Requisitos de ciberseguridad para proveedores en contratos de TI de Salem

Tecnología y Datos Oregon 4 minutos de lectura · publicado febrero 20, 2026 Flag of Oregon

Salem, Oregón requiere que los proveedores que suministran bienes o servicios de tecnología de la información a la ciudad cumplan expectativas específicas de ciberseguridad como parte de los contratos y las adquisiciones. Este artículo explica las cláusulas contractuales típicas, pasos de cumplimiento, certificaciones o controles requeridos y cómo la ciudad hace cumplir esos requisitos para que proveedores y funcionarios de adquisiciones puedan gestionar el riesgo y evitar disputas contractuales. Cuando aplique el código municipal o las reglas de compras identificamos la oficina encargada y acciones prácticas para los proveedores, incluyendo notificación de incidentes y apelaciones. Para el texto legal primario, consulte el código municipal de Salem y la guía de la División de Compras [1].

Alcance y aplicabilidad

Estos requisitos suelen aplicarse a proveedores que manejan datos de la ciudad, operan sistemas en nombre de la ciudad o se conectan a la red municipal. Los elementos de alcance típicos en los contratos de Salem incluyen:

  • Clasificación y manejo de datos para la información confidencial, restringida o regulada de la ciudad.
  • Cláusulas contractuales que exigen controles de seguridad básicos, cifrado y prácticas seguras de desarrollo o mantenimiento.
  • Disposiciones de auditoría, informes y acceso a registros para permitir la verificación del cumplimiento.
Confirme la aplicabilidad revisando los anexos del contrato y los cronogramas de datos.

Cláusulas y controles requeridos

Las plantillas de contratación de Salem suelen incorporar lenguaje de ciberseguridad que los proveedores deben aceptar o negociar. Las cláusulas típicas incluyen:

  • Plazos de notificación de incidentes y la información requerida para Tecnología de la Ciudad o el contacto de Compras.
  • Requisitos de mantener seguros (responsabilidad cibernética) que nombren a la ciudad como asegurado adicional cuando corresponda.
  • Cifrado en reposo y en tránsito para los datos de la ciudad, cronogramas mínimos de parches y gestión de vulnerabilidades.
  • Disposiciones de derecho a auditar y obligación de remediar hallazgos dentro de plazos especificados.

Sanciones y ejecución

La ejecución la administra típicamente la División de Compras de la Ciudad en coordinación con Tecnología de la Información y, cuando corresponda, la Oficina del Abogado Municipal. Las sanciones monetarias específicas por incumplimiento de ciberseguridad suelen definirse en el contrato; el calendario de multas estatutarias en el código municipal de Salem no es uniforme para ciberseguridad y puede establecerse dentro de los recursos contractuales o las reglas de compras. Cuando el código municipal establece violaciones de compras o procesos de inhabilitación de contratistas, esas disposiciones rigen la ejecución y los remedios. Para el instrumento controlador y las reglas de adquisiciones consulte el código municipal de Salem y la guía de la División de Compras [1].

  • Montos de las multas: no especificado en la página citada para multas específicas de ciberseguridad; los recursos monetarios suelen establecerse en el contrato o tratarse bajo remedios generales de adquisiciones.
  • Escalamiento: las infracciones iniciales, repetidas y continuas se manejan según los términos del contrato o las reglas de adquisiciones; no se especifican rangos concretos en la página citada.
  • Sanciones no monetarias: órdenes de subsanar, suspensión del contrato, terminación, inhabilitación para futuros contratos y remisión a procedimientos judiciales o administrativos.
  • Autoridad y vía de denuncia: División de Compras y Tecnología de la Ciudad investigan denuncias, con asesoría de la Oficina del Abogado Municipal.
  • Apelación y revisión: los procedimientos de apelación siguen las protestas de adquisiciones o los procesos de disputa contractual; los plazos específicos para protestas o apelaciones se establecen en las reglas de adquisiciones o en el contrato (si no están, no se especifican en la página citada).
  • Defensas y discreción: los oficiales de contratación pueden permitir variaciones, planes de acción correctiva o excusas razonables documentadas por escrito según las reglas de adquisiciones.
Los contratos suelen asignar responsabilidad por costos de violación; negocie límites de responsabilidad antes de la firma.

Solicitudes y formularios

La aplicación de los requisitos de ciberseguridad suele realizarse mediante los documentos de la licitación, anexos del contrato o los certificados de seguro. No existe un formulario municipal único y universal para la certificación de ciberseguridad; los proveedores deben revisar los anexos de la licitación y las instrucciones de la División de Compras. Los formularios específicos para protestas, cumplimiento contractual o inhabilitación son publicados por la División de Compras cuando proceda; si no se publica un formulario, la agencia acepta una presentación escrita según sus instrucciones.

Pasos de acción para proveedores

  • Evaluar: mapear los datos de la ciudad a los que accederá y aplicar controles adecuados antes de enviar la propuesta.
  • Revisión de contrato: identificar cláusulas requeridas y solicitar aclaraciones durante el periodo de preguntas de la licitación.
  • Pruebas: preparar informes SOC2 u otros equivalentes, resúmenes de pruebas de penetración y atestaciones de cifrado para adjuntar a las ofertas.
  • Preparación para incidentes: designar un contacto para la ciudad y un plan que cumpla los plazos de notificación requeridos.
Mantenga registros de actividades de cumplimiento y comunicaciones con la División de Compras.

Preguntas frecuentes

¿Quién hace cumplir las obligaciones de ciberseguridad en los contratos de Salem?
La División de Compras de la Ciudad hace cumplir los términos contractuales en coordinación con Tecnología de la Información y la Oficina del Abogado Municipal; los mecanismos específicos dependen del lenguaje del contrato.
¿Existen requisitos estándar de seguro o certificación?
Los requisitos de seguro y certificación se establecen en cada licitación; es común solicitar seguro de responsabilidad cibernética e informes de auditoría de terceros como SOC2.
¿Cómo informo un incidente de seguridad que afecte datos de la ciudad?
Siga la cláusula de notificación de incidentes en su contrato y notifique de inmediato al contacto de la ciudad que figure en el contrato o en los documentos de licitación.

Cómo hacerlo

  1. Identifique el alcance: determine los datos y sistemas incluidos en el contrato.
  2. Implemente controles: aplique cifrado, controles de acceso, parches y registro.
  3. Reúna evidencia: políticas, informes SOC2 y resultados de pruebas de terceros.
  4. Documente respuesta a incidentes y designe contactos para notificación a la ciudad.
  5. Negocie cláusulas y entregue certificados requeridos antes de la ejecución del contrato.

Conclusiones clave

  • Las obligaciones de ciberseguridad se ejecutan mediante términos contractuales y reglas de adquisiciones; revise las licitaciones atentamente.
  • Prepare auditorías y evidencia por adelantado para agilizar la adjudicación y cumplir las verificaciones.

Ayuda y soporte / Recursos

  1. [1] City of Salem Code of Ordinances (Municode)

Categorías

Gobernanza y Administración General Seguridad Pública Salud Pública y Bienestar Uso de Suelo y Zonificación Vivienda y Normas de Construcción Transporte Protección Ambiental Parques y Espacios Públicos Negocios y Protección al Consumidor Tributación y Finanzas Trabajo y Empleo Educación Derechos Civiles y Equidad Elecciones y Financiamiento de Campañas Eventos y Usos Especiales Señalización y Publicidad Servicios Públicos e Infraestructura Tecnología y Datos