布莱克波特科技 2024年度报告

根据《法案》第12(b)条注册的证券： 表明如注册人无需根据法案第13条或第15(d)条提交报告，请打勾。是☐ 否☑ 标明是否注册人（1）已提交根据1934年《证券交易法》第13节或第15(d)节要求其在过去12个月内（或注册人被要求提交此类报告的较短期间内）提交的所有报告，以及（2）在过去90天内受制于此类申报要求。是 ☑ 否 ☐ 通过符号“☑”或“☐”标明注册人在过去12个月内（或注册人被要求提交此类文件的较短期间内）是否已按照法规S-T第405条（本章第232.405节）的规定提交了所有必需的交互数据文件。是☑ 否☐ 通过复选标记表明注册人是否为大型加速申报公司、加速申报公司、非加速申报公司、小型报告公司或成长型新兴公司。参见《交易所法案》第12b-2条中“大型加速申报公司”、“加速申报公司”、“小型报告公司”和“成长型新兴公司”的定义。 大型加速申报公司☑非加速申报公司☐ 如果一个新兴产业增长公司，请勾选表示注册人已选择不使用根据交易所法第13(a)节提供的任何新或修订的财务会计准则的延长过渡期。☐ ：请注册人是否已根据《萨班斯-奥克斯利法案》第404(b)条（15 U.S.C. 7262(b)）通过负责编制或签发其审计报告的注册会计师事务所提交了关于其管理层对其财务报告内部控制有效性评估的报告及证明。☑ 若证券根据法案第12(b)条进行注册，请通过勾选标记表明提交文件中包括的注册人的财务报表反映了此前已发行财务报表的错误更正。☐ ：请根据§240.10D-1(b)规定，标明检查标记，以表明那些错误更正是否为需要针对相关恢复期间注册人任何高级管理人员收到的基于激励的薪酬进行恢复分析的更正。☐ 通过复选标记表明注册人是否为空壳公司（根据交易所法案第12b-2条的定义）。是☐ 否☑ 注册人非关联方于2024年6月28日持有的普通股的合计市值为约2,269,744,966美元（基于该日收盘成交价76.17美元）。每位官员和董事以及每位已知拥有10%或以上已发行普通股的注册人持有人所持有的普通股已被排除在外，因为这些人士可能被视为关联方。此关联方身份的认定在其他用途上未必是最终确定。 截至2025年2月18日，注册人普通股的流通股数量为49,236,495。 根据参考引用并入文件 现将注册人2025年股东大会的最终代理声明部分，作为参考纳入本说明书的第三部分。该最终代理声明将在注册人截至2024年12月31日的财政年度结束后的120天内，提交给美国证券交易委员会。 解释说明 2025年2月21日，Blackbaud公司（以下简称“公司”）向美国证券交易委员会（以下简称“SEC”）提交了其截至2024年12月31财年10-K年度报告（以下简称“原提交文件”）。原提交文件无意中遗漏了以下部分的iXBRL（内联可扩展商业报告语言）标签：（1）第I部分，第1C项“网络安全”；（2）第III部分，第10项与公司内幕交易政策相关的内容。本次10-K/A表格第1号修正案（以下简称“第1号修正案”）的提交，旨在根据SEC相关规则，包含上述遗漏的iXBRL标签。 此外，该公司随本第1号修正案一同包含了日期最新的附件31.1、31.2、32.1和32.2认证。 修正案第1号自原始申请提交之日起生效，并未反映原始申请提交之后可能发生的事件。除上述所述外，未作其他更改。 已对原申报文件进行了修订。修订第1号应与原申报文件及公司向美国证券交易委员会提交的其他文件一并阅读。此次提交修订第1号并不构成承认，在原申报文件提交时，其中包含任何不实的重大事实陈述或遗漏了为使陈述不具误导性所必需的重大事实陈述。 目录 12244556警示性声明：关于前瞻性陈述的注意事项PART I.Item 1C.网络安全第三部分。Item 10.董事、高级管理人员和公司治理第四部分。Item 15.展品和财务报表附表签名 Blackbaud, Inc. 