Normas de ciberseguridad para contratistas en Vancouver - Reglas municipales

Tecnología y Datos Washington 4 minutos de lectura · publicado febrero 10, 2026 Flag of Washington

Vancouver, Washington exige que los contratistas que manejan sistemas o datos de la ciudad cumplan expectativas básicas de ciberseguridad establecidas por las autoridades de adquisiciones y tecnología de la información. Esta guía explica qué pueden esperar los contratistas al licitar, negociar o ejecutar trabajo para la Ciudad de Vancouver, qué departamentos establecen los requisitos, cómo se hace cumplir el cumplimiento y pasos prácticos para reducir riesgos y responder a incidentes. Donde la ciudad publica cláusulas contractuales exactas o sanciones las citamos; donde no se publica información, indicamos "not specified on the cited page" y señalamos la oficina relevante para confirmación.

Ámbito y a quién se aplica

Esta visión general cubre a contratistas y proveedores que prestan servicios, software, alojamiento en la nube o integración de sistemas a la Ciudad de Vancouver que impliquen acceso a redes, sistemas o datos no públicos de la ciudad. Incluye contratistas principales y subcontratistas cuando el contrato o la orden de compra exige controles de seguridad.

Expectativas técnicas mínimas

  • Controles de seguridad básicos como cuentas únicas, contraseñas robustas o MFA y acceso con privilegios mínimos para sistemas de la ciudad.
  • Gestión de parches y remediación oportuna de vulnerabilidades para software y dispositivos usados para acceder a recursos de la ciudad.
  • Cifrado razonable para datos en tránsito y en reposo cuando se manejen datos sensibles o regulados.
  • Cláusulas contractuales que exijan notificación oportuna de incidentes y cooperación con la respuesta a incidentes de la ciudad.
Confirme controles técnicos específicos con el oficial de contratos cuando reciba la convocatoria.

Sanciones y ejecución

La ejecución la manejan la oficina de compras de la Ciudad de Vancouver y el departamento de Tecnología de la Información, que administran los requisitos contractuales y la respuesta a incidentes. Para normas de adquisiciones y responsabilidades de proveedores consulte la página de Purchasing Purchasing[1] y para puntos de política técnica consulte los recursos de Information Technology de la ciudad Information Technology[2].

  • Multas o daños liquidables: not specified on the cited page.
  • Escalada: primera infracción vs incumplimientos repetidos/continuos: not specified on the cited page.
  • Sanciones no monetarias: órdenes de corrección, suspensión o terminación de contrato, retención de pagos y exigencia de remediación de seguridad pueden aplicarse.
  • Ejecutor: City Purchasing (cumplimiento contractual) y Information Technology (respuesta técnica y a incidentes). Consulte las páginas de Purchasing e IT para los contactos.[1][2]
  • Vías de inspección y denuncia: informe incumplimiento contractuales o incidentes de seguridad al oficial de contratación o al contacto de incidentes de TI que figura en la convocatoria o la orden de compra.
  • Apelaciones y revisión: las protestas o disputas contractuales normalmente siguen el proceso de protestas de adquisiciones de la ciudad; los plazos específicos no están especificados en la página citada.
  • Defensas/discrecionalidad: la ciudad puede considerar permisos, exenciones, mitigaciones negociadas o planes de remediación documentados; las exenciones regulatorias específicas no figuran en las páginas citadas.

Solicitudes y formularios

La ciudad publica licitaciones y instrucciones de registro de proveedores a través de su portal de compras/licitaciones. Los anexos de ciberseguridad específicos, formularios de evaluación de seguridad del proveedor o formularios detallados de informe de incidentes no están publicados en las páginas referenciadas y son "not specified on the cited page"; los contratistas deben solicitar los anexos necesarios al oficial de contratación que figure en cada licitación.[1]

Infracciones comunes y consecuencias típicas

  • No notificar a la ciudad un incidente de seguridad: puede dar lugar a medidas correctivas o terminación de contrato.
  • Mala gestión de parches o vulnerabilidades conocidas sin remediar: remediación requerida y posible retención de pagos.
  • Acceso no autorizado a datos de la ciudad por subcontratistas: revocación de acceso y recursos contractuales.
Conserve registros de evaluaciones de seguridad y notificaciones para demostrar cumplimiento oportuno.

Cómo hacerlo

  1. Revise la licitación y el lenguaje contractual para identificar requisitos de seguridad y puntos de contacto nombrados.
  2. Documente controles técnicos, información de contacto para respuesta a incidentes y obligaciones de subcontratistas en su propuesta.
  3. Implemente los controles requeridos, pruebe los métodos de acceso y mantenga registros de parches y registros (logs).
  4. Informe de inmediato cualquier presunta violación al contacto de incidentes de la ciudad y siga los plazos de notificación del contrato.
  5. Si existe una disputa, siga los procesos de protesta o disputa de adquisiciones identificados por Purchasing; busque asesoría legal pronta ante riesgo de terminación del contrato.
Documente sus comunicaciones y pasos de remediación al responder a incidentes.

Preguntas frecuentes

¿Los contratos municipales requieren una evaluación formal de seguridad?
La licitación o el contrato indicarán los requisitos de evaluación; si no se especifica, solicite orientación al oficial de contratación.[1]
¿A quién contacto para reportar un incidente de ciberseguridad que afecte sistemas de la ciudad?
Reporte al contacto de incidentes de TI de la ciudad y al oficial de contratación indicado en su contrato o licitación.[2]
¿Los subcontratistas están sujetos a las mismas reglas de ciberseguridad?
Sí: el lenguaje contractual normalmente transmite las obligaciones a los subcontratistas; si la transmisión no está presente, el oficial de contratación puede aclarar los requisitos.[1]

Puntos clave

  • Revise siempre las cláusulas de seguridad en la licitación y pida aclaraciones al oficial de contratación.
  • Mantenga controles documentados, parches y registros de incidentes para demostrar cumplimiento.
  • Reporte incidentes con prontitud y coopere con TI y Purchasing para limitar el riesgo contractual.

Ayuda y soporte / Recursos

  1. [1] City of Vancouver - Purchasing
  2. [2] City of Vancouver - Information Technology

Categorías

Gobernanza y Administración General Seguridad Pública Salud Pública y Bienestar Uso de Suelo y Zonificación Vivienda y Normas de Construcción Transporte Protección Ambiental Parques y Espacios Públicos Negocios y Protección al Consumidor Tributación y Finanzas Trabajo y Empleo Educación Derechos Civiles y Equidad Elecciones y Financiamiento de Campañas Eventos y Usos Especiales Señalización y Publicidad Servicios Públicos e Infraestructura Tecnología y Datos