Reglas de VITA | Agencia de IT de Virginia

Las Reglas VITA se aplican a la prestación o entrega de todos los bienes o servicios de tecnología de la información por parte de los proveedores.

Estas Reglas de VITA han sido desarrolladas por VITA y otros organismos públicos, instituciones, comisiones y otras subdivisiones de la Commonwealth que reciben servicios bajo un contrato de VITA ("clientes").

Los proveedores deben entregar sus bienes y prestar sus servicios en todo momento de una manera que permita y respalde el cumplimiento por parte de los organismos públicos que reciben, utilizan o consumen los bienes y servicios.

Además de, y sin limitar ninguno de los estándares y políticas específicos que se enumeran a continuación, todo el hardware, los sistemas y los servicios proporcionados a la Commonwealth, o que puedan usarse para acceder, procesar o almacenar datos de la Commonwealth, deben cumplir con todas las leyes, regulaciones, políticas, pautas y estándares federales y de la Commonwealth aplicables vigentes en el momento de la entrega de los bienes y servicios.

Las políticas y estándares de Seguridad de la Información, Arquitectura Empresarial, Gestión de Proyectos y Gestión de Programas de la Commonwealth para el ITRM de la Commonwealth que se encuentran en la siguiente página:
- Políticas, normas y directrices del ITRM

Las Hojas de Ruta Tecnológicas de la Commonwealth proporcionan tecnologías aprobadas para ser utilizadas en el desarrollo, alojamiento y soporte de soluciones y aplicaciones de TI de COV. También definen el ciclo de vida del soporte para esas tecnologías.
- Hojas de ruta de la tecnología COV

Leyes, reglamentos, políticas y normas federales

Sin limitar ninguna obligación contractual que un proveedor pueda tener para cumplir con las leyes, regulaciones, normas y políticas federales aplicables, a continuación se presenta una lista de leyes, regulaciones, políticas y normas federales que VITA incorpora por la presente como parte de las Reglas de VITA:

Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA-HITECH)
- Protecciones federales de privacidad para la información de salud de identificación individual
- Norma para la salvaguardia de la información sanitaria electrónica protegida
  - http://www.hhs.gov/hipaa/for-professionals/security
Reglamento de Protección de Datos (SSA) de la Administración del Seguro Social
- Requisitos de protección de datos que rigen el intercambio electrónico unidireccional o bidireccional de información de identificación personal individual o agregada con una entidad gubernamental o privada
  - https://www.ssa.gov/dataexchange/index.html
Ley de Derechos Educativos y Privacidad de la Familia (FERPA)
- Ley federal de privacidad que otorga a los padres ciertas protecciones con respecto a los registros educativos, la información de contacto y la información familiar de sus hijos
  - http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html?src=ft
Sección 508 Normas de la Ley de Rehabilitación de 1973, en su forma enmendada (29 U.S.C. § 794 (d))
- Orientación para hacer que las tecnologías electrónicas y de la información (EIT) sean accesibles para las personas con discapacidad
  - https://www.section508.gov/manage/laws-and-policies/
Servicios de Información de Justicia Penal (CJIS)
- Datos de las fuerzas del orden regidos por la Oficina Federal de Investigaciones
  - https://www.fbi.gov/services/cjis/cjis-security-policy-resource-center
Ley Federal de Administración de Seguridad de la Información (FISMA)
- Proporciona un marco integral para garantizar la eficacia de los controles de seguridad de la información sobre los recursos de información que respaldan las operaciones y los activos federales
  - https://www.dhs.gov/fisma
Publicación de la Norma Federal de Procesamiento de Información 140-2 (FIPS 140-2)
- Estándar de seguridad informática utilizado para acreditar módulos criptográficos
  - http://csrc.nist.gov/groups/STM/cmvp/standards.html
Publicación del IRS 1075
- Publicación obligatoria del IRS 1075 para los datos de FTI

Leyes y Regulaciones Estatales

Ley de Libertad de Información de Virginia (VFOIA)
- La VFOIA crea una presunción de que todos los registros públicos están disponibles a pedido, excepto los exentos de divulgación por la VFOIA u otra ley, y las exenciones de la VFOIA se interpretan de manera restrictiva.
- La identidad y el propósito del solicitante no importan.
- Esto significa que los organismos públicos generalmente deben divulgar documentos relacionados con los proveedores, incluidas presentaciones, correos electrónicos y otras comunicaciones, y registros de adquisiciones. Hay algunas excepciones para los secretos comerciales y la información confidencial similar, pero hay límites (esas excepciones no protegen los precios o las propuestas completas, por ejemplo) y un proveedor debe invocar excepciones legales específicas por escrito, identificar los datos o materiales específicos que se protegerán y exponer las razones por las que la protección es necesaria.
  - La Ley de Libertad de Información de Virginia (VFOIA, Va. Código § 2.2-3700 y ss.)

Reglamentos, reglas, políticas y procedimientos específicos de la agencia

Comisión de Empleo de Virginia (VEC)
- Los siguientes requisitos de confidencialidad se aplican a todos los proveedores que tienen acceso a los datos de VEC y complementan cualquier disposición de confidencialidad incluida en un contrato de VITA aplicable.
  - http://www.vec.virginia.gov/requirements-for-contractors-vendors

Estándares específicos de la industria

Industria de tarjetas de pago: estándar de seguridad de datos (PCI-DSS)
- El Consejo de Normas de Seguridad PCI es un organismo abierto a nivel mundial formado para desarrollar, mejorar, difundir y ayudar a comprender los estándares de seguridad para la seguridad de las cuentas de pago.
  - https://www.pcisecuritystandards.org/pci_security/

Manuales de gestión de servicios (SMM)

Todos los servicios deben realizarse de conformidad con los SMM.