Reglas de seguridad para proveedores de gobierno electrónico en Columbus
Columbus, Ohio depende de proveedores terceros para ofrecer muchos servicios de gobierno electrónico. Esta guía explica los requisitos de seguridad para proveedores que se conectan o alojan sistemas de gobierno electrónico de Columbus, resumendo obligaciones contractuales, manejo de datos, notificación de incidentes, auditorías y pasos prácticos de cumplimiento para licitadores y contratistas. Destaca el código municipal y las políticas de compras que suelen regir la seguridad de proveedores y señala contactos municipales oficiales para reportes, preguntas y apelaciones. Para el texto legal primario, consulte el código de la Ciudad de Columbus y las políticas de compras.Columbus Code of Ordinances[1]
Ámbito y normas aplicables
Esta guía cubre proveedores que ofrecen software como servicio, plataformas alojadas, integraciones, almacenamiento de datos y servicios gestionados que acceden o procesan datos o sistemas de la Ciudad de Columbus. Los requisitos aplicables comúnmente incluyen cláusulas contractuales que exigen protección de datos, notificación de incumplimientos, cifrado, verificaciones de antecedentes para personal con acceso privilegiado y derechos de auditoría. Los contratos de compras de la Ciudad y los términos para proveedores establecen obligaciones básicas; las agencias pueden añadir normas específicas del sistema y estándares técnicos como configuración segura y registro de eventos.
Sanciones y aplicación
Montos de multas: no especificado en la página citada para violaciones de seguridad específicas del proveedor; los proveedores deben consultar los contratos de adquisición y las políticas de la División de Compras para cualquier sanción establecida.[2]
- Montos de multa: no especificado en la página citada.
- Escalada: las infracciones primeras, repetidas y continuas se gestionan según los términos del contrato o las reglas de compras; los rangos específicos no están especificados en la página citada.
- Sanciones no monetarias: terminación de contrato, suspensión para licitar, planes de acción correctiva, auditorías obligatorias y derivación a la Oficina Legal de la Ciudad para acciones judiciales o civiles.
- Aplicador y reporte: la División de Compras y la oficina de TI/Seguridad de la Información de la Ciudad administran el cumplimiento de adquisiciones y la respuesta a incidentes; reporte incidentes y quejas a los contactos oficiales listados abajo.
- Apelaciones y revisión: los procedimientos de disputa contractual y revisión administrativa están regidos por las reglas de adquisiciones o lenguaje específico del contrato; los plazos para apelaciones no están especificados en la página citada.
Solicitudes y formularios
El registro de proveedores, las respuestas a licitaciones y los anexos de seguridad requeridos suelen presentarse a través del portal de Compras de la Ciudad o según se especifique en los documentos de la licitación. Un formulario centralizado de seguridad para proveedores no está especificado en la página citada; verifique cada licitación y la guía de la División de Compras para los anexos requeridos.
Cumplimiento y expectativas técnicas
Las expectativas contractuales y técnicas típicas para la seguridad del proveedor incluyen:
- Políticas de seguridad escritas y planes de respuesta a incidentes.
- Registros de auditoría, registros de acceso y conservación de evidencia para datos de la Ciudad.
- Comprobantes de cifrado en tránsito y en reposo cuando el contrato lo exija.
- Escaneos regulares de vulnerabilidades y remediación oportuna de hallazgos críticos.
- Notificación oportuna de incumplimientos a la Ciudad según lo especificado en las cláusulas contractuales.
Pasos de acción para proveedores
- Revise las cláusulas de seguridad del pliego y del contrato antes de presentar oferta.
- Documente cifrado, controles de acceso y capacidad de respuesta a incidentes en las propuestas.
- Mantenga registros de auditoría y preserve evidencia inmediatamente tras un incidente.
- Reporte posibles brechas a la oficina de TI/Seguridad de la Información de la Ciudad y a la División de Compras de inmediato.
- Si se le notifica incumplimiento, siga el plan de acción correctiva y documente la remediación para evitar escalada.
FAQ
- ¿Quién aplica los requisitos de seguridad para proveedores?
- La División de Compras y la oficina de TI/Seguridad de la Información supervisan el cumplimiento de adquisiciones y la gestión de incidentes; las agencias individuales también pueden aplicar requisitos a nivel de sistema.
- ¿Qué sanciones existen por incumplimiento?
- Las sanciones pueden incluir terminación de contrato, suspensión en futuros contratos, acciones correctivas y derivación a autoridades legales; los importes específicos no están indicados en la página citada.
- ¿Cómo reporto una posible brecha de datos?
- Notifique inmediatamente a la oficina de TI/Seguridad de la Información de la Ciudad y a la División de Compras según lo indique su contrato o los documentos de licitación.
How-To
- Identifique el contrato o la licitación aplicable y lea sus cláusulas de seguridad.
- Recoja evidencia: registros, registros de acceso y detalles de la línea temporal del incidente.
- Notifique a la oficina de TI/Seguridad de la Información de la Ciudad y a la División de Compras según los términos del contrato.
- Siga el plan de remediación indicado por la Ciudad y documente todas las acciones correctivas.
- Solicite una revisión administrativa o presente una apelación conforme a las reglas de adquisiciones si disputa las medidas aplicadas.
Conclusiones clave
- Revise requisitos de seguridad al inicio del proceso de contratación para evitar incumplimientos.
- Conserve registros y evidencia inmediatamente después de un incidente.
- Use los contactos oficiales de Compras y TI para reportes y apelaciones.
Ayuda y recursos
- City of Columbus - Division of Purchasing
- City of Columbus - Information Technology
- Columbus Code of Ordinances (Municode)