Normas de ciberseguridad para contratistas en San José

Tecnología y Datos California 4 minutos de lectura · publicado febrero 06, 2026 Flag of California

San José, California exige que los contratistas que manejan datos de la ciudad o se conectan a sistemas municipales cumplan expectativas de ciberseguridad definidas antes y durante la ejecución del contrato. Este artículo resume dónde aparecen esos requisitos en los documentos de contratación y las políticas de TI de la ciudad, identifica los departamentos que hacen cumplir las normas, describe la aplicación y las apelaciones, y ofrece pasos prácticos que los contratistas pueden seguir para demostrar cumplimiento al presentar ofertas o ejecutar trabajos para la Ciudad de San José.

Resumen

La Ciudad de San José impone obligaciones de ciberseguridad e información mediante documentos de contratación, plantillas de contratos y políticas del Departamento de Tecnología de la Información. Estos suelen aplicarse a proveedores con acceso a la red, servicios en la nube o custodia de datos municipales. Revise los términos del contrato, los anexos de la RFP y cualquier norma de TI referenciada antes de presentar propuestas. Cuando la ciudad requiere controles técnicos adicionales, generalmente se especifican en anexos de órdenes de compra o acuerdos, y no en el código municipal.[2]

Confirme los anexos del contrato y los anexos de la RFP para requisitos técnicos específicos.

Normas aplicables y controles contractuales

  • Cláusulas contractuales: clasificación de datos, cifrado, notificación de brechas y obligaciones de respuesta ante incidentes suelen detallarse en el contrato propuesto o en el anexo de la RFP.
  • Normas de TI de la ciudad: el Departamento de Tecnología de la Información emite políticas y orientaciones que los equipos de contratación usan como referencia para controles mínimos.[1]
  • Controles técnicos: controles de acceso, autenticación multifactor, parches, escaneo de vulnerabilidades y registro son requisitos comunes en los anexos.
  • Evaluaciones de terceros: algunos contratos exigen evaluaciones de seguridad por terceros, pruebas de penetración o evidencia de cumplimiento (por ejemplo, SOC 2 tipo 2) al manejar datos sensibles.

Sanciones y cumplimiento

La aplicación de las obligaciones de ciberseguridad para contratistas se gestiona principalmente mediante remedios contractuales administrados por la oficina de contratación de la Ciudad de San José, el departamento que emite el contrato y el Departamento de Tecnología de la Información para los controles técnicos. Multas monetarias específicas por incidentes de ciberseguridad no suelen figurar en una página municipal única; cuando existen multas o sanciones administrativas expresas se incluyen como remedios contractuales o daños facturables en el propio contrato, o no están especificadas en la página citada.[2]

  • Daños monetarios: los importes por daños relacionados con violaciones o daños liquidados se establecen en el contrato, o no están especificados en la página citada.
  • Remedios contractuales y escalada: la ciudad puede emitir avisos de subsanación, suspender el desempeño del contrato, retener pagos o rescindir el contrato por incumplimientos materiales; los pasos de escalada y plazos están regidos por los términos del contrato.
  • Sanciones no monetarias: órdenes de suspensión de trabajo, suspensión de acceso al sistema, obligación de remediar vulnerabilidades y acciones judiciales para medidas cautelares son posibles medidas de aplicación.
  • Ejecutor y vía de denuncia: el Departamento de Tecnología de la Información y el departamento contratante administran el cumplimiento, con quejas e informes de incidentes enviados al contacto oficial en el contrato o a la página de contacto del departamento de TI.[1]
  • Apelación y revisión: las disposiciones contractuales suelen describir la resolución de disputas y apelaciones, incluidos revisiones administrativas o procedimientos de reclamación contractual y plazos; si no figuran en el contrato, se aplican los procedimientos estándar de reclamaciones contractuales de la ciudad y los plazos que indique la documentación de contratación.
Si ocurre una brecha, cumpla inmediatamente los plazos de notificación del contrato.

Solicitudes y formularios

La ciudad no publica un "formulario de cumplimiento de ciberseguridad" único en las páginas citadas; los requisitos de ciberseguridad aparecen en los documentos de contratación, anexos de contrato y páginas de políticas de TI. Los contratistas deben revisar los anexos de la RFP y del contrato y presentar las manifestaciones, certificaciones o pruebas de cumplimiento solicitadas por la licitación o el contrato.[2]

Cómo hacerlo

  1. Identifique si su trabajo accederá a sistemas o datos municipales revisando la RFP o el alcance del trabajo del contrato.
  2. Reúna evidencias de controles: políticas de control de acceso, MFA, cronogramas de parches, especificaciones de cifrado e informes de auditoría de terceros solicitados.
  3. Responda a los anexos del contrato y adjunte las manifestaciones y planes de seguridad requeridos a su propuesta o entregables contractuales.
  4. Reporte incidentes de inmediato al contacto definido en su contrato y siga los pasos contractuales de respuesta ante incidentes.
  5. Si la ciudad emite un aviso de subsanación o suspensión, siga las instrucciones de remediación y use la vía de resolución de disputas contractuales si impugna la determinación.

Preguntas frecuentes

¿Necesitan los contratistas certificarse para trabajar en sistemas de San José?
No hay una certificación única requerida de forma universal; las certificaciones o manifestaciones necesarias se especifican por licitación o contrato. Los contratistas deben revisar el anexo de la RFP y los anexos del contrato para la evidencia requerida.
¿Dónde se publican los requisitos de ciberseguridad?
Los requisitos suelen aparecer en documentos de contratación, anexos contractuales y en las políticas del Departamento de Tecnología de la Información; consulte los anexos de la licitación y las páginas de orientación del departamento de TI.[1]
¿A quién contacto para reportar un incidente de datos?
Reporte los incidentes al contacto o dirección de reporte de incidentes provistos en su contrato y notifique al Departamento de Tecnología de la Información según se indique en los términos contractuales.[1]

Puntos clave

  • Revise siempre los anexos de la RFP y del contrato para obligaciones específicas de ciberseguridad.
  • Mantenga evidencia de controles y prepárese para proporcionar auditorías o certificaciones si se solicitan.

Ayuda y soporte / Recursos

  1. [1] City of San José Information Technology Department - políticas y contacto oficiales
  2. [2] City of San José Purchasing and Contracts - reglas de contratación, RFP y anexos de contrato

Categorías

Gobernanza y Administración General Seguridad Pública Salud Pública y Bienestar Uso de Suelo y Zonificación Vivienda y Normas de Construcción Transporte Protección Ambiental Parques y Espacios Públicos Negocios y Protección al Consumidor Tributación y Finanzas Trabajo y Empleo Educación Derechos Civiles y Equidad Elecciones y Financiamiento de Campañas Eventos y Usos Especiales Señalización y Publicidad Servicios Públicos e Infraestructura Tecnología y Datos