¿Qué es la norma 17a-4 de la SEC?
La norma 17a-4 de la SEC establece directrices para la gestión de datos en las empresas de intermediación de valores financieros, incluidas acciones, bonos y futuros. La norma establece que las empresas deben conservar los registros de determinadas transacciones y conceder acceso inmediato durante seis meses, con acceso diferido durante al menos dos años. Las empresas también deben conservar duplicados de los registros en un lugar externo durante el mismo periodo.
¿Cuáles son los requisitos de la Norma 17a-4 de la SEC?
La enmienda a la norma 17a-4 de la SEC define cómo los agentes de bolsa y otros servicios financieros deben gestionar su información almacenada electrónicamente (ESI). Esto incluye qué información está y no está cubierta por la Norma 17a-4, y qué medidas deben tomar los corredores para cumplirla.
- Tipos de registro: Incluidos correos electrónicos, transacciones financieras y comunicaciones.
- Períodos de conservación: Normalmente de 3 a 6 años, dependiendo del tipo de registro.
- Accesibilidad: Para facilitar revisiones reglamentarias rápidas.
- Conformidad WORM: Formato no borrable Write Once, Read Many (WORM).
Estas disposiciones garantizan que todos los registros originales se conserven en un formato fácilmente accesible que pueda facilitarse a la SEC cuando ésta lo solicite. Esto actualiza los requisitos para la información almacenada electrónicamente con las tecnologías modernas de mantenimiento de registros y da cuenta de las nuevas formas de ESI que se están creando, como los sistemas de mensajería interna.
También alinean más estrechamente los requisitos de las Reglas 17a-4 y 18a-6, que se aplican a los corredores-agentes, incluidos los registrados como operadores de permutas financieras basadas en valores (SBSD) o principales participantes en permutas financieras basadas en valores (MSBSP); y los SBSD y MSBSP que no estén también no registrados como corredores-agentes, respectivamente.
Los riesgos del incumplimiento de la Norma 17a-4 de la SEC
El incumplimiento de la norma 17a-4 de la SEC conlleva importantes riesgos financieros y de reputación. La SEC puede multar a los agentes de bolsa por infracciones o y suspender o revocar su registro. Además, el incumplimiento de la normativa de la SEC puede dejar a los corredores-agentes expuestos a acciones legales por parte de los inversores.
Multas de la SEC por mantenimiento inadecuado de registros
- En septiembre de 2023, 10 empresas fueron multadas con un total de 79 millones de dólares
- En agosto de 2023, 11 empresas acordaron pagar un total de 289 millones de dólares en sanciones
- En mayo de 2023, dos bancos recibieron multas por un total de 22,5 millones de dólares
La pandemia aceleró la adopción de sistemas de mensajería electrónica como Slack, Microsoft Teams y la aplicación de mensajes de texto WhatsApp, y la SEC ha respondido con una serie de acciones reguladoras que han afirmado definitivamente que este conjunto de datos está incluido en la Norma 17a-4 modificada.
Además, las empresas incumplidoras se enfrentan a un riesgo para su reputación debido a la publicidad negativa que rodea a las acciones de la SEC, y pueden estar expuestas a un mayor riesgo de violaciones de datos y otros incidentes de seguridad. Esto se debe a que los corredores de bolsa que no cumplen la norma 17a-4 de la SEC pueden no disponer de controles de seguridad adecuados para proteger los datos confidenciales de sus clientes.
Lograr el cumplimiento de la normativa 17a 4 de la SEC
Para las empresas del sector financiero afectadas por la norma 17a 4 de la Ley del Mercado de Valores (SEA), lograr el cumplimiento de la norma 17a 4 requiere soluciones sofisticadas para proteger, archivar y gestionar el acceso a los documentos financieros, incluido el correo electrónico.
En concreto, el cumplimiento de la norma SEC 17a 4 exige que los corredores, agentes y otras empresas reguladas conserven los originales y las copias de todas las comunicaciones relacionadas con el negocio durante un máximo de seis años. Las comunicaciones pueden incluir documentos escritos, así como correo electrónico, mensajes instantáneos, mensajes de fax y otras comunicaciones. Los datos pueden almacenarse electrónicamente, pero deben conservarse en un formato no regrabable ni borrable, con copias duplicadas almacenadas en lugares separados, y todos los datos deben estar indexados y disponibles para su examen por la SEC.
