Requisitos de ciberseguridad para proveedores en San Bernardino

San Bernardino, California exige que los proveedores que trabajan en contratos municipales cumplan las normas de contratación y cualquier estándar de ciberseguridad de la agencia vinculado a los contratos. Esta guía resume dónde aparecen las expectativas de ciberseguridad en los materiales de contratación de la ciudad, qué departamentos las hacen cumplir, los pasos típicos de cumplimiento para los licitadores y cómo plantear preguntas o apelaciones. Hace referencia a las páginas de compras de la ciudad y al código municipal para la autoridad contractual para que los proveedores puedan localizar los términos oficiales y los portales de presentación.^{[1] [2]}

Ámbito y cuándo se aplica la ciberseguridad

Los requisitos de ciberseguridad suelen aplicarse cuando un contrato o licitación implica el manejo de datos de la ciudad, acceso a redes, servicios en la nube, gestión de TI o integradores de sistemas. Los requisitos pueden estar incluidos en los documentos de licitación (RFP, RFQ), en los términos estándar del contrato o en anexos específicos del departamento. Si una licitación incluye manejo de datos o acceso a sistemas, los proveedores deben asumir que se requieren controles de seguridad básicos y solicitar especificaciones durante el período de preguntas.

Elementos clave de cumplimiento para proveedores

• Revise los términos del contrato, anexos y apéndices técnicos de la licitación para cláusulas de seguridad.
• Prepare evidencia de controles de seguridad: informes SOC, certificaciones ISO/IEC o mapeos de controles basados en NIST.
• Planifique verificaciones de antecedentes y controles de acceso si el personal requiere acceso a la red o a las instalaciones.
• Presupueste seguros de ciberseguridad o costes adicionales de cumplimiento al presentar la oferta.
• Cumppla con los plazos de la licitación para aclaraciones y para la presentación de la documentación de seguridad requerida.

Sanciones y aplicación

La ciudad aplica los términos contractuales y las normas de contratación a través de la División de Compras y el departamento administrador del contrato (por ejemplo, Tecnologías de la Información o Obras Públicas). Las multas monetarias específicas o sanciones por día vinculadas a incumplimientos de ciberseguridad no suelen detallarse en las páginas generales de compras; cuando el código municipal o la licitación enumeran recursos, ellos rigen la aplicación. Para incidentes de ciberseguridad, la aplicación puede combinar remedios contractuales, acciones administrativas y derivación a las fuerzas del orden.

Cuando las páginas oficiales no indican montos de sanciones concretos o pasos de escalamiento, esta guía indica que esas cifras "no están especificadas en la página citada" y dirige a los proveedores al departamento administrador para sanciones específicas de incidentes.^[1]

Sanciones y escalamiento

• Remedios contractuales: suspensión del trabajo, retención de pagos, resolución por incumplimiento (montos y plazos no especificados en la página citada).
• Sanciones monetarias: no están especificadas en la página citada; pueden determinarse por el contrato o una orden administrativa.
• Acciones no monetarias: medidas correctivas, suspensión de participación en futuras licitaciones o exigencia de remediación de vulnerabilidades.
• Derivación a las fuerzas del orden o a agencias estatales para asuntos penales o regulatorios según la gravedad del incidente.

Aplicador, inspecciones y quejas

• El aplicador principal de cumplimiento de contratación es la División de Compras; la aplicación técnica puede coordinarse con TI de la ciudad o con el departamento administrador del contrato.
• Las inspecciones o auditorías se realizan conforme a los términos del contrato; los informes de incidentes normalmente se envían al administrador del contrato y al contacto de seguridad/TI de la ciudad.
• Para presentar quejas o reportar incidentes de seguridad, siga las instrucciones de contacto en la licitación o comuníquese con la División de Compras para asistencia.^[1]

Apelaciones, revisión y plazos

Las protestas y apelaciones formales de ofertas siguen los procedimientos de protesta de la División de Compras según se establezca en los documentos de la licitación; los plazos específicos para protestas y apelaciones se indican en cada licitación o en la orden de compra. Si una licitación no establece plazos de protesta, consulte las instrucciones de la División de Compras o comuníquese con la división para conocer los plazos.

Defensas y discrecionalidad

• Defensas habituales incluyen demostrar esfuerzos razonables para cumplir, planes documentados de remediación o variaciones aprobadas solicitadas antes de la adjudicación.
• Algunas contrataciones permiten anexos negociados de seguridad o anexos de manejo de datos para abordar restricciones técnicas; solicítelos durante el periodo de preguntas.

Aplicaciones y formularios

La ciudad publica el registro de proveedores e instrucciones de presentación de ofertas en sus páginas de Compras/Procurement; los cuestionarios de seguridad específicos o formularios solo se incluyen cuando una licitación los exige. Si se requiere un formulario específico de seguridad, se adjuntará al RFP/RFQ; si no está adjunto, indique: "no se publica un formulario de seguridad separado para la licitación" y comuníquese con la División de Compras para aclaraciones.^[1]

How-To

1. Identifique licitaciones que mencionen acceso a datos, integración de sistemas o servicios en la nube y descargue el paquete completo de la licitación.
2. Prepare evidencia de seguridad: políticas, informes SOC y mapeos de controles a NIST o ISO.
3. Envíe preguntas durante la ventana de Q&A de la licitación solicitando claramente el alcance de la ciberseguridad y los entregables requeridos.
4. Incluya los costes de cumplimiento, seguros y remediación en su oferta y anote las suposiciones en la propuesta.
5. Si se adjudica, cumpla con los procedimientos de notificación de incidentes, remediación y auditoría del contrato y coordine con el administrador del contrato y TI municipal.

FAQ

¿La ciudad publica una lista de verificación estándar de ciberseguridad para proveedores?

No existe una lista de verificación estandarizada publicada en las páginas generales de adquisiciones; si una licitación la requiere, se adjuntará al RFP/RFQ. Para reglas generales de adquisición vea los materiales de la División de Compras.^[1]

¿Quién aplica las cláusulas de ciberseguridad en los contratos municipales?

La División de Compras aplica las normas de adquisición y el departamento administrador (a menudo TI) maneja la aplicación técnica y la coordinación de la respuesta a incidentes.^[1]

¿Dónde me registro como proveedor para recibir licitaciones?

El registro de proveedores y los avisos de licitación se publican en las páginas de Compras/Procurement de la ciudad; siga los pasos de registro allí para recibir notificaciones de licitaciones.^[1]

Key Takeaways

• Asuma que la ciberseguridad es relevante cuando haya datos de la ciudad o acceso a redes y solicite especificaciones con antelación.
• Documente los controles antes de la adjudicación para reducir riesgos posteriores.

Help and Support / Resources

• City of San Bernardino Purchasing Division
• City of San Bernardino Information Technology Department
• San Bernardino Municipal Code (contracts and procurement)

1. [1] City of San Bernardino Purchasing Division - Bids & procurement pages
2. [2] San Bernardino Municipal Code - Code of Ordinances