Einhaltung des New York SHIELD Act
New York's SHIELD Act requires businesses to protect private information with reasonable safeguards. Learn how ImmuniWeb helps you meet its technical-safeguards requirements.
Einhaltung des New York SHIELD Act
What Is the New York SHIELD Act?
Der SHIELD Act hat die Meldepflichten bei Datenschutzverletzungen in New York (Section 899-aa) erweitert und erstmals eine affirmative Datensicherheitsanforderung (Section 899-bb) eingeführt: Jedes Unternehmen, das private Informationen von New Yorker Einwohnern hält, muss angemessene Schutzmaßnahmen zum Schutz dieser Informationen entwickeln, implementieren und aufrechterhalten.
Das Gesetz beschreibt administrative, technische und physische Sicherheitsmaßnahmen. Zu den Beispielen für technische Sicherheitsmaßnahmen gehören die Risikobewertung bei der Netzwerk- und Softwarearchitektur sowie das regelmäßige Testen und Überwachen der Wirksamkeit wichtiger Kontrollen.
See how ImmuniWeb helps you meet the SHIELD Act's reasonable technical safeguards - testing and monitoring the apps that hold private information. Request a demo· or run a free Community Edition test.
Who Must Comply with SHIELD Act?
Der SHIELD Act gilt für:
- Any person or business that owns or licenses computerized private information of New York residents.
- Unternehmen außerhalb von New York, die private Informationen von Bewohnern New Yorks halten (extraterritoriale Reichweite).
- Für alle Branchen und Unternehmensgrößen – mit einem weniger aufwändigen Standard, der an ihre Größe und Komplexität angepasst ist.
Any business running web and mobile applications that hold private information of NY residents must secure and test them.
Key SHIELD Act Requirements for Application Security
Application security sits within the reasonable technical safeguards of Section 899-bb:
- Assess risks in software design: assess risks in network and software design and in information processing, transmission and storage.
- Detect, prevent and respond: detect, prevent and respond to attacks or system failures.
- Schlüsselkontrollen testen und überwachen: Testen und überwachen Sie regelmäßig die Wirksamkeit von Schlüsselkontrollen, Systemen und Verfahren.
SHIELD Act Security Requirements in Depth
Section 899-bb - Reasonable Technical Safeguards
Abschnitt 899-bb erwartet von Unternehmen, dass sie Risiken in Netzwerk- und Softwaredesign bewerten und Angriffe erkennen, verhindern und darauf reagieren. Penetrationstests und Schwachstellenscans von Web- und mobilen Anwendungen sind praktische Methoden, um Risiken im Softwaredesign zu bewerten und zu validieren, dass die Kontrollen gegen reale Angriffe standhalten.
Testing and Monitoring Key Controls
Das Gesetz schreibt explizit die regelmäßige Prüfung und Überwachung der Wirksamkeit von Schlüsselkontrollen, Systemen und Verfahren vor. Kontinuierliches Scanning und periodische Penetrationstests, ergänzt durch die Überwachung der Angriffsfläche, operationalisieren diese Anforderung.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
Die Anwendungsrisiken, die der SHIELD Act von Ihnen zu adressieren erwartet, decken sich eng mit den OWASP Top 10:
- Broken Access Control — Benutzer greifen auf Daten oder Aktionen zu, die ihnen nicht zustehen.
- Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
- Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
- Insecure Design — missing security controls by design, not just by bug.
- Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
- Vulnerable & Outdated Components — unpatched libraries and frameworks.
- Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
- Software- und Datenintegritätsfehler — unvertrauenswürdige Updates, unsichere CI/CD-Pipelines.
- Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
- Server-Side Request Forgery (SSRF) — der Server wird dazu gebracht, bösartige Anfragen zu stellen.
Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.
So gestalten Sie die Anwendungssicherheit für den SHIELD Act mit ImmuniWeb
- Kartieren Sie Ihre Angriffsfläche. Erstellen Sie mit ImmuniWeb Discovery eine Bestandsaufnahme internetzugänglicher Apps, die private Informationen enthalten.
- Testen Sie Webanwendungen mit On-Demand (Penetrationstests) und Neuron (Scanning).
- Testen Sie mobile Anwendungen mit MobileSuite und Neuron Mobile.
- Testen Sie wichtige Kontrollen regelmäßig und beheben Sie Schwachstellen anhand umsetzbarer Berichte ohne False Positives.
- Keep testing continuously with Continuous in CI/CD.
- Überwachen Sie Datenlecks mit der Dark Web-Überwachung von Discovery.
How ImmuniWeb Helps You Achieve SHIELD Act Compliance
ImmuniWeb helps businesses implement and evidence the reasonable technical safeguards Section 899-bb requires.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Assess software-design risks | Identifizieren Sie Schwachstellen in Apps und Software. | On-Demand, Neuron, Discovery |
| Erkennen & Reagieren | Angriffe erkennen, verhindern und darauf reagieren. | Neuron, Continuous, Discovery |
| Testen der Schlüsselkontrollen | Regelmäßig testen und die Wirksamkeit der Kontrollen überwachen. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps your attack surface and monitors the dark web - evidencing the SHIELD Act's reasonable technical safeguards.
SHIELD Act gegenüber internationalen Rahmenwerken
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Framework – Anwendungssicherheitsperspektive – Wie ImmuniWeb abbildet |
|---|---|---|
| New York SHIELD Act | Reasonable technical safeguards (899-bb) | Web-/Mobile-Penetrationstests, Scans, ASM, Dark Web-Monitoring |
| CCPA Kalifornien | Angemessene Sicherheit | Dieselben Tests decken beide ab |
| NYDFS Part 500 | 500.5 Pentest und Assessments | Dieselben Tests decken beide ab |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Tests als Kontrollnachweis |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- Inventory of internet-facing apps holding private information
- Webanwendungen, die nach OWASP Top 10 getestet wurden
- Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
- Software-Design-Risiken bewertet und behoben
- Regelmäßige Tests und Überwachung der Key Controls
- Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
- Breach-notification process and exposure monitoring in place
Warum die Einhaltung des SHIELD Act wichtig ist
Der SHIELD Act wird vom Generalstaatsanwalt von New York durchgesetzt, der bei Nichteinhaltung angemessener Sicherheitsvorkehrungen oder unzureichender Meldung von Datenschutzverletzungen zivilrechtliche Sanktionen einklagen kann. Da er für jedes Unternehmen gilt, das vertrauliche Informationen von New Yorker Einwohnern hält, ist sein Geltungsbereich weitreichend – er erstreckt sich weit über in New York ansässige Unternehmen hinaus.
Because web and mobile applications are a leading breach vector, demonstrably testing and monitoring them is one of the clearest ways to meet the SHIELD Act's reasonable technical safeguards.