Política de uso de terceros en la nube

DECLARACIONES:

DECLARACIÓN DE POLÍTICA

Las soluciones basadas en la nube se consideran sistemas de TI y están sujetas a los mismos estándares internos de auditoría y seguridad que los sistemas y aplicaciones alojados en las instalaciones.

DECLARACIÓN DE PROCEDIMIENTOS

Requisitos de la agencia:

• Aprobación previa por escrito : las agencias del Poder Ejecutivo deben recibir aprobación por escrito a través del servicio de supervisión de la nube empresarial VITA, antes de adquirir, firmar o contratar un servicio alojado (en la nube) de terceros.
• Autorización previa de VITA - El proveedor y los servicios solicitados deben identificarse en el formulario de alojamiento en la nube empresarial de VITA para garantizar que la adquisición de servicios basados en la nube, aplicaciones físicas o virtuales, redes de infraestructura, componentes del sistema y cualquier instalación del centro de datos haya sido autorizada previamente por VITA.
• CServicios de Computación Loud - Cada solicitud de utilización de servicios de TI que aún no sean proporcionados por VITA será evaluada para determinar el cumplimiento de los requisitos de la Commonwealth, el funcionamiento adecuado de los servicios solicitados y los términos y condiciones apropiados de adquisición de servicios en la nube.
• Organismo de supervisión y gobernanza : todo uso de servicios de alojamiento de terceros (computación en la nube) debe tener un organismo de supervisión y gobernanza. Este órgano de gobierno certificará que la seguridad, la privacidad y otros requisitos de gestión de TI se han abordado adecuadamente antes de aprobar el uso de servicios externos de computación en la nube.
• Período de aprobación - Todas las solicitudes de alojamiento de terceros (computación en la nube) son válidas durante un año, a menos que se especifique lo contrario.
• Servicio de supervisión en la nube empresarial – Las solicitudes de servicios en la nube de terceros que hayan sido aprobadas previamente a través del proceso de excepción anterior de VITA estarán sujetas al servicio de supervisión de la nube empresarial al vencimiento de la solicitud de excepción aprobada, a menos que VITA especifique lo contrario.
• Revisión periódica de políticas y procedimientos : este documento de políticas y procedimientos se revisará anualmente o después de cualquier problema significativo que surja y que no se haya considerado previamente.

Requisitos del proveedor:

Los proveedores están sujetos a evaluaciones de riesgos recurrentes al menos una vez al año e inmediatamente después de cualquier problema significativo.

• Cumplimiento de seguridad : el Proveedor debe cumplir con todas las políticas y estándares de VITA aplicables, como se describe en las Políticas, Normas y Pautas de ITRM para incluir regulaciones, políticas, estándares y pautas estatales y federales apropiados (por ejemplo, SEC 501, SEC 525, 1075de publicación del IRS, Marco de gestión de riesgos del NIST, etc.) para la protección de la información y los datos de la Commonwealth. El (los) proveedor(es) cumplirá(n) plenamente con todas las normas de seguridad especificadas en línea con las clasificaciones de seguridad de los datos. El cumplimiento de las normas de terceros pertinentes o obligatorias, como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la Información Fiscal Federal (FTI) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) se detallarán en la respuesta de evaluación del proveedor.  Esto incluye garantizar que todos los componentes y servicios del sistema de información permanezcan dentro de los Estados Unidos continentales. Con ello se pretende permitir de forma eficaz la gobernanza, la gestión de riesgos, el aseguramiento y las obligaciones de cumplimiento legal, estatutario y reglamentario de todas las relaciones comerciales afectadas.
• Requisito de auditoría - El proveedor deberá proporcionar una auditoría recientemente completada, preferiblemente una organización de servicios de tipo 2 (SOC2). La agencia u organización de auditoría de terceros es responsable de realizar una auditoría de seguridad en un plazo de 90 días para determinar las brechas de control entre la auditoría suministrada y el Estándar de seguridad de la información del entorno alojado (SEC525). Si no se proporciona ninguna auditoría, se debe realizar una auditoría completa de los controles de seguridad utilizando SEC525. De lo contrario, es posible que se impongan recursos como se describe en los términos y condiciones del contrato. El proveedor debe estar obligado a notificar inmediatamente a la agencia y a VITA cualquier violación de la seguridad a través de los procedimientos acordados contractualmente. El proveedor debe prohibir el acceso no autorizado y el uso o la alteración de los datos almacenados. El método y los procedimientos para ello deben describirse en los términos contractuales.
• Modelo de contracargo - El modelo de contracargo del servicio del proveedor debe estar claramente documentado. Esto garantiza que se entiendan todas las tarifas aplicables y la estructura de tarifas en lo que respecta al servicio.
• Control de los datos : el proveedor mantendrá en todo momento el control de los datos y, en caso de incumplimiento forzoso, deberá proporcionar a la agencia contratante sus datos en un formato y plazo acordados, tal y como se especifica en la declaración de trabajo (SOW). El proveedor debe proporcionar y mantener estándares de interoperabilidad y portabilidad no patentados definidos para el intercambio y el uso de información. Este requisito está destinado a admitir componentes interoperables y facilitar la migración de aplicaciones hacia o desde el proveedor de la nube.

