Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

SAMA Cyber Security Framework Compliance

Das SAMA Cyber Security Framework ist für saudische Finanzinstitute verbindlich. Erfahren Sie, wie ImmuniWeb die Anforderungen an Vulnerability Management und Penetration Testing unterstützt.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Saudi-Arabische Währungsbehörde (SAMA) Cybersicherheitsrahmen (1.0) Compliance
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
Saudi Arabian Monetary Authority (SAMA) Cyber Security Framework (1.0) Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Saudi-Arabische Währungsbehörde (SAMA) Cybersicherheitsrahmen (1.0) Compliance

Was ist das SAMA Cyber Security Framework?

The SAMA CSF sets the cybersecurity baseline for Saudi financial institutions. It is organized into main domains - covering leadership and governance, risk management and compliance, operations and technology, and third-party cybersecurity - each with subdomains and controls.

Controls are assessed against a maturity model, and Member Organizations submit periodic self-assessments to SAMA. Supervisory reviews expect demonstrable evidence - including penetration testing results - that technical controls are functioning, not merely documented.

See how ImmuniWeb supports SAMA CSF vulnerability management and penetration testing - for the applications your institution runs. Request a demo · or run a free Community Edition test.

Who Must Comply with SAMA CSF?

The SAMA CSF applies to all SAMA Member Organizations:

  • Banken und Versicherer, die der Aufsicht der saudischen Zentralbank unterliegen.
  • Finanzunternehmen und Kreditauskunfteien unter SAMA-Aufsicht.
  • Financial market infrastructure and other SAMA-regulated entities.

Die von diesen Institutionen betriebenen Web-, Mobil- und API-Anwendungen unterliegen den technischen Controls des Frameworks.

Key SAMA CSF Requirements for Application Security

Im Bereich Betrieb und Technologie bestimmen mehrere Kontrollen die Arbeiten zur Anwendungssicherheit:

  • Secure software development: apply a secure software development life cycle for applications.
  • Schwachstellenmanagement: Führen Sie regelmäßige Schwachstellenbewertungen durch und beheben Sie die Befunde innerhalb der von SAMA erwarteten Fristen.
  • Penetrationstests: Führen Sie regelmäßige, strukturierte Penetrationstests durch, als Nachweis dafür, dass die technischen Kontrollen wirksam sind – im Unterschied zum Vulnerability Scanning.

SAMA CSF-Anwendungssicherheitsanforderungen im Detail

Vulnerability Management and Penetration Testing

Die SAMA erwartet von den Instituten, dass sie regelmäßige Schwachstellenanalysen und strukturierte Penetrationstests durchführen und kritische sowie hohe Befunde innerhalb der vorgesehenen Fristen beheben. Bei aufsichtsrechtlichen Überprüfungen wird gezielt nach Nachweisen für Penetrationstests gesucht; daher ist die Kombination aus kontinuierlichem Scanning und regelmäßigen manuellen Penetrationstests von entscheidender Bedeutung.

Secure Software Development

Der Rahmenwerk erwartet einen sicheren Software-Entwicklungslebenszyklus. Die Einbettung von Security Testing in die Entwicklung und das Testen von Anwendungen vor der Veröffentlichung hält sie sicher und liefert maturity evidence gegen den SAMA CSF.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

The application vulnerabilities the framework expects you to find map closely to the OWASP Top 10:

  • Zugriffsfehlsteuerung — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
  • Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
  • Injection — SQL, command or other injection via unvalidated input.
  • Insecure Design — fehlende Sicherheitskontrollen durch Design, nicht nur durch Bugs.
  • Security Misconfiguration — Standard-, unvollständige oder unsichere Konfiguration.
  • Vulnerable & Outdated Components — unpatched libraries and frameworks.
  • Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
  • Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
  • Security Logging & Monitoring Failures — attacks going undetected.
  • Server-Side Request Forgery (SSRF) — der Server wird dazu gebracht, bösartige Anfragen zu stellen.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

So unterstützen Sie die SAMA CSF Compliance mit ImmuniWeb

  1. Map your assets. Inventory internet-facing apps and APIs with ImmuniWeb Discovery.
  2. Manage vulnerabilities with Neuron scanning and tracked remediation.
  3. Penetrationstests für Web- und mobile Anwendungen mit On-Demand und MobileSuite.
  4. Sichere Entwicklung mit Continuous in CI/CD.
  5. Remediate within SLA using actionable, zero-false-positive reports.
  6. Bereiten Sie Nachweise für die jährliche SAMA-Selbstbewertung und die aufsichtsrechtlichen Überprüfungen vor.

