Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Centro de seguridad en Internet
Total de pruebas:
485,773,462
Esta semana:
737,046
Hoy:
130,956
ImmuniWebCumplimientoCumplimiento de la Ley SHIELD de Nueva York

Cumplimiento de la Ley SHIELD de Nueva York

New York's SHIELD Act requires businesses to protect private information with reasonable safeguards. Learn how ImmuniWeb helps you meet its technical-safeguards requirements.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento de la Ley SHIELD de Nueva York
Descargo de responsabilidad: No constituye asesoramiento legal. The Stop Hacks and Improve Electronic Data Security (SHIELD) Act, enacted in 2019, expanded New York's data breach notification law and added a data-security requirement under General Business Law Section 899-bb. It is enforced by the New York Attorney General and applies to any person or business that holds the private information of New York residents, wherever the business is based.
Rellene los campos resaltados en rojo a continuación.

Talk to a Specialist about
New York SHIELD Act Compliance

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento de la Ley SHIELD de Nueva York

What Is the New York SHIELD Act?

The SHIELD Act broadened New York's breach-notification obligations (Section 899-aa) and, for the first time, imposed an affirmative data-security requirement (Section 899-bb): any business holding the private information of New York residents must develop, implement and maintain reasonable safeguards to protect that information.

The Act describes administrative, technical and physical safeguards. Its technical-safeguards examples include assessing risks in network and software design and regularly testing and monitoring the effectiveness of key controls.

See how ImmuniWeb helps you meet the SHIELD Act's reasonable technical safeguards - testing and monitoring the apps that hold private information. Request a demo· or run a free Community Edition test.

Who Must Comply with SHIELD Act?

La Ley SHIELD se aplica a:

  • Cualquier persona o empresa que posea o licencie información privada informatizada de residentes de Nueva York.
  • Empresas fuera de Nueva York que posean información privada de residentes de Nueva York (alcance extraterritorial).
  • Any sector and size size - with a lighter-touch standard for small businesses, scaled to their size and complexity.

Any business running web and mobile applications that hold private information of NY residents must secure and test them.

Presentación corporativa [PDF]

Key SHIELD Act Requirements for Application Security

Application security sits within the reasonable technical safeguards of Section 899-bb:

  • Assess risks in software design: assess risks in network and software design and in information processing, transmission and storage.
  • Detect, prevent and respond: detect, prevent and respond to attacks or system failures.
  • Test and monitor key controls: regularly test and monitor the effectiveness of key controls, systems and procedures.

SHIELD Act Security Requirements in Depth

Artículo 899-bb: Medidas de seguridad técnicas razonables

Section 899-bb expects businesses to assess risks in network and software design and to detect, prevent and respond to attacks. Penetration testing and vulnerability scanning of web and mobile applications are practical ways to assess software-design risks and validate that controls hold against real attacks.

Testing and Monitoring Key Controls

La Ley exige específicamente probar y monitorear regularmente la eficacia de los controles clave, sistemas y procedimientos. El escaneo continuo y las pruebas de penetración periódicas, junto con el monitoreo de la superficie de ataque, operativizan este requisito.

Riesgos comunes en aplicaciones web y móviles a abordar

The application risks the SHIELD Act expects you to address map closely to the OWASP Top 10:

  • Broken Access Control — users reaching data or actions they should not.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Security Misconfiguration: configuración predeterminada, incompleta o insegura.
  • Vulnerable & Outdated Components — unpatched libraries and frameworks.
  • Fallos de identificación y autenticación — gestión deficiente de inicios de sesión, sesiones o credenciales.
  • Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Presentación corporativa [PDF]

Cómo abordar la seguridad de las aplicaciones según la Ley SHIELD con ImmuniWeb

  1. Mapa tu exposición. Realiza un inventario de las aplicaciones orientadas a Internet que almacenan información privada con ImmuniWeb Discovery.
  2. Prueba aplicaciones web con On-Demand (pruebas de penetración) y Neuron (escaneo).
  3. Prueba las aplicaciones móviles con MobileSuite y Neuron Mobile.
  4. Evalúe los controles clave regularmente y remedie las vulnerabilidades con informes accionables y sin falsos positivos.
  5. Siga probando de forma continua con Continuous en CI/CD.
  6. Monitorea las filtraciones con el monitoreo de la Dark Web de Discovery.

