Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Cumplimiento de la Ley SHIELD de Nueva York

New York's SHIELD Act requires businesses to protect private information with reasonable safeguards. Learn how ImmuniWeb helps you meet its technical-safeguards requirements.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento de la Ley SHIELD de Nueva York
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la Ley SHIELD de Nueva York

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento de la Ley SHIELD de Nueva York

¿Qué es la Ley SHIELD de Nueva York?

La Ley SHIELD amplió las obligaciones de notificación de violaciones de Nueva York (Sección 899-aa) y, por primera vez, impuso un requisito positivo de seguridad de datos (Sección 899-bb): cualquier empresa que posea información privada de residentes de Nueva York debe desarrollar, implementar y mantener salvaguardas razonables para proteger dicha información.

La Ley describe salvaguardas administrativas, técnicas y físicas. Los ejemplos de sus salvaguardas técnicas incluyen evaluar los riesgos en el diseño de redes y software, así como probar y supervisar regularmente la eficacia de los controles clave.

See how ImmuniWeb helps you meet the SHIELD Act's reasonable technical safeguards - testing and monitoring the apps that hold private information. Request a demo· or run a free Community Edition test.

¿Quién debe cumplir con la Ley SHIELD?

La Ley SHIELD se aplica a:

  • Cualquier persona o empresa que posea o licencie información privada informatizada de residentes de Nueva York.
  • Empresas fuera de Nueva York que posean información privada de residentes de Nueva York (alcance extraterritorial).
  • Cualquier sector y tamaño —con un estándar menos estricto para las pequeñas empresas, adaptado a su tamaño y complejidad—.

Cualquier empresa que opere aplicaciones web y móviles que contengan información privada de residentes de NY debe protegerlas y probarlas.

Requisitos clave de la Ley SHIELD para la seguridad de aplicaciones

La seguridad de las aplicaciones se enmarca dentro de los resguardos técnicos razonables de la Sección 899-bb:

  • Assess risks in software design: assess risks in network and software design and in information processing, transmission and storage.
  • Detectar, prevenir y responder: detectar, prevenir y responder a ataques o fallos del sistema.
  • Probar y supervisar los controles clave: probar y supervisar periódicamente la eficacia de los controles clave, sistemas y procedimientos.

Requisitos de seguridad del SHIELD Act en profundidad

Artículo 899-bb: Medidas de seguridad técnicas razonables

El artículo 899-bb espera que las empresas evalúen los riesgos en el diseño de redes y software y que detecten, prevengan y respondan a los ataques. Las pruebas de penetración y el escaneo de vulnerabilidades de aplicaciones web y móviles son formas prácticas de evaluar los riesgos del diseño de software y validar que los controles resisten ante ataques reales.

Pruebas y monitoreo de controles clave

La Ley exige específicamente probar y monitorear regularmente la eficacia de los controles clave, sistemas y procedimientos. El escaneo continuo y las pruebas de penetración periódicas, junto con el monitoreo de la superficie de ataque, operativizan este requisito.

Riesgos comunes en aplicaciones web y móviles a abordar

Los riesgos de la aplicación que la Ley SHIELD espera que aborde coinciden estrechamente con el OWASP Top 10:

  • Control de acceso roto — usuarios accediendo a datos o acciones a los que no deberían.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Security Misconfiguration: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
  • Fallos de identificación y autenticación — gestión deficiente de inicios de sesión, sesiones o credenciales.
  • Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo abordar la seguridad de las aplicaciones según la Ley SHIELD con ImmuniWeb

  1. Mapa tu exposición. Realiza un inventario de las aplicaciones orientadas a Internet que almacenan información privada con ImmuniWeb Discovery.
  2. Prueba aplicaciones web con On-Demand (pruebas de penetración) y Neuron (escaneo).
  3. Prueba las aplicaciones móviles con MobileSuite y Neuron Mobile.
  4. Evalúe los controles clave regularmente y remedie las vulnerabilidades con informes accionables y sin falsos positivos.
  5. Siga probando de forma continua con Continuous en CI/CD.
  6. Monitorea las filtraciones con el monitoreo de la Dark Web de Discovery.