How ImmuniWeb Helps You Achieve SAMA CSF Compliance

ImmuniWeb supports the vulnerability-management, penetration-testing and secure-development expectations of the SAMA CSF with assessment-ready evidence.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
Penetration testing Regular, structured penetration testing. On-Demand, MobileSuite
Vulnerability management Regular assessments and remediation. Neuron, Discovery
Sichere Entwicklung Sicherer Softwareentwicklungslebenszyklus. Kontinuierlich, On-Demand

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps your attack surface - producing the evidence SAMA supervisory reviews expect.

SAMA CSF im Vergleich zu internationalen Rahmenwerken

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
SAMA CSF Vulnerability management + penetration testing Web/mobile pentest, scanning, ASM
Saudi NCA ECC National Essential Cybersecurity Controls Dieselben Tests decken beide ab
ISO/IEC 27001 Anhang A technische Kontrollen Tests als Kontrollnachweis
PCI DSS 4.0.1 Req 6 & Req 11 Web app pentest + scanning

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Inventory of internet-facing apps, APIs and assets
  • Regular vulnerability assessments performed
  • Structured penetration testing performed
  • Kritische/hohe Befunde werden innerhalb der erwarteten Fristen behoben.
  • Secure software development life cycle applied
  • Reifegradziele erfüllt (in der Regel Stufe 3 und höher)
  • Evidence prepared for the annual SAMA self-assessment

Why SAMA CSF Compliance Matters

Das SAMA CSF ist für saudische Finanzinstitute verbindlich, und die Saudi Arabian Monetary Authority führt aufsichtsrechtliche Überprüfungen durch und kann formelle Verwarnungen, Anweisungen und Korrekturmaßnahmen auferlegen. Von den Instituten wird erwartet, dass sie definierte Reifegrade erreichen und nachweisen, dass die Kontrollen tatsächlich wirksam sind.

Da Web-, Mobile- und API-Anwendungen eine primäre Angriffsfläche für Finanzinstitute darstellen, gehören nachweisbare Penetrationstests und Schwachstellenmanagement zu den direktesten Möglichkeiten, die technischen Kontrollen des Frameworks nachzuweisen.

Häufig gestellte Fragen

  • Q
    Was ist das SAMA Cyber Security Framework?
    A
    A mandatory cybersecurity governance framework issued by the Saudi Central Bank (SAMA) in 2017, setting the minimum cybersecurity baseline for Saudi financial institutions.
  • Q
    Wer muss das SAMA CSF einhalten?
    A
    All SAMA Member Organizations - banks, insurers, finance companies, credit bureaus and financial market infrastructure.
  • Q
    Wie wird das SAMA CSF geprüft?
    A
    Die Controls werden anhand eines Maturity Modells bewertet, und Member Organizations reichen regelmäßige Self-Assessments bei der SAMA ein, die durch Supervisory Reviews unterstützt werden.
  • Q
    Does the SAMA CSF require penetration testing?
    A
    Ja – regelmäßige, strukturierte Penetrationstests werden als Nachweis dafür erwartet, dass die technischen Kontrollen wirksam sind, und sind von Schwachstellenscans abzugrenzen.
  • Q
    Wie unterstützt ImmuniWeb bei der SAMA-CSF-Compliance?
    A
    By providing penetration testing, vulnerability management and secure-development testing for web and mobile applications, with evidence for supervisory reviews.
  • Q
    Welchen Reifegrad sollten Institutionen anstreben?
    A
    Institutions are typically expected to reach Level 3 and above, depending on SAMA's requirements for their category.
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
Saudi Arabian Monetary Authority (SAMA) Cyber Security Framework (1.0) Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten