Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Hong Kong PDPO Compliance

La Ordenanza de Hong Kong sobre Datos Personales (Privacidad) (PDPO) exige a los usuarios de datos proteger los datos personales con todas las medidas de seguridad factibles. Descubre cómo ImmuniWeb te ayuda a cumplir el Principio de Protección de Datos 4.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento de la Ordenanza sobre Privacidad de Datos Personales (PDPO) de Hong Kong
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la Ordenanza sobre la Protección de Datos Personales de Hong Kong (PDPO)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento de la Ordenanza sobre Privacidad de Datos Personales (PDPO) de Hong Kong

¿Qué es la PDPO de Hong Kong?

El PDPO regula cómo las organizaciones recopilan, almacenan, procesan y utilizan los datos personales. Sus seis Principios de Protección de Datos cubren la finalidad y los medios de recopilación, la exactitud y la retención, el uso, la seguridad, la transparencia, y el acceso y rectificación por parte del sujeto de los datos.

Se aplica a los «usuarios de datos» que controlan la recopilación, almacenamiento, procesamiento o uso de datos personales. La PCPD investiga las quejas, emite avisos de cumplimiento y proporciona orientación, y las enmiendas de 2021 introdujeron delitos penales dirigidos al «doxxing».

See how ImmuniWeb helps you meet PDPO Data Protection Principle 4- the security of the personal data your web and mobile apps hold. Request a demo· or run a free Community Edition test.

¿Quién debe cumplir con la PDPO?

La PDPO se aplica a:

  • Data users (públicos o privados) que controlan la recogida, el almacenamiento, el tratamiento o el uso de datos personales en o desde Hong Kong.
  • Organizaciones de cualquier tamaño y sector que manejen datos personales de individuos.
  • Procesadores de datos contratados por usuarios de datos, quienes siguen siendo responsables de la seguridad de sus procesadores.

Cualquier organización que opere aplicaciones web y móviles que contengan datos personales debe adoptar todas las medidas factibles para protegerlos según el DPP4.

Requisitos clave de la PDPO para la seguridad de aplicaciones

La seguridad de las aplicaciones se rige por el Principio 4 de Protección de Datos:

  • DPP4 - Seguridad de los datos personales: adoptar todas las medidas viables para proteger los datos personales contra el acceso, el tratamiento, la supresión, la pérdida o el uso no autorizados o accidentales.
  • Consideraciones basadas en el riesgo: la sensibilidad de los datos, el perjuicio que podría causar una violación, dónde se almacenan los datos y las medidas de seguridad aplicadas a los sistemas y la transmisión.
  • Gestión de filtraciones de datos: la PCPD recomienda la gestión y notificación rápidas de las filtraciones, de acuerdo con sus directrices.

Requisitos de seguridad del PDPO en profundidad

DPP4 - Seguridad de los datos personales

La DPP4 exige a los usuarios de datos que adopten «todas las medidas viables» para mantener seguros los datos personales. En el caso de los sistemas orientados a Internet, esto implica realizar pruebas de vulnerabilidades en las aplicaciones web y móviles, las API y la infraestructura que albergan datos personales, y corregir los problemas detectados, tanto antes como después de cambios significativos.

Gestión de brechas de datos

Aunque la notificación de violaciones de seguridad ha sido históricamente recomendada en lugar de obligatoria, las directrices de la PCPD esperan una gestión y notificación rápidas. Reducir la probabilidad de violaciones mediante pruebas periódicas de aplicaciones es la forma más eficaz de anticiparse a estas expectativas.

Riesgos comunes en aplicaciones web y móviles a abordar

Las violaciones de datos personales suelen comenzar con aplicaciones web y móviles vulnerables. Los riesgos que la DPP4 exige que se aborden coinciden estrechamente con el OWASP Top 10:

  • Control de acceso defectuoso: los usuarios acceden a datos o acciones a las que no deberían.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Configuración de seguridad incorrecta: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
  • Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
  • Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo abordar la seguridad de aplicaciones según la PDPO con ImmuniWeb

  1. Map your exposure. Realice un inventario de aplicaciones y activos expuestos a Internet con ImmuniWeb Discovery.
  2. Pruebe las aplicaciones web con On-Demand (pruebas de penetración) y Neuron (escaneo).
  3. Prueba las aplicaciones móviles con MobileSuite y Neuron Mobile.
  4. Corrija los fallos y vuelva a realizar las pruebas con informes prácticos y sin falsos positivos: prueba de que se han tomado «todas las medidas viables».
  5. Realice pruebas de forma continua con Continuous en CI/CD y repruebas periódicas.
  6. Monitorear fugas con el monitoreo de la Dark Web de Discovery.

