Hier zijn zes dingen waar u op moet letten in een D3P om u te helpen de cloud 17a-4-compatibel te maken.
1. Directe cloudconnector:
Het eerste dat bedrijven nodig hebben in een cloud-D3P-provider is een connector die in hun software is ingebouwd en die rechtstreeks inlogt op alle populaire cloudservices en gegevens archiveert. Bovendien kopieert deze connector gegevens naadloos naar hun systeem, automatisch elke nacht, in plaats van een synchronisatietool te gebruiken om toegang te krijgen tot de cloud. De synchronisatietool is een probleem omdat het een extra stap toevoegt aan het cloudarchiveringsproces, wat kan leiden tot hiaten.
Evenzo, bij het kiezen van een cloudprovider, vermijd de minder populaire zoals ShareFile, SugarSync of iCloud omdat ze eigendom zijn en geen directe verbindingen met cloudarchiveringsdiensten toestaan. Gebruik in plaats daarvan Office 365, Dropbox, Google Suite of OneDrive. Voor kleine bedrijven raad ik SharePoint echter niet aan voor bestandsopslag omdat het te complex is. De beste combinaties van cloudopslag zijn door Office 365 gehoste e-mail met OneDrive of de G Suite-e-mail inclusief elektronische records die zijn opgeslagen in persoonlijke schijven van Google of teamschijven.
2. Automatische detectie van nieuwe cloudgegevens
Ook moet de software van de D3P automatisch nieuwe clouddatasets detecteren wanneer ze worden aangemaakt. Als het bedrijf bijvoorbeeld nieuwe gebruikers toevoegt op Office 365-, SharePoint- of OneDrive-sites, wordt het automatisch toegevoegd aan het 17a-4-archief. Dit geldt ook voor G Suite, waar vaak gebruikersaccounts worden toegevoegd, inclusief hun persoonlijke of teamdrives. Als de D3P automatische detectie heeft, hoeven ze niet elke keer te worden gewaarschuwd als er nieuwe medewerkers aan de cloud worden toegevoegd.
3. Bewaring van elektronische gegevens
Zodra de provider de cloudgegevens naar zijn systeem heeft overgebracht, moeten deze volgens 17a-4 correct worden bewaard. Nu, hier wordt het hachelijk, want als je de regel echt hebt gelezen, zul je een al te ingewikkelde waslijst met bewaarbepalingen vinden. De regel stelt bijvoorbeeld dat uitzonderingsrapporten minimaal 18 maanden moeten worden bewaard, tickets 3 jaar moeten worden besteld, administratie met betrekking tot klantaccounts (eerste twee jaar op een gemakkelijk toegankelijke plaats); voor 6 jaar of standaard bewaarperiode van 6 jaar voor die FINRA-boeken en -documenten die anders geen specifieke bewaarperiode hebben.
Mijn advies: negeer de regel hier en zorg ervoor dat de D3P een algemene bewaarregel van 7 jaar toepast op ALLE gegevens met betrekking tot het bedrijf. Met dit beleid bent u klaar met het scheiden van verschillende gegevenstypen en probeert u vervolgens een uniek bewaarbeleid toe te passen op elke set, wat onmogelijk te handhaven is, vooral voor een klein bedrijf zonder een IT-afdeling.
4. Gegevens downloaden:
Uiteindelijk is de reden dat u een D3P inhuurt, om toegang te krijgen tot gearchiveerde elektronische bestanden of e-mails wanneer dat nodig is. Afgezien van noodherstel, is de belangrijkste reden dat u een D3P nodig hebt tijdens het verzoek om elektronische gegevens wanneer FINRA om een voorbeeldgegevensset vraagt die zeven jaar terug kan gaan.
Ten eerste is het belangrijk dat de D3P een beveiligde webportal heeft voor toegang tot het 17a-4-gegevensarchief. Het belangrijkste hier is dat gegevens downloadbaar moeten zijn in een formaat dat regelgevers kunnen lezen, vooral wanneer ze tijdens de audit in je nek ademen. Hier zijn de richtlijnen: e-mails moeten downloadbaar zijn in pst-indeling, kantoordocumenten in hun oorspronkelijke indeling en klantendatabases moeten worden geëxporteerd in bestandsindelingen die toegankelijk zijn zoals een csv of tekst. Ten slotte moeten deze downloads van elektronische documenten uit het 17a-4-archief onmiddellijk naar een dvd worden gekopieerd, zodat de regelgever het ter beoordeling terug naar hun kantoor kan nemen.
