SEC внесла поправки до Регулювання S‑P (Конфіденційність фінансової інформації споживачів) у травні 2024 року, який стає першим тижнем грудня 2025 року для великих організацій. Ці поправки оновлюють правила конфіденційності та безпеки даних, спочатку прийняті відповідно до Закону Гремма-Ліча-Блайлі (GLBA), щоб вимагати планування реагування на інциденти та повідомлення про порушення даних для ряду фінансових компаній. На практиці зареєстровані SEC консультанти з інвестицій (включаючи приватних менеджерів фондів), брокери-дилери, портали фінансування, інвестиційні компанії та агенти з трансферу тепер повинні прийняти нові політики та процедури для захисту особистої інформації клієнтів.
Для консультантів приватних фондів головна зміна зрозуміла: порушення даних тепер підпадають під чіткі федеральні вимоги, і фірми повинні мати можливість виявляти, реагувати, документувати та повідомляти осіб про інциденти, пов’язані з конфіденційною інформацією клієнтів. Як підкреслив голова Гарі Генслер, «якщо у вас є порушення, ви повинні повідомити про це».
Терміни виконання
Відповідно до останнього правила, кінцеві терміни виконання залежать від розміру фірми:
- Великі фірми (> 1,5 млрд дол. США AUM консультанти/великі брокери-дилери): 3 грудня 2025 р.
- Менші фірми: 3 червня 2026 р.
Наслідки для менеджерів приватних фондів
Для керуючих портфелями та консультантів приватних фондів нові поправки до Регламенту S‑P посилюють увагу до захисту даних і кібербезпеки, а також до документації відповідних процесів у політиках і процедурах. Деякі ключові наслідки включають:
- Покращена політика, процедури та планування реагування на інциденти
Радники повинні переглянути свої системи інформаційної безпеки. Правило тепер вимагає письмової програми реагування на інциденти, призначеної для виявлення, реагування та відновлення після несанкціонованого доступу або використання інформації про клієнта. Це включає:- Відображення типів даних інвестора, що зберігаються (наприклад, SSN, податкові ідентифікаційні номери, інформація K-1, інструкції щодо переказу, номери банківських рахунків).
- Визначення того, що є «конфіденційною інформацією про клієнта».
- Встановлення етапів розслідування, заходів безпеки системи, внутрішніх ліній звітності та протоколів документування.
- Посилення процесів сторонніх постачальників, щоб відповідати оновленим вимогам щодо сповіщень.
Раніше Регламент SP зосереджувався в основному на загальних заходах безпеки та утилізації. Тепер детальна оперативна готовність є обов’язковою.
- Повідомлення про порушення клієнта
Згідно з попередньою версією Регламенту SP, федеральний закон не вимагав повідомлення інвестиційними консультантами про порушення. Тепер інвестиційні консультанти повинні бути готові своєчасно надсилати повідомлення про порушення протягом 30 днів після виявлення несанкціонованого доступу до конфіденційних даних. Повідомлення повинні містити опис:- Характер інциденту,
- тип даних, на які впливає,
- Які кроки клієнти повинні вжити, щоб зменшити шкоду, і
- Пропонуються будь-які захисні заходи.
Приклад: якщо інструмент адміністратора приватного фонду зазнає несанкціонованого доступу, що розкриває інформацію партнерів з обмеженою відповідальністю, консультант несе відповідальність за своєчасне відповідне повідомлення, навіть якщо порушення виникло з боку постачальника.
- Покращений контроль постачальників і постачальників послуг
Тепер консультанти повинні накласти на постачальників чіткі зобов’язання щодо безпеки даних і сповіщення про порушення. Основні вимоги, включені в правило, включають:- Контрактні положення, які вимагають від постачальників негайно повідомляти радника про будь-який інцидент, як правило, протягом 72 годин.
- Постійна оцінка ризиків постачальника та нагляд.
- Очистити протоколи делегування, якщо постачальника призначено надсилати повідомлення про порушення від імені консультанта (хоча консультант залишається юридично відповідальним).
Враховуючи залежність консультантів приватних фондів від адміністраторів, зберігачів, агентів з переказу, платформ бухгалтерського обліку фондів та ряду інших постачальників, ця вимога є особливо важливою, і фірми повинні мати відповідні процеси з постачальниками для виконання цієї вимоги.
- Вимоги до діловодства та документації
Радники повинні зберігати письмові записи, що демонструють повну відповідність зміненому Регламенту SP. Необхідна документація включає:- Програма реагування на інциденти фірми та будь-які оновлення.
- Оцінка ризиків і оцінка контролю безпеки даних.
- Журнали інцидентів із детальною інформацією про виявлені порушення, розслідування та результати.
- Записи про нагляд постачальника, включаючи перевірку належної обачності та договірні вимоги.
- Копії повідомлень про порушення, надіслані постраждалим особам.D
- Документація про оновлення політики або перегляд процедур захисту.
Ці записи мають бути легкодоступними для експертизи SEC, щоб підтвердити фактичну відповідність вимогам, а не лише наявність політики.
- Управління довірою і репутацією інвесторів
Окрім регуляторного ризику, ці вимоги впливають на відносини з інвесторами. Здатність продемонструвати:- Надійна кібербезпека,
- Перевірені плани реагування, і
- Прозорі процеси сповіщення про порушення.
Ці вимоги можуть допомогти зміцнити довіру інвесторів. Інвестори все частіше запитують про кібербезпеку під час належної перевірки; демонструючи, що сильні процеси можуть стати конкурентною перевагою.
І навпаки, сповіщення із запізненням або неадекватні сповіщення можуть призвести до:
-
- Примусові дії SEC.
- Шкода репутації.
- Потенційне вилучення LP або зменшення зобов’язань.
Ілюстративний сценарій
Розглянемо сценарій, за якого працівник відділу зв’язків з інвесторами приватної інвестиційної компанії помилково надсилає електронною поштою незашифровану електронну таблицю, що містить податкові ідентифікаційні номери інвестора та банківські реквізити, ненавмисному зовнішньому одержувачу. Згідно зі зміненим Регламентом SP, ця подія є неавторизованим розголошенням конфіденційної інформації клієнта, що запускає програму реагування на інциденти консультанта. Консультант оперативно розслідує інцидент, документує результати, оцінює ризик заподіяння шкоди постраждалим особам і визначає, чи кваліфікується ця інформація як конфіденційна інформація клієнта. Якщо це так, що ймовірно, консультант повинен повідомити кожного постраждалого інвестора протягом 30 днів після виявлення інциденту, пояснюючи, що сталося, і рекомендувати захисні заходи, такі як моніторинг фінансових рахунків або реєстрація в послугах захисту від крадіжки особистих даних. Цей приклад демонструє, що повсякденні операційні помилки, а не лише кібератаки, можуть ініціювати вимоги правила щодо сповіщення.
Висновок
Поправки SEC до Регламенту S‑P знаменують значні зміни в нагляді за конфіденційністю даних для інвестиційних радників і пов’язаних фірм. Оскільки перевірки SEC починають зосереджуватися на Регламенті S-P, наявність добре задокументованих процедур і доказів профілактичних заходів допоможе консультантам показати, що вони виконують свої нові нормативні зобов’язання. Розглядаючи поправки до Положення S‑P як повноваження щодо відповідності та можливість підвищити операційну стійкість, менеджери портфелів і консультанти приватних фондів можуть перетворити регулювання на конкурентну перевагу.