警示性声明：关于前瞻性陈述的注意事项 ：本10-K年度报告，包括其中引用的文件，包含前瞻性声明，这些声明基于我们的估计、假设和计划，而这些估计、假设和计划存在不确定性。这些“前瞻性声明”是根据1995年《私人证券诉讼改革法》、1933年《证券法》第27A条（经修订）以及1934年《证券交易法》第21E条（经修订）中的安全港条款作出的。前瞻性声明包括但不限于趋势分析、关于未来事件、未来财务业绩、我们预期的增长、一般经济和市场条件的影响、我们的业务战略以及我们建立和扩大业务的计划、我们的经营业绩、我们成功整合开发和收购的企业和技术（包括生成式人工智能（“AI”））、我们股票回购计划的影响、外币汇率和利率波动对我们财务业绩的影响、股票期权费用的影响、我们资本资源的充足性、我们履行到期债务和义务的能力、网络安全和数据保护风险及相关责任，以及当前或 涉及我们的潜在法律诉讼，所有这些均基于当前预期、估算和预测，以及我们管理层信念和假设。诸如“相信”、“寻求”、“预期”、“可能”、“也许”、“应该”、“意图”、“可能”、“将会”、“可能”、“将”、“目标”、“计划”、“预期”、“旨在”、“预估”、“估算”或这些词语的任何变体或类似表述也旨在识别此类前瞻性陈述。这些前瞻性陈述受难以预测的风险、不确定性和假设的影响。因此，它们不应被视为对未来业绩的保证，实际结果可能与任何前瞻性陈述中表达的结果有实质性差异并对其实施产生不利影响。 可能对实际结果与我们在前瞻性声明中表达的预期产生重大差异的重要因素包括但不限于，在“第1A项。风险因素”中概述的以及本报告和我们在其他SEC提交文件中的其他因素。前瞻性声明仅代表我们管理层在本次10-K年度报告日期的信念和假设。我们不负有更新或修订任何前瞻性声明的义务，也不负有为新信息、未来事件或其他原因导致实际结果可能重大偏离任何前瞻性声明所预期的原因进行更新的义务。 12024年10-K表格 目录 Blackbaud, Inc. PART I. ITEM 1C. 网络安全 风险管理与战略 评估、识别和管理材料网络风险流程概述 由于技术、数据和信息安全是Blackbaud的首要任务，我们持续维护、评估并加强我们的网络安全计划。全面网络安全风险管理，包括识别、分析及应对影响我们业务及其客户的风险，为我们提供了计划的基础。我们的网络安全计划一直得到加强，并且将继续通过我们遵守与安全事件相关的政府调查结果而得到进一步强化。有关安全事件的更多信息，请参阅本报告中 consolidated audited financial statements 所附注11。 我们采用四管齐下的策略来评估、识别和管理来自网络安全威胁的物质风险： 1.作战安全：我们利用行业标准CIA三角模型，结合全面的行业控制框架、合规法规、隐私要求及最佳实践，包括：美国国家标准与技术研究院（“NIST”）网络安全框架、支付卡行业数据安全标准（PCI DSS）、系统与组织控制（“SOC”）1、SOC 2、通用数据保护条例（GDPR）、健康保险流通与责任法案（HIPAA）、跨大西洋数据隐私框架以及云安全联盟。 2.产品安全：我们的开发团队参加定期培训，并运用行业最佳实践将安全性融入我们的解决方案中。 3.事件响应：我们与第三方公司协同，全天候监控威胁态势，定期测试我们的应急响应能力和准备情况，并保持与执法部门的积极关系。 4.持续进行地貌分析：我们持续评估即将出台和不断变化的数据隐私法规，并为我们的客户提供这些法规对运营影响及合规要求的思路领导。 我们相信信息安全和技术安全是一项共同责任，因此通过持续资源，如最佳实践内容、客户成功经理的一对一咨询和bbcon®会议，将数据隐私保护教育融入客户体验。我们还参与全球社区和会议平台，分享信息并就最佳实践发表演讲，以提高行业的整体安全意识水平。此外，Blackbaud的全体员工都参与持续进行的安全和隐私意识培训活动，以确保他们具备保护Blackbaud和客户数据的能力。 