Regla 17a-4 de la Comisión del Mercado de Valores (SEC), Regla 18a-6 de la SEC, FINRA 4511, & CFTC 1.31 Estados Unidos

Acerca de la SEC, FINRA, & CFTC

La Comisión de Bolsa y Valores de EE. UU. (SEC) es una agencia independiente del gobierno federal de EE. UU. y el principal supervisor y regulador de los mercados de valores estadounidenses. Posee autoridad de cumplimiento sobre las leyes federales de valores, propone nuevas reglas de valores y supervisa la regulación del mercado de valores de la industria de valores.

La Autoridad Reguladora de la Industria Financiera (FINRA) es una organización independiente y no gubernamental que escribe y aplica las reglas que rigen a los corredores registrados y a las firmas de agentes y distribuidores en el Estados Unidos.

La Comisión de Negociación de Futuros de Materias Primas (CFTC) es una agencia federal independiente que regula los mercados de derivados, incluidos los contratos de futuros, las opciones y los intercambios, en el Estados Unidos. Sus objetivos incluyen la promoción de mercados competitivos y eficientes y la protección de los inversores contra la manipulación, las prácticas comerciales abusivas y el fraude. La Ley de la Comisión de Comercio de Futuros de Productos Básicos estableció el CFTC en 1974.

Estas organizaciones definen requisitos rigurosos y explícitos para las entidades reguladas que optan por conservar libros y registros en medios de almacenamiento electrónico. Desde que se publicaron por primera vez estas reglas, ha habido varias actualizaciones y modificaciones a lo largo de los años que buscan actualizar estas reglas en el contexto de los sistemas de almacenamiento modernos y los servicios en la nube, introduciendo nuevas opciones de cumplimiento para las instituciones financieras.

Acerca de las reglas sec 17a-4 y 18a-6

El Código de Regulaciones Federales (CFR) incluye los siguientes requisitos. En 17 CFR § 240.17a4(f)(2) ("Regla 17a-4(f)") para la industria de agentes de bolsa de valores y 17 CFR § 240.18a6(e)(2) ("Regla 18a-6(e)") para los distribuidores de intercambio basado en seguridad (SBS) y los principales participantes de intercambio basado en seguridad, la SEC estipula los requisitos para los sistemas electrónicos de mantenimiento de registros. A partir del 3 de enero de 2023, las Reglas modificadas requieren que los sistemas electrónicos de mantenimiento de registros cumplan:

  • Opción A, Reglas sec 17a-4(f)(2)(i)(A) y 18a-6(e)(2)(i)(A): Conservar un registro durante el período de retención aplicable de una manera que mantenga una pista de auditoría con marca de tiempo completa que incluya: (1) Todas las modificaciones y eliminaciones del registro o cualquier parte del mismo; (2) La fecha y hora de las acciones que crean, modifican o eliminan el registro; (3) Si procede, la identidad del individuo que crea, modifica o elimina el registro; y (4) Cualquier otra información necesaria para mantener una pista de auditoría del registro de forma que mantenga la seguridad, las firmas y los datos para garantizar la autenticidad y confiabilidad del registro y permitirá volver a crear el registro original si se modifica o elimina.
  • Opción B, reglas sec 17a-4(f)(2)(i)(B) y 18a-6(e)(2)(i)(B): conservar los registros exclusivamente en un formato no reescribible y no borrable [también conocido como WORM o write-once, read-many format].

Los requisitos adicionales se enumeran en las reglas 17a 4(f) y 18a 6(e).

Servicios y plataformas en la nube dentro de Microsoft

Las siguientes plataformas y servicios en la nube de Microsoft incluyen características que se pueden configurar para cumplir con estas reglas:

  • Microsoft Azure Blob Storage
  • Exchange Online
  • Microsoft Teams
  • OneDrive para la Empresa
  • SharePoint Online
  • Viva Engage (Yammer)

Servicios de Microsoft que ayudan a los clientes a realizar esfuerzos de cumplimiento

Microsoft Azure Immutable Blob Storage con bloqueo de directiva y Microsoft Office 365 con bloqueo de conservación puede ayudar a las instituciones financieras a cumplir los requisitos de almacenamiento inmutables de la regla sec 17a-4(f)(2)(i)(B).

La actualización más reciente de la regla, publicada el 3 de noviembre de 2022, introdujo una nueva alternativa de pista de auditoría, que se describe en el párrafo (f)(2)(i)(A). Esta alternativa usa características modernas del servicio en la nube, como la retención, el control de versiones y los sólidos datos de registro de auditoría para ayudar a reconstruir versiones concretas de registros. Microsoft Office 365 admite el cumplimiento con la alternativa de seguimiento de auditoría a través de nuestras soluciones de Purview, como Administración del ciclo de vida de datos, eDiscovery (Premium) y Auditoría (Premium).

