Exhibit 99.(h)(4)(u)
AMENDMENT NO. 2 TO SCHWAB
MASTER FUND ACCOUNTING AND SERVICES A协议
本 《主基金会计及服务协议修正案第2号》(以下简称“修订”,自2024年11月14日起生效,适用于每个基金(如下定义)与道富银行及信托公司(马萨诸塞州信托公司)(以下简称“会计 代理人”)。在此未定义的专有名词应具有其在会计协议中(如下定义)所赋予的含义。
W见证:
W鉴于, 附件A中所述的投资公司(“嘉信基金”)与会计代理商签订了 某项主基金会计和服务协议,日期为2005年10月1日(经修订,称为“嘉信会计 协议”或“协议”),根据该协议,会计代理商为这些嘉信基金提供某些基金会计服务;以及
W鉴于, 嘉信理财基金和会计代理希望对嘉信会计协议进行修订,具体内容如下。
NOW T因此, 作为以下互相约定的契约和协议的对价,各方同意如下:
| 1. | 信息安全。 以下新章节特此添加至嘉信会计协议: |
“第11.14节。 信息安全. 会计代理应遵守所述条款, C表 (会计代理信息安全 附录)作为附件附于此。
| 2. | C表: 附件1 将作为附录C(会计代理信息安全附录)添加到协议中。 |
| 3. | 除非本协议有所修改,嘉信理财会计协议的所有其他条款和条件将继续有效。 |
| 4. | 本修正案可以以多个副本签署,这些副本合在一起将构成一个 文档。 |
[签名页随附]
S签名 P年龄
IN W见证 W特此, 各方均已通过其适当授权的代表以其名义执行本文件,并在首次书写日期下附上其印章。
本附录A中列出的每个实体
| 作者: | /s/ 达纳·S·史密斯 | ||
| 姓名: | 达纳·S·史密斯 | ||
| 职务: | 嘉信理财基金和ETF的首席财务官 |
道富银行信托公司
| 作者: | /s/ 凯瑟·麦克瓦里什 | ||
| 姓名: | 凯西·麦克瓦里什 | ||
| 职务: | 高级副总裁 |
附录 A
至
主基金会计和服务协议
管理投资公司及其投资组合,如有
| 公司 | 嘉信理财基金 |
| 嘉信理财投资(马萨诸塞州商业信托) | |
| 嘉信理财1000指数基金 | |
| 嘉信理财加利福尼亚免税债券基金 | |
| 嘉信理财全球房地产基金 | |
| 嘉信理财机会市政债券基金 | |
| 嘉信理财短期债券指数基金 | |
| 嘉信理财免税债券基金 | |
| 嘉信理财国债通胀保护证券指数基金 | |
| 嘉信理财美国综合债券指数基金 | |
| 嘉信理财资本信托(马萨诸塞州商业信托) | |
| 嘉信理财国际机会基金 | |
| 嘉信理财平衡基金 | |
| 嘉信理财核心股票基金 | |
| 嘉信理财股息股票基金 | |
| 嘉信理财基本面新兴市场股票指数基金 | |
| 嘉信理财基础全球房地产指数基金 | |
| 嘉信理财基础国际股权指数基金 | |
| 嘉信理财基础国际小型股权指数基金 | |
| 嘉信理财基础美国大型公司指数基金 | |
| 嘉信理财基础美国小型公司指数基金 | |
| 嘉信理财医疗保健基金 | |
| 嘉信理财国际核心股权基金 | |
| 嘉信理财国际指数基金 | |
| 嘉信理财大型成长基金 | |
| 嘉信理财市场追踪所有股票投资组合 | |
| 嘉信理财市场追踪均衡投资组合 | |
| 嘉信理财市场追踪保守投资组合 | |
| 嘉信理财市场追踪成长投资组合 | |
| 嘉信理财月度收入基金 - 收入派发 | |
| 嘉信理财月度收入基金 - 灵活派发 | |
| 嘉信理财月度收入基金 - 目标派发 | |
| 嘉信理财标普500指数基金 | |
| 嘉信理财小盘股基金 | |
| 嘉信理财小盘股指数基金 | |
| 嘉信理财目标2010基金 | |