Cómo ImmuniWeb le ayuda a cumplir con la Ley SHIELD

ImmuniWeb ayuda a las empresas a implementar y demostrar las medidas técnicas razonables de seguridad que exige la sección 899-bb.

Requisito Lo que requiere Productos ImmuniWeb
Evaluar riesgos de diseño de software Identifica vulnerabilidades en aplicaciones y software. On-Demand, Neuron, Discovery
Detect & respond Detect, prevent and respond to attacks. Neuron, Continuous, Discovery
Test key controls Evalúe y supervise periódicamente la eficacia de los controles. On-Demand, Neuron, MobileSuite, Neuron Mobile

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps your attack surface and monitors the dark web - evidencing the SHIELD Act's reasonable technical safeguards.

La Ley SHIELD y los marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Marco Enfoque de seguridad de aplicaciones Mapeo de ImmuniWeb
New York SHIELD Act Medidas de seguridad técnicas razonables (899-bb) Pruebas de penetración web y móvil, escaneo, ASM, monitorización de Dark Web
CCPA de California Seguridad razonable Las mismas pruebas cubren ambos
NYDFS Part 500 500.5 pentest + assessments Las mismas pruebas cubren ambos
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles
Presentación corporativa [PDF]

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Inventario de aplicaciones expuestas a Internet que contienen información privada
  • Aplicaciones web probadas contra el Top 10 de OWASP
  • Aplicaciones móviles probadas conforme al OWASP Mobile Top 10
  • Riesgos de diseño de software evaluados y mitigados
  • Controles clave probados y monitoreados regularmente
  • Los hallazgos se subsanan y se revalidan; se conservan los registros
  • Proceso de notificación de brechas y monitoreo de exposición implementados

Por qué es importante el cumplimiento de la Ley SHIELD

The SHIELD Act is enforced by the New York Attorney General, which can seek civil penalties for failures to maintain reasonable safeguards or to notify breaches. Because it applies to any business holding NY residents' private information, its reach is broad - extending well beyond New York-based companies.

Because web and mobile applications are a leading breach vector, demonstrably testing and monitoring them is one of the clearest ways to meet the SHIELD Act's reasonable technical safeguards.

Presentación corporativa [PDF]

Preguntas frecuentes

  • P
    ¿Qué es la Ley SHIELD de Nueva York?
    A
    The Stop Hacks and Improve Electronic Data Security Act (2019), which expanded New York's breach-notification law and added a data-security requirement (GBL 899-bb).
  • P
    Who enforces the SHIELD Act?
    A
    The New York Attorney General.
  • P
    ¿Quién debe cumplir con el SHIELD Act?
    A
    Any person or business that owns or licenses computerized private information of New York residents, including businesses outside New York.
  • P
    What does Section 899-bb require?
    A
    Reasonable administrative, technical and physical safeguards - including assessing software-design risks and regularly testing and monitoring the effectiveness of key controls.
  • P
    Does the SHIELD Act require security testing?
    A
    Su norma de «medidas de seguridad técnicas razonables» se cumple en la práctica mediante pruebas de penetración, análisis de vulnerabilidades y supervisión de los sistemas que contienen información privada.
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con la Ley SHIELD?
    A
    Mediante pruebas y protección de aplicaciones web y móviles que contienen información privada, y mediante la monitorización de la superficie de ataque para detectar exposición.
Rellene los campos resaltados en rojo a continuación.

Talk to a Specialist about
New York SHIELD Act Compliance

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Este sitio web utiliza cookies para ofrecerle una mejor experiencia de navegación. Para obtener más información, visite nuestra Política de privacidad. Al continuar utilizando este sitio web, usted acepta el uso de cookies.

Hable con un experto