Política de adquisición y gestión de la nube

La Ciudad y el Condado de San Francisco fomentan el uso de servicios en la nube cuando existen costos eficientes, existen estrategias de mitigación de riesgos y los servicios respaldan la estrategia de intercambio de datos de la Ciudad a través de sistemas interoperables.

El objetivo de la Política de adquisición y gestión de servicios en la nube es garantizar que los departamentos de la ciudad incorporen los requisitos, procesos y estrategias de mitigación de riesgos adecuados en el uso y la adquisición de servicios en la nube. Esta política abarca el uso de todos los servicios en la nube por parte de la ciudad, que incluyen, entre otros: almacenamiento, software como servicio (SaaS) y productos de plataforma como servicio (PaaS).

Los requisitos identificados en esta política se aplican a todos los recursos de información operados por o para la Ciudad y el Condado de San Francisco y sus departamentos y comisiones. Los funcionarios electos, empleados, consultores y proveedores que trabajan en nombre de la Ciudad y el Condado de San Francisco deben cumplir con esta política.

Antes de la compra o uso de servicios en la nube, la Política de Adquisición y Gestión de la Nube requiere que todos los departamentos incorporen los siguientes procedimientos:

Requisitos de adquisición

Realizar una evaluación formal y documentar lo siguiente:

• El CIO o el gerente de TI del departamento deben expresar su aprobación explícita antes de usar cualquier servicio en la nube. Los empleados municipales no pueden proporcionar productos en la nube sin la aprobación del CIO o el gerente de TI del departamento y deben cumplir con las políticas de adquisiciones de la Oficina de Administración de Contratos.
• Los departamentos utilizarán los contratos existentes para maximizar el poder adquisitivo de la Ciudad cuando sea apropiado.

Estándares de datos y mitigación de riesgos

Para todos los servicios en la nube, los departamentos deberán:

• Realice una evaluación de riesgos para la privacidad de datos del servicio. Los productos que contienen datos de nivel 3 a 5 deben tener un nivel de revisión adicional y cumplir con los requisitos de ciberseguridad del departamento y las normas de acceso y gestión de identidades. Para clasificar los datos, el departamento debe consultar el Estándar de Clasificación de Datos COIT.
• Verificar que la Ciudad conserve la propiedad y los derechos sobre los Datos de la Ciudad, incluidos los trabajos derivados realizados a partir de los Datos de la Ciudad y las licencias aplicadas a los datos.
• Definir estándares de retención de datos para todos los datos almacenados con servicios en la nube.
• Considere la interoperabilidad de un servicio en la nube con los datos y sistemas de la Ciudad. Los departamentos deben priorizar los productos que utilizan estándares de interfaz de programación de aplicaciones (API) que respalden los objetivos de intercambio de datos de la Ciudad.

En todos los casos, los departamentos deben consultar con el Departamento de Tecnología sobre las estrategias tecnológicas apropiadas.

CIO y gerentes de TI del departamento

• Revisar todos los usos de los servicios en la nube dentro de sus departamentos y brindar aprobación para su uso cuando corresponda.
• Evaluar y garantizar que los servicios en la nube existentes mantengan prácticas sólidas de ciberseguridad y continuidad de operaciones (por ejemplo, pruebas de conmutación por error, pruebas de penetración de red, etc.)
• Coordinar estrechamente con el Departamento de Tecnología y la Oficina de Ciberseguridad de la Ciudad para proporcionar una imagen completa del uso de los productos en la nube de la Ciudad.
• Trabajar con el gerente de riesgos del departamento y el director de seguridad de la información de la ciudad para realizar evaluaciones de riesgos formales cuando sea necesario.
• Definir estándares de retención de datos para todos los servicios en la nube y verificar la propiedad de todos los datos de la ciudad.
• Comunicar a los empleados del departamento el proceso de aprobación de productos en la nube para garantizar que los empleados no se autoabastezcan de productos en la nube sin orientación.

Oficiales de seguridad informática del departamento

• Trabaje en estrecha colaboración con el liderazgo de tecnología de su departamento para realizar evaluaciones de riesgos para los productos de la nube.
• Coordinar con el Director de Seguridad de la Información de la Ciudad con respecto a los niveles de riesgo apropiados y las mejores prácticas.

Departamento de Tecnología

• Proporcionar información y apoyo para seleccionar los productos de nube adecuados. El Portal de Participación será un recurso para compartir los proveedores de nube actuales de la ciudad.

Director de Seguridad de la Información de la Ciudad

• Apoyar las evaluaciones de riesgos para los servicios en la nube que interactúan con sistemas críticos y apoyar a los departamentos en su esfuerzo por clasificar sus datos de acuerdo con el Estándar de Clasificación de Datos.

Oficina de Administración de Contratos

• Los departamentos de soporte deben utilizar el método de adquisición adecuado para los servicios en la nube. La compra de productos SaaS a través de Tech Marketplace solo puede contener datos de nivel 1 y 2, según lo define el Estándar de Clasificación de Datos.
• Consulte la plantilla de contrato P-648 para software como servicio según corresponda.

Oficina del Fiscal de la Ciudad

• Estructurar los contratos para incluir disposiciones de esta política en la adquisición de servicios en la nube.

Auditor de Servicios Municipales

• Revisar periódicamente el cumplimiento del departamento con la Política de Adquisición de la Nube.
• Evaluar la aplicación del Estándar de Clasificación de Datos hacia los productos en la nube del departamento.

• “Datos de la ciudad” incluye, sin limitación, todos los datos recopilados, utilizados, mantenidos, procesados, almacenados o generados por o en nombre de la ciudad, incluso como resultado del uso de los servicios proporcionados por un contratista.

Un departamento puede restringir el acceso a cualquier servicio en la nube que no cumpla con esta política, hasta que se cumpla el requisito.

• Estándar de clasificación de datos COIT
• Política de ciberseguridad de la ciudad de COIT
• Portal de participación del Departamento de Tecnología
• Plantilla de contrato de la Oficina de Administración de Contratos P-648

Los proveedores de nube externa ofrecen servicios que brindan una serie de ventajas potenciales sobre las soluciones locales, entre ellas: escalabilidad/elasticidad, eliminación o reducción de la huella del centro de datos y compras de hardware, actualización del sistema operativo, seguridad sólida y características como herramientas de desarrollo, bases de datos o middleware.

Los servicios en la nube más comunes son:

• Infraestructura como Servicio (IaaS): IaaS proporciona recursos informáticos virtualizados, como procesamiento y almacenamiento, a través de Internet, y permite a los suscriptores implementar y ejecutar software. El suscriptor no administra ni controla la infraestructura de nube subyacente, pero sí controla los sistemas operativos, el almacenamiento y las aplicaciones implementadas. Amazon Web Services es un ejemplo de IaaS.
• Plataforma como Servicio (PaaS): PaaS ofrece a los suscriptores una plataforma para desarrollar, ejecutar y administrar aplicaciones web utilizando los lenguajes de programación, bibliotecas, servicios y herramientas del proveedor. El suscriptor tiene control sobre las aplicaciones implementadas. Heroku o CloudFoundry son ejemplos de productos PaaS.
• Software como Servicio (SaaS): SaaS es un modelo de licencia y entrega de software mediante el cual el software o las aplicaciones se licencian mediante suscripción y son alojadas centralmente por el proveedor del software. Salesforce.com es un ejemplo de SaaS.

Al negociar servicios con un proveedor de SaaS, se informa a los Departamentos que también existe un contrato estándar de SaaS disponible para su uso con la Oficina de Administración de Contratos. Para productos SaaS que solo contienen datos de nivel 1 o 2, según lo definido por el Estándar de Clasificación de Datos, el Mercado Tecnológico es una opción. Sin embargo, para todas las demás contrataciones, el contrato estándar es una opción para futuras negociaciones. Algunas de las disposiciones del contrato incluyen:

• Disponibilidad de datos: el acuerdo debe abordar el tiempo de actividad que la ciudad espera a través de un acuerdo de nivel de servicio.
• Sensibilidad de los datos: Los acuerdos relativos a datos como información de salud, información personal identificable, información de tarjetas de crédito o si una persona es receptor de beneficios públicos deben reflejar requisitos de cumplimiento normativo adicionales.
• Consideraciones y soluciones en caso de violación de datos: el acuerdo debe definir los riesgos y la responsabilidad por las violaciones de datos.
• Seguridad en línea y de las instalaciones de alojamiento: Los servicios de cifrado y los procedimientos de seguridad física deben documentarse. Ciertos tipos de datos requieren una certificación especial.
• Propiedad y ubicación de los datos: Los empleados del proveedor solo deben acceder a los datos de la ciudad en la medida necesaria para mantener el servicio. El uso de datos agregados anónimos debe considerarse cuidadosamente.
• Recuperación ante desastres y ubicación de los centros de datos primarios y de respaldo: la ubicación de los centros de datos primarios y secundarios de respaldo, incluida la ciudad y el estado, y garantizar que los requisitos del acuerdo lleguen al subcontratista.
• Limitación de la exención de responsabilidad de clic-envoltura: el acuerdo debe indicar que solo las disposiciones escritas del acuerdo de las partes se aplican a los usuarios designados de la ciudad para el acceso, no el acuerdo de clic-envoltura que a menudo se requiere para obtener acceso al servicio.
• Política de retención de registros y retenciones por litigios: el acuerdo debe abordar lo que la ciudad espera que haga el proveedor de alojamiento en caso de una retención por litigio.
• Auditorías: Se deben realizar auditorías de manera periódica y se debe proporcionar a la ciudad un resumen o una copia de un informe de auditoría SSAE 16.
• Disposiciones de terminación y quiebra del proveedor: en caso de terminación o vencimiento del acuerdo, el proveedor de alojamiento debe proporcionar a la ciudad una copia completa de los datos de la ciudad en un formato legible por máquina acordado dentro de un plazo específico y exigir al proveedor de alojamiento que certifique por escrito que eliminará todos los datos de la ciudad de los servidores del proveedor de manera que los datos no se puedan recrear.

Los detalles completos con todas las disposiciones estándar contenidas en el contrato SaaS P-648 están disponibles en el sitio web de la Oficina de Administración de Contratos.