| 嘉信理财目标2010指数基金 | |
| 嘉信理财目标2015基金 | |
| 嘉信理财目标2015指数基金 | |
| 嘉信理财目标2020基金 |
| 嘉信理财2020目标指数基金 | |
| 嘉信理财2025目标基金 | |
| 嘉信理财2025目标指数基金 | |
| 嘉信理财2030目标基金 | |
| 嘉信理财2030目标指数基金 | |
| 嘉信理财2035目标基金 | |
| 嘉信理财2035目标指数基金 | |
| 嘉信理财2040目标基金 | |
| 嘉信理财2040目标指数基金 | |
| 嘉信理财2045基金 | |
| 嘉信理财2045目标指数基金 | |
| 嘉信理财2050基金 | |
| 嘉信理财2050目标指数基金 | |
| 嘉信理财2055基金 | |
| 嘉信理财2055目标指数基金 | |
| 嘉信理财2060基金 | |
| 嘉信理财目标2060指数基金 | |
| 嘉信理财目标2065基金 | |
| 嘉信理财目标2065指数基金 | |
| 嘉信理财美国股票市场指数基金 | |
| 嘉信理财美国大型成长股指数基金 | |
| 嘉信理财美国大型价值股指数基金 | |
| 嘉信理财美国中型股指数基金 | |
| 嘉信理财基金系列(马萨诸塞州商业信托) | |
| 嘉信理财AMt免税货币基金 | |
| 嘉信理财加利福尼亚市政货币基金 | |
| 嘉信理财政府货币基金 | |
| 嘉信理财市政货币基金 | |
| 嘉信理财纽约市政货币基金 | |
| 嘉信理财退休政府货币基金 | |
| 嘉信理财财政义务货币基金 | |
| 嘉信理财美国国债货币基金 | |
| 嘉信理财价值优势货币基金 | |
| 嘉信理财年金投资组合(马萨诸塞州商业信托) | |
| 嘉信理财政府货币市场投资组合 | |
| 嘉信理财标普500指数投资组合 | |
| 嘉信理财VIt平衡投资组合 | |
| 嘉信理财VIt平衡增长投资组合 | |
| 嘉信理财VIt增长投资组合 | |
| 嘉信理财战略信托(特拉华州法定信托) | |
| 嘉信理财美国广泛市场ETF 嘉信理财美国大盘ETF 嘉信理财美国大盘成长ETF 嘉信理财美国大盘价值ETF 嘉信理财美国中盘ETF |
|
嘉信理财美国小盘ETF 施瓦布美国股息股票ETF 嘉信理财美国房地产投资信托ETF 嘉信理财国际股票ETF 嘉信理财国际小型股ETF 嘉信理财国际分红股票ETF 嘉信理财新兴市场股票ETF 嘉信理财美国TIPS ETF 嘉信理财短期美国国债ETF 嘉信理财中期美国国债ETF 嘉信美国综合债etf 嘉信理财基础美国广泛市场 ETF 嘉信理财基础美国大公司 ETF 嘉信理财基础美国小公司 ETF 嘉信理财基础国际股票 ETF 嘉信理财基础国际小型 股票ETF 嘉信理财基础新兴市场股票 ETF 嘉信理财1000指数ETF 嘉信理财1-5年公司债etf 嘉信理财5-10年公司债ETF 嘉信理财长期美国国债ETF 嘉信理财Ariel ESG ETF 嘉信理财加密货币主题ETF 嘉信理财市政债etf 嘉信理财超短期收益ETF 嘉信理财抵押贷款支持证券ETF |
附件1:修正案
日程安排 C
会计代理信息安全计划
本会计代理信息安全计划(“安全计划”)中未定义的所有大写术语,其含义将在每个 协议中给出,具体情况而定。
会计代理实施的数据安全 措施在所有实质性方面与适用的行业惯例和标准以及适用于会计代理的法律、规章和 条例一致。截止修订生效日期,会计代理与国家标准与技术研究院(NIST)网络安全框架保持一致。然而,由于信息安全是一个高度动态的领域,威胁不断变化,会计代理保留在不实质性降低其对嘉信理财基金机密信息保护的方式下,随时更改其信息安全控制和/或与一个或多个被认可的行业标准(除NIST外)保持一致的权利。