纳入整体风险管理体系或流程 与我们所优先保护的信息和技术相一致，网络安全风险管理一直是并仍然是我们的整体商业战略、财务规划和资本配置的关键方面，也是公司各层级持续关注的重点。我们的企业风险管理（\"ERM\"）框架将信息技术、数据管理系统及相关政策和实践整合到更广泛的框架中，以帮助我们指导和优先考虑网络安全及信息技术相关投资、活动和风险管理策略。至少每年，我们作为ERM流程的一部分会审视网络安全风险，并将相关发现纳入我们的整体战略。此外，通过首席信息安全官（\"CISO\"）参与风险指导委员会和信息披露委员会等治理结构（详见下文），我们的网络安全项目与整体风险管理项目进一步整合。 第三方参与 我们定期聘请外部顾问和专家协助我们的网络安全计划。服务内容包括年度NIST网络安全框架评估以确保合理的网络安全计划，以及聘用的顶尖外部网络安全事件响应（IR）专家。 2 2024年10-K表格 Blackbaud, Inc. 来自第三方服务提供者及其他方的风险 Blackbaud还维护着一个明确的计划和专门的团队，为第三方服务提供商提供安全监管。该计划在第三方供应商和合作伙伴的参与启动阶段评估和管理风险，并在整个供应商关系的生命周期中进行监督。 网络安全威胁带来的风险；实际和潜在的重大影响 此外，我们持续从前些年经历的网络攻击事件中汲取经验并加以利用，正如许多其他公司一样。如先前披露，我们在2020年5月遭受的一起勒索软件攻击中，一名网络犯罪分子从我们的自托管环境中删除了一部分数据副本，因此我们一直承受并继续面临风险和不确定性。由于此次安全事件，我们目前面临某些法律诉讼和索赔，未来可能还会成为其他法律诉讼、索赔、调查和审查的对象，这些可能导致不利判决、和解、罚款、罚金或其他解决方案。有关此次安全事件及其对公司的当前和潜在影响，请参阅本报告中合并审计财务报表附注11中的更多信息。 尽管我们坚定致力于网络安全，但我们可能未能成功阻止或减轻可能对我们产生重大不利影响的安全事件。参见第1A项“风险因素”，以了解我们的网络安全风险。 治理 管理层对网络安全威胁的评估与管理 我们的多层级网络安全治理和风险管理结构始于由公司内跨职能管理层代表组成的运营风险合规与安全（ORCAS）委员会。ORCAS委员会从关键安全人员处获取详细的网络安全信息，并至少每季度向我们的风险管理指导委员会报告，该委员会由来自Blackbaud不同部门的执行层和高级管理人员组成：首席执行官、首席运营官、首席财务官、首席技术官、首席法律顾问、首席隐私官和首席信息安全官（CISO），其中CISO拥有丰富的信息技术和项目管理经验。我们的CISO在长达25多年的职业生涯中，曾在信息技术和信息安全领域担任不同层级的管理角色，包括在多家公共和私营公司担任网络安全领导职务。他持有两个本科学位——一个商业管理，一个计算机信息系统，一个信息系统硕士学位，并保持两个网络安全行业认可的认证：国际信息系统安全认证联盟（(ISC)²）颁发的认证信息系统安全专家（CISSP）和认证云安全专家（CCSP）。向我们的CISO报告的网络安全领导者也具备显著的信息技术和信息安全经验，并持有行业认可的认证。 此外，我们的网络安全事件响应计划及时向网络安全事件小组通报潜在的实质性网络安全事件。网络安全小组负责确定网络安全的重要性，其成员包括我们的首席法律顾问、首席信息官、首席会计官和SEC报告总监。我们的网络安全事件小组是披露委员会的一部分，该委员会由首席执行官和首席财务官任命，协助我们的高管履行监督Blackbaud披露准确性和及时性的职责。 董事会监督 风险管理委员会定期向董事会风险管理监督委员会汇报，或在需要时更频繁地汇报。风险管理监督委员会的职责包括，但不限于，监督与信息技术安全相关的风险。风险管理监督委员会根据需要与董事会全体成员沟通，董事会最终负责网络安全风险监督。 32024年10-K表格 目录 B