Consulte la sección 1.3 de los informes de evaluación de cumplimiento independientes (consulte los vínculos de la sección Evaluaciones independientes) para conocer las características específicas y el ámbito de los servicios de Microsoft evaluados.

Evaluaciones independientes

Microsoft se ha asociado con Cohasset Associates, Inc. para evaluar el cumplimiento de Azure y Microsoft 365 con SEC 17a-4(f)(2), SEC 18a-6(e)(2), FINRA 4511(c) y CFTC 1.31(c)-(d). Cohasset es una empresa de consultoría profesional especializada en gestión de registros y gobernanza de la información.

Las evaluaciones indicadas en las secciones siguientes describen las características de los productos de Microsoft que permiten el cumplimiento de estas reglas por parte de los clientes y cómo deben configurarse estas características para mantener el cumplimiento.

Azure

Microsoft 365

Oficial ejecutivo designado o empresa de terceros

Las reglas sec 17 CFR § 240.17a 4(f)(3)(v) y 17 CFR § 240.18a 6(e)(3)(v) requieren el agente-distribuidor y la entidad SBS, respectivamente, para designar a un oficial ejecutivo de la empresa (Oficial Ejecutivo Designado) o a un tercero no afiliado (Tercero designado) para que presente una empresa requerida a su Autoridad Examinadora Designada (DEA).

Microsoft no proporciona cartas o servicios de empresa de terceros.

Las organizaciones broker-dealer y SBS Entity son responsables de (a) designar a un oficial ejecutivo de la firma o a un tercero, (b) obtener la empresa requerida y (c) presentar la empresa a su autoridad de examen designada.

Carta de empresa de la SEC y las reglas 17a-4(i)(1)(ii) y 18a-6(f)(1)(ii)

Aparte de los requisitos del sistema de registro electrónico, 17 CFR § 240.17a-4(i) ("Regla 17a-4(i)") para la industria de agentes de bolsa de valores y 17 CFR § 240.18a-6(f) ("Regla 18a-6(f)") para los distribuidores de intercambio basados en seguridad y los principales participantes de intercambio basado en seguridad, la SEC requiere que un tercero que prepare o mantenga Broker-Dealer registros normativos o registros normativos de SBS (independientemente de si los registros están en papel o en formato electrónico) para presentar una empresa escrita ante la Comisión firmada por persona debidamente autorizada.

En virtud del 3 de enero de 2023, las modificaciones, las reglas 17a-4(i)(1)(ii) y 18a-6(f)(1)(ii) de la SEC estipulan la empresa requerida cuando el agente-distribuidor o la Entidad SBS declara que:

  1. Mantiene y conserva los registros mediante un sistema electrónico de mantenimiento de registros, tal como se define en las reglas 17a-4(f) y 18a-6(e),
  2. Tiene acceso independiente a los registros de terceros, y
  3. Es capaz de permitir el examen de los libros y registros en cualquier momento o de vez en cuando durante el horario laboral por parte de representantes o designados de la Comisión, y de proporcionar rápidamente a la Comisión o a su designado una copia en formato real, correcta, completa y actual de cualquiera o todos o parte de dichos registros.

Microsoft ha establecido un proceso para proporcionar a una empresa el cumplimiento de las reglas 17a-4(i)(1)(ii) y 18a-6(f)(1)(ii).

  1. Vaya al Centro de administración de Microsoft 365. (Nota: si su organización compra servicios de Microsoft a través de un revendedor, es posible que tenga que trabajar con el revendedor para crear una solicitud de servicio).

  2. Vaya a la sección Soporte técnico de la izquierda. Es posible que tenga que seleccionar Mostrar todo para ver.

  3. Seleccione Nueva solicitud de servicio.

  4. Cuando envíe su solicitud, coloque Request for SEC Undertaking en la línea de asunto y al principio de la documentación.

  5. El ingeniero de soporte técnico asignado para administrar la solicitud pasa la solicitud a un equipo de escalado para completar el proceso de solicitud, que incluye:

    1. Recopilación de información del cliente y representaciones asociadas.
    2. Creación de una carta de compromiso personalizada con firma electrónica por parte de Microsoft.
    3. Presentar la carta a la SEC por correo electrónico con el contacto del cliente en cc para su reconocimiento.

Los clientes y asociados pueden ponerse en contacto para FSIAssist@microsoft.com obtener ayuda o aclaraciones.

Nota: El contenido que se proporciona aquí está pensado únicamente para fines informativos y no debe interpretarse como asesoramiento legal. Aunque se ha hecho un esfuerzo para garantizar la precisión de la información, no se garantiza que sea correcta, completa o actualizada. No debe actuar ni confiar en esta información sin buscar el consejo de un profesional. Cualquier acción que realice sobre la información es bajo su propio riesgo y Microsoft no es responsable de ninguna pérdida o daño en relación con el uso de la información.

Recursos

Más ayuda y comentarios

Los clientes y asociados pueden ponerse en contacto para FSIAssist@microsoft.com obtener ayuda o aclaraciones.