Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Centro de seguridad en Internet
Total de pruebas:
485,773,462
Esta semana:
737,046
Hoy:
130,956
ImmuniWebCumplimientoCumplimiento de la Ley de Privacidad del Consumidor de California (CCPA)

Cumplimiento de la CCPA de California

California's CCPA requires businesses to maintain reasonable security for consumer data, and new rules add cybersecurity audits. Learn how ImmuniWeb helps with web and mobile application testing.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA)
Descargo de responsabilidad: No constituye asesoramiento legal. La Ley de Privacidad del Consumidor de California (CCPA), enmendada por la Ley de Derechos de Privacidad de California (CPRA), es la principal ley estatal de privacidad de EE. UU. Su cumplimiento es supervisado por la Agencia de Protección de la Privacidad de California (CPPA) y el Fiscal General. Las nuevas normas de la CPPA que cubren auditorías de ciberseguridad, evaluaciones de riesgos y toma de decisiones automatizada entraron en vigor el 1 de enero de 2026.
Rellene los campos resaltados en rojo a continuación.

Talk to a Specialist about
California Consumer Privacy Act (CCPA) Compliance

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA)

¿Qué es la CCPA de California?

La CCPA otorga a los consumidores de California derechos sobre su información personal: conocerla, eliminarla, corregirla, oponerse a la venta o al intercambio de información personal y limitar el uso de información personal sensible. Las empresas deben implementar una seguridad razonable y respetar estos derechos.

La CPRA creó la CPPA y encargó la emisión de normas. El reglamento definitivo, efectivo el 1 de enero de 2026, exige a las empresas dentro del alcance que realicen evaluaciones de riesgos y auditorías anuales de ciberseguridad, evaluando la «seguridad razonable» frente a marcos reconocidos como NIST e ISO, con análisis de brechas y remediación.

See how ImmuniWeb helps you demonstrate 'reasonable security' and support CCPA cybersecurity audits - by testing the apps that handle consumer data. Request a demo · or run a free Community Edition test.

¿Quién debe cumplir con la CCPA?

La CCPA se aplica a las empresas con ánimo de lucro que superan un umbral:

  • Agencias del Gobierno australiano con más de 25 millones de dólares; o
  • Grandes volúmenes de información personal - compra, venta o intercambio de la IP de 100.000+ consumidores o hogares; o
  • Ingresos derivados de datos - generar el 50 % o más de los ingresos anuales mediante la venta o el intercambio de PI. Las empresas incluidas en el alcance que ejecuten aplicaciones web y móviles que manejen datos de consumidores deben protegerlas y probarlas.
Presentación corporativa [PDF]

Requisitos clave de la CCPA para la seguridad de aplicaciones

Dos ejes impulsan el trabajo de seguridad de aplicaciones bajo la CCPA:

  • Seguridad razonable: implementar y mantener procedimientos y prácticas de seguridad razonables; el incumplimiento puede activar el derecho de acción privada tras una brecha.
  • Cybersecurity audits (from 2026): realizar auditorías de ciberseguridad anuales e independientes que evalúen la seguridad frente a frameworks reconocidos, con gap analysis y remediation.
  • Evaluaciones de riesgos: evaluar y documentar los riesgos de las actividades de tratamiento de alto riesgo.

Requisitos de seguridad del CCPA en detalle

Seguridad razonable y el derecho de acción privada

La CCPA exige procedimientos y prácticas de seguridad razonables, y los consumidores pueden ejercer una acción legal privada cuando una filtración de datos resulta del incumplimiento de mantenerlos. Las pruebas de penetración y el análisis de vulnerabilidades en las aplicaciones que manejan datos de consumidores constituyen evidencia práctica de "seguridad razonable".

Normativa de auditoría de ciberseguridad de la CPPA (2026)

Las regulaciones de la CPPA, en vigor desde el 1 de enero de 2026, exigen a las empresas dentro del alcance realizar auditorías anuales de ciberseguridad evaluadas contra marcos reconocidos (como NIST e ISO), incluyendo un análisis de brechas y remediación. Las pruebas regulares de aplicaciones generan la evidencia que requiere un auditor.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades que socavan la «seguridad razonable» se corresponden estrechamente con el OWASP Top 10:

  • Control de acceso roto — los usuarios acceden a datos o acciones que no deberían.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
  • Insecure Design — falta de controles de seguridad por diseño, no solo por errores.
  • Security Misconfiguration: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
  • Fallos de identificación y autenticación — gestión deficiente de inicios de sesión, sesiones o credenciales.
  • Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF) — el servidor se engaña para realizar solicitudes maliciosas. Para las aplicaciones móviles, la referencia equivalente es OWASP Mobile Top 10 (almacenamiento de datos inseguro, comunicación insegura, criptografía débil, etc.). Detectar estos problemas de manera fiable requiere probar la aplicación en ejecución, no solo revisar la documentación.
Presentación corporativa [PDF]

Cómo abordar la seguridad de aplicaciones bajo el CCPA con ImmuniWeb

  1. Mapea tu exposición. Realiza un inventario de las aplicaciones orientadas a Internet que manejan datos de consumidores con ImmuniWeb Discovery.
  2. Prueba aplicaciones web con On-Demand (pruebas de penetración) y Neuron (escaneo).
  3. Prueba las aplicaciones móviles con MobileSuite y Neuron Mobile.
  4. Apoye las auditorías de ciberseguridad con informes referenciados a NIST/ISO, análisis de brechas y remediación.
  5. Remediar y volver a probar con informes accionables y cero falsos positivos.
  6. Monitorea continuamente con Continuous y Discovery.

