Lista de verificación de la ordenanza de ciberseguridad para proveedores - Colorado Springs
Colorado Springs, Colorado exige que los proveedores que suministran sistemas de TI, servicios en la nube o que manejan datos de la ciudad cumplan con expectativas de adquisiciones y seguridad de la información desde el inicio de la contratación. Esta lista de verificación explica los requisitos contractuales típicos, dónde publica la ciudad normas, cómo funcionan la aplicación y la notificación, y pasos prácticos que los proveedores deben seguir al contratar con la Ciudad de Colorado Springs. Utilice esta guía para preparar propuestas, documentar controles de seguridad y responder rápidamente a incidentes para evitar medidas contractuales o la inhabilitación.
Penalties & Enforcement
La responsabilidad de la aplicación normalmente recae en Procurement Services en coordinación con la oficina de Tecnología de la Información de la Ciudad y la autoridad de seguridad de la información designada. Las multas monetarias específicas o multas reglamentarias por incidentes de ciberseguridad de proveedores no están publicadas en las páginas citadas de adquisiciones y políticas de TI; consulte las referencias oficiales para remedios contractuales y procedimientos de notificación de incidentes [1][2].
- Organismo aplicador: Procurement Services y el Chief Information Security Officer de la Ciudad o su equivalente.
- Inspecciones y auditorías: Las cláusulas contractuales pueden permitir auditorías de seguridad por parte de la ciudad; la frecuencia y el alcance específicos se determinan en el contrato (no especificado en la página citada).
- Multas: no especificado en la página citada.
- Sanciones no monetarias: rescisión del contrato, suspensión, planes de acción correctiva, retención de pagos e inhabilitación son remedios típicos mencionados en contratos de adquisiciones (los detalles dependen del contrato).
Escalada: la ciudad suele gestionar incumplimientos iniciales y continuos mediante remedios contractuales progresivos y acciones correctivas; los pasos y plazos exactos no están especificados en las páginas citadas. Las apelaciones y revisiones de decisiones de adquisiciones suelen seguir los procesos de protesta y apelación administrativa administrados por Procurement Services; los plazos y procedimientos de apelación se definen en las reglas de adquisiciones o en los documentos de adjudicación del contrato (no especificado en la página citada). Para la notificación de incidentes y contactos técnicos inmediatos, los proveedores deben seguir las instrucciones de notificación del contrato y las políticas de TI de la ciudad [2].
Applications & Forms
Muchos requisitos de ciberseguridad se incluyen como cláusulas contractuales o anexos en lugar de un formulario separado; las páginas de adquisiciones proporcionan registro de proveedores e instrucciones de licitación. Si se requiere un cuestionario de seguridad del proveedor o un anexo de seguridad específico, se incluirá con la solicitud u orden de compra. La ciudad no publica un formulario universal único de ciberseguridad para proveedores en las páginas citadas.
Common Violations and Typical Contract Remedies
- No notificar a la ciudad un incumplimiento de datos dentro del plazo contractual requerido — posible rescisión del contrato o acción correctiva.
- No implementar el cifrado, controles de acceso o registros requeridos — hallazgos de auditoría, remediación obligatoria y retención de pagos.
- Incumplimiento en realizar evaluaciones de seguridad o auditorías de terceros requeridas — suspensión del trabajo o procedimientos de inhabilitación.
FAQ
- ¿Qué normas de ciberseguridad deben seguir los proveedores al contratar con Colorado Springs?
- Los proveedores deben seguir los requisitos indicados en las licitaciones, cláusulas contractuales y las políticas de TI de la ciudad; los estándares específicos referidos por contratos individuales pueden incluir cifrado, control de acceso y procedimientos de notificación de incidentes.
- ¿Quién aplica los requisitos de ciberseguridad para proveedores?
- Procurement Services, en coordinación con la oficina de Tecnología de la Información de la Ciudad o la autoridad de seguridad designada, aplica las obligaciones contractuales de ciberseguridad. Consulte las páginas de adquisiciones y políticas de TI de la ciudad para contactos y procedimientos [1][2].
- ¿Cómo reporto un posible incumplimiento que afecte datos de la ciudad?
- Siga el procedimiento de notificación de incidentes especificado en su contrato y contacte al equipo de respuesta a incidentes de TI de la ciudad que figure en los documentos contractuales o materiales de adquisiciones.
How-To
- Revise la solicitud y los anexos contractuales para detectar cualquier anexo de seguridad o cuestionario de proveedor.
- Mapee los datos y sistemas de la ciudad a los que accederá, clasifique la sensibilidad y documente los controles.
- Proporcione evidencias: cuestionarios completados, informes SOC, resúmenes de pruebas de penetración y políticas de cifrado.
- Implemente detección de incidentes y registros, y establezca procedimientos para notificar a la ciudad dentro de los plazos contractuales.
- Conserve registros de parches, revisiones de acceso y capacitación de personal para auditorías.
Key Takeaways
- Adjunte respuestas al cuestionario de seguridad o anexos cuando se solicite en la licitación.
- Conserve evidencia de auditoría y registros de incidentes para cumplir obligaciones contractuales.
Help and Support / Resources
- City of Colorado Springs Procurement Services - vendor information
- City of Colorado Springs IT policies and guidance
- Vendor registration and vendor resources