Policy and Program Guide

The Virginia Department of Social Services uses sensitive information, such as personal, financial and tax data daily to serve individuals and families across Virginia. Some of this information is sensitive. It includes personal and financial details. 

This policy explains how we protect that information and what is expected of anyone who uses VDSS systems or data. Keeping information safe helps protect people, maintain trust and ensure services continue without interruption. 

Our Guiding Principles 

Seguimos estos principios fundamentales al proteger la información: 

  • La información es un recurso valioso y debe ser protegida. 
  • Access is limited to people who need it to do their jobs. 
  • La seguridad de la información apoya tanto nuestro trabajo como nuestra tecnología. 
  • Las decisiones de seguridad se basan en el riesgo y la practicidad. 
  • Policies guide the work, but leaders carry them out. 
  • Everyone shares responsibility for keeping information safe

Keeping information safe helps: 

  • Proteger a clientes y empleados 
  • Maintain public trust 
  • Ensure services remain available 

Information security is a shared responsibility.

Quién debe seguir esta política 

This policy applies to all individuals who use VDSS systems or information, including: 

  • Employees and supervisors 
  • Local department staff 
  • Contratistas y subcontratistas 
  • Volunteers and interns 
  • Socios comerciales y proveedores 

 Our Guiding Principles 

VDSS follows these core principles: 

Information is a valuable asset and must be protected 

  • Access is limited to people who need the information to do their job 
  • Security supports both daily work and technology 
  • Security decisions should be practical and risk-based 
  • Las políticas guían el trabajo, pero los equipos lo llevan a cabo 
  • Everyone plays a role in protecting information 

 Tus responsabilidades 

If you use VDSS systems or information, you are expected to: 

Follow Required Policies 

  • Following all VDSS security, privacy and acceptable use policies 
  • Completar la formación obligatoria en seguridad y privacidad a tiempo 
  • Protecting sensitive information you can access 
  • Mantener las contraseñas privadas y seguras 
  • Uso de cifrado al enviar o almacenar datos sensibles 
  • Reportar preocupaciones de seguridad de inmediato 
  • Firme el Acuerdo de Acuse de Acuse de Acuse de Reconocimiento y Confidencialidad de la Política de Seguridad de la Información antes de recibir acceso.
  • Re-acknowledge this agreement each year as part of required training. 

You are not expected to fix problems on your own. Reporting concerns quickly helps limit harm and protect people. 

Complete Required Training

  • New employees must complete security and privacy training within 30 days.
  • All users must complete annual refresher training.
  • La formación se basa en el rol laboral y el acceso al sistema.

Protect Information

  • Use secure methods to store and send sensitive information.
  • Cifra datos sensibles cuando se almacenan o comparten.
  • Nunca compartas contraseñas ni datos de acceso.
  • Protect paper files and printed records.
  • Mantén las conversaciones privadas en privado. No hables de casos delicados donde otros puedan escuchar.

Habla cuando algo va mal

  • Report any suspected or actual security issue right away.
  • No se espera que soluciones el problema tú mismo.
  • La denuncia ayuda a proteger a las personas y prevenir daños mayores.

¿Qué se considera información sensible

Sensitive information is any data that could cause harm if it is lost, shared or changed without permission.

Esto incluye:

  • Información personal que puede identificar a alguien
  • Información fiscal federal
  • Información confidencial de socios externos
  • Certain internal leadership documents

Sensitive information must always be handled with care to protect privacy and safety.

Información Personal Identificable

Personally identifiable information includes details that can identify a person, such as:

  • Names and addresses
  • Números de teléfono y direcciones de email
  • Social Security numbers
  • Bank account numbers
  • Fechas de nacimiento y lugares
  • Datos biométricos

Esta información debe estar protegida en todo momento.

Federal Tax Information 

Federal Tax Information has special Requirements. 

Puntos clave a conocer: 

  • Access is limited: Only people with a job-related need may access this information. 
  • Nunca debe compartir ni almacenar sin la protección adecuada 
  • La información recibida directamente de un cliente no se considera Información Fiscal Federal. 
  • Federal Tax Information must never be altered to bypass security rules. 
  • Los sistemas que almacenan esta información se prueban de manera regular por seguridad 

Los requisitos de protección continúan incluso luego de finalizar el empleo. 

 Safeguards and Reviews 

Safeguards help protect taxpayers and maintain trust. 

VDSS regularly reviews how sensitive information is protected. 

Estas reseñas: 

  • May be conducted on-site, remotely or a mix of both  
  • Focus on security controls, no en el rendimiento individual ni laboral 
  • Help ensure protections remain effective 

Reviews occur three-year cycle as needed to support improvement and accountability.  

 Notificación de incidentes de seguridad 

Informa de preocupaciones de seguridad lo antes posible.  

Esto incluye: 

  • Improper sharing of information 
  • Unauthorized access 
  • Lost or stolen devices 
  • Suspicious system activity 
  • Derrames o brechas de datos 

Qué hacer: 

  • Reporta el problema inmediatamente empleando canales de reporte aprobados 
  • Share only the necessary details 
  • Emplea métodos seguros al enviar información sensible 

Reporting quickly helps protect people and systems. 

Reporting Timelines 

  • Most incidents must be reported within 24 hours. 
  • Incidents involving certain data types may require faster reporting. 

Los reportes deben incluir detalles básicos y emplear métodos cifrados al compartir información sensible . 

Leyes y protecciones 

Varias leyes estatales y federales exigen que el VDSS proteja la información personal y fiscal. 

Misuse of information can result in: 

  • Disciplinary action 
  • Fines or penalties 
  • Cargos penales en casos graves 

Estas leyes siguen aplicar después de que dejes de trabajar en VDSS, ya que existen para proteger a las personas, no para crear miedo. 

 Cumplimiento de normas 

El VDSS monitorear el cumplimiento mediante revisiones, auditorías e inspecciones. Los sistemas o datos pueden ser eliminados si es necesario para proteger la información. 

VDSS verifica el cumplimiento mediante: 

  • Revisiones y auditorías 
  • Monitoring systems 
  • Evaluaciones e inspecciones 

El cumplimiento ayuda a garantizar que la información permanezca protegida y que los servicios continúen. 

 Requesting an Exception 

In rare cases, following a policy may cause serious operational challenges. 

When this happens: 

  • Se puede presentar una solicitud por escrito 
  • The request must explain the reason and how risks will be managed 
  • Se requiere aprobación antes de que se emplee cualquier excepción 
  • Las solicitudes denegadas pueden ser apeladas  

Exceptions are reviewed carefully to protect people and systems. 

Information security is about protecting people, not assigning blame. Asking questions, following guidance and reporting concerns help keep everyone safe. 

Esta guía ayuda a todo el mundo: 

  • Comprender su papel en la protección de la información 
  • Toma decisiones seguras e informadas 
  • Report concerns without fear 
  • Support the mission of VDSS 

La seguridad no se trata de culpar. Se trata de cuidado, conciencia y responsabilidad compartida. Si no sabes qué hacer, contacta con nosotros. Contacta con VDSS.Security@DSS.VIRGINIA.GOV.