Ten tweede moet de D3P cloudgegevens voor verwijderde gebruikers bewaren en in een archiefstatus bewaren, zodat ze kunnen worden teruggehaald. Dit omvat Office 365-mailboxen of G suite-gebruikers die zijn verwijderd en OneDrive-sites of Dropbox-accounts die worden verwijderd. Het bijhouden van elektronische gegevens van gebruikers die uit de cloud zijn verwijderd, helpt ook bij de naleving, aangezien tijdens audits vaak oude werknemersgegevens worden opgevraagd.
5. Beveiliging:
Beveiliging is natuurlijk iets waar bedrijven zich zorgen over moeten maken elke keer dat ze een wijziging in hun technologie aanbrengen, en de compliance officer zal zeker worden ingeschakeld als gegevens worden gecompromitteerd. Maar beveiligingsinbreuken komen zelden voor aan de kant van de D3P. Dit komt omdat ze hun systemen hosten in beveiligde datacenters die zijn vergrendeld, beschermd door firewalls en nauwlettend worden gecontroleerd. In plaats daarvan lanceren de meeste hackers hun aanvallen vanaf de pc van de eindgebruiker. Dit betekent dat compliance-functionarissen die zich bezighouden met het beschermen van elektronische gegevens om te voldoen aan 17a-4, moeten begrijpen dat hackers zullen proberen systemen van binnenuit te misbruiken. Daarom is de beste verdediging tegen beveiligingsrisico’s sterke wachtwoorden, inzicht in hoe beheerdersrechten op cloudsystemen kunnen worden beperkt, computers die toegang hebben tot de cloud te vergrendelen of uit te loggen en virusprogramma’s up-to-date te houden om te voorkomen dat mensen kwaadaardige malware downloaden die kan hacken. in cloudsystemen.
6. Prijzen:
Ten slotte, wanneer u een D3P kiest om uw cloudgegevens te archiveren, is het belangrijk dat hun prijsstructuur is gebaseerd op: ruwe data, niet per gebruikerslicentie. U wilt er een vinden die prijzen voor alleen onbewerkte gegevens gebruikt, omdat het goedkoper is om back-upsets voor cloudgegevens te archiveren, aangezien producten zoals Dropbox, G Suite en Office 365 zijn gebaseerd op individuele gebruikersaccounts die exponentieel kunnen toenemen naarmate het bedrijf groeit, maar weinig gegevens bevatten . Als u prijzen heeft op basis van onbewerkte gegevens, worden de kosten voor alle cloudgebruikers gemiddeld, ongeacht hoeveel u toevoegt, en daarom zal de prijs alleen maar stijgen naarmate er meer gegevens worden toegevoegd. Zo krijgt uw bedrijf meer flexibiliteit om de kosten voor gegevensarchivering te beheersen naarmate u groeit.
Samenvatting:
Aangezien cloudproviders niet 17a-4-compatibel zijn als compliance officer voor een FINRA-bedrijf, moet je uitbesteden aan een aangewezen derde partij (D3P) die de cloud-compatibel kan maken voordat je elektronische gegevens en e-mails daar gaat opslaan. Er zijn zes dingen waar u in een D3P op moet letten die ervoor zorgen dat er geen hiaten ontstaan in het data-archiveringsproces, dat elektronische documenten toegankelijk zijn tijdens een audit en dat de kosten zo laag mogelijk worden gehouden.
Over AdvisorVault:
AdvisorVault is de enige D3P die hun software heeft ontworpen om kleine FINRA-bedrijven te helpen cloudgegevens te archiveren om te voldoen aan 17a-4. Onze geconsolideerde oplossing is gericht op het oplossen van dit unieke probleem en biedt bedrijven één leverancier om hen te helpen te voldoen aan de hedendaagse eisen op het gebied van gegevensarchivering en -toezicht. We hebben een gecentraliseerde archiveringsoptie gecreëerd die gegevens en e-mails vastlegt, ongeacht waar ze zijn opgeslagen – in-house of in de cloud: totale gemoedsrust – direct uit de doos.
AdviseurVault Contactpersoon:
alonz@advisorvault.org
www.advisorvault.org
Direct: 416-985-0310
Gratis: 1-866-732-1407 ex 1
