Requisitos de ciberseguridad para proveedores de la ciudad de Riverside

Tecnología y Datos California 4 minutos de lectura · publicado febrero 09, 2026 Flag of California

Riverside, California exige que los proveedores que manejan datos de la ciudad o prestan servicios para la ciudad cumplan controles básicos de ciberseguridad como parte de la contratación y adquisiciones. Este artículo explica el alcance, los controles técnicos, la notificación y las vías de aplicación relevantes para los proveedores de la ciudad de Riverside, con enlaces a las páginas oficiales de compras e informática para requisitos y registro de proveedores. Siga los pasos de acción para confirmar las cláusulas del contrato, presentar los formularios requeridos y reportar incidentes de forma oportuna.

Ámbito y quién debe cumplir

Los proveedores, contratistas, consultores y terceros que acceden a sistemas de la ciudad de Riverside, gestionan datos de la ciudad, alojan servicios para la ciudad o se integran con redes municipales están dentro del alcance. Consulte los documentos contractuales y los términos de la licitación para las cláusulas de ciberseguridad y requisitos de seguro en la página de Purchasing Services de la ciudad City Purchasing Services[1]. Muchas licitaciones requieren el registro del proveedor y anexos específicos de seguro o seguridad antes de la adjudicación.

Confirme si su contrato incluye un anexo de ciberseguridad antes de comenzar el trabajo.

Controles técnicos mínimos

La ciudad espera que los proveedores implementen controles técnicos basados en el riesgo; los contratos individuales o los anexos técnicos pueden referenciar estándares técnicos concretos (por ejemplo, NIST SP 800-53 o CIS Controls). Cuando las páginas de TI o adquisiciones de la ciudad no especifiquen listas de controles exactas, los proveedores deben poder documentar las siguientes categorías:

  • Control de acceso: principio de menor privilegio, autenticación multifactor para accesos administrativos, cuentas basadas en roles y eliminación oportuna de cuentas al finalizar contratos.
  • Protección de endpoints y red: antivirus/EDR actualizado, firewalls, acceso remoto seguro (VPN con MFA) y segmentación de red para datos de la ciudad.
  • Gestión de vulnerabilidades: escaneo regular, ritmo de parcheo y plazos documentados de remediación.
  • Cifrado: cifrado en reposo y en tránsito para información sensible de la ciudad cuando lo requiera el contrato.
  • Respuesta a incidentes y notificación de brechas: plan escrito, contactos designados y plazos para notificar a la ciudad sobre incidentes de seguridad.
  • Gestión de datos y retención: clasificación de datos, subcontratación permitida, disposición segura y registros exigidos para auditorías.

Consulte los estándares técnicos referenciados para apoyar los requisitos contractuales en las páginas de TI de la Ciudad de Riverside y los anexos de Purchasing Services City IT[2]. Cuando el sitio de la ciudad no publique un estándar consolidado para todos los proveedores, el documento contractual será el que controle y especificará cualquier marco obligatorio.

Sanciones y aplicación

La aplicación de los requisitos de ciberseguridad para proveedores de la ciudad suele administrarse a través de Purchasing Services en coordinación con el equipo de TI/seguridad de la ciudad. Las multas monetarias específicas por incumplimiento de ciberseguridad no suelen figurar en las páginas de compras o TI y no están especificadas en la página citada; los recursos contractuales, la rescisión, las indemnizaciones y las acciones correctivas requeridas se establecen normalmente en el contrato o en los documentos de la licitación.[1][2]

Si recibe un aviso de incumplimiento, actúe de inmediato para documentar los pasos de remediación y contacte al oficial de contratación.

Elementos comunes de aplicación y vías:

  • Recursos contractuales: rescisión por incumplimiento, retención de pagos y obligación de remediar a costa del proveedor.
  • Sanciones monetarias: no especificadas en la página citada; consulte los términos del contrato o las condiciones especiales de la licitación.
  • Suspensión o inhabilitación para futuras licitaciones por violaciones graves o repetidas según las normas de adquisiciones de la ciudad.
  • Investigación de incidentes por TI de la Ciudad con posible intervención de autoridades para asuntos penales.
  • Derechos de auditoría y registros: la ciudad puede exigir documentación de controles, auditorías o pruebas de remediación.

Solicitudes y formularios

El registro de proveedores y los formularios de licitación están disponibles a través de Purchasing Services; la página de registro y los anexos requeridos aparecen en las páginas de Purchasing. Algunos contratos exigen un plan de seguridad o listas de subcontratistas adjuntas a la oferta. Si un contrato exige un formulario específico de ciberseguridad, aparecerá en los anexos de la licitación; si no, no existe un formulario de ciberseguridad publicado de forma global en las páginas referenciadas.[1]

Pasos de acción para proveedores

  • Revise su contrato y los anexos de la licitación para las cláusulas de ciberseguridad antes de la adjudicación.
  • Regístrese como proveedor y presente los seguros y formularios requeridos en Purchasing Services.
  • Prepare un resumen conciso de respuesta a incidentes y contactos designados para cada contrato.
  • Presupueste controles de seguridad y evaluaciones de terceros que la ciudad pueda solicitar.

FAQ

¿Qué estándares de ciberseguridad deben seguir los proveedores de Riverside?
La ciudad remite a requisitos específicos del contrato y a su orientación de TI; cuando la licitación no especifique un estándar, los proveedores deben seguir buenas prácticas de la industria como NIST o CIS y estar preparados para documentar controles.
¿Cómo reporto una brecha de datos que afecta a datos de la ciudad?
Notifique inmediatamente al oficial de contratación de la Ciudad y a TI de la Ciudad según la cláusula de notificación de incidentes del contrato; si no está seguro, contacte a Purchasing Services para orientación.[1]
¿Hay formularios o tarifas para el cumplimiento de ciberseguridad?
Se requiere el registro de proveedores y anexos de seguro; no existe un formulario de ciberseguridad de alcance municipal publicado de forma consistente: consulte los anexos de la licitación para formularios o tarifas específicas.

How-To

  1. Revise las cláusulas de la licitación y identifique los requisitos de ciberseguridad o anexos necesarios.
  2. Regístrese con Purchasing Services de Riverside y cargue los seguros y documentos requeridos.
  3. Documente su línea base de controles: control de acceso, cifrado, parcheo y respuesta a incidentes.
  4. Proporcione contactos designados para incidentes y los plazos de respuesta antes del inicio del contrato.
  5. Realice pruebas de acceso remoto, escaneos de vulnerabilidades y mantenga registros de remediación disponibles para auditorías.
  6. Si recibe un aviso de incumplimiento, presente un plan de acción correctiva y siga los procesos de apelación en el contrato o en las normas de compras.

Puntos clave

  • Los contratos determinan las obligaciones de ciberseguridad: revise cuidadosamente los anexos.
  • Implemente controles documentados y un plan de respuesta antes de contratar.
  • Reporte incidentes de inmediato y coopere con TI y Purchasing Services de la ciudad.

Ayuda y recursos

  1. [1] City of Riverside Purchasing Services - Vendor and Contracting
  2. [2] City of Riverside Information Technology

Categorías

Gobernanza y Administración General Seguridad Pública Salud Pública y Bienestar Uso de Suelo y Zonificación Vivienda y Normas de Construcción Transporte Protección Ambiental Parques y Espacios Públicos Negocios y Protección al Consumidor Tributación y Finanzas Trabajo y Empleo Educación Derechos Civiles y Equidad Elecciones y Financiamiento de Campañas Eventos y Usos Especiales Señalización y Publicidad Servicios Públicos e Infraestructura Tecnología y Datos