Reglas de notificación de ciberseguridad para proveedores en Jacksonville

Los proveedores de Jacksonville, Florida que prestan bienes o servicios a la ciudad deben entender cómo y cuándo notificar incidentes de ciberseguridad que involucren datos o sistemas de la ciudad. Esta guía resume las expectativas oficiales de notificación de la ciudad, los departamentos responsables, las cláusulas contractuales comunes y los pasos prácticos que los proveedores deben seguir después de una vulneración o sospecha de compromiso.

Sanciones y Cumplimiento

La Ciudad de Jacksonville hace cumplir las obligaciones de los proveedores principalmente mediante recursos contractuales y acción administrativa. Las cantidades exactas de multas y sanciones legales por fallos de ciberseguridad de proveedores no se muestran en las páginas citadas a continuación; cuando la ciudad especifica recursos contractuales, esas cláusulas rigen la ejecución y la posible responsabilidad financiera.

• Multas: no especificado en la página citada.
• Escalada: la ciudad puede tratar los incidentes iniciales de forma diferente a los repetidos o continuos; las reglas específicas de escalada no se especifican en la página citada.
• Sanciones no monetarias: terminación del contrato, suspensión del acceso a sistemas de la ciudad, planes de acción correctiva y acciones judiciales o cautelares son recursos posibles descritos en la orientación de adquisiciones y TI.
• Órgano encargado: Tecnología de la Información / Seguridad de la Ciudad y la División de Adquisiciones son las oficinas principales encargadas de las obligaciones de ciberseguridad de los proveedores; consulte las páginas oficiales de TI y Adquisiciones City Information Technology^[1] y Procurement Division^[2].
• Inspección y denuncias: la ciudad acepta informes de incidentes y solicitará evidencias, registros y planes de remediación; los procedimientos de inspección específicos no se especifican en la página citada.

Apelaciones, revisión y plazos

La resolución de disputas contractuales y las apelaciones siguen los términos del contrato de adquisiciones y el código municipal aplicable; los plazos de apelación específicos por sanciones de ciberseguridad no se indican en las páginas citadas. Los proveedores deben revisar las cláusulas de apelación del contrato y contactar con Adquisiciones o la Oficina de Asesoría Jurídica sin demora para cumplir los plazos.

Defensas y discreción

La ciudad puede reconocer defensas por excusa razonable cuando los proveedores demuestran esfuerzos diligentes y de buena fe para prevenir, detectar y remediar incidentes. Las provisiones contractuales, el seguro y los planes de seguridad aprobados pueden afectar la discreción en la ejecución.

Violaciones comunes

• No notificar a la ciudad sobre una violación de datos que involucre información de la ciudad.
• Controles de acceso deficientes o gestión inadecuada de credenciales que permiten acceso no autorizado.
• No cumplimiento de las cláusulas de seguridad requeridas en los contratos de la ciudad.

Solicitudes y Formularios

La División de Adquisiciones mantiene el registro de proveedores y formularios de contratación; los formularios específicos de notificación de incidentes de ciberseguridad no se publican en las páginas citadas. Los proveedores deben registrarse y mantener la información de contacto actualizada a través de la página de Adquisiciones y seguir las instrucciones de notificación que proporcione TI de la Ciudad.^[2]

Proceso de notificación y pasos prácticos

Cuando un proveedor detecta un incidente de ciberseguridad que afecta sistemas o datos de la ciudad, las acciones inmediatas recomendadas son:

• Contener el incidente para limitar la exposición adicional.
• Conservar registros, marcas de tiempo y evidencias para la investigación.
• Notificar a Tecnología de la Información / Seguridad de la Ciudad usando la vía de contacto en la página de TI de la ciudad y al gestor de contrato de adquisiciones.^[1]
• Preparar un plan de remediación y enviar los documentos solicitados a la ciudad.

FAQ

¿Quién debe notificar un incidente de ciberseguridad a Jacksonville?

Los proveedores y contratistas que manejan datos de la ciudad o se conectan a sistemas de la ciudad deben notificar incidentes que afecten la información o los servicios de la ciudad.

¿Cómo notifico a la ciudad sobre un incidente?

Contacte a Tecnología de la Información / Seguridad de la Ciudad usando la vía de contacto oficial de TI y notifique a su gestor de contrato de adquisiciones; consulte las páginas de TI y Adquisiciones para los detalles de contacto.^[1][2]

¿Existen plazos específicos para notificar?

Los plazos de notificación suelen definirse en los contratos; si no se especifican en las páginas citadas de la ciudad, los proveedores deben notificar a la ciudad de inmediato al descubrir un incidente y seguir los términos del contrato.

How-To

1. Identificar y clasificar el incidente: determinar si los datos o sistemas de la ciudad están afectados.
2. Contener y preservar evidencia: aislar sistemas afectados y recopilar registros.
3. Notificar a la ciudad: contactar inmediatamente a Tecnología de la Información / Seguridad de la Ciudad y a su gestor de adquisiciones.^[1][2]
4. Cooperar con la investigación: proporcionar la documentación solicitada, informes de incidentes y planes de remediación.

Conclusiones clave

• Informe los incidentes con prontitud y conserve la evidencia para limitar la responsabilidad.
• Revise y siga las cláusulas de seguridad del contrato y las instrucciones de adquisiciones.
• Utilice los contactos oficiales de TI y adquisiciones de la ciudad para la notificación y las apelaciones.

Ayuda y Soporte / Recursos

• City Information Technology
• Procurement Division - Vendor Information
• Jacksonville Code of Ordinances (Municode)

1. [1] City Information Technology - official contact and department page
2. [2] Procurement Division - vendor and contract information