Cumplimiento de la Ley SHIELD de Nueva York
New York's SHIELD Act requires businesses to protect private information with reasonable safeguards. Learn how ImmuniWeb helps you meet its technical-safeguards requirements.
Cumplimiento de la Ley SHIELD de Nueva York
¿Qué es la Ley SHIELD de Nueva York?
La Ley SHIELD amplió las obligaciones de notificación de violaciones de Nueva York (Sección 899-aa) y, por primera vez, impuso un requisito positivo de seguridad de datos (Sección 899-bb): cualquier empresa que posea información privada de residentes de Nueva York debe desarrollar, implementar y mantener salvaguardas razonables para proteger dicha información.
La Ley describe salvaguardas administrativas, técnicas y físicas. Los ejemplos de sus salvaguardas técnicas incluyen evaluar los riesgos en el diseño de redes y software, así como probar y supervisar regularmente la eficacia de los controles clave.
See how ImmuniWeb helps you meet the SHIELD Act's reasonable technical safeguards - testing and monitoring the