Reglas de ciberseguridad y aviso de brechas para proveedores en Minneapolis

Minneapolis, Minnesota exige que los proveedores que gestionan datos de la ciudad cumplan las expectativas de ciberseguridad de la ciudad y notifiquen los incidentes de seguridad de forma pronta. Esta guía resume cómo Minneapolis aborda la ciberseguridad de proveedores, la oficina responsable de la supervisión, los avisos de brecha publicados, pasos prácticos que deben seguir los proveedores y cómo residentes o empresas afectadas pueden reportar inquietudes. Para el lenguaje de política oficial y cualquier cláusula contractual que rija las obligaciones del proveedor, consulte los recursos de seguridad informática de la ciudad enlazados a continuación. City IT Security & Privacy^[1]

Resumen de expectativas de ciberseguridad para proveedores

Se suele exigir a los proveedores que almacenan, procesan o transmiten datos de la ciudad que implementen controles técnicos y organizativos razonables, notifiquen a la ciudad sobre incidentes y cooperen en las investigaciones. Las cláusulas contractuales específicas, las reglas de clasificación de datos y los requisitos de cifrado o control de acceso se establecen en el acuerdo de compra o servicio aplicable, en lugar de en una sola ordenanza de la ciudad.

Sanciones y aplicación

La aplicación de las obligaciones de ciberseguridad de los proveedores se realiza principalmente mediante recursos contractuales y la supervisión del departamento, en lugar de un calendario de multas dedicado publicado en una sola ordenanza. Cuando se aplican multas monetarias o sanciones estatutarias, se especifican en el instrumento controlador o en la ley estatal aplicable; esos importes no están consolidados en la página de TI de la ciudad citada aquí. City IT Security & Privacy^[1]

• Importes de multas: no especificado en la página citada.
• Escalada: recursos contractuales, derechos de terminación y posible litigio se usan; rangos por primera/reincidencia/ofensas continuas no especificados en la página citada.
• Sanciones no monetarias: suspensión contractual, terminación, planes de acción correctiva y remediación requerida son las herramientas típicas citadas en la documentación contractual de la ciudad.
• Responsable y quejas: la oficina de Tecnología de la Información de la Ciudad de Minneapolis y el departamento de contratación supervisan el cumplimiento e investigaciones; las quejas deben dirigirse a la oficina de TI o al gestor del contrato.
• Apelaciones y revisiones: procedimientos de resolución de disputas contractuales, revisiones administrativas o litigio bajo el contrato aplicable son las rutas habituales; los plazos específicos se establecen en cada contrato o documento de contratación y no están consolidados en la página citada.
• Defensas y discreción: defensas como excusa razonable, fuerza mayor o cumplimiento con variaciones aprobadas dependen de los términos del contrato y no se enumeran en la página citada.

Solicitudes y formularios

El sitio de TI de la ciudad y los documentos estándar de contratación son las fuentes principales para los formularios requeridos por proveedores. No existe un formulario único de aviso de brecha publicado por la ciudad en la página de TI citada; los proveedores deben seguir las instrucciones del contrato o el proceso de reporte de incidentes establecido por el gestor del contrato o la oficina de seguridad de TI. City IT Security & Privacy^[1]

Violaciones comunes

• Controles de acceso deficientes que permiten acceso no autorizado.
• Falta de cifrado de datos sensibles en reposo o en tránsito cuando el contrato lo exige.
• Notificaciones a la ciudad retrasadas o incompletas según lo requerido por el contrato.
• Incumplimiento de actualizaciones de seguridad o acciones de remediación acordadas.

Pasos de acción para proveedores

• Revise su contrato: identifique cláusulas de aviso de brecha, plazos y contactos requeridos.
• Reporte incidentes a la oficina de seguridad de TI de la ciudad y a su gestor de contrato inmediatamente según lo exija su acuerdo.
• Preserve registros y evidencia, siga el proceso de investigación especificado en el contrato y coopere con las solicitudes de la ciudad.
• Siga planes de remediación para la satisfacción de la ciudad para evitar sanciones contractuales.

Preguntas frecuentes

1Qui9n aplica las obligaciones de ciberseguridad para proveedores en Minneapolis?

La oficina de Tecnología de la Información de la Ciudad de Minneapolis junto con el departamento de contratacin aplican las obligaciones de proveedores y coordinan la respuesta a incidentes.

1Los proveedores deben notificar directamente a los residentes afectados?

Los requisitos de notificacin a residentes dependen del contrato y de la ley estatal aplicable; consulte el contrato y asesora legal.

1Dnde reporto una posible brecha de datos de un proveedor?

Reportela a la oficina de seguridad de TI de la ciudad y al gestor del contrato identificado en sus documentos de adquisicin.

Cómo hacerlo

Pasos para que un proveedor responda a una brecha sospechada que afecta datos de Minneapolis:

1. Confirme y contenga el incidente para detener el acceso no autorizado.
2. Preserve registros y evidencia y documente la lnea temporal de los eventos.
3. Notifique a la oficina de seguridad de TI de la Ciudad de Minneapolis y a su gestor de contrato como se especifica en su acuerdo.
4. Coopere con la investigacin de la ciudad, implemente acciones de remediacin y proporcione los informes requeridos.
5. Siga los pasos de notificacin regulatorios o contractuales a las personas afectadas si es necesario.

Ayuda y soporte / Recursos

• City of Minneapolis - IT Security & Privacy
• City of Minneapolis - Procurement
• Minneapolis Code of Ordinances (Municode)

1. [1] City of Minneapolis - IT Security & Privacy