Reglas de ciberseguridad para proveedores en contratos de la ciudad de Chicago

Chicago, Illinois exige que los proveedores que manejan datos de la ciudad o se conectan a sistemas municipales cumplan con expectativas específicas de ciberseguridad como parte de los términos contractuales. Esta guía explica los requisitos habituales en los contratos, los departamentos que los hacen cumplir, cómo funciona la aplicación y las apelaciones, las acciones obligatorias para los proveedores y los pasos para reducir riesgos al ofertar o ejecutar contratos de la ciudad.^[1]

Requisitos de cumplimiento

Los contratos municipales suelen incorporar obligaciones de ciberseguridad como notificación de incidentes, cifrado de datos, controles de acceso, gestión de vulnerabilidades, verificación de antecedentes del personal y derechos de auditoría o pruebas de penetración para la ciudad. Los contratos a menudo requieren que los proveedores sigan las políticas o estándares de seguridad de la ciudad referenciados en el documento contractual. Los proveedores deben revisar los anexos y anexos técnicos para ver las especificaciones y los plazos de notificación.^[2]

Sanciones y aplicación

La aplicación de las cláusulas de ciberseguridad en los contratos de Chicago es principalmente administrativa y contractual; el organismo que hace cumplir suele ser el Departamento de Servicios de Adquisiciones (DPS) en coordinación con el Departamento de Innovación y Tecnología (DoIT) para evaluaciones técnicas. Las multas monetarias específicas vinculadas a incumplimientos de ciberseguridad generalmente se establecen en los remedios contractuales y no en una única cantidad establecida por una ordenanza municipal.

• Multas monetarias: no especificado en la página citada; los remedios monetarios suelen definirse en el lenguaje del contrato o en las normas de adquisición.^[1]
• Escalada: el manejo de infracciones iniciales, repetidas o continuas se rige por los remedios contractuales y las normas de adquisición; las cantidades específicas no están indicadas en las páginas citadas.^[1]
• Sanciones no monetarias: pueden incluir avisos de subsanación, suspensión o terminación del contrato, retención de pagos, obligación de remediar fallas de seguridad y remisión a la policía o acciones civiles.
• Organismo que aplica y vías de denuncia: el Department of Procurement Services administra el cumplimiento contractual y DoIT provee revisión técnica y coordinación de incidentes. Para reportar un incidente de seguridad o una preocupación de cumplimiento use los contactos oficiales listados en Recursos más abajo.
• Apelaciones y revisiones: las rutas de protesta y apelación contractual siguen los procedimientos de protesta de adquisiciones; los plazos están establecidos en las normas de adquisición y en los contratos individuales y no se especifican en las páginas citadas.^[1]
• Defensas/discreción: los contratistas pueden alegar excusa razonable, pasos de mitigación documentados, excepciones aprobadas o solicitar una variación autorizada cuando las normas de adquisición o el contrato lo permitan.

Solicitudes y formularios

Muchas obligaciones de ciberseguridad se implementan mediante anexos contractuales en lugar de formularios municipales independientes. La ciudad publica normas de adquisición y recursos para proveedores donde aparecen plantillas de contratos, formularios requeridos e instrucciones de envío. Si se requiere un formulario de seguridad específico, aparecerá en la solicitud o en el anexo del contrato; de lo contrario no hay un formulario de ciberseguridad independiente publicado en las páginas citadas.^[1]

Violaciones comunes y acciones

• No notificar violaciones dentro de los plazos requeridos — puede provocar remedios, suspensión o terminación.
• Controles de acceso o gestión de credenciales insuficientes — normalmente requiere remediación y posibles auditorías.
• Subcontratación no aprobada o uso de terceros sin evaluación de seguridad — puede conllevar subsanación o terminación del contrato.

FAQ

¿Todos los contratos de la ciudad requieren controles de ciberseguridad?

No todos los contratos tienen los mismos requisitos; los contratos que manejan datos de la ciudad, acceden a sistemas o alojan servicios suelen incluir cláusulas de ciberseguridad: revise la solicitud y los anexos del contrato.

¿Quién aplica los términos de ciberseguridad?

El Department of Procurement Services aplica el cumplimiento contractual y coordina con DoIT en asuntos técnicos y respuesta a incidentes.

¿Existen formularios estándar para reportar violaciones?

Los métodos de reporte y los formularios requeridos se especifican en el contrato o en la solicitud de adquisición; no figura un formulario independiente de reporte de seguridad en las páginas citadas.

How-To

1. Revise la solicitud y los anexos para identificar las políticas de seguridad referenciadas y los entregables requeridos.
2. Mapee sus sistemas y datos con los requisitos del contrato y documente cifrado, controles de acceso y monitoreo en un plan de cumplimiento.
3. Implemente procedimientos de respuesta a incidentes y asegure que puede cumplir los plazos de reporte especificados en el contrato.
4. Contacte a DPS o DoIT temprano si necesita aclaraciones, variaciones o para reportar un incidente usando los canales oficiales.

Puntos clave

• Las obligaciones de seguridad suelen ser contractuales: lea los anexos con atención.
• Las sanciones derivan comúnmente de los términos del contrato más que de una tarifa municipal única.
• Involucre a DPS y DoIT desde el inicio para reducir riesgos y aclarar requisitos.

Recursos de ayuda y soporte

• Department of Procurement Services - Vendor resources
• Department of Innovation and Technology - Information Security
• Chicago Procurement Rules (PDF oficial)

1. [1] City of Chicago Department of Procurement Services - Vendor resources
2. [2] City of Chicago Department of Innovation and Technology - Information Security