会计代理将采取商业上合理的努力,促使任何代理和其他第三方在会计代理提供嘉信理财基金机密信息的情况下,实施和维护会计代理合理认为至少与本安全计划中描述的保护措施同等的安全措施。对于收集、传输、分享、存储、控制、处理或管理嘉信理财基金机密信息的代理或其他第三方,会计代理负责评估其控制环境。尽管如此,会计代理应对任何此类代理或其他第三方对嘉信理财基金机密信息的保护负责,如果会计代理进行了这种保护,将违反其在本安全计划下的承诺。
1. 安全 目标。 会计代理人将尽商业合理的努力:
a. 保护 施瓦布基金的机密信息的隐私、保密性、完整性和可用性;
b. 防止 施瓦布基金的机密信息遭受意外、未经授权、未经验证或非法的访问、复制、使用、处理、披露、修改、损坏、转移、丢失或销毁;
c. 遵守 与会计代理人根据每一协议处理、处理和使用施瓦布基金机密信息相关的适用政府法律、规则和法规;并且
d. 实施 惯常的行政、物理、技术、程序和组织保护措施。
2. 风险 评估。 会计代理人的风险评估结果对会计代理人内部保密,将不会提供给施瓦布基金。
a. 风险 评估 - 会计代理将每年进行风险评估,以识别重大威胁(包括内部和外部威胁)、这些威胁发生的可能性以及对会计代理组织的影响。
以评估和分析适当的信息安全保障措施的级别(“风险评估”).
b. 风险缓解 - 会计代理将尽商业合理努力来管理、控制和纠正风险评估中识别的任何威胁,这些威胁可能导致对史瓦布基金机密信息的重大未授权访问、复制、使用、处理、披露、修改、转移、丢失或破坏,符合目标,并与史瓦布基金机密信息的敏感性以及会计代理根据协议的活动的复杂性和范围相称。
c. 漏洞管理程序 – 会计代理维护一个漏洞管理程序,包含以下流程:了解新宣布的漏洞;发现基础设施和应用程序中的漏洞;根据行业标准对漏洞进行风险评级;以及为纠正漏洞(中等或低风险漏洞除外)定义时间框架,符合行业标准,并考虑会计代理针对这些漏洞采取的任何缓解措施。
3. 补丁管理 - 会计代理将根据补丁的重要性,按照计划对所有系统端点进行修补,比如工作站和服务器, 将会计代理计算环境中部署的所有当前操作系统、数据库和应用程序补丁更新。 会计代理必须采取适当步骤,以确保补丁不会影响被修补信息资源的安全性。
4. 安全 控制。 在嘉信理财基金合理要求下,至少每年一次,会计代理将向嘉信理财基金的首席信息安全官或其指定的代表提供其公司信息安全控制手册的副本、填写完成的标准化信息收集(SIG)问卷、会计代理的全球信息安全(GIS)SOC 2(类型II)报告,以及与会计代理信息技术管理团队的合格成员讨论会计代理信息安全措施的机会。在任何情况下,此类讨论都不要求会计代理透露可能合理预期危及任何会计代理系统的安全性或完整性的任何细节或信息,或者其他客户数据的机密性或安全性。会计代理大约每年评审其信息安全政策,并保留根据监管要求更改频率的权利(在任何情况下,频率不得少于每十八(18)个月)。
5. 组织 安全。
a. 责任 - 会计代理将把信息安全管理的责任分配给高级人员。
b. 访问 - 会计代理将设计控制措施,仅允许执行本协议下服务提供角色的人员访问嘉信理财基金的机密信息。
c. 保密性 - 访问或以其他方式了解到嘉信理财基金机密信息的会计代理机构人员将遵守本协议的条款,保持该信息的机密性。
DocuSign信封ID: D979E320亿.7B9D-47C9-8182-50060C3197D1
d. 培训 - 会计代理机构将为其人员提供信息安全培训,大约每年进行一次。