Cómo ImmuniWeb le ayuda a cumplir con la Ley SHIELD

ImmuniWeb ayuda a las empresas a implementar y demostrar las medidas técnicas razonables de seguridad que exige la sección 899-bb.

Requisito Lo que requiere Productos ImmuniWeb
Evaluar riesgos de diseño de software Identifica vulnerabilidades en aplicaciones y software. On-Demand, Neuron, Discovery
Detectar y responder Detectar, prevenir y responder a ataques. Neuron, Continuous, Discovery
Prueba de controles clave Evalúe y supervise periódicamente la eficacia de los controles. On-Demand, Neuron, MobileSuite, Neuron Mobile

ImmuniWeb On-Demand y MobileSuite proporcionan pruebas de penetración web y móvil; Neuron y Neuron Mobile ofrecen escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea su superficie de ataque y monitorea la Dark Web, evidenciando las salvaguardas técnicas razonables de la Ley SHIELD.

La Ley SHIELD y los marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Marco Enfoque de seguridad de aplicaciones Mapeo de ImmuniWeb
New York SHIELD Act Medidas de seguridad técnicas razonables (899-bb) Pruebas de penetración web y móvil, escaneo, ASM, monitorización de Dark Web
CCPA de California Seguridad razonable Las mismas pruebas cubren ambos
Parte 500 del NYDFS 500.5 pruebas de penetración + evaluaciones Las mismas pruebas cubren ambos
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Inventario de aplicaciones expuestas a Internet que contienen información privada
  • Aplicaciones web probadas contra el Top 10 de OWASP
  • Aplicaciones móviles probadas conforme al OWASP Mobile Top 10
  • Riesgos de diseño de software evaluados y mitigados
  • Controles clave probados y monitoreados regularmente
  • Los hallazgos se subsanan y se revalidan; se conservan los registros
  • Proceso de notificación de brechas y monitoreo de exposición implementados

Por qué es importante el cumplimiento de la Ley SHIELD

The SHIELD Act is enforced by the New York Attorney General, which can seek civil penalties for failures to maintain reasonable safeguards or to notify breaches. Because it applies to any business holding NY residents' private information, its reach is broad - extending well beyond New York-based companies.

Dado que las aplicaciones web y móviles son un vector principal de brechas, probar y monitorearlas de manera demostrable es una de las formas más claras de cumplir con las salvaguardias técnicas razonables de SHIELD Act.

Preguntas frecuentes

  • P
    ¿Qué es la Ley SHIELD de Nueva York?
    A
    La Ley para Detener Hackeos y Mejorar la Seguridad de los Datos Electrónicos (2019), que amplió la ley de notificación de violaciones de Nueva York y añadió un requisito de seguridad de datos (GBL 899-bb).
  • P
    Who enforces the SHIELD Act?
    A
    El Fiscal General de Nueva York.
  • P
    ¿Quién debe cumplir con el SHIELD Act?
    A
    Cualquier persona o empresa que posea o tenga licencia sobre información privada computarizada de residentes de Nueva York, incluidas las empresas fuera de Nueva York.
  • P
    ¿Qué exige el artículo 899-bb?
    A
    Medidas administrativas, técnicas y físicas razonables, incluidas la evaluación de los riesgos del diseño del software y la realización periódica de pruebas y el monitoreo de la eficacia de los controles clave.
  • P
    ¿La Ley SHIELD requiere pruebas de seguridad?
    A
    Su norma de «medidas de seguridad técnicas razonables» se cumple en la práctica mediante pruebas de penetración, análisis de vulnerabilidades y supervisión de los sistemas que contienen información privada.
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con la Ley SHIELD?
    A
    Mediante pruebas y protección de aplicaciones web y móviles que contienen información privada, y mediante la monitorización de la superficie de ataque para detectar exposición.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la Ley SHIELD de Nueva York

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto