搜索:
Debevoise数据博客
证券交易委员会

最近的SEC考试风险警报强调了Reg S-ID合规性的主要考虑因素

由:而且

2022年12月5日,美国证券交易委员会(“SEC”)考试部(“tests”)发布了一份风险预警提供近期有关投资顾问及经纪自营商遵守《S-ID规例》(“规则S-ID”)(亦称《身份盗用红旗规则》(“红旗规则”)的审查结果。我们以前写的SEC于2022年7月指控三家金融机构违反了Reg S-ID规则201。

本周的风险警报强调了SEC对Reg S-ID合规性的持续关注,并认为注册人继续在这一领域表现出缺陷,并为Reg S-ID合规性提供了有用的路线图。期望公司建立并定期更新Reg S-ID政策和程序,以反映每个注册人面临的业务模式和特定风险,并定期重新评估身份盗窃预防计划(“计划”),以应对新的和正在出现的身份盗窃风险。

最常观察到的Reg S-ID合规问题。风险警报涵盖以下三个Reg S-ID符合性领域,其中考试发现了缺陷:

  • 确定有关帐户;
  • 制定并实施符合所有要求要素的书面程序;而且
  • 项目管理

识别备存帐户

公司有持续的义务确定他们是否提供注册表S-ID所涵盖的账户。检查发现了公司未遵守识别义务的几个方面:

  • 无法识别覆盖帐户.考试发现,一些公司未能进行必要的评估,以确定哪些账户(如果有的话)符合“覆盖账户”的条件。因此,这些公司未能正确实施计划。
  • 未能识别新的和额外的覆盖帐户.“检查”发现,一些公司最初将保障账户视为他们提供的一类账户。然而,他们最终未能进行定期评估——要么根本没有进行评估,要么以一种充分识别所有类别的新账户也是“覆盖账户”的方式进行评估。考试发现,与其他实体合并的公司应进行重新评估,以确定是否将新账户纳入该计划。此外,确定和重新评估涵盖帐户应包括在线帐户、退休帐户和其他特殊用途帐户。tests还强调,会计师事务所应保留其覆盖账户分析的文件,并指出,尽管Reg S-ID不要求此类文件,但tests可以帮助会计师事务所向审计师和监管机构确定其决定的依据。
  • 未能进行风险评估.即使公司定期识别被覆盖的账户,公司有时也没有进行风险评估,评估开立、维护、访问和关闭账户的方法,以及公司以前的身份盗窃经验。检查显示,缺乏风险评估使一些公司无法识别某些覆盖账户,这限制了公司制定与危险信号相关的控制措施的能力。根据Reg S-ID的要求,公司应定期进行此类风险评估,以确定是否需要因帐户类型或功能的更改而将额外帐户包括在“保障帐户”范围内。这种风险评估应该反过来根据这些变化确定特定的危险信号。

制定并实施符合所有要求要素的书面程序

法规S-ID要求公司根据公司的规模、活动和交易的复杂性,创建适合该特定公司的书面程序。该计划必须涵盖法规的所有必要要素,列举识别、检测和应对身份盗窃危险信号的政策和程序。该计划应包括合理的政策和程序,以确保定期更新,以适应客户面临的风险以及注册人的安全和稳健的威胁形势的变化。考试强调了与项目实施相关的几个问题:

  • 未能为业务量身定制程序。使用带有填空的Reg S-ID模板是不够的,因为将该法规重申为公司的政策也是不够的。公司必须设计一个适合其特定商业模式的程序。
  • 识别危险信号失败。调查发现,公司缺乏合理的政策和程序来发现危险信号,即表明可能存在身份盗窃的模式、做法或具体活动。一些公司没有为他们的项目包含任何明确的危险信号,而另一些公司识别了与他们的商业模式无关的危险信号。公司应注意评估其覆盖账户的相关危险信号,并酌情在其程序中添加额外的危险信号(例如,识别用于身份盗窃的新身份或服务)。
  • 未能检测和响应危险信号。公司过于依赖现有的政策和程序,比如反洗钱程序,而这些程序并不是为了打击身份盗窃而设计的。调查发现,由于没有针对相关危险信号制定相应的政策和程序,企业要么没有发现身份盗窃事件,要么没有做出充分回应。虽然公司可能会保留其他与防止身份盗窃相关的政策,但公司应该直接或通过引用将这些程序纳入其计划,并且在某种程度上,其他政策和程序通过引用纳入计划,它们应该涵盖Reg S-ID的所有必要元素。
  • 无法定期更新程序。该法规要求公司更新其程序,以反映公司的发展和身份盗窃风险。在进行业务变更或重组时,企业应注意对相关计划进行变更或批准新的业务部门的新计划。

管理程序

公司必须采取四项步骤,以便继续管理Reg S-ID。第一个在美国,企业应获得董事会的适当委员会(如果企业没有董事会,则应获得高级管理层)对其初始书面计划的批准。第二个,董事会或高级管理人员需要参与计划的管理。第三,有关人员应接受有关计划的培训。第四,公司应监督服务提供者的安排是否合规。考试注意到公司未能履行这些义务的几个方面:

  • 未能向董事会或高级管理层提供足够的资料。有些公司没有向董事会或高级管理人员提供任何报告或报告不充分。报告应足够详细,以便董事会或高级管理层评估本计划的有效性。
  • 没有提供足够的培训。公司有时无法评估哪些员工需要进行身份盗窃预防培训,并且/或提供的培训不足。企业应该进行全面的培训,并定期确定哪些员工应该接受培训。
  • 未能评估服务提供者的控件。当公司依赖外部服务提供商来执行与覆盖账户相关的活动时,外部服务提供商也应该有足够的身份盗窃预防控制。考试强调,公司应该评估第三方服务提供商的身份盗窃控制措施。

您可以查阅我们以往有关美国证券交易委员会在数据和网络安全相关事项上的执法行动的报道(在这里在这里在这里在这里,在这里).

订阅数据博客,请点击这里

作者要感谢Debevoise法律助理Charlotte Blatt在Debevoise数据博客上所做的工作。

作者

Avi Gesser是Debevoise数据战略与安全集团的联合主席。他的业务重点是就广泛的网络安全、隐私和人工智能事务为大型公司提供咨询。可以通过agesser@debevoise.com与他联系。

作者

Erez是诉讼合伙人,也是Debevoise数据战略与安全集团的成员。他的业务重点是就广泛复杂、高影响的网络事件响应事项和数据相关的监管要求向主要企业提供咨询。可以通过eliebermann@debevoise.com与Erez联系

作者

克里斯汀·斯奈德(Kristin Snyder)是诉讼合伙人,也是事务所白领与监管辩护组(White Collar & Regulatory Defense Group)的成员。她的业务重点是与证券相关的监管和执法事务,特别是私人投资公司和其他资产管理公司。

作者

查鲁·a·钱德拉塞卡(Charu a . Chandrasekhar)是纽约办公室的诉讼律师,也是该公司白领与监管辩护小组(White Collar & Regulatory Defense Group)成员。她的业务重点是证券执法和政府调查、内部调查和复杂的商业诉讼。

作者

Michael R. Roberts是Debevoise & Plimpton全球数据战略和安全组的高级助理,也是该公司诉讼部门的成员。他的业务重点是隐私、网络安全、数据保护和新兴技术事务。可以通过mrroberts@debevoise.com与他联系。

作者

Noah L. Schwartz是诉讼部门的助理,也是数据战略与安全实践小组的成员。他的业务重点是事件响应、危机管理和监管咨询。可以通过nlschwartz@debevoise.com与他联系。

相关的帖子

Baidu
map