Adquisiciones:

Esta política requiere que la gerencia de la cadena de suministro de VITA esté comprometida e involucrada en cualquier adquisición de servicios basados en la nube por parte de las Agencias del Poder Ejecutivo.

• Aprobación del lenguaje del contrato : todo el lenguaje del contrato debe ser aprobado por la gerencia de la cadena de suministro de VITA.
• Cumplimiento : cualquier contrato de servicios de computación en la nube debe incluir un lenguaje que indique que el proveedor cumplirá con todas las leyes de la Commonwealth, los requisitos de seguridad y los estándares y regulaciones federales o de la industria aplicables. Se debe incluir un lenguaje apropiado en el vehículo del contrato que defina las responsabilidades del proveedor de servicios en la nube y la responsabilidad de la mancomunidad de mantener todos los estándares y regulaciones aplicables.
• Términos y condiciones : la gestión de la cadena de suministro de VITA tiene términos y condiciones de servicio en la nube para uso de la agencia en la documentación de adquisición (solicitudes y contratos).
• Acuerdos de términos de servicio : los acuerdos de términos de servicio se identifican como lenguaje del contrato y, como tal, cualquier acuerdo de términos de servicio debe ser aprobado por la gerencia de la cadena de suministro de VITA antes de que se firmen los acuerdos. Las firmas digitales, como hacer clic en "Aceptar", se consideran firma de un contrato y no se producirán antes de la revisión del contrato.

Planificación de la continuidad:

• Estrategias de salida : las agencias deben identificar planes de salida explícitos para cada aplicación que aproveche un proveedor no local. Cualquier agencia del Poder Ejecutivo que contrate un servicio basado en la nube debe participar y coordinarse con VITA para garantizar que las estrategias de salida estén documentadas para cada aplicación o servicio que se utilice. El primer plan de salida (obligatorio) debe ser específico de la aplicación y del proveedor y se invocará en caso de una falla catastrófica como, entre otras:
  • Brecha de seguridad significativa
  • Quiebra de proveedores
  • Incumplimiento de las leyes y reglamentos aplicables
• Criterios de salida adicionales : el segundo plan de salida puede ser un único plan genérico que se invoque para cualquier aplicación o servicio que no funcione adecuadamente y esté sujeto a la rescisión anticipada del contrato. Además, todos los planes de salida deben indicar que los datos cargados en un servicio en la nube por una agencia, sus usuarios, ciudadanos de la Commonwealth o socios deben seguir siendo propiedad de la agencia contratante y no pueden usarse sin el permiso expreso por escrito. También indicará que, previa solicitud por escrito de la agencia, el proveedor destruirá dicha información confidencial y proporcionará a la agencia divulgadora una certificación escrita de dicha destrucción y cesará todo uso posterior de la información confidencial del usuario autorizado, ya sea en forma tangible o intangible.