Quy tắc của VITA

Quy định của VITA áp dụng cho việc thực hiện hoặc cung cấp tất cả hàng hóa hoặc dịch vụ công nghệ thông tin của nhà cung cấp.

Các Quy tắc VITA này được VITA và các cơ quan công, tổ chức, ủy ban và các đơn vị khác của Khối thịnh vượng chung tiếp nhận dịch vụ theo hợp đồng VITA (“khách hàng”) xây dựng.

Nhà cung cấp phải giao hàng hóa và thực hiện dịch vụ của mình mọi lúc theo cách cho phép và hỗ trợ sự tuân thủ của các cơ quan công quyền tiếp nhận, sử dụng hoặc tiêu thụ hàng hóa và dịch vụ.

Ngoài các tiêu chuẩn và chính sách cụ thể được liệt kê bên dưới, mọi phần cứng, hệ thống và dịch vụ được cung cấp cho Khối thịnh vượng chung hoặc có thể được sử dụng để truy cập, xử lý hoặc lưu trữ dữ liệu của Khối thịnh vượng chung phải tuân thủ mọi luật, quy định, chính sách, hướng dẫn và tiêu chuẩn hiện hành của Khối thịnh vượng chung và liên bang tại thời điểm giao hàng hóa và dịch vụ.

• Các chính sách và tiêu chuẩn về Bảo mật thông tin, Kiến trúc doanh nghiệp, Quản lý dự án và Quản lý chương trình của Commonwealth dành cho ITRM Commonwealth có trên trang Chính sách, Tiêu chuẩn & Nguyên tắc .

• Lộ trình Kiến trúc Doanh nghiệp cung cấp các công nghệ được phê duyệt để sử dụng trong việc phát triển, lưu trữ và hỗ trợ các giải pháp và ứng dụng COV IT. Họ cũng xác định vòng đời hỗ trợ cho các công nghệ đó. 

Không giới hạn bất kỳ nghĩa vụ hợp đồng nào mà nhà cung cấp có thể phải tuân thủ các luật, quy định, tiêu chuẩn và chính sách liên bang hiện hành, sau đây là danh sách các luật, quy định, chính sách và tiêu chuẩn liên bang mà VITA kết hợp vào Quy tắc của VITA: 

• Đạo luật về khả năng chuyển đổi và trách nhiệm bảo hiểm y tế (HIPAA-HITECH)
  • Bảo vệ quyền riêng tư của liên bang đối với thông tin sức khỏe có thể nhận dạng cá nhân
  • Tiêu chuẩn bảo vệ thông tin sức khỏe điện tử được bảo vệ
    • http://www.hhs.gov/hipaa/for-professionals/security
   
• Quy định bảo vệ dữ liệu của Cơ quan an sinh xã hội (SSA)
  • Yêu cầu bảo vệ dữ liệu chi phối việc chia sẻ điện tử một hoặc hai chiều Thông tin nhận dạng cá nhân của cá nhân hoặc tổng hợp với chính phủ hoặc tổ chức tư nhân
    • https://www.ssa.gov/dataexchange/index.html
   
• Đạo luật về Quyền riêng tư và Giáo dục Gia đình (FERPA)
  • Luật bảo mật liên bang cấp cho cha mẹ một số quyền bảo vệ nhất định liên quan đến hồ sơ giáo dục, thông tin liên lạc và thông tin gia đình của con cái họ
    • https://www.ed.gov/laws-and-policy
   
• Mục 508 Tiêu chuẩn của Đạo luật Phục hồi chức năng của 1973, đã được sửa đổi (29 USC § 794 (d))
  • Hướng dẫn để công nghệ thông tin và điện tử (EIT) có thể tiếp cận được với người khuyết tật
    • https://www.section508.gov/manage/laws-and-policies/
   
• Dịch vụ thông tin tư pháp hình sự (CJIS)
  • Dữ liệu thực thi pháp luật được quản lý bởi Cục Điều tra Liên bang
    • https://le.fbi.gov/cjis-division/cjis-security-policy-resource-center
   
• Đạo luật quản lý an ninh thông tin liên bang (FISMA)
  • Cung cấp một khuôn khổ toàn diện để đảm bảo hiệu quả của các biện pháp kiểm soát bảo mật thông tin đối với các nguồn thông tin hỗ trợ các hoạt động và tài sản của Liên bang
    • https://www.dhs.gov/fisma
   
• Tiêu chuẩn xử lý thông tin liên bang 140-2 (FIPS 140-2)
  • Tiêu chuẩn bảo mật máy tính được sử dụng để chứng nhận các mô-đun mật mã
    • https://csrc.nist.gov/projects/cryptographic-module-validation-program
   
• Ấn phẩm của IRS 1075 
  • Bắt buộc IRS Pub 1075 cho dữ liệu FTI

• Đạo luật Tự do Thông tin của Virginia (VFOIA)
  • VFOIA đưa ra giả định rằng tất cả hồ sơ công khai đều có sẵn khi được yêu cầu, ngoại trừ những hồ sơ được miễn tiết lộ theo VFOIA hoặc luật khác, và các miễn trừ của VFOIA được hiểu theo nghĩa hẹp.
  • Danh tính và mục đích của người yêu cầu không quan trọng.
  • Điều này có nghĩa là các cơ quan công thường phải tiết lộ các tài liệu liên quan đến nhà cung cấp, bao gồm các bài thuyết trình, email và các phương tiện truyền thông khác, cũng như hồ sơ mua sắm. Có một số ngoại lệ đối với bí mật thương mại và thông tin độc quyền tương tự, nhưng vẫn có những giới hạn -- ví dụ, những ngoại lệ đó không bảo vệ giá cả hoặc toàn bộ đề xuất -- và nhà cung cấp phải viện dẫn các ngoại lệ pháp lý cụ thể bằng văn bản, xác định dữ liệu hoặc tài liệu cụ thể cần được bảo vệ và nêu lý do cần phải bảo vệ.
    • Đạo luật Tự do Thông tin của Virginia (VFOIA, Va. Mã § 2.2-3700 et seq.)

• Ủy ban Việc làm Virginia (VEC)
  • Các yêu cầu bảo mật sau đây áp dụng cho tất cả các nhà cung cấp có quyền truy cập vào dữ liệu VEC và bổ sung cho bất kỳ điều khoản bảo mật nào có trong hợp đồng VITA hiện hành.
    • https://www.vec.virginia.gov/laws-regulations

• Ngành công nghiệp thẻ thanh toán – Tiêu chuẩn bảo mật dữ liệu (PCI-DSS)
  • Hội đồng Tiêu chuẩn Bảo mật PCI là một tổ chức mở toàn cầu được thành lập để phát triển, nâng cao, phổ biến và hỗ trợ hiểu biết về các tiêu chuẩn bảo mật cho bảo mật tài khoản thanh toán.
    • https://www.pcisecuritystandards.org/pci_security/