Reglas de seguridad informática para proveedores en contratos de la ciudad de St. Petersburg

St. Petersburg, Florida exige que los proveedores que manejan datos o sistemas de la ciudad cumplan obligaciones de seguridad establecidas por la División de Compras y el Departamento de Tecnología de la Información. Consulte la orientación oficial de adquisiciones y las referencias de TI para conocer las cláusulas contractuales y los requisitos técnicos precisos^[1][2][3].

Multas y cumplimiento

La responsabilidad de aplicación corresponde a la División de Compras junto con el Departamento de Tecnología de la Información para el cumplimiento técnico; las acciones legales o de cumplimiento de ordenanzas hacen referencia al Código de la Ciudad y al lenguaje del contrato. Cuando se apliquen multas o tarifas numéricas, esas cantidades se determinan por el instrumento que las impone o por el contrato; si no se muestra una cantidad específica en las páginas oficiales citadas, se indica abajo como "not specified on the cited page."

• Aplicador: División de Compras y Departamento de Tecnología de la Información; las quejas y reportes de incidentes comienzan a través de los canales oficiales de adquisiciones o seguridad de TI^[1][2].
• Multas monetarias: not specified on the cited page.
• Escalada: el tratamiento de la primera, repetida o continua infracción se rige por los remedios contractuales y las disposiciones del Código de la Ciudad; los importes o rangos específicos de escalada no están especificados en la página citada.
• Sanciones no monetarias: terminación de contrato, suspensión de acceso, avisos de subsanación, órdenes de remediación, indemnización y acciones de recuperación, y derivación al asesor jurídico de la Ciudad o a los tribunales.
• Inspecciones y auditorías: se puede requerir que los proveedores permitan evaluaciones de seguridad, escaneos de vulnerabilidad o auditorías según se defina en los anexos del contrato.
• Recursos y apelaciones: los procedimientos de apelación o protesta para decisiones de contratación siguen las reglas de la División de Compras; los plazos y ventanas de apelación exactos se establecen en los documentos de contratación o en el Código de la Ciudad y no están especificados en la página citada.

Solicitudes y formularios

Los formularios requeridos y los cuestionarios de seguridad suelen adjuntarse a las licitaciones o anexos de contrato; la Ciudad publica formularios y plantillas de contratación a través de la División de Compras. Si no se publica un formulario de seguridad específico para proveedores en las páginas oficiales, se indica como "not specified on the cited page."^[1]

Cómo se establece el cumplimiento

El lenguaje contractual típico requerirá: planes de seguridad, notificación de incidentes dentro de un plazo definido, cifrado y controles de acceso, conservación de registros y prueba de seguros o indemnización cuando corresponda. Los estándares técnicos exactos (por ejemplo, NIST u otros marcos) aparecen en los anexos del contrato o en la orientación del departamento de TI cuando se publican.

Infracciones comunes

• No reportar una violación o incidente de seguridad dentro del plazo requerido.
• No aplicar los parches requeridos o no cumplir los estándares de configuración mínimos.
• No presentar la documentación o las certificaciones de seguridad requeridas durante la contratación o la auditoría.

Preguntas frecuentes

¿Quién aplica la seguridad informática de los proveedores en los contratos municipales?

La aplicación la lidera la División de Compras en coordinación con el Departamento de Tecnología de la Información; los recursos legales hacen referencia al Código de la Ciudad y a los términos contractuales.^[1][2]

¿Cómo reporto una posible violación de un proveedor que afecta a la ciudad?

Reporte los incidentes al contacto de seguridad de TI de la ciudad y a la División de Compras según se especifique en el contrato o la licitación; los puntos de contacto oficiales los publica la Ciudad de St. Petersburg.^[2][1]

¿Qué estándares técnicos deben cumplir los proveedores?

Los estándares técnicos y marcos se especifican en los anexos del contrato o en los requisitos de TI; si no están publicados, la licitación indicará el marco aplicable o remitirá a la orientación del departamento de TI.^[2]

Cómo

1. Revise la licitación y los anexos del contrato para identificar cualquier anexo de seguridad, cuestionarios o estándares requeridos.
2. Prepare un plan de seguridad del proveedor y evidencia (políticas, configuraciones, certificados) alineada con los estándares indicados.
3. Designe un contacto de seguridad y establezca procedimientos de notificación de incidentes que cumplan los plazos del contrato.
4. Permita auditorías o evaluaciones según se requiera y remedié los hallazgos conforme al calendario del contrato.
5. Si recibe una notificación de incumplimiento, siga los procesos de subsanación, presente planes de acción correctiva y utilice los procedimientos de apelación de contratación si disputa la medida.

Puntos clave

• Lea los anexos de seguridad en cada licitación antes de ofertar.
• Conserve la documentación y designe un contacto de respuesta a incidentes.
• Cumpla exactamente con los plazos de protesta y apelación de contratación si impugna las medidas.

Ayuda y apoyo / Recursos

• City of St. Petersburg Purchasing Division
• City of St. Petersburg Information Technology Department
• St. Petersburg Code of Ordinances - Municode

1. [1] City of St. Petersburg Purchasing Division
2. [2] City of St. Petersburg Information Technology Department
3. [3] St. Petersburg Code of Ordinances - Municode