SAMA Cyber Security Framework Compliance
Das SAMA Cyber Security Framework ist für saudische Finanzinstitute verbindlich. Erfahren Sie, wie ImmuniWeb die Anforderungen an Vulnerability Management und Penetration Testing unterstützt.
Saudi-Arabische Währungsbehörde (SAMA) Cybersicherheitsrahmen (1.0) Compliance
Was ist das SAMA Cyber Security Framework?
The SAMA CSF sets the cybersecurity baseline for Saudi financial institutions. It is organized into main domains - covering leadership and governance, risk management and compliance, operations and technology, and third-party cybersecurity - each with subdomains and controls.
Controls are assessed against a maturity model, and Member Organizations submit periodic self-assessments to SAMA. Supervisory reviews expect demonstrable evidence - including penetration testing results - that technical controls are functioning, not merely documented.
See how ImmuniWeb supports SAMA CSF vulnerability management and penetration testing - for the applications your institution runs. Request a demo · or run a free Community Edition test.
Who Must Comply with SAMA CSF?
The SAMA CSF applies to all SAMA Member Organizations:
- Banken und Versicherer, die der Aufsicht der saudischen Zentralbank unterliegen.
- Finanzunternehmen und Kreditauskunfteien unter SAMA-Aufsicht.
- Financial market infrastructure and other SAMA-regulated entities.
Die von diesen Institutionen betriebenen Web-, Mobil- und API-Anwendungen unterliegen den technischen Controls des Frameworks.
Key SAMA CSF Requirements for Application Security
Im Bereich Betrieb und Technologie bestimmen mehrere Kontrollen die Arbeiten zur Anwendungssicherheit:
- Secure software development: apply a secure software development life cycle for applications.
- Schwachstellenmanagement: Führen Sie regelmäßige Schwachstellenbewertungen durch und beheben Sie die Befunde innerhalb der von SAMA erwarteten Fristen.
- Penetrationstests: Führen Sie regelmäßige, strukturierte Penetrationstests durch, als Nachweis dafür, dass die technischen Kontrollen wirksam sind – im Unterschied zum Vulnerability Scanning.
SAMA CSF-Anwendungssicherheitsanforderungen im Detail
Vulnerability Management and Penetration Testing
Die SAMA erwartet von den Instituten, dass sie regelmäßige Schwachstellenanalysen und strukturierte Penetrationstests durchführen und kritische sowie hohe Befunde innerhalb der vorgesehenen Fristen beheben. Bei aufsichtsrechtlichen Überprüfungen wird gezielt nach Nachweisen für Penetrationstests gesucht; daher ist die Kombination aus kontinuierlichem Scanning und regelmäßigen manuellen Penetrationstests von entscheidender Bedeutung.
Secure Software Development
Der Rahmenwerk erwartet einen sicheren Software-Entwicklungslebenszyklus. Die Einbettung von Security Testing in die Entwicklung und das Testen von Anwendungen vor der Veröffentlichung hält sie sicher und liefert maturity evidence gegen den SAMA CSF.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
The application vulnerabilities the framework expects you to find map closely to the OWASP Top 10:
- Zugriffsfehlsteuerung — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
- Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
- Injection — SQL, command or other injection via unvalidated input.
- Insecure Design — fehlende Sicherheitskontrollen durch Design, nicht nur durch Bugs.
- Security Misconfiguration — Standard-, unvollständige oder unsichere Konfiguration.
- Vulnerable & Outdated Components — unpatched libraries and frameworks.
- Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
- Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
- Security Logging & Monitoring Failures — attacks going undetected.
- Server-Side Request Forgery (SSRF) — der Server wird dazu gebracht, bösartige Anfragen zu stellen.
Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.
So unterstützen Sie die SAMA CSF Compliance mit ImmuniWeb
- Map your assets. Inventory internet-facing apps and APIs with ImmuniWeb Discovery.
- Manage vulnerabilities with Neuron scanning and tracked remediation.
- Penetrationstests für Web- und mobile Anwendungen mit On-Demand und MobileSuite.
- Sichere Entwicklung mit Continuous in CI/CD.
- Remediate within SLA using actionable, zero-false-positive reports.
- Bereiten Sie Nachweise für die jährliche SAMA-Selbstbewertung und die aufsichtsrechtlichen Überprüfungen vor.
How ImmuniWeb Helps You Achieve SAMA CSF Compliance
ImmuniWeb supports the vulnerability-management, penetration-testing and secure-development expectations of the SAMA CSF with assessment-ready evidence.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Penetration testing | Regular, structured penetration testing. | On-Demand, MobileSuite |
| Vulnerability management | Regular assessments and remediation. | Neuron, Discovery |
| Sichere Entwicklung | Sicherer Softwareentwicklungslebenszyklus. | Kontinuierlich, On-Demand |
ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps your attack surface - producing the evidence SAMA supervisory reviews expect.
SAMA CSF im Vergleich zu internationalen Rahmenwerken
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Wie ImmuniWeb abbildet |
|---|---|---|
| SAMA CSF | Vulnerability management + penetration testing | Web/mobile pentest, scanning, ASM |
| Saudi NCA ECC | National Essential Cybersecurity Controls | Dieselben Tests decken beide ab |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Tests als Kontrollnachweis |
| PCI DSS 4.0.1 | Req 6 & Req 11 | Web app pentest + scanning |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- Inventory of internet-facing apps, APIs and assets
- Regular vulnerability assessments performed
- Structured penetration testing performed
- Kritische/hohe Befunde werden innerhalb der erwarteten Fristen behoben.
- Secure software development life cycle applied
- Reifegradziele erfüllt (in der Regel Stufe 3 und höher)
- Evidence prepared for the annual SAMA self-assessment
Why SAMA CSF Compliance Matters
Das SAMA CSF ist für saudische Finanzinstitute verbindlich, und die Saudi Arabian Monetary Authority führt aufsichtsrechtliche Überprüfungen durch und kann formelle Verwarnungen, Anweisungen und Korrekturmaßnahmen auferlegen. Von den Instituten wird erwartet, dass sie definierte Reifegrade erreichen und nachweisen, dass die Kontrollen tatsächlich wirksam sind.
Da Web-, Mobile- und API-Anwendungen eine primäre Angriffsfläche für Finanzinstitute darstellen, gehören nachweisbare Penetrationstests und Schwachstellenmanagement zu den direktesten Möglichkeiten, die technischen Kontrollen des Frameworks nachzuweisen.