Skip to main content

Ley 40: Ley de Ciberseguridad de Puerto Rico

Ley 40: Ley de Ciberseguridad de Puerto Rico

Toda Agencia y todo Proveedor de Servicios Contratado debe cumplir y asegurarse de que toda persona natural o jurídica que haga negocios o contrate con ellos cumpla con, al menos, los siguientes Estándares y principios mínimos de Ciberseguridad:

Implementar controles para bloquear tráfico inapropiadoy acceso a contenido malicioso, salvo por necesidad justificada.


Establecer mecanismos de controlen capas como refuerzo de los principios de la CIA (Confidencialidad, Integridad y Disponibilidad).

Establecer políticas tecnológicas reforzadas con controles APT (administrativos, físicos y técnicos), tanto internos como externos.

Controles administrativos que requieran el uso de cifrado y mecanismos técnicos para hacer cumplir las políticas.

Solo se permitirán VPNs autorizadascuando la red del gobierno sea utilizada para fines oficiales.

Los programas o aplicaciones de una agencia o Proveedor de Servicios que brinden servicios a los ciudadanos deben cumplir con los Estándares y Principios Mínimos de Seguridad para su implementación.


El cumplimiento de la agencia con PCI-DSS o, en su defecto, los proveedores de servicios financieros deben presentar informes de cumplimiento de sus terceros.

Las agencias deben establecer una clasificación de datos y hacer cumplir el uso de Autenticación Multifactor (MFA).

Los contratistas deben cumplir con FISMA y mantener, por un período no menor de tres (3) años, la información correspondiente, la cual debe estar disponible en un plazo de dos (2) días.

Notificación de Incidentes en un plazo de 48 horas (potenciales o reales) para cualquier riesgo que afecte los datos o servicios del gobierno o de una persona jurídica.

Los contratistas de servicios de ciberseguridad deben presentar informes mensuales sobre el estado de la ciberseguridad respecto a lo que gestionan en nombre de la Agencia.


Los Proveedores de Servicios de Ciberseguridad contratados deben contar con certificaciones de seguridad válidas requeridas por PRITS y cumplir con las mejores prácticas.

Las agencias deberán instalar controles automáticos para la detección de programas no deseados y la prevención de intrusiones.

Los sistemas informáticos del gobierno se utilizarán estrictamente para llevar a cabo funciones gubernamentales; se implementará ICAM conforme al Principio de Mínimos Privilegios.

Las instalaciones de procesamiento de información y los activos deben estar asegurados; incluyendo controles de acceso y generadores eléctricos.

La información confidencial (por ejemplo, PII, PHI) debe estar siempre cifrada.

Comuníquese con CyberCheck para obtener más información y certificación

Más Información

OUR PARTNERS

Resell Licensees for: VPN (OpenVPN or NordVPN), OneTrust, Authentication Providers (e.g. Okta), Intrusion Detection and management (e.g. DarkTrace)

Services