Les sociétés de services financiers commencent à comprendre que l'efficacité, la résilience, la fiabilité et l'évolutivité des services de stockage dans le cloud ne suffisent pas à elles seules. Elles ont également besoin d'un stockage de documents dans le cloud qui les aide à se conformer aux réglementations de la Financial Industry Regulatory Authority (FINRA) et de la Securities and Exchange Commission (SEC) des États-Unis.

Cependant, tous les fournisseurs de services cloud n'offrent pas des fonctionnalités de conformité FINRA et SEC. Choisir le mauvais fournisseur oblige les entreprises à travailler avec plusieurs services, ce qui augmente les coûts et la complexité de leurs programmes de gouvernance de l'information.

De plus, les entreprises doivent renforcer leurs mesures de sécurité physique et cybernétique. Leur succès dépend de la protection des données et de la sécurisation des informations de leurs clients face à la multiplication des attaques par ransomware et des cybermenaces. Entre février et avril 2020, les attaques contre le secteur financier mondial ont augmenté de 238 %, selon VMware Carbon Black. En avril 2020, 80 % des institutions financières interrogées ont signalé une augmentation des cyberattaques au cours des 12 derniers mois.

Exigences essentielles de la FINRA

La FINRA et la SEC autorisent les sociétés de services financiers à utiliser des documents électroniques et le stockage dans le cloud. Mais les exigences sont nombreuses. Une règle importante stipule que les sociétés doivent tenir leurs livres conformément à la section 240.17a de la SEC.

Les règles de la SEC exigent :

Conservation des documents (§ 240.17a-4)

Les courtiers, les banques, les sociétés de valeurs mobilières et autres entités de services financiers doivent conserver leurs registres commerciaux et transactionnels de manière accessible. En vertu de l'article 17a-4(a), les entreprises doivent conserver leurs registres pendant trois ans et les rendre immédiatement accessibles pendant les deux premières années. En vertu des dispositions 17a-4(b) et (c), les entreprises doivent conserver certains documents pendant au moins six ans et, là encore, veiller à ce qu'ils soient immédiatement accessibles pendant les deux premières années. En vertu de la disposition (d), les documents organisationnels doivent être conservés pendant toute la durée de vie de l'entreprise.

Sauvegarde des données immuables (§ 240.17a-4)(f)(2)(ii)(A)

Pendant la période de conservation, la section 17a-4(f)(2)(ii)(A) exige que les entreprises ne puissent ni modifier ni supprimer aucun de ces enregistrements électroniques. Mais la règle ne concerne pas le comportement de l'entreprise et de ses employés. Le format électronique de l'enregistrement lui-même ne doit pas permettre de modifications ou de suppressions.

Une base de données consultable (§ 240.17a-4(f)(2)(ii)(C) et (D))

Chaque fichier doit être indexé et consultable, afin que l'entreprise puisse facilement contrôler l'accès aux informations et répondre aux demandes des autorités de réglementation. L'utilisation d'un service doté d'une fonction de recherche performante facilite l'accès immédiat et aisé aux informations.

Copies en double (§ 240.17a-4(f)(3)(iii))

Conserver une copie du fichier original dans un emplacement physiquement distinct.

Accès par des tiers (§ 240.17a-4(f)(3)(vii))

Les règles de la SEC exigent également le recours à un tiers désigné (D3P) lors de l'utilisation d'un système de stockage électronique des données. Cette entité indépendante peut accéder aux enregistrements électroniques en cas de demande officielle, telle qu'un audit réglementaire ou une ordonnance judiciaire, si l'entreprise n'est pas en mesure ou refuse de le faire. Toute entreprise qui met en place un système de stockage électronique doit se conformer à la règle D3P et présenter une lettre d'engagement à la SEC et à la FINRA, accompagnée d'une copie du contrat du fournisseur afin de démontrer la capacité de ce dernier à se conformer à cette exigence.

Une piste d'audit (§ 240.17a-4(f)(3)(v))

Les entreprises doivent disposer d'un processus d'audit afin de démontrer qu'elles respectent les exigences en matière de conservation des documents prévues aux §§ 240.17a-3et 240.17a-4 et documenter toute modification apportée aux fichiers originaux.

Stockage dans le cloud avec fonctionnalités de conformité FINRA

Les sociétés de services financiers peuvent se conformer efficacement aux règles de la FINRA à condition de choisir le bon fournisseur de stockage de documents dans le cloud. Cependant, tous les fournisseurs de services cloud ne disposent pas des fonctionnalités et de la sécurité en temps réel dont les entreprises ont besoin pour se conformer aux règles de la FINRA et de la SEC. C'est pourquoi les entreprises se tournent de plus en plus vers NetDocuments, le premier service de gestion de documents conforme à la FINRA. NetDocuments fournit les outils, les fonctionnalités et les services dont les entreprises ont besoin pour se conformer à toutes les exigences de conservation des données électroniques de la FINRA et de la SEC dans les sections 240.17a-3 et 240.17a-4.

NetDocuments propose :

Périodes de conservation personnalisées

NetDocuments permet aux utilisateurs de personnaliser les cycles de vie de divers documents, ce qui signifie que les entreprises ont la possibilité d'établir des politiques de conservation conformes aux normes FINRA.

