Estandares de ciberseguridad para proveedores de la ciudad de Boise

Boise, Idaho exige que los proveedores que contratan con la ciudad cumplan expectativas básicas de ciberseguridad y protección de datos vinculadas a la contratación. Esta guía explica las cláusulas contractuales típicas, quién las hace cumplir, pasos prácticos para proveedores antes de presentar ofertas y dónde encontrar la política oficial y los términos de compras. Resume las opciones de aplicación, errores comunes de cumplimiento y los requisitos de formularios o solicitudes, y señala los departamentos de la ciudad que gestionan contratos y seguridad de la información.

Alcance y documentos aplicables

Los contratos municipales suelen incorporar términos de contratación y políticas de TI o seguridad de la información aplicables. Los proveedores deben revisar los términos de contratación en el manual de compras y las normas del Departamento de Tecnología de la Información para controles técnicos y requisitos de notificación de incidentes Purchasing - City of Boise^[1] Information Technology - City of Boise^[2].

Requisitos clave para proveedores

• Cláusulas de protección de datos y confidencialidad que exigen cifrado, acceso limitado y eliminación segura de los datos de la ciudad.
• Obligaciones de notificación de incidentes, incluyendo plazos y contactos requeridos.
• Disposiciones de auditoría, registro y conservación que permiten a la ciudad verificar el cumplimiento.
• Requisitos de seguro e indemnización que pueden hacer referencia a cobertura de responsabilidad cibernética.
• Controles técnicos como autenticación multifactor, gestión de parches y configuraciones seguras.

Sanciones y aplicación

La ciudad aplica los requisitos de ciberseguridad principalmente mediante recursos contractuales, revisiones de cumplimiento y derechos de rescisión descritos en los documentos de contratación. Las multas monetarias específicas o importes diarios no suelen figurar en las páginas generales de compras y, por tanto, están no especificadas en la página citada^[1].

• Multas: no especificadas en la página citada; los daños contractuales o daños liquidados pueden aplicarse cuando el contrato los contenga.
• Escalamiento: el tratamiento de la primera, repetida y continuada infracción se rige por el lenguaje del contrato y no está especificado en las páginas citadas.
• Sanciones no monetarias: orden de subsanar, suspensión o terminación del contrato, retención de pagos, exigencia de remediación y derivación a la policía o acciones civiles.
• Órgano de aplicación y vías de denuncia: Purchasing y el Departamento de Tecnología de la Información administran el cumplimiento del contrato; las notificaciones de incidentes se dirigen a los contactos del departamento de TI indicados en la página correspondiente Information Technology - City of Boise^[2].
• Recursos y revisiones: los procedimientos de disputa y protesta contractual siguen las reglas de compras; los plazos específicos para apelaciones se rigen por el manual de compras y los términos del contrato y no están especificados en las páginas generales.
• Defensas y discrecionalidad: la ciudad puede permitir variaciones, planes de remediación o períodos de subsanación cuando los contratos lo prevean; el lenguaje varía por licitación.

Solicitudes y formularios

La ciudad publica formularios de contratación para licitaciones, registro de proveedores y certificados de seguro en su página de compras. Las declaraciones específicas sobre ciberseguridad o los cuestionarios de seguridad para proveedores se facilitan según la licitación; si no hay un formulario específico adjunto a una licitación, no existe un formulario universal de ciberseguridad publicado en las páginas generales de compras o TI Purchasing - City of Boise^[1].

Pasos de acción para proveedores

• Antes de ofertar: revise la licitación, los anexos y las normas de seguridad de TI referenciadas por la ciudad.
• Preparación: reúna certificados de seguro, planes de manejo de datos y un resumen de respuesta a incidentes para enviar con la propuesta.
• Documentación: conserve registros de parches, MFA y acuerdos con subprocesadores.
• Notifique: informe inmediatamente a los contactos de la ciudad indicados en el contrato y en la página de TI si un incidente afecta datos de la ciudad Information Technology - City of Boise^[2].

Preguntas frecuentes

¿Qué normas de ciberseguridad se aplican a los proveedores?

Las normas las establecen los términos del contrato y las políticas de TI referenciadas; consulte la licitación y la guía del Departamento de Tecnología de la Información para cada contrato.

¿Quién hace cumplir los requisitos de ciberseguridad?

El cumplimiento lo realizan la división de Purchasing en coordinación con el Departamento de Tecnología de la Información; las quejas o incidentes se envían a esas oficinas según los detalles del contrato.

¿Existen multas estándar por incumplimiento?

Las multas monetarias específicas por incumplimiento de ciberseguridad no figuran en las páginas generales de compras o TI y, por tanto, no están especificadas en las páginas citadas.

Cómo hacerlo

1. Ubique la licitación y descargue los anexos desde la página de Purchasing.
2. Alinee los requisitos del contrato con sus controles internos e identifique brechas.
3. Prepare la documentación requerida, declaraciones y un plan de remediación para las brechas detectadas.
4. Envíe los documentos con su propuesta y mantenga informados a los contactos de la ciudad sobre cualquier incidente durante la ejecución del contrato.

Puntos clave

• Las obligaciones de ciberseguridad son principalmente contractuales; revise cada licitación con atención.
• La notificación de incidentes y la remediación son obligaciones centrales y deben planificarse con antelación.

Ayuda y soporte / Recursos

• Purchasing - City of Boise
• Information Technology - City of Boise
• Boise City Code

1. [1] Purchasing - City of Boise (términos y formularios de contratación)
2. [2] Information Technology - City of Boise (contactos y guía de seguridad de la información)