¿Qué controles mínimos de ciberseguridad necesitan los proveedores de la ciudad?

Los controles varían según la agencia y el contrato; los requisitos comunes incluyen control de acceso, cifrado, registros, respuesta a incidentes y declaraciones del proveedor. Consulte los anexos de contrato de la agencia y la guía de DoITT para las expectativas a nivel municipal.

¿Existen multas específicas por brechas de ciberseguridad?

Las sanciones monetarias y los importes dependen del contrato y no están especificados en las páginas de contratación citadas; los remedios suelen incluir retención de pagos, costos de remediación y rescisión del contrato.

¿Cómo denuncio un problema de seguridad que afecta un sistema municipal?

Notifique al oficial de contratación y al contacto de seguridad de la agencia que figure en el contrato; para escalamiento de contratación contacte a MOCS. Para problemas de infraestructura de la ciudad, acuda al Department of Buildings o a 311 según corresponda.

Requisitos de ciberseguridad de la ciudad para proveedores - Upper West Side

Tecnología y Datos New York 4 minutos de lectura · publicado febrero 10, 2026

Los proveedores que tienen contratos con agencias municipales o que ofrecen servicios de TI, datos o servicios conectados en Upper West Side, Nueva York deben cumplir las expectativas de ciberseguridad de la ciudad antes y durante la ejecución. Esta guía resume quién hace cumplir esas normas, las obligaciones habituales en los contratos y anexos de seguridad, cómo funcionan la aplicación y las apelaciones, y pasos prácticos que deben seguir los proveedores para mantener el cumplimiento.

Ámbito y a quién se aplica

Los requisitos suelen aplicarse a contratistas, subcontratistas y proveedores terceros que acceden a sistemas municipales, manejan datos de la ciudad o alojan servicios para agencias municipales. Las obligaciones específicas dependen de la agencia contratante y del anexo o cláusula de seguridad del contrato. Para la política y los estándares técnicos a nivel de ciudad, consulte la guía del Department of Information Technology & Telecommunications (DoITT) ^[1].

Confirme los anexos de seguridad específicos de la agencia antes de presentar una oferta.

Sanciones y aplicación

La aplicación la gestiona la agencia contratante con supervisión de contratación por parte de la Mayor's Office of Contract Services (MOCS) o el oficial de contratación de la agencia. Los remedios y sanciones por fallas de ciberseguridad varían según el contrato y la agencia.

Sanciones monetarias: los importes son dependientes del contrato; los valores en dólares no están especificados en las páginas citadas.^[2]
Escalada: las rutas típicas incluyen aviso, plazo para subsanar, retención de pagos, suspensión y rescisión por incumplimiento; los plazos exactos no están especificados en las páginas citadas.^[2]
Sanciones no monetarias: órdenes de cese de trabajo, suspensión o terminación del contrato, remediación obligatoria y remisión a acciones civiles o penales.
Responsables y denuncias: oficiales de seguridad de la agencia contratante, personal de MOCS y autoridades de TI de la ciudad gestionan los informes; contacte al oficial de contratación de la agencia o a MOCS para denuncias formales.^[2]
Apelaciones y revisiones: existen rutas de protesta administrativa y apelación de contratos; los plazos exactos para protestas y apelaciones no están especificados en las páginas citadas y dependen del instrumento de contratación.^[2]

Si ocurre una vulneración, notifique al oficial de contratación inmediatamente y siga el procedimiento de notificación de incumplimiento del contrato.

Solicitudes y formularios

Muchas obligaciones de ciberseguridad se aplican mediante el lenguaje contractual más que mediante un permiso independiente. Las agencias pueden solicitar cuestionarios de seguridad del proveedor o declaraciones durante la incorporación; si se requiere un formulario o número específico, aparecerá en el paquete de contratación o en los materiales de incorporación del proveedor. Para procedimientos de contratación e incorporación de la ciudad, consulte la guía de MOCS.^[2]

Requisitos contractuales comunes

Clasificación y manejo de datos, incluyendo restricciones sobre almacenamiento y transmisión.
Registro de eventos, respuesta a incidentes y obligaciones de notificación.
Controles de acceso y principio de menor privilegio para sistemas que se conectan a redes de la ciudad.
Cláusulas de seguro o indemnización relativas a incidentes cibernéticos.

Los contratos suelen remitir a estándares técnicos municipales mantenidos por DoITT o por la agencia contratante.

Pasos de acción para proveedores

Antes de presentar oferta: revise la solicitud, el anexo de seguridad y los estándares de DoITT o de la agencia.^[1]
Al adjudicar: complete los cuestionarios de seguridad del proveedor y proporcione las declaraciones requeridas.
Durante la ejecución: mantenga registros, parches, MFA y cifrado según lo exija el contrato.
Si ocurre un incidente: notifique al oficial de contratación y siga los pasos de notificación del contrato; escale a MOCS o a la oficina de seguridad de la agencia si es necesario.^[2]

Preguntas frecuentes

¿Qué controles mínimos de ciberseguridad necesitan los proveedores de la ciudad?: Los controles varían según la agencia y el contrato; los requisitos comunes incluyen control de acceso, cifrado, registros, respuesta a incidentes y declaraciones del proveedor. Consulte los anexos de contrato de la agencia y la guía de DoITT para las expectativas a nivel municipal.^[1]
¿Existen multas específicas por brechas de ciberseguridad?: Las sanciones monetarias y los importes dependen del contrato y no están especificados en las páginas de contratación citadas; los remedios suelen incluir retención de pagos, costos de remediación y rescisión del contrato.^[2]
¿Cómo denuncio un problema de seguridad que afecta un sistema municipal?: Notifique al oficial de contratación y al contacto de seguridad de la agencia que figure en el contrato; para escalamiento de contratación contacte a MOCS. Para problemas de infraestructura de la ciudad, acuda al Department of Buildings o a 311 según corresponda.^[3]

Cómo hacerlo

Localice el anexo de seguridad del contrato y cualquier estándar técnico de DoITT o de la agencia.^[1]
Complete los cuestionarios de seguridad del proveedor y facilite las declaraciones durante la incorporación.
Implemente los controles requeridos (MFA, cifrado, registros) y documente procedimientos y políticas de retención.
Establezca un plan de respuesta a incidentes alineado con los plazos de notificación del contrato y pruébelo con las partes interesadas.
Si enfrenta una acción de cumplimiento, presente documentación, use canales de protesta administrativa y solicite orientación a MOCS o a la agencia contratante.

Puntos clave

Las obligaciones de ciberseguridad para proveedores son principalmente contractuales y específicas por agencia.
DoITT y MOCS son referencias principales para estándares y supervisión de contratación.^[1]
Actúe con rapidez ante incidentes y siga los procedimientos contractuales de notificación para reducir riesgos de sanción.

Ayuda y soporte / Recursos

Categorías

Gobernanza y Administración General Seguridad Pública Salud Pública y Bienestar Uso de Suelo y Zonificación Vivienda y Normas de Construcción Transporte Protección Ambiental Parques y Espacios Públicos Negocios y Protección al Consumidor Tributación y Finanzas Trabajo y Empleo Educación Derechos Civiles y Equidad Elecciones y Financiamiento de Campañas Eventos y Usos Especiales Señalización y Publicidad Servicios Públicos e Infraestructura Tecnología y Datos