für sicherheitsbasierte Swap-Händler und wichtige sicherheitsbasierte Swap-Teilnehmer, Die SEC verlangt von einem Dritten, der Broker-Dealer regulatorischen Aufzeichnungen oder SBS Regulatory Records (unabhängig davon, ob die Aufzeichnungen in Papierform oder in elektronischer Form vorliegen) erstellt oder verwaltet, eine schriftliche Verpflichtung bei der Kommission, die von unterzeichnet wurde eine ordnungsgemäß autorisierte Person.

Gemäß den Änderungen vom 3. Januar 2023 legen die SEC-Regeln 17a-4(i)(1)(1)(ii) und 18a-6(f)(1)(ii) das erforderliche Unternehmen fest, wenn der Broker-Händler oder die SBS-Entität folgendes darstellt:

  1. Verwaltet und bewahrt Aufzeichnungen mithilfe eines elektronischen Aufzeichnungssystems gemäß den Regeln 17a-4 Buchstabe f und 18a-6 Buchstabe e) auf,
  2. hat unabhängigen Zugriff auf die Datensätze des Drittanbieters und
  3. ist in der Lage, die Bücher und Aufzeichnungen jederzeit oder von Zeit zu Zeit während der Geschäftszeiten durch Vertreter oder Bevollmächtigte der Kommission zu überprüfen und der Kommission oder ihrem Beauftragten unverzüglich eine echte, korrekte, vollständige und aktuelle Kopie dieser Aufzeichnungen oder eines Teils dieser Aufzeichnungen zu liefern.

Microsoft hat ein Verfahren eingerichtet, um eine Verpflichtung zur Einhaltung der SEC-Regeln 17a-4(i)(1)(ii) und 18a-6(f)(1)(ii) zu gewährleisten.

  1. Navigieren Sie zum Microsoft 365 Admin Center. (Hinweis: Wenn Ihr organization Microsoft-Dienste über einen Handelspartner erwirbt, müssen Sie möglicherweise den Vertriebspartner durcharbeiten, um eine Serviceanfrage zu erstellen.)

  2. Wechseln Sie auf der linken Seite zum Abschnitt Support . Möglicherweise müssen Sie alle anzeigen auswählen.

  3. Wählen Sie Neue Serviceanfrage aus.

  4. Wenn Sie Ihre Anfrage einreichen, stellen Sie Die Anforderung für SEC-Unternehmen in die Betreffzeile und am Anfang Ihrer Dokumentation.

  5. Der Supporttechniker, der für die Verwaltung der Anforderung zuständig ist, übergibt die Anforderung an ein Eskalationsteam, um den Anforderungsprozess abzuschließen, der Folgendes umfasst:

    1. Sammeln von Kundeninformationen und zugehörigen Darstellungen.
    2. Erstellung eines benutzerdefinierten Letter of Undertaking mit elektronischer Signatur durch Microsoft.
    3. Einreichen des Briefes bei der SEC per E-Mail mit Kundenkontakt auf cc zur Sensibilisierung.

Kunden und Partner können sich an wenden FSIAssist@microsoft.com , um Unterstützung oder Klärungen zu erhalten.

Hinweis: Die hierin bereitgestellten Inhalte dienen nur zu Informationszwecken und sollten nicht als Rechtsberatung ausgelegt werden. Es wurde zwar versucht, die Genauigkeit der Informationen sicherzustellen, aber es ist nicht garantiert, dass sie korrekt, vollständig oder aktuell sind. Sie sollten nicht handeln oder sich auf diese Informationen verlassen, ohne den Rat eines Fachmanns einzuholen. Jede Handlung, die Sie mit den Informationen unternehmen, erfolgt auf Ihr eigenes Risiko, und Microsoft haftet nicht für Verluste oder Schäden im Zusammenhang mit der Nutzung der Informationen.

Ressourcen

Weitere Unterstützung und Feedback

Kunden und Partner können sich an wenden FSIAssist@microsoft.com , um Unterstützung oder Klärungen zu erhalten.