¿Todos los contratos municipales requieren controles de ciberseguridad?

No todos los contratos tienen los mismos requisitos; los controles suelen aplicarse cuando un contrato implica acceso a sistemas de la ciudad o datos sensibles; consulte la licitación y la guía de la agencia.

¿Quién hace cumplir las obligaciones de ciberseguridad de los proveedores?

La aplicación principal corresponde a la agencia contratante y a DoITT para la política técnica; MOCS administra el cumplimiento contractual y puede aplicar remedios por incumplimientos.

¿Qué debo hacer si ocurre una brecha?

Siga los procedimientos de notificación de incidentes en su contrato, notifique al oficial de contratación y al contacto de seguridad de la agencia de inmediato y conserve registros del incidente y la respuesta.

Reglas de ciberseguridad en contratación municipal para Queens, NY

Tecnología y Datos New York 4 minutos de lectura · publicado febrero 04, 2026

Esta guía explica los requisitos de ciberseguridad que deben seguir los contratistas cuando realizan trabajos para agencias municipales en Queens, Nueva York. Las oficinas municipales, principalmente el Departamento de Tecnología y Telecomunicaciones de la Ciudad (DoITT) y la Oficina del Alcalde de Servicios Contractuales (MOCS), establecen estándares de seguridad para los proveedores que manejan sistemas o datos de la ciudad. Lea esto para comprender las protecciones obligatorias, las obligaciones de notificación, las condiciones de contratación y los pasos prácticos que deben tomar los contratistas antes de licitar o ejecutar contratos municipales en Queens.

Alcance y quién debe cumplir

Los requisitos suelen aplicarse a contratistas, subcontratistas, consultores y proveedores que acceden a redes, sistemas, aplicaciones o datos confidenciales de la ciudad como parte de un contrato con cualquier agencia de la Ciudad de Nueva York. Las obligaciones específicas dependen de la agencia, el tipo de contrato y la sensibilidad de los datos o sistemas involucrados. Para la política cibernética de la ciudad y las responsabilidades de los proveedores, consulte la orientación del Departamento de Tecnología y Telecomunicaciones DoITT cybersecurity guidance^[1] y las reglas de contratación en la Oficina del Alcalde de Servicios Contractuales MOCS contracting guidance^[2].

Requisitos clave del contrato

Implementar controles técnicos básicos como controles de acceso y cifrado en reposo y en tránsito cuando los datos de la ciudad lo requieran.
Mantener procedimientos de respuesta a incidentes y notificación de brechas y notificar a la ciudad con prontitud sobre incidentes de seguridad.
Firmar los acuerdos requeridos como confidencialidad, no divulgación y cualquier anexo de seguridad del proveedor incluido en el contrato.
Cumplir con evaluaciones periódicas, auditorías o cuestionarios de seguridad que la agencia contratante exija.

Confirme qué anexo de seguridad de la ciudad se adjunta a cada licitación antes de presentar una oferta.

Sanciones y aplicación

La aplicación y las sanciones las determina la agencia contratante y los términos contractuales y las políticas de la ciudad. Las oficinas municipales primarias involucradas en la aplicación son DoITT para la política técnica de ciberseguridad y MOCS o la agencia contratante para el cumplimiento del contrato. Consulte la orientación de la agencia para prácticas de aplicación y contactos para denuncias^[1]^[2].

Sanciones monetarias: no especificado en la página citada.
Escalamiento: la información sobre multas por primera, repetida o continuada no está especificada en las páginas citadas.
Sanciones no monetarias: cancelación del contrato, retención de pagos, planes de acción correctiva y inhabilitación o suspensión para futuros contratos son remedios posibles referenciados en la guía de contratación de la ciudad.
Inspección y auditorías: las agencias pueden exigir evaluaciones de seguridad, auditorías y evidencia de controles como condición para el desempeño del contrato.
Vías de denuncia e informes: contacte al oficial de contratación que figura en la licitación y a la oficina de seguridad informática de la agencia correspondiente; consulte las páginas de DoITT y MOCS para contactos^[1]^[2].
Apelaciones y revisiones: las disposiciones de disputa contractual y las protestas de contratación se aplican; los plazos y pasos de apelación específicos se establecen en el contrato o en los documentos de la licitación y no están especificados en las páginas citadas.
Defensas y discreción: los oficiales de contratación pueden considerar mitigación, acción correctiva o exenciones cuando lo permitan los términos del contrato; las normas explícitas para excusas razonables o variaciones no están especificadas en las páginas citadas.

Contacte al oficial de contratación de inmediato si un incidente de seguridad afecta datos de la ciudad.

Solicitudes y formularios

Las agencias pueden exigir cuestionarios de seguridad del proveedor, declaraciones o un anexo de seguridad firmado con el contrato. No hay un formulario universal publicado en las páginas citadas; los contratistas deben seguir las instrucciones de la licitación y el portal de la agencia contratante para cualquier formulario o método de presentación específico^[2].

Cómo hacerlo

Revise la licitación y los anexos contractuales para cualquier anexo de seguridad del proveedor o cláusulas específicas de ciberseguridad.
Mapee los sistemas y el acceso a datos que tocarán sistemas de la ciudad e identifique los controles necesarios (cifrado, MFA, registros).
Complete cualquier cuestionario de seguridad de la agencia y reúna evidencia: políticas, informes SOC o resultados de auditoría, resúmenes de pruebas de penetración.
Establezca procedimientos de respuesta y notificación de incidentes alineados con los plazos del contrato y los requisitos de la agencia.
Mantenga registros de cumplimiento y prepárese para auditorías o evaluaciones de la agencia durante la ejecución del contrato.

Documente todos los controles de seguridad y la evidencia antes de la adjudicación del contrato para agilizar la incorporación.

Preguntas frecuentes

¿Todos los contratos municipales requieren controles de ciberseguridad?: No todos los contratos tienen los mismos requisitos; los controles suelen aplicarse cuando un contrato implica acceso a sistemas de la ciudad o datos sensibles; consulte la licitación y la guía de la agencia.
¿Quién hace cumplir las obligaciones de ciberseguridad de los proveedores?: La aplicación principal corresponde a la agencia contratante y a DoITT para la política técnica; MOCS administra el cumplimiento contractual y puede aplicar remedios por incumplimientos.
¿Qué debo hacer si ocurre una brecha?: Siga los procedimientos de notificación de incidentes en su contrato, notifique al oficial de contratación y al contacto de seguridad de la agencia de inmediato y conserve registros del incidente y la respuesta.

Puntos clave

Revise cuidadosamente las licitaciones en busca de anexos de seguridad y declaraciones requeridas.
Prepare evidencia de controles, auditorías y planes de respuesta antes del inicio del contrato.
Contacte al oficial de contratación y a los contactos de seguridad de la agencia inmediatamente ante incidentes o dudas.

Ayuda y recursos

Categorías

Gobernanza y Administración General Seguridad Pública Salud Pública y Bienestar Uso de Suelo y Zonificación Vivienda y Normas de Construcción Transporte Protección Ambiental Parques y Espacios Públicos Negocios y Protección al Consumidor Tributación y Finanzas Trabajo y Empleo Educación Derechos Civiles y Equidad Elecciones y Financiamiento de Campañas Eventos y Usos Especiales Señalización y Publicidad Servicios Públicos e Infraestructura Tecnología y Datos