Dado que el correo electrónico se ha convertido en la principal forma de comunicación de la mayoría de las empresas, incluidas las financieras, el cumplimiento de la 17a 4 requiere necesariamente soluciones para conservar, proteger y controlar el acceso a grandes cantidades de datos de correo electrónico. Para las empresas financieras que desean una solución sencilla y fácil de usar para lograr el cumplimiento de la norma 17a 4, Mimecast ofrece un servicio de suscripción basado en la nube.
Soluciones Mimecast para el cumplimiento de la norma 17a 4
Mimecast proporciona a miles de organizaciones de todo el mundo soluciones basadas en SaaS para la seguridad, el archivado y la continuidad del correo electrónico. Como servicio basado en la nube, Mimecast puede implantarse de forma rápida y rentable, sin necesidad de adquirir hardware ni instalar software. Unas herramientas fáciles de usar y accesibles desde una única consola basada en web ayudan a agilizar la gestión del correo electrónico empresarial, mientras que unas defensas de última generación y unas potentes soluciones de continuidad contribuyen a fomentar la ciberresiliencia y la seguridad de los datos del correo electrónico.
Para ayudar a las organizaciones financieras a lograr el cumplimiento de la norma 17a 4, Mimecast proporciona una potente solución de retención y archivado de correo electrónico en el Mimecast Cloud Archive. Como repositorio centralizado de correos electrónicos, archivos y conversaciones de mensajería instantánea, Mimecast Cloud Archive simplifica el cumplimiento de la norma 17a 4 al conservar tres copias cifradas a prueba de manipulaciones de cada correo electrónico, almacenadas en centros de datos separados y geográficamente dispersos. Mimecast conserva el correo electrónico original junto con metadatos detallados y una copia del correo electrónico si se modificó mediante la aplicación de la política de control de contenidos de la empresa.
Para simplificar las investigaciones sobre el cumplimiento de la normativa y la preparación para los litigios, Mimecast proporciona capacidades de búsqueda ultrarrápidas junto con herramientas de gestión de casos y eDiscovery que reducen significativamente la carga administrativa de los equipos de TI encargados de gestionar los requisitos legales y de cumplimiento de la normativa. Y al proporcionar a los administradores herramientas potentes y fáciles de usar para gestionar la retención del correo electrónico, Mimecast ayuda a agilizar el cumplimiento de la norma 17a 4, así como el cumplimiento de una amplia variedad de otros marcos normativos.
Ventajas de gestionar el cumplimiento de la norma 17a 4 con Mimecast
Cuando utilice Mimecast para gestionar el cumplimiento de la norma 17a 4, podrá:
- Reduzca drásticamente el tiempo y el coste de las tareas relacionadas con la retención del correo electrónico y el cumplimiento normativo, así como la gestión de la retención de litigios en Office 365.
- Implante una solución de cumplimiento de la normativa 17a 4 de forma rápida y sencilla con la solución basada en SaaS de Mimecast.
- Mejore la seguridad y la continuidad del correo electrónico con la solución todo en uno de Mimecast.
Además de cumplir con la norma 17a 4, Mimecast es una tecnología de correo electrónico que cumple con la HIPAA.
Obtenga más información sobre la gestión de la conformidad 17a 4 con Mimecast, y sobre las soluciones de Mimecast para la ciberseguridad gubernamental.
SEC 17a-4 Preguntas frecuentes
¿Qué tipos de registros están cubiertos por la Norma 17a-4 de la SEC?
Entre los ejemplos de los tipos de registros cubiertos por la Norma 17a-4 de la SEC se incluyen:
- Pedir entradas
- Extractos de cuenta
- Confirmaciones de operaciones
- Correspondencia con los clientes
- Mensajes de colaboración interna
¿Cuáles son las necesidades básicas de la regla 17a-4?
Las necesidades para el cumplimiento de la regla 17-a4 incluyen:
- Trabajar con un consultor tercero designado (D3P).
- Políticas de retención documentadas y ejecutables.
- Datos que se almacenan en un índice de búsqueda fácilmente recuperable y visualizable.
- Datos que se almacenan en soportes electrónicos de una sola escritura y muchas lecturas (WORM).
- Datos que se almacenan fuera de las instalaciones.
En última instancia, los agentes de bolsa deben disponer de sistemas para almacenar contenidos digitales que estén protegidos contra la manipulación y la pérdida.
¿Cuáles son las principales consecuencias del incumplimiento de la norma SEC 17a-4?
Las empresas que incumplan la norma SEC 17a-4 se enfrentarán a sanciones económicas que aumentarán en función de la gravedad del hecho. Las empresas también deben ser conscientes de las sanciones no financieras, que podrían incluir la suspensión de las operaciones de la empresa o de determinadas personas.
