Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Cumplimiento de la normativa DFS de Nueva York (23 NYCRR 500)

La Regulación de Ciberseguridad del NYDFS exige que las entidades financieras cubiertas realicen pruebas de penetración y evaluaciones de vulnerabilidad anuales. Descubra cómo ImmuniWeb apoya la Sección 500.5.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
New York DFS Cybersecurity Regulation Compliance
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre el cumplimiento de la normativa de ciberseguridad del NYDFS

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

New York DFS Cybersecurity Regulation Compliance

¿Qué es la normativa de ciberseguridad de NYDFS?

La Parte 500 exige que cada Covered Entity mantenga un programa de ciberseguridad basado en riesgos con controles prescriptivos: una risk assessment, un CISO, multi-factor authentication, cifrado, access controls, monitoring y logging, un asset inventory, notificación de incidentes dentro de las 72 horas y una certificación anual firmada por el CEO y el CISO.

La Segunda Enmienda añadió supervisión a nivel de la junta directiva, amplió los requisitos de notificación, introdujo el escaneo automatizado de vulnerabilidades con revisión manual y estableció requisitos adicionales para las empresas más grandes de «Clase A». La certificación anual crea responsabilidad personal para los altos directivos.

Vea cómo ImmuniWeb soporta las pruebas de penetración y evaluaciones de vulnerabilidades de la Sección 500.5 del NYDFS para las aplicaciones financieras que ejecuta. Solicite una demostración· o ejecute una prueba gratuita de la Community Edition.

¿Quién debe cumplir con la Parte 500 de la NYDFS?

La Parte 500 se aplica a las Entidades Cubiertas:

  • Bancos y entidades de crédito con licencia o autorizados por NYDFS.
  • Insurance companies operating under NYDFS authorization.
  • Otras entidades de servicios financieros (incluidos los proveedores hipotecarios); las empresas más grandes de «Clase A» deben cumplir requisitos adicionales.

Las aplicaciones web, móviles y de API que operan estas entidades están dentro del alcance de los requisitos de pruebas de la Parte 500.

Key NYDFS Requirements for Application Security

La seguridad de las aplicaciones se rige por la Sección 500.5:

  • 500.5(a) - Pruebas de penetración: pruebas de penetración anuales de los sistemas de información según la evaluación de riesgos.
  • 500.5(b) - Evaluaciones de vulnerabilidad: evaluaciones de vulnerabilidad semestrales, que incluyan análisis automatizados y revisión manual de los sistemas.
  • Monitoring and remediation: monitor for, and remediate in a timely way, vulnerabilities found.

Requisitos de la Parte 500 del NYDFS en detalle

Sección 500.5: Pruebas de penetración y evaluaciones de vulnerabilidades

La Sección 500.5 requiere pruebas de penetración anuales de los sistemas de información basadas en la evaluación de riesgos, además de evaluaciones de vulnerabilidad semestrales que incluyan escaneos automatizados y revisión manual de sistemas no cubiertos por otros medios. Las pruebas de penetración y el escaneo de aplicaciones web y móviles y APIs satisfacen directamente estos requisitos.

Seguridad de aplicaciones en el programa

Beyond 500.5, los requisitos del programa en materia de monitoreo, control de acceso y evaluación de riesgos afectan todos a la seguridad de las aplicaciones. El escaneo continuo y las pruebas de penetración periódicas, con la remediación rastreada, mantienen el programa eficaz y listo para presentar evidencias.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades que la Sección 500.5 espera que identifiques coinciden estrechamente con el OWASP Top 10:

  • Control de acceso roto — los usuarios acceden a datos o acciones que no deberían.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Security Misconfiguration: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
  • Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
  • Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo apoyar la Parte 500 de la NYDFS con ImmuniWeb

  1. 1. Realice un mapeo de sus sistemas. Realice un inventario de las aplicaciones financieras y APIs expuestas a internet con ImmuniWeb Discovery.
  2. 2. Prueba de penetración anual (500.5(a)) con On-Demand y MobileSuite.
  3. 3. Ejecute evaluaciones de vulnerabilidad (500.5(b)) con Neuron, semestralmente.
  4. 4. Remediar y volver a probar con informes accionables y sin falsos positivos.
  5. 5. Prueba continuamente con Continuous en CI/CD.
  6. 6. Prepare la evidencia para la certificación anual y las revisiones del NYDFS.