Cómo ImmuniWeb le ayuda a cumplir con la PDPO

ImmuniWeb ayuda a los usuarios de datos a adoptar y demostrar todas las medidas prácticas que exige la DPP4.

Requisito Lo que requiere Productos ImmuniWeb
DPP4 Adopte todas las medidas viables para proteger los datos personales. On-Demand, Neuron, Discovery, Continuous
Apps y datos Aplicaciones web/móviles seguras que almacenan datos personales. On-Demand, Neuron, MobileSuite, Neuron Mobile
Preparación ante brechas de datos Detectar exposiciones y datos filtrados; mantener la superficie de ataque mapeada. Discovery (ASM / Dark Web)

ImmuniWeb On-Demand y MobileSuite entregan web y mobile penetration testing; Neuron y Neuron Mobile proporcionan escaneo automatizado; Continuous integra las pruebas en CI/CD; y Discovery mapea tu superficie de ataque y supervisa la Dark Web en busca de datos personales filtrados.

PDPO vs Marcos Internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
Hong Kong PDPO DPP4: seguridad de los datos personales Pruebas de penetración web y móvil, escaneo, ASM, monitorización de Dark Web
PDPA de Singapur Artículo 24: Obligación de protección Las mismas pruebas cubren ambos
EU GDPR Artículo 32: Seguridad del tratamiento Las mismas pruebas cubren ambos
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Inventario de aplicaciones expuestas a Internet y activos expuestos
  • Aplicaciones web probadas contra el Top 10 de OWASP
  • Aplicaciones móviles probadas conforme al OWASP Mobile Top 10
  • Se han implementado y verificado todas las medidas de seguridad viables (DPP4)
  • Los encargados del tratamiento deben cumplir normas de seguridad equivalentes
  • Los hallazgos se subsanan y se revalidan; se conservan los registros
  • Monitoreo de exposición / Dark Web implementado

La importancia del cumplimiento de la PDPO

La PCPD puede emitir órdenes de ejecución, y el incumplimiento puede derivar en multas y, para los delitos de doxxing introducidos en 2021, multas de hasta HK$1,000,000 y hasta 5 años de prisión. Una violación también conlleva daño reputacional en un importante centro financiero.

Dado que las aplicaciones web y móviles son un principal vector de brechas, asegurar y probarlas de manera demostrable es una de las formas más claras de cumplir con el DPP4 y reducir el riesgo.

Preguntas frecuentes

  • P
    ¿Qué es la PDPO de Hong Kong?
    A
    La Ordenanza de Datos Personales (Privacidad) (Cap. 486), la ley de protección de datos de Hong Kong, en vigor desde 1996 y estructurada en torno a seis Principios de Protección de Datos.
  • P
    ¿Quién regula la PDPO?
    A
    La Oficina del Comisionado de Privacidad de Datos Personales (PCPD).
  • P
    ¿Quién debe cumplir con la PDPO?
    A
    Usuarios de datos (públicos o privados) que controlan la recogida, el almacenamiento, el tratamiento o el uso de datos personales en o desde Hong Kong.
  • P
    What is DPP4?
    A
    El Principio de Protección de Datos 4 exige a los usuarios de datos tomar todas las medidas posibles para proteger los datos personales contra el acceso, el tratamiento, la eliminación, la pérdida o el uso no autorizados o accidentales.
  • P
    ¿La PDPO exige pruebas de seguridad?
    A
    La norma de «todas las medidas viables» del DPP4 se cumple en la práctica mediante pruebas de penetración y escaneo de vulnerabilidades de los sistemas que almacenan datos personales.
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con el PDPO?
    A
    Al probar y asegurar las aplicaciones web y móviles que contienen datos personales, y al supervisar la superficie de ataque para detectar exposiciones.
  • P
    ¿Cuáles son las sanciones previstas en la PDPO?
    A
    Avisos de cumplimiento y multas; los delitos de doxxing pueden acarrear multas de hasta 1.000.000 de dólares de Hong Kong y penas de prisión de hasta 5 años.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la Ordenanza sobre la Protección de Datos Personales de Hong Kong (PDPO)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto