Reglas de VITA

Las Reglas VITA se aplican a la prestación o entrega de todos los bienes o servicios de tecnología de la información por parte de los proveedores.

Estas Reglas de VITA han sido desarrolladas por VITA y otros organismos públicos, instituciones, comisiones y otras subdivisiones de la Commonwealth que reciben servicios bajo un contrato de VITA ("clientes").

Los proveedores deben entregar sus bienes y prestar sus servicios en todo momento de una manera que permita y respalde el cumplimiento por parte de los organismos públicos que reciben, utilizan o consumen los bienes y servicios.

Además de, y sin limitar ninguno de los estándares y políticas específicos que se enumeran a continuación, todo el hardware, los sistemas y los servicios proporcionados a la Commonwealth, o que puedan usarse para acceder, procesar o almacenar datos de la Commonwealth, deben cumplir con todas las leyes, regulaciones, políticas, pautas y estándares federales y de la Commonwealth aplicables vigentes en el momento de la entrega de los bienes y servicios.

• Las políticas y estándares de seguridad de la información, arquitectura empresarial, gestión de proyectos y gestión de programas de la Commonwealth para Commonwealth ITRM como se encuentra en la página de Políticas, Estándares y Directrices .

• Las hojas de ruta de arquitectura empresarial proporcionan tecnologías aprobadas para ser utilizadas en el desarrollo, alojamiento y soporte de soluciones y aplicaciones de IT de COV. También definen el ciclo de vida de soporte para esas tecnologías. 

Sin limitar ninguna obligación contractual que un proveedor pueda tener para cumplir con las leyes, regulaciones, normas y políticas federales aplicables, a continuación se presenta una lista de leyes, regulaciones, políticas y normas federales que VITA incorpora por la presente como parte de las Reglas de VITA: 

• Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA-HITECH)
  • Protecciones federales de privacidad para la información de salud de identificación individual
  • Norma para la salvaguardia de la información sanitaria electrónica protegida
    • http://www.hhs.gov/hipaa/for-professionals/security
   
• Reglamento de Protección de Datos (SSA) de la Administración del Seguro Social
  • Requisitos de protección de datos que rigen el intercambio electrónico unidireccional o bidireccional de información de identificación personal individual o agregada con una entidad gubernamental o privada
    • https://www.ssa.gov/dataexchange/index.html
   
• Ley de Derechos Educativos y Privacidad de la Familia (FERPA)
  • Ley federal de privacidad que otorga a los padres ciertas protecciones con respecto a los registros educativos, la información de contacto y la información familiar de sus hijos
    • https://www.ed.gov/laws-and-policy
   
• Sección 508 Normas de la Ley de Rehabilitación de 1973, en su forma enmendada (29 U.S.C. § 794 (d))
  • Orientación para hacer que las tecnologías electrónicas y de la información (EIT) sean accesibles para las personas con discapacidad
    • https://www.section508.gov/manage/laws-and-policies/
   
• Servicios de Información de Justicia Penal (CJIS)
  • Datos de las fuerzas del orden regidos por la Oficina Federal de Investigaciones
    • https://le.fbi.gov/cjis-division/cjis-security-policy-resource-center
   
• Ley Federal de Administración de Seguridad de la Información (FISMA)
  • Proporciona un marco integral para garantizar la eficacia de los controles de seguridad de la información sobre los recursos de información que respaldan las operaciones y los activos federales
    • https://www.dhs.gov/fisma
   
• Publicación de la Norma Federal de Procesamiento de Información 140-2 (FIPS 140-2)
  • Estándar de seguridad informática utilizado para acreditar módulos criptográficos
    • https://csrc.nist.gov/projects/cryptographic-module-validation-program
   
• Publicación del IRS 1075 
  • Publicación obligatoria del IRS 1075 para los datos de FTI

• Ley de Libertad de Información de Virginia (VFOIA)
  • La VFOIA crea una presunción de que todos los registros públicos están disponibles a pedido, excepto los exentos de divulgación por la VFOIA u otra ley, y las exenciones de la VFOIA se interpretan de manera restrictiva.
  • La identidad y el propósito del solicitante no importan.
  • Esto significa que los organismos públicos generalmente deben divulgar documentos relacionados con los proveedores, incluidas presentaciones, correos electrónicos y otras comunicaciones, y registros de adquisiciones. Hay algunas excepciones para los secretos comerciales y la información confidencial similar, pero hay límites (esas excepciones no protegen los precios o las propuestas completas, por ejemplo) y un proveedor debe invocar excepciones legales específicas por escrito, identificar los datos o materiales específicos que se protegerán y exponer las razones por las que la protección es necesaria.
    • Ley de Libertad de Información de Virginia (VFOIA, Va. Código § 2.2-3700 y siguientes)

• Comisión de Empleo de Virginia (VEC)
  • Los siguientes requisitos de confidencialidad se aplican a todos los proveedores que tienen acceso a los datos de VEC y complementan cualquier disposición de confidencialidad incluida en un contrato de VITA aplicable.
    • https://www.vec.virginia.gov/laws-regulations

• Industria de tarjetas de pago: estándar de seguridad de datos (PCI-DSS)
  • El Consejo de Normas de Seguridad PCI es un organismo abierto a nivel mundial formado para desarrollar, mejorar, difundir y ayudar a comprender los estándares de seguridad para la seguridad de las cuentas de pago.
    • https://www.pcisecuritystandards.org/pci_security/