e. 筛选 – 会计代理机构的员工以及访问会计代理机构设施、网络或系统的委托人或其他第三方人员,须接受由会计代理机构或其代理机构根据适用法律、法规和/或规章,适用于银行的信用和刑事背景检查。如果任何人未达到会计代理机构检查的要求,则该人员可能无法被会计代理机构雇佣,或者在委托人或其他第三方的情况下,会计代理机构要求将该人员从任何会计代理机构的委派中移除。除此之外,会计代理机构要求其委托人和其他第三方根据行业标准,对任何被分配到会计代理机构提供服务或以其他方式接触会计代理机构或其客户的机密信息的人员进行预雇佣背景调查,作为其标准的招聘和供应商尽职调查实践的一部分。
6. 物理 安全。
a. 安全 物理设施 - 会计代理将在其设施中维护系统,以托管嘉信理财基金的机密信息或根据本协议提供服务,这些环境旨在实现物理上的安全,并且只允许授权人员访问。安全环境包括提供现场安保人员的可用性,全天候24小时监控或其他等效方式,以支持根据本协议提供服务的地点。
b. 物理 媒体安全 - 会计代理将实施控制措施,符合适用的行业惯例和标准,旨在阻止对任何包含嘉信理财基金机密信息的媒体的未经授权查看、复制、篡改或移除。所有包含嘉信理财基金机密信息的可移动媒体(包括闪存驱动器、光盘和DVD及PDA)必须使用至少256位AES(或等效)加密。
c. 媒体 销毁 - 会计代理将销毁包含嘉信理财基金机密信息的可移动媒体和任何移动设备(例如光盘、USB驱动器、DVD、备份磁带、笔记本电脑和PDA),或采取商业上合理的努力使这些物理媒体上的嘉信理财基金机密信息无法理解,如果这些媒体或移动设备不再打算使用。所有未被销毁的备份磁带必须在销毁之前满足本安全计划中描述的保护级别。
d. 纸张 销毁 - 会计代理将交叉切碎所有包含嘉信理财基金机密信息的纸张废料,并以安全和保密的方式处理。
e. 风险 基于风险的方法应该使用基于风险的方法来确定现场安防级别以及定期的现场安防评估。
f. 访问 控制会计代理人员必须使用其单独分配的 corporate ID 徽章,这些徽章被编程为根据他们的角色提供不同级别的访问控制。授权的门禁访问列表由授权区域所有者每季度进行审核,以确保访问权限依然适当。
g. 视频 和录音 - 安防视频视频系统监控并记录我们建筑物和高安全区的出入情况,包括重要的 IT 区域。录音至少保留 30 天,最长可达 120 天,或根据当地法律法规的要求或允许进行保留。
7. 通信 和运营管理。
a. 网络 渗透测试 - 会计代理人将大约每年,但在任何情况下不少于每十八(18)个月,与独立第三方签订合同,对其网络进行渗透测试,该网络能够访问或持有或包含嘉信理财基金的机密信息。如果渗透测试发现重大缺陷或漏洞,将根据行业标准对发现进行风险评级,并为修复漏洞(其他中等或低风险漏洞)定义时间框架,符合行业标准,并考虑到会计代理人就这些漏洞采取的任何减轻措施。
b. 数据 传输中的保护 - 会计代理人将在通过公共网络传输时,使用行业认可的加密算法对个人身份可识别的嘉信理财基金机密信息进行加密。
c. 数据 丢失预防 - 会计代理人将维护一个数据泄露程序,旨在识别、检测、监控和记录未经授权离开会计代理人控制的数据。
d. 无线 安全 - 如果会计代理人部署无线网络,会计代理人将维护书面政策,管理无线网络的使用、配置和管理。所有无线网络设备应采用适当的物理控制措施,以最小化盗窃、未经授权使用或损坏的风险。对无线网络的网络访问应仅限于授权人员。
e. 防火墙。 会计代理将在其环境的事件中维持当前行业适当的防火墙技术。
f. 源代码审查 - 会计代理必须有一份文档程序用于安全代码审查,并维护记录已执行的针对所有互联网应用程序的安全代码审查文档,这些应用程序存储或处理嘉信理财机密信息。
8. 访问控制。
a. 授权访问 - 会计代理将有设计用于维持逻辑分隔的控制,以便能够唯一识别每个需要访问的个体,仅根据最小权限原则授予被授权人员访问权限,并防止未授权访问嘉信理财基金机密信息。会计代理定期审查访问系统和应用程序存储或允许访问嘉信理财基金机密信息的用户访问权限。
