UNM Financial Services anunció lo siguiente el 28 de agosto de 2014:
En septiembre entrarán en vigor nuevos procedimientos que implican compras en las que un proveedor tendrá acceso a datos privados de UNM. Los datos privados incluyen elementos como números de seguro social, información médica protegida (HIPAA), calificaciones de los estudiantes, nombres y fechas de nacimiento de estudiantes / empleados, información de tarjetas de crédito, nómina u otra información financiera, u otros datos considerados sensibles o privados.
A partir del 9/30/14, un nuevo campo obligatorio en todas las solicitudes de LoboMart requerirá que el solicitante avise al departamento de Compras siempre que un proveedor tenga acceso a datos privados de UNM. Siempre que se seleccione este campo, Compras le indicará al departamento de usuarios que complete un Formulario de revisión de seguridad preliminar y lo envíe al administrador de datos correspondiente (generalmente UNM IT o HSC Information Security). El departamento de compras no podrá emitir la orden de compra hasta recibir la aprobación del administrador de datos correspondiente.
En respuesta a este requisito, HSC está anunciando un nuevo proceso para estandarizar nuestra revisión de seguridad de TI de las compras de software de una manera que lo hará más rápido y más fácil de entender. Las compras de software que se considera que involucran datos UNM confidenciales o privados son marcadas por Compras para requerir una revisión de seguridad de TI antes de la aprobación de Compras.
Para iniciar la revisión, le pedimos que complete una de nuestras listas de verificación estándar y envíe una solicitud de revisión de seguridad al HSC-ISO@salud.unm.edu buzón. Para elegir qué lista de verificación es adecuada, primero debe determinar si se trata de un software instalado localmente o si se trata de una aplicación web con componentes de almacenamiento en la nube (es un software instalado o un software alojado / conectado en la web). Una manera fácil de determinar qué lista de verificación se aplica a usted es averiguar si realmente descarga el software en su máquina local o si inicia sesión en un sitio web para acceder al software.
Dependiendo de su tipo de aplicación, deberá completar una de las dos listas de verificación a continuación
Para obtener ayuda para redactar el procedimiento de seguridad departamental local, consulte el documento de orientación y un procedimiento de seguridad de muestra presentado por otro departamento. El documento de orientación le explicará lo que estamos buscando y el documento de ejemplo le mostrará un ejemplo de cómo se verá su póliza. Por favor, no copie literalmente, simplemente use el procedimiento de ejemplo como referencia para redactar la documentación de su propio departamento. Tenga en cuenta que su procedimiento no necesita ser un documento largo y tedioso redactado; simplemente estamos buscando un documento autorizado que indique los usos aprobados / no aprobados de la aplicación (esto puede ser un documento de una página redactado rápidamente).
Al enviar su solicitud, asegúrese de informarnos si tiene un cronograma urgente asociado con esta revisión de seguridad, ya que podemos proporcionar una aprobación provisional (para completar la compra) con la condición de que redacte el procedimiento de seguridad departamental local y nos lo proporcione. dentro de dos semanas. Si solicita la aprobación provisional, tenga en cuenta que aún necesitaremos tener la "Lista de verificación de la nube" completa antes de proporcionar esta aprobación provisional.
Si no conoce las respuestas a alguna de las preguntas de los formularios, solicítenos una aclaración o simplemente déjelas en blanco y haremos una investigación para encontrar la respuesta adecuada.