CATÁLOGO DE SISTEMAS EMPRESARIALES SB 272

LEY 272 DEL SENADO

Aprobado el 11 de octubre de 2015, agrega una sección a la Ley de Registros Públicos de California que requiere que las agencias locales creen un Catálogo de Sistemas Empresariales antes del 1 de julio de 2016 con actualizaciones anuales.

Texto de SB 272

SISTEMAS EMPRESARIALES

Una aplicación de software o sistema informático que recopila, almacena, intercambia y analiza información que utiliza la agencia, que es lo siguiente:

  • Un sistema multidepartamental o un sistema que contiene información recopilada sobre el público.

  • Un sistema que sirve como fuente original de datos dentro de una agencia.

Un sistema empresarial no incluye ninguno de los siguientes:

  • Sistemas de seguridad de tecnología de la información, incluidos firewalls y otros sistemas de ciberseguridad.

  • Sistemas de control de acceso físico, sistemas de gestión de identificación de empleados, monitoreo de video y otros sistemas de control físico.

  • Infraestructura y sistemas de control mecánico, incluidos los que controlan o gestionan el alumbrado público, las funciones eléctricas, de gas natural o de agua o alcantarillado.

  • Sistemas relacionados con el despacho y operación del 911 o servicios de emergencia. Sistemas cuya divulgación estaría restringida por la Sección 6254.19.

Los registros específicos que el sistema de tecnología de la información recopila, almacena, intercambia o analiza.

REQUISITOS

1. Cree un catálogo de sistemas empresariales que contenga:

  • Proveedor actual del sistema

  • Producto del sistema actual

  • Propósito del sistema

  • Una descripción de categorías o tipos de datos.

  • El departamento que es el principal custodio de los datos.

  • La frecuencia con la que se recopilan los datos del sistema.

  • La frecuencia con la que se actualizan los datos del sistema

2. Poner el catálogo a disposición del público previa solicitud.

3. Publicar el catálogo en un lugar destacado del sitio web de la agencia.

Excepciones

1. Los sistemas empresariales no incluyen sistemas de ciberseguridad, infraestructura y sistemas de control mecánico. Para estos y para los sistemas empresariales divulgables, no se divulgará información que pueda revelar vulnerabilidades o aumentar el potencial de un ataque al sistema de TI de una agencia pública.

Además, la sección 6270.5 no requiere automáticamente la divulgación de los registros específicos que los sistemas de TI recopilan, almacenan, intercambian o analizan, sin embargo, las otras disposiciones de la Ley relacionadas con la divulgación de dichos registros aún se aplican.

CATÁLOGO DE SISTEMAS EMPRESARIALES