Cómo ImmuniWeb le ayuda a cumplir con NYDFS Part 500

ImmuniWeb apoya la Sección 500.5 mediante las pruebas de penetración y las evaluaciones de vulnerabilidades que exige el NYDFS, con evidencia lista para auditorías.

Requisito Lo que requiere Productos ImmuniWeb
500.5(a) Pruebas de penetración anuales. On-Demand, MobileSuite
500.5(b) Evaluaciones de vulnerabilidades semestrales (escaneos + revisión). Neuron, Discovery
Programa y remediación Monitoreo y remediación; desarrollo seguro. Continuous, On-Demand

ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración web y móviles; Neuron y Neuron Mobile proporcionan escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea la superficie de ataque, generando evidencia para la certificación anual de NYDFS.

Parte 500 del NYDFS frente a los marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
Parte 500 del NYDFS 500.5 pentest + evaluaciones de vulnerabilidades Pruebas de penetración web/móviles + escaneo + ASM
Regla de Salvaguardas de la FTC Pruebas según 314.4(d) Las mismas pruebas cubren ambos
EU DORA Pruebas de resiliencia Las mismas pruebas cubren ambos
NIST CSF 2.0 funciones Protect / Detect Pruebas y monitoreo de aplicaciones

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Inventario de aplicaciones financieras y APIs expuestas a Internet
  • Pruebas de penetración anuales realizadas (500.5(a))
  • Evaluaciones de vulnerabilidad semestrales realizadas (500.5(b))
  • Escaneos automatizados y revisión manual implementados
  • Los hallazgos se remedian y se revalidan; se conserva la evidencia.
  • Proceso de notificación de incidentes listo (72 horas)
  • Evidencia preparada para la certificación anual del CEO/CISO

Por qué es importante el cumplimiento de la Parte 500 del NYDFS

El NYDFS aplica la Parte 500 de manera enérgica, mediante órdenes de consentimiento y multas de hasta USD 30 millones, y la certificación anual firmada por el CEO y el CISO genera responsabilidad personal. Las penetration testing y vulnerability assessments son obligaciones explícitas y recurrentes conforme a la Sección 500.5.

Dado que las aplicaciones web, móviles y de API constituyen una superficie de ataque principal para las instituciones financieras, las pruebas demostrables son una de las formas más directas de cumplir con la Parte 500 y evitar sanciones.

Preguntas frecuentes

  • P
    ¿Qué es el 23 NYCRR 500?
    A
    El Reglamento de Ciberseguridad de NYDFS es un mandato prescriptivo de ciberseguridad para las instituciones financieras con licencia o autorizadas por el Departamento de Servicios Financieros de Nueva York, vigente desde 2017.
  • P
    ¿Quién debe cumplir con la Parte 500 del NYDFS?
    A
    Entidades Cubiertas: bancos, aseguradoras, proveedores de hipotecas y otras entidades con licencia o autorización del NYDFS; las grandes empresas de «Clase A» están sujetas a requisitos adicionales.
  • P
    ¿Qué exige la sección 500.5?
    A
    Pruebas de penetración anuales basadas en la evaluación de riesgos y evaluaciones de vulnerabilidad semestrales, que incluyen escaneos automatizados y revisión manual.
  • P
    ¿Qué ha cambiado en la segunda enmienda?
    A
    La Segunda Enmienda de 2023 (con implementación gradual hasta noviembre de 2025) añadió supervisión del consejo de administración, escaneos automatizados con revisión manual, requisitos ampliados de notificación y de Clase A, y certificación del CEO/CISO.
  • P
    ¿Cómo ayuda ImmuniWeb con la Parte 500 del NYDFS?
    A
    Proporcionando las pruebas de penetración anuales y las evaluaciones de vulnerabilidad semestrales requeridas por la Sección 500.5 para aplicaciones web y móviles y APIs.
  • P
    ¿Cuáles son las sanciones bajo Part 500?
    A
    El NYDFS ha emitido órdenes de consentimiento y multas de hasta 30 millones de USD, con responsabilidad personal para los altos directivos mediante la certificación anual.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre el cumplimiento de la normativa de ciberseguridad del NYDFS

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto