Règlement de VITA

Les règles de la VITA s'appliquent à l'exécution ou à la fourniture par les fournisseurs de tous les biens ou services liés aux technologies de l'information.

Ces règles VITA ont été élaborées par VITA et d'autres organismes publics, institutions, commissions et autres subdivisions du Commonwealth recevant des services dans le cadre d'un contrat VITA ("clients").

Les fournisseurs doivent livrer leurs biens et fournir leurs services à tout moment d'une manière qui permette et favorise le respect des règles par le(s) organisme(s) public(s) recevant, utilisant ou consommant les biens et les services.

Outre les normes et politiques spécifiques énumérées ci-dessous, et sans limitation aucune, l'ensemble du matériel, des systèmes et des services fournis au Commonwealth, ou susceptibles d'être utilisés pour accéder aux données du Commonwealth, les traiter ou les stocker, doivent être conformes à l'ensemble des lois, réglementations, politiques, lignes directrices et normes applicables au Commonwealth et au niveau fédéral, en vigueur au moment de la livraison des biens et services.

• Les politiques et normes du Commonwealth en matière de sécurité de l'information, d'architecture d'entreprise, de gestion de projet et de gestion de programme pour l'ITRM du Commonwealth, telles qu'elles figurent sur la page Politiques, normes et directives de l'& .

• Les feuilles de route de l'architecture d'entreprise fournissent les technologies approuvées à utiliser pour développer, héberger et prendre en charge les solutions et applications IT COV. Ils définissent également le cycle de vie du support pour ces technologies. 

Sans limiter l'obligation contractuelle d'un fournisseur de se conformer aux lois, réglementations, normes et politiques fédérales applicables, voici une liste des lois, réglementations, politiques et normes fédérales que VITA incorpore par la présente dans les règles de VITA : 

• Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA-HITECH)
  • Protections fédérales de la vie privée pour les informations de santé identifiables individuellement
  • Norme de protection des informations électroniques protégées sur la santé
    • http://www.hhs.gov/hipaa/for-professionals/security
   
• Règlement sur la protection des données de l'administration de la sécurité sociale (SSA)
  • Exigences en matière de protection des données régissant le partage électronique unidirectionnel ou bidirectionnel d'informations personnelles identifiables individuelles ou agrégées avec un gouvernement ou une entité privée
    • https://www.ssa.gov/dataexchange/index.html
   
• Loi sur les droits et la vie privée dans le domaine de l'éducation (FERPA)
  • Loi fédérale sur la protection de la vie privée qui accorde aux parents certaines protections en ce qui concerne les dossiers scolaires, les coordonnées et les informations familiales de leurs enfants.
    • https://www.ed.gov/laws-and-policy
   
• Section 508 Standards of the Rehabilitation Act of 1973, as amended (29 U.S.C. § 794 (d))
  • Orientations pour rendre les technologies de l'information et de la communication (IET) accessibles aux personnes handicapées
    • https://www.section508.gov/manage/laws-and-policies/
   
• Services d'information de la justice pénale (CJIS)
  • Données relatives à l'application de la loi régies par le Federal Bureau of Investigation
    • https://le.fbi.gov/cjis-division/cjis-security-policy-resource-center
   
• Loi fédérale sur la gestion de la sécurité de l'information (FISMA)
  • Fournit un cadre global pour garantir l'efficacité des contrôles de sécurité de l'information sur les ressources d'information qui soutiennent les opérations et les actifs fédéraux.
    • https://www.dhs.gov/fisma
   
• Federal Information Processing Standard Publication 140-2 (FIPS 140-2)
  • Norme de sécurité informatique utilisée pour accréditer les modules cryptographiques
    • https://csrc.nist.gov/projects/cryptographic-module-validation-program
   
• Publication de l'IRS 1075 
  • IRS Pub 1075 obligatoire pour les données FTI

• Loi sur la liberté de l'information en Virginie (VFOIA)
  • La VFOIA crée une présomption selon laquelle tous les documents publics sont disponibles sur demande, sauf s'ils sont exemptés de divulgation par la VFOIA ou d'autres lois, et les exemptions de la VFOIA sont interprétées de manière stricte.
  • L'identité et l'objectif du demandeur n'ont pas d'importance.
  • Cela signifie que les organismes publics doivent généralement divulguer les documents relatifs aux fournisseurs, y compris les présentations, les courriels et autres communications, ainsi que les dossiers de passation de marchés. Il existe certaines exceptions pour les secrets commerciaux et autres informations exclusives, mais il y a des limites - ces exceptions ne protègent pas les prix ou les propositions entières, par exemple - et un fournisseur doit invoquer des exceptions légales spécifiques par écrit, identifier les données ou matériaux spécifiques à protéger, et indiquer les raisons pour lesquelles la protection est nécessaire.
    • Loi sur la liberté d’accès à l’information de Virginia (VFOIA, Va. Code § 2.2-3700 et suivants)

• Commission de l'emploi de Virginie (VEC)
  • Les exigences de confidentialité suivantes s'appliquent à tous les fournisseurs qui ont accès aux données VEC et complètent toute disposition de confidentialité incluse dans un contrat VITA applicable.
    • https://www.vec.virginia.gov/laws-regulations

• Industrie des cartes de paiement - Norme de sécurité des données (PCI-DSS)
  • Le Conseil des normes de sécurité du PCI est un organisme mondial ouvert, créé pour développer, améliorer, diffuser et aider à la compréhension des normes de sécurité des comptes de paiement.
    • https://www.pcisecuritystandards.org/pci_security/