Requisitos de ciberseguridad para proveedores de Henderson

Los proveedores que contratan con la Ciudad de Henderson, Nevada deben comprender cómo las prácticas municipales de adquisiciones y tecnología de la información abordan las expectativas de ciberseguridad. Esta guía resume dónde publica la ciudad las responsabilidades de proveedores y TI, cómo se hace cumplir la conformidad y pasos prácticos que deben seguir los proveedores al licitar, contratar o conectar sistemas a las redes de la ciudad. Destaca los departamentos responsables, las cláusulas contractuales típicas, las vías de reporte de incidentes y cómo preparar la documentación que suele solicitar el comprador público. Cuando las secciones oficiales no son explícitas sobre sanciones o normas técnicas específicas, el texto indica que la información no está especificada en la página citada y remite a las fuentes municipales y departamentales correspondientes.

Ámbito y autoridades aplicables

Las autoridades municipales primarias que afectan la ciberseguridad de proveedores son la División de Compras de la Ciudad de Henderson y el Departamento de Tecnología de la Información de la ciudad; las normas de adquisición aplicables y los términos contractuales los establece la ciudad y se reflejan en la orientación para proveedores y el código municipal. La ciudad publica recursos de compras y proveedores en su sitio oficial, y el Departamento de Tecnología de la Información mantiene las políticas de TI y contactos para asuntos de seguridad^[1][2]. El código municipal consolidado es el repositorio de ordenanzas que controla los procedimientos de adquisiciones y administrativos^[3].

Multas y aplicación

Las fuentes municipales revisadas no publican una "ordenanza única" sobre ciberseguridad de proveedores con multas enumeradas; en su lugar, las expectativas de ciberseguridad se aplican mediante términos contractuales de adquisición, directivas departamentales y disposiciones del código aplicable. Cuando corresponda multas numéricas, sanciones escalonadas o sanciones administrativas formales específicas a la ciberseguridad, esas cantidades no están especificadas en las páginas citadas y normalmente se abordan en los recursos contractuales, cláusulas de incumplimiento o disposiciones más amplias del código. Para conocer multas monetarias y escalamiento específicos, consulte las páginas de adquisiciones y el código municipal indicadas o al oficial de contratación asignado^[1][3].

• Multas monetarias: no está especificado en la página citada; la aplicación suele proceder mediante recursos contractuales o ejecución del código.
• Escalamiento: periodo de subsanación inicial; incumplimientos repetidos o continuos pueden llevar a la terminación del contrato o reclamaciones por daños según lo dispuesto en el contrato.
• Sanciones no monetarias: órdenes de remediación, suspensión del acceso al sistema, suspensión o terminación del contrato y derivación a acciones legales o a las fuerzas del orden.
• Organismo que aplica: División de Compras y Departamento de Tecnología de la Información administran el cumplimiento, las inspecciones y la coordinación de respuesta a incidentes.
• Recursos/revisión: procedimientos de protesta de adquisiciones o disputas contractuales regidos por las normas de adquisiciones municipales u ordenanza; los plazos específicos para protestas no están especificados en la página de adquisiciones citada.

Solicitudes y formularios

La Ciudad mantiene el registro de proveedores y formularios de adquisiciones en las páginas de la División de Compras; no existe de forma consistente un formulario único de manifestación de ciberseguridad publicado oficialmente y puede incluirse en los documentos de RFP/RFQ o como anexos contractuales. Para el registro de proveedores y formularios estándar, consulte los recursos de la División de Compras y los enlaces de registro de proveedores en el sitio oficial^[1]. Si un proyecto requiere presentaciones específicas de seguridad (por ejemplo, evidencia de seguro cibernético o informes de auditoría), la RFP o el contrato especificarán el nombre del documento, la certificación requerida, la tarifa (si la hubiera) y el método de envío.

Elementos comunes de cumplimiento que deben esperar los proveedores

• Cláusulas contractuales que exigen cumplimiento de las políticas de TI de la ciudad, protección de datos y plazos de notificación de incidentes.
• Documentación como diagramas de sistema, informes SOC 2, resúmenes de pruebas de penetración o planes de seguridad al manejar datos sensibles.
• Requisitos de seguro, incluido el seguro de responsabilidad cibernética, cuando se especifique en la solicitud.
• Controles técnicos para segmentación de red, cifrado y protección de endpoints cuando los sistemas del proveedor se integran con las redes de la ciudad.

Pasos de acción para proveedores

• Revise cuidadosamente los documentos de la solicitud y todos los anexos contractuales antes de licitar; formule preguntas durante el periodo de preguntas.
• Regístrese como proveedor con la Ciudad de Henderson y envíe los formularios base requeridos.
• Prepare la documentación de seguridad solicitada por la RFP o el funcionario de contratación y mantenga informes de auditoría de terceros actualizados si corresponde.
• Establezca un contacto para la notificación de incidentes y confirme por escrito los requisitos de notificación de la ciudad.

Preguntas frecuentes

¿Necesito presentar un plan formal de ciberseguridad para contratar con Henderson?

Depende de la solicitud; muchas RFP solicitan evidencia o manifestaciones de seguridad, pero no se publica un formulario único de plan de ciberseguridad en la División de Compras. Consulte los recursos de la División de Compras para los requisitos específicos de cada solicitud.^[1]

¿Qué oficina de la ciudad hace cumplir los requisitos de ciberseguridad de proveedores?

La División de Compras supervisa el cumplimiento de adquisiciones mientras que el Departamento de Tecnología de la Información maneja la seguridad técnica y la coordinación de incidentes; póngase en contacto con ambos para consultas de adquisiciones y seguridad.^[1][2]

¿Dónde informo un incidente de seguridad que afecte un contrato municipal?

Informe los incidentes al administrador del contrato que figura en su contrato con la ciudad y al Departamento de Tecnología de la Información según lo establecido en los documentos de la adjudicación; los pasos específicos para incidentes se definen en el contrato o la solicitud y en las páginas de contacto de la ciudad.^[2]

Cómo hacer

1. Regístrese como proveedor en la página de Compras de la Ciudad de Henderson y suscríbase a las solicitudes de propuestas.
2. Lea detenidamente los requisitos de seguridad de la RFP/RFQ y reúna la documentación requerida (seguros, informes de auditoría, manifestaciones).
3. Envíe preguntas durante el periodo de consultas para obtener aclaraciones sobre las obligaciones de ciberseguridad.
4. Si resulta adjudicado, confirme que comprende las cláusulas contractuales sobre ciberseguridad y solicite enmiendas o variaciones por escrito si es necesario.
5. Establezca procedimientos de respuesta a incidentes coherentes con el contrato y coordine con el Departamento de Tecnología de la Información si ocurre un incidente.

Puntos clave

• Las expectativas de ciberseguridad se aplican mediante contratos de adquisición y políticas departamentales, no con una ordenanza única para proveedores.
• Los proveedores deben preparar informes de auditoría, manifestaciones y pruebas de seguro cuando se soliciten.
• Contacte a Compras para cuestiones de adquisición y a Tecnología de la Información para consultas técnicas y de incidentes.

Ayuda y soporte / Recursos

• División de Compras de la Ciudad de Henderson
• Departamento de Tecnología de la Información de la Ciudad de Henderson
• Código Municipal de la Ciudad de Henderson (Municode)

1. [1] City of Henderson Purchasing Division - vendor and procurement resources
2. [2] City of Henderson Information Technology Department - IT policies and contacts
3. [3] City of Henderson Municipal Code - codified ordinances and procurement rules