Reglas municipales de El Paso para APIs de datos y seguridad de proveedores

Alcance y requisitos clave

Esta guía explica cómo el municipio de El Paso, Texas aborda la contratación y las obligaciones de seguridad de proveedores para APIs de datos de la ciudad. Cubre responsabilidades de los oficiales de contratación, cláusulas contractuales mínimas, clasificación de datos, notificación de vulnerabilidades e integración con el portal de datos abiertos y las prácticas de gobernanza de TI del municipio. Para procedimientos de adquisición específicos y umbrales de compra, consulte la División de Compras de la Ciudad y los recursos de TI/datos referenciados abajo.

• Las cláusulas contractuales deben abordar la propiedad de los datos, usos permitidos y derechos de terminación.
• Los proveedores deben aportar pruebas de controles de seguridad, auditorías o certificaciones cuando manejen datos de la ciudad.
• La gestión de accesos y el principio de privilegio mínimo para claves o tokens API deben especificarse en las declaraciones de trabajo.
• Las líneas de tiempo para reporte de incidentes y notificación de brechas deben definirse en los contratos.

Expectativas de seguridad para proveedores

Los contratos municipales solicitan cada vez más que los proveedores documenten medidas técnicas y organizativas para proteger los datos de la ciudad. El Departamento de Tecnología de la Información y la División de Compras coordinan cláusulas que asignan riesgo, seguros y responsabilidad. Para implementación práctica, el portal de datos abiertos y las páginas de TI describen cómo se gestionan los conjuntos de datos publicados y cuándo las APIs alojadas por proveedores deben cumplir con los estándares municipales: City of El Paso Open Data^[2].

• Clasificación de datos: pública, interna, confidencial, restringida.
• Ciclo de vida de desarrollo seguro y ventanas para remediación de vulnerabilidades.
• Pruebas de terceros o evaluaciones cuando se requieran.

Multas y aplicación

La responsabilidad de aplicación recae normalmente en la División de Compras para cumplimiento de adquisición y en el Departamento de Tecnología de la Información para la seguridad técnica de los datos y sistemas de la ciudad. Cuando el código municipal o las reglas de adquisiciones publicadas establecen sanciones monetarias o multas administrativas por incumplimientos contractuales o de seguridad, esas cantidades o procedimientos de escalamiento no están especificados en las páginas citadas; consulte la División de Compras para recursos y sanciones específicas del contrato: City Purchasing Division^[1].

• Cantidad de multas: no especificada en la página citada; las sanciones dependen de los términos del contrato y ordenanzas aplicables.
• Escalamiento: incumplimientos iniciales, repetidos o continuos se gestionan mediante recursos contractuales o suspensión de compras; rangos específicos no están publicados en la página citada.
• Sanciones no monetarias: terminación de contrato, suspensión para licitar, medidas judiciales o remisiones a agencias pueden aplicarse.
• Aplicadores y denuncias: la División de Compras y el Departamento de Tecnología de la Información reciben reportes y quejas de cumplimiento.

Solicitudes y formularios

Los formularios de registro de proveedores, licitaciones o acciones de suspensión de proveedores son gestionados por la División de Compras y se publican en sus páginas oficiales; el sitio de Compras lista las solicitudes de adquisiciones, registro de proveedores y documentos de licitación. Los números de formulario específicos para cumplimiento de seguridad de APIs no se publican de manera uniforme en las páginas citadas.

Pasos de acción para oficiales de contratación y proveedores

• Incluya cláusulas explícitas de manejo de datos en RFPs y contratos.
• Exija documentación de seguridad: clasificación de datos, cifrado, control de accesos y registros de auditoría.
• Coordine revisiones de seguridad previas a la adjudicación con TI.
• Documente obligaciones de respuesta a incidentes y plazos de notificación.

FAQ

¿Quién aplica las reglas de seguridad y adquisición de APIs?

La División de Compras de la Ciudad aplica el cumplimiento de adquisiciones y el Departamento de Tecnología de la Información aplica los estándares de seguridad técnica para los datos y sistemas de la ciudad.

¿Existen multas establecidas por fallas de seguridad en APIs?

Las multas monetarias o montos de sanción no están especificados en las páginas citadas de compras y TI y normalmente se definen en los recursos contractuales o en ordenanzas específicas. Consulte Compras para sanciones según contrato.

¿Dónde pueden los proveedores encontrar conjuntos de datos abiertos y pautas de publicación de APIs?

Los proveedores pueden revisar el portal de datos abiertos de la Ciudad de El Paso y coordinar con TI para los requisitos de publicación de conjuntos de datos y APIs.

How-To

1. Revise las instrucciones de la División de Compras y los requisitos de cualquier RFP.
2. Prepare la documentación de seguridad: clasificación, cifrado, control de acceso y registros.
3. Solicite la revisión técnica del Departamento de Tecnología de la Información durante la selección del proveedor.
4. Incluya cláusulas contractuales para notificación de incidentes, responsabilidad y plazos de remediación.
5. Si se adjudica, mantenga evidencia de cumplimiento y entregue atestaciones periódicas según los términos del contrato.

Puntos clave

• Coordinar temprano a Compras y TI reduce riesgos en la adquisición.
• Los contratos deben especificar clasificación de datos, controles y tiempos de notificación.
• Las sanciones y recursos suelen ser específicos del contrato; consulte Compras para detalles.

Ayuda y recursos

• City of El Paso Purchasing Division
• City of El Paso Information Technology Department
• City of El Paso Open Data Portal
• El Paso Code of Ordinances (Municode)

1. [1] City of El Paso Purchasing Division
2. [2] City of El Paso Open Data