Cómo ImmuniWeb le ayuda a lograr el cumplimiento de la CCPA

ImmuniWeb ayuda a las empresas a demostrar una «seguridad razonable» y a aportar las pruebas que exige el régimen de auditorías de ciberseguridad de la CCPA.

Requisito Lo que requiere Productos ImmuniWeb
Seguridad razonable Implementar y demostrar prácticas de seguridad razonables. On-Demand, Neuron, Discovery, Continuous
Auditorías de ciberseguridad Benchmarking, análisis de brechas y remediación conforme a NIST/ISO. On-Demand, Neuron
Apps y datos Aplicaciones web/móviles seguras que manejan datos de consumidores. On-Demand, Neuron, MobileSuite, Neuron Mobile

ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración web y móvil; Neuron y Neuron Mobile proporcionan escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea su superficie de ataque; todo ello demuestra una seguridad razonable y respalda las auditorías de ciberseguridad.

CCPA frente a marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
CCPA de California Seguridad razonable y auditorías de ciberseguridad Pruebas de penetración web y móvil, escaneo, ASM, evidencia de auditoría
EU GDPR Artículo 32: Seguridad del tratamiento Las mismas pruebas cubren ambos
NIST CSF 2.0 funciones Protect / Detect Pruebas y monitoreo de aplicaciones
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles
Presentación corporativa [PDF]

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Inventario de aplicaciones expuestas a Internet que manejan datos de consumidores
  • Aplicaciones web probadas contra el Top 10 de OWASP
  • Aplicaciones móviles probadas conforme al OWASP Mobile Top 10
  • Prácticas de seguridad razonables implementadas y demostradas
  • Preparación para auditorías de ciberseguridad alineada con NIST/ISO
  • Los hallazgos se subsanan y se revalidan; se conservan los registros
  • Evaluaciones de riesgo para el tratamiento de alto riesgo

Por qué importa el cumplimiento de la CCPA

La CPPA y el Fiscal General aplican activamente la CCPA, y el derecho de acción privado vincula las filtraciones de datos con el incumplimiento de la «seguridad razonable», una base frecuente para acciones colectivas. El nuevo régimen de auditorías de ciberseguridad eleva aún más los requisitos.

Dado que las aplicaciones web y móviles son un vector principal de brechas, asegurarlas y probarlas de manera demostrable es una de las formas más claras de evidenciar la seguridad razonable y superar las auditorías de ciberseguridad en el mayor mercado de EE. UU.

Presentación corporativa [PDF]

Preguntas frecuentes

  • P
    ¿Qué es la CCPA?
    A
    La California Consumer Privacy Act, modificada por la CPRA, es la principal ley estatal de privacidad de EE. UU., cuya aplicación corre a cargo de la CPPA y del Fiscal General.
  • P
    ¿Quién debe cumplir con la CCPA?
    A
    Empresas con ánimo de lucro que operan en California y alcanzan un umbral de ingresos, volumen de datos o ingresos por datos.
  • P
    ¿Qué medidas de seguridad exige la CCPA?
    A
    Procedimientos y prácticas de seguridad razonables; las nuevas regulaciones de la CPPA añaden auditorías anuales de ciberseguridad y evaluaciones de riesgos a partir de 2026.
  • P
    ¿Cuáles son las nuevas normas de auditoría de ciberseguridad de la CCPA?
    A
    Los reglamentos de la CPPA, vigentes a partir del 1 de enero de 2026, exigen a las empresas comprendidas en su ámbito realizar auditorías anuales independientes de ciberseguridad alineadas con marcos reconocidos, con análisis de brechas y remediación.
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con la CCPA?
    A
    Mediante la prueba de aplicaciones web y móviles que manejan datos de consumidores para demostrar una seguridad razonable y respaldar auditorías de ciberseguridad.
  • P
    ¿Cuáles son las sanciones bajo el CCPA?
    A
    Sanciones civiles de hasta 2.500 dólares por infracción (o 7.500 dólares en caso de infracciones intencionadas o que afecten a menores), además de un derecho de acción privado por incumplimientos.
Rellene los campos resaltados en rojo a continuación.

Talk to a Specialist about
California Consumer Privacy Act (CCPA) Compliance

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Este sitio web utiliza cookies para ofrecerle una mejor experiencia de navegación. Para obtener más información, visite nuestra Política de privacidad. Al continuar utilizando este sitio web, usted acepta el uso de cookies.

Hable con un experto