Référentiels WORM (Write Once, Read Many)

Pour garantir que chaque document enregistré reste inchangé pendant sa période de conservation, les utilisateurs configurent des armoires WORM. Une fois que les utilisateurs ont placé les fichiers désignés dans leur armoire WORM et choisi la période de conservation d'un document, les utilisateurs autorisés peuvent accéder aux fichiers enregistrés dans ces espaces et les lire, mais ils ne peuvent en aucun cas les modifier, les supprimer ou raccourcir leur durée de vie.

Recherche de documents

Une fonctionnalité de recherche robuste est au cœur du système de gestion documentaire (DMS) NetDocuments. La recherche effectuée par un utilisateur autorisé renvoie des résultats précis et immédiats. La fonctionnalité de recherche renvoie des résultats en fonction des droits d'accès de l'utilisateur, conformément aux mesures de sécurité internes. Les utilisateurs ne voient que les documents auxquels ils sont autorisés à accéder.

Données redondantes

NetDocuments utilise une technologie de stockage d'objets de pointe pour protéger et conserver les documents de l'entreprise, qui répond également pleinement aux réglementations de la SEC en matière de duplication des données. Après avoir été cryptés, les petits fichiers (60 ko ou moins) sont automatiquement répliqués cinq fois dans trois centres de données géographiquement séparés et hautement sécurisés, chaque centre de données contenant au moins une, mais pas plus de deux copies de chaque petit fichier.  Après avoir été cryptés, les fichiers plus volumineux sont codés par effacement, ce qui divise mathématiquement chaque fichier en dix-huit fragments. Six fragments sont enregistrés de manière aléatoire dans chacun des trois centres de données. Le service n'a besoin que de dix des dix-huit fragments pour recréer parfaitement le document original. Dans les deux cas, NetDocuments pourrait subir une panne totale de l'un de ses centres de données sans que les données des clients ne soient compromises, celles-ci restant sûres, sécurisées et disponibles.

Accès par des tiers

Les entreprises peuvent également utiliser le système de gestion documentaire NetDocuments pour répondre aux exigences D3P de la SEC. Il leur suffit d'activer la fonctionnalité et d'informer la SEC que NetDocuments est le téléchargeur tiers désigné par l'entreprise. Ensuite, si une assignation à comparaître l'exige, NetDocuments peut rechercher et récupérer les données de l'entreprise.

Pistes d'audit multiples

Le système de gestion documentaire NetDocuments fournit trois sources principales d'informations d'audit. Premièrement, le service crée automatiquement un historique détaillé pour chaque fichier, qui enregistre les informations relatives aux activités spécifiques au document. Deuxièmement, le service consigne les actions administratives au sein du système. Troisièmement, il génère également un journal d'activité consolidé centré sur les données, qui documente toutes les activités liées aux données au sein du service.

Stockage dans le cloud avec des mesures de sécurité robustes

NetDocuments bénéficie d'une clientèle fidèle parmi les sociétés de services financiers grâce à son infrastructure sécurisée. Comme indiqué précédemment, le service utilise trois centres de données distincts, situés chacun à au moins 300 miles les uns des autres. NetDocuments a choisi chaque site en partie parce que chaque centre de données se trouve dans un environnement géographique stable, peu sujet aux tremblements de terre, tornades, inondations ou ouragans.

Un autre avantage du système de stockage NetDocuments est de garantir que, dans le cas presque inimaginable où quelqu'un accéderait illégalement à un centre de données, l'intrus ne pourrait trouver aucun fichier. Le service de stockage d'objets utilise un protocole de classement non énuméré qui stocke les fichiers de manière aléatoire dans un million de répertoires logiques, et chaque fichier ne comporte qu'une étiquette numérique sans propriétaire ni détails descriptifs. L'intrus malchanceux n'a aucun moyen de rechercher ou de parcourir les fichiers ou les informations sensibles.

Plusieurs niveaux de chiffrement et d'authentification offrent une protection supplémentaire contre les menaces internes et externes. NetDocuments chiffre chaque fichier dès son arrivée dans le service à l'aide d'une clé de chiffrement d'objet (OEK) unique lorsqu'un utilisateur clique sur « Enregistrer ». Le service chiffre ensuite automatiquement chaque OEK à l'aide d'une clé de chiffrement principale stockée dans les modules de sécurité matériels de NetDocuments, ce qui confère à chaque fichier deux niveaux de chiffrement.

Vous souhaitez ajouter un niveau de chiffrement supplémentaire ? Aucun problème. Les utilisateurs peuvent chiffrer davantage chaque OEK à l'aide d'une clé de chiffrement gérée par le client (CMEK). Les trois niveaux de chiffrement du service NetDocuments utilisent tous le chiffrement AES-256 (Advanced Encryption Standard 256).

Un guichet unique pour le stockage cloud conforme aux normes FINRA

À première vue, les sociétés de services financiers peuvent choisir parmi de nombreux fournisseurs de services cloud. Mais en y regardant de plus près, rares sont les fournisseurs qui offrent les garanties et les fonctionnalités dont les entreprises ont besoin pour se conformer efficacement aux exigences de la FINRA. Une fois que vous comprenez les exigences de la FINRA et de la SEC en matière de stockage électronique de documents, de partage de fichiers et d'archivage, le choix d'un partenaire DMS devient facile. NetDocuments est la meilleure solution pour répondre aux exigences de votre entreprise en matière de conservation des données électroniques.

Les entreprises prêtes à s'associer à un DMS axé sur la FINRA peuvent consulter le guide NetDocuments intitulé « Trouver le DMS adapté à votre entreprise ».