管制行业中的电子邮件归档:金融部门

更新时间:2020-07-22 15:08:12

该博客经常精选有关本地和国际法规的文章 ,这些文章会影响公司和组织处理电子邮件流量的方式。 例如,奥地利的联邦财政法规(Bundesabgabenordnung – BAO), 商业法规(Unternehmensgesetzbuch – UGB)和增值税法(Umsatzsteuergesetz – UStG)。在瑞士,有《义务法典》(Obligationenrecht – OR),而在德国,有“适当管理和存储电子形式的书籍,记录和文件以及访问数据的原则”(或简称GoBD)规定了处理具有商业意义的电子邮件的要求。因此,某些电子邮件必须以防篡改的方式存档。除了这些国家法令,法律和行政法规外,《欧洲通用数据保护法规》(EU-GDPR)还涉及如何在商业组织中管理电子邮件。上面列出的规定适用于所有行业的公司。但是,还有一些行业特定的法规可能不适用于全球,而仅适用于全国。例如,美国医疗保健公司受《美国健康保险流通与责任法案》约束(HIPAA)。因此,所有美国医疗保健公司必须遵守旨在保护患者信息的机密性和完整性的严格规则。  

金融部门的合规要求

全世界还存在其他规定,其中规定必须保存业务交易记录,这些也影响电子邮件的管理和归档。例如,在美国,金融业监管局(FINRA)监督投资银行业中的交易,并要求证券交易服务提供商在一定时间内保留电子邮件(请参阅FINRA规则3110.09)。欧盟的金融部门是另一个受到严格监管的行业。2018年,第二版泛欧市场金融工具指令(MiFID II)生效,要求欧盟成员国对在金融部门运营的公司(例如投资公司,金融顾问和信贷机构)履行记录保留义务。MiFID II的第16条内容如下: “记录应包括电话对话或电子通信的记录,至少与在使用自有账户进行交易时完成的交易以及提供与客户订单的接收,传输和执行有关的客户订单服务有关。” 它继续说:“这种电话对话和电子通信还应包括那些旨在导致在以自有账户进行交易或提供与客户订单的接收,传输和执行有关的客户订单服务时完成交易的交易,即使这些对话或通讯不会导致此类交易的完成或提供客户订单服务。”

存档要求

实际上,这意味着投资公司必须将记录保存在一种介质中,该介质可以存储信息并允许该信息可供将来参考。
  • 该信息应易于访问,并且应该能够重构每个交易处理的每个关键阶段
  • 所有版本都应易于确定-任何更正或其他修订,以及此类更正或修订之前的记录内容应易于确定
  • 记录不应该被操纵或更改
  • 在给定数据量和性质的情况下,当需要分析数据时,应该有有效利用记录的方法
因此,很明显,如果投资公司,金融顾问和信贷机构希望遵守MiFID II,则需要密切关注如何管理和存档电子通信媒体。  

银行中使用MailStore服务器进行电子邮件归档

银行通过使用例如MailStore Server来辅助符合法律要求的电子邮件归档,从而实现了这些要求。实际上,德国公共部门贷款机构的各个分支机构多年来一直在使用MailStore Server。在东欧,银行和金融机构越来越多地选择我们的软件。因此,在金融领域中的电子邮件归档中,MailStore Server通常是首选的媒介。我们的软件提供的功能可帮助金融行业的公司和组织满足合规性要求。这些特别包括:
  • 可审核性:为了能够记录MailStore管理员和用户的活动,MailStore Server使用其自己的审核日志或Windows事件日志来记录特定事件,例如电子邮件或文件夹的移动。例如,这使公司合规官可以监视法律和操作法规的合规性,同时可以为外部审计员分配他/她自己的特殊用户角色以进行控制。
  • 加密:电子邮件本身进行归档,对它们的访问以及MailStore Server和电子邮件系统之间的通信均被加密。MailStore服务器将AES256加密应用于电子邮件,附件和审核日志。这样可以确保以后不会对归档数据进行调整。在MailStore Server和电子邮件系统之间的通信级别上,使用TLS加密。
  • 控制和限制特权:通过在MailStore Server中配置用户角色,可以规定谁有权访问存档及其包含的电子邮件。此外,还将记录用户登录/注销和所有存档访问,以便可以跟踪谁访问了电子邮件以及何时访问。