b. 用户访问 - 会计代理将有一个流程,及时禁用任何会计代理人员对嘉信理财基金机密信息的访问。
不再需要此类访问权限。会计代理将在收到来自嘉信理财的通知后,立即取消嘉信理财人员的访问权限。
c. 身份验证 凭据管理 - 会计代理将以安全的方式与用户沟通身份验证凭据,并对预定用户进行身份验证。不论是会计代理的人员,还是其他任何拥有访问会计代理网络或系统的委托人员或第三方,都需要保持系统密码、密钥和验证码的机密性。会计代理拥有安全且有文档化的密码重置流程,该流程要求在重置密码之前验证用户身份。
d. 远程访问的多因素身份验证 - 会计代理在远程访问会计代理的内部网络时,将使用多因素身份验证和安全隧道或其他强认证机制。
9. 在本协议中使用笔记本电脑和移动设备。
a. 加密要求 - 会计代理将使用行业认可的加密算法(至少256位加密AES或等效算法)对会计代理的人员使用的包含嘉信理财机密信息的任何笔记本电脑或移动设备(例如,平板电脑和智能手机)进行加密。
b. 安全 存储 - 会计代理人将要求在人员无法立即接触到时,所有笔记本电脑和移动设备都必须安全存储。
c. 不活动 超时 - 会计代理人将采用访问和密码控制,以及不超过三十(30)分钟的不活动超时,适用于会计代理人管理和使用的笔记本电脑、台式机和移动设备。
d. 远程 管理 – 会计代理人将保持能够迅速从会计代理人管理的移动设备中远程删除嘉信理财基金的机密信息。会计代理人有政策要求人员保持会计代理人管理的设备的安全。
10. 信息 系统采购开发与维护。
a. 嘉信理财 基金数据 – 嘉信理财基金的机密信息仅会被会计代理用于本协议中指定的目的。
b. 病毒 管理 - 会计代理将维护一个恶意软件保护程序,旨在识别、检测、保护、响应并恢复会计代理环境中的恶意软件感染、恶意代码和未经授权的代码执行。
c. 变更 控制 – 会计代理实施并维护变更控制程序,以管理信息系统、支持基础设施和设施的变更。某些会计代理的系统和应用变更在实施之前需经过测试,这可能包括相关的安全控制,具体由会计代理根据风险决定,并考虑到变更的类型和/或影响,以及与该变更相关的基础设施和/或网络元件。
11. 事件 事件和沟通管理。
a. 事件 管理/违规通知 - 会计代理将维护一个事件响应计划,指定当会计代理或其一个分包商怀疑或检测到某方获得了对嘉信理财基金机密信息或包含任何嘉信理财基金机密信息的系统或应用的未经授权访问时应采取的行动(“响应计划该响应计划将包括一项升级程序,包括通知高级管理人员 并在适用时向监管机构和执法部门报告。会计代理将采取商业上合理的努力 to 调查、修复和减轻这种未经授权的访问。
b. 会计 代理将在确定对嘉信理财基金的机密信息发生未经授权访问后 的四十八(48)小时内通知嘉信理财基金,除非适用法律禁止。在这种情况下,除非法律禁止,会计代理 将提供信息,在可用的范围内,足以合理描述一般 环境和这种未经授权的访问的程度,并将向嘉信理财基金提供合理的合作:
i. 在调查任何此类未经授权访问的过程中;
ii. 在嘉信理财基金遵循适用于嘉信理财基金或其客户的法定通知或其他适用法律的努力中;并且
iii. 在嘉信理财基金对第三方提起的诉讼和调查中,包括合理所需的禁止令或其他衡平救济以保护嘉信理财基金的专有权利。
为了避免误解,会计 代理不需要披露会计代理合理确定可能妨碍其技术或办公场所安全的信息,或可能影响其他会计代理客户的信息。
12. 离岸 工作 - 针对来自印度的会计代理人所执行的工作,会计代理人将只通过虚拟桌面接口(“VDI”)访问嘉信理财基金的机密信息,并采取控制措施,至少符合安全计划的条款,以保护嘉信理财基金的机密信息免于数据丢失。VDI的配置必须禁止下载数据到宿主机或外部设备。