Capítulo 27 - Contratos de licencias y mantenimiento de software

27.5.7 Derechos de auditoría de proveedores

La mayoría de los proveedores de software querrán incluir una disposición que permita la realización de una auditoría de cumplimiento. Si bien el contrato puede especificar el derecho del proveedor a auditar, la agencia debe negociar un mayor control sobre el proceso. El oficial de seguridad de la información de la agencia debe incluir cualquier restricción o parámetro de seguridad, confidencialidad y acceso de la agencia o del Commonwealth para cualquier auditoría de este tipo. Las políticas, normas y directrices (PSG) de COV ITRM para el cumplimiento de los requisitos y restricciones de auditoría de seguridad están disponibles en esta ubicación: https://www.vita.virginia.gov/it-governance/itrm-policies-standards/. El lenguaje contractual general recomendado puede incluir y personalizarse para la agencia y alinearse con las restricciones de auditoría de seguridad y las negociaciones con el proveedor:

"El Proveedor deberá notificar por escrito a (nombre de su agencia) con cuarenta y cinco (45) días de anticipación antes de programar cualquier auditoría de licencia de software. En la notificación se especificará el nombre de las personas que llevarán a cabo la auditoría, la duración de la misma y la forma en que se llevará a cabo la auditoría. Además, el Proveedor y sus representantes, agentes y subcontratistas deberán cumplir con todos los requisitos y restricciones de acceso, seguridad y confidencialidad de (nombre de su agencia). No se impondrá ninguna multa a (nombre de su agencia) o a la Commonwealth por el software sin licencia encontrado durante el curso de la auditoría. Si se determina que (nombre de su agencia) está utilizando software sin licencia, la responsabilidad máxima para (nombre de su agencia) será el costo de la licencia del software en cuestión. Todos los costos asociados con la auditoría serán asumidos por el Proveedor".