Lista de verificación de la ordenanza de ciberseguridad para proveedores - Colorado Springs

Tecnología y Datos Colorado 4 minutos de lectura · publicado febrero 08, 2026 Flag of Colorado

Colorado Springs, Colorado exige que los proveedores que suministran sistemas de TI, servicios en la nube o que manejan datos de la ciudad cumplan con expectativas de adquisiciones y seguridad de la información desde el inicio de la contratación. Esta lista de verificación explica los requisitos contractuales típicos, dónde publica la ciudad normas, cómo funcionan la aplicación y la notificación, y pasos prácticos que los proveedores deben seguir al contratar con la Ciudad de Colorado Springs. Utilice esta guía para preparar propuestas, documentar controles de seguridad y responder rápidamente a incidentes para evitar medidas contractuales o la inhabilitación.

Penalties & Enforcement

La responsabilidad de la aplicación normalmente recae en Procurement Services en coordinación con la oficina de Tecnología de la Información de la Ciudad y la autoridad de seguridad de la información designada. Las multas monetarias específicas o multas reglamentarias por incidentes de ciberseguridad de proveedores no están publicadas en las páginas citadas de adquisiciones y políticas de TI; consulte las referencias oficiales para remedios contractuales y procedimientos de notificación de incidentes [1][2].

  • Organismo aplicador: Procurement Services y el Chief Information Security Officer de la Ciudad o su equivalente.
  • Inspecciones y auditorías: Las cláusulas contractuales pueden permitir auditorías de seguridad por parte de la ciudad; la frecuencia y el alcance específicos se determinan en el contrato (no especificado en la página citada).
  • Multas: no especificado en la página citada.
  • Sanciones no monetarias: rescisión del contrato, suspensión, planes de acción correctiva, retención de pagos e inhabilitación son remedios típicos mencionados en contratos de adquisiciones (los detalles dependen del contrato).
Revise las cláusulas contractuales detenidamente para plazos de remediación y obligaciones de notificación de incumplimiento.

Escalada: la ciudad suele gestionar incumplimientos iniciales y continuos mediante remedios contractuales progresivos y acciones correctivas; los pasos y plazos exactos no están especificados en las páginas citadas. Las apelaciones y revisiones de decisiones de adquisiciones suelen seguir los procesos de protesta y apelación administrativa administrados por Procurement Services; los plazos y procedimientos de apelación se definen en las reglas de adquisiciones o en los documentos de adjudicación del contrato (no especificado en la página citada). Para la notificación de incidentes y contactos técnicos inmediatos, los proveedores deben seguir las instrucciones de notificación del contrato y las políticas de TI de la ciudad [2].

Applications & Forms

Muchos requisitos de ciberseguridad se incluyen como cláusulas contractuales o anexos en lugar de un formulario separado; las páginas de adquisiciones proporcionan registro de proveedores e instrucciones de licitación. Si se requiere un cuestionario de seguridad del proveedor o un anexo de seguridad específico, se incluirá con la solicitud u orden de compra. La ciudad no publica un formulario universal único de ciberseguridad para proveedores en las páginas citadas.

Common Violations and Typical Contract Remedies

  • No notificar a la ciudad un incumplimiento de datos dentro del plazo contractual requerido — posible rescisión del contrato o acción correctiva.
  • No implementar el cifrado, controles de acceso o registros requeridos — hallazgos de auditoría, remediación obligatoria y retención de pagos.
  • Incumplimiento en realizar evaluaciones de seguridad o auditorías de terceros requeridas — suspensión del trabajo o procedimientos de inhabilitación.
Conserve evidencia de parches, configuraciones y reportes de incidentes para apoyar la defensa frente a medidas contractuales.

FAQ

¿Qué normas de ciberseguridad deben seguir los proveedores al contratar con Colorado Springs?
Los proveedores deben seguir los requisitos indicados en las licitaciones, cláusulas contractuales y las políticas de TI de la ciudad; los estándares específicos referidos por contratos individuales pueden incluir cifrado, control de acceso y procedimientos de notificación de incidentes.
¿Quién aplica los requisitos de ciberseguridad para proveedores?
Procurement Services, en coordinación con la oficina de Tecnología de la Información de la Ciudad o la autoridad de seguridad designada, aplica las obligaciones contractuales de ciberseguridad. Consulte las páginas de adquisiciones y políticas de TI de la ciudad para contactos y procedimientos [1][2].
¿Cómo reporto un posible incumplimiento que afecte datos de la ciudad?
Siga el procedimiento de notificación de incidentes especificado en su contrato y contacte al equipo de respuesta a incidentes de TI de la ciudad que figure en los documentos contractuales o materiales de adquisiciones.

How-To

  1. Revise la solicitud y los anexos contractuales para detectar cualquier anexo de seguridad o cuestionario de proveedor.
  2. Mapee los datos y sistemas de la ciudad a los que accederá, clasifique la sensibilidad y documente los controles.
  3. Proporcione evidencias: cuestionarios completados, informes SOC, resúmenes de pruebas de penetración y políticas de cifrado.
  4. Implemente detección de incidentes y registros, y establezca procedimientos para notificar a la ciudad dentro de los plazos contractuales.
  5. Conserve registros de parches, revisiones de acceso y capacitación de personal para auditorías.

Key Takeaways

  • Adjunte respuestas al cuestionario de seguridad o anexos cuando se solicite en la licitación.
  • Conserve evidencia de auditoría y registros de incidentes para cumplir obligaciones contractuales.

Help and Support / Resources


  1. [1] City of Colorado Springs Procurement Services - vendor information
  2. [2] City of Colorado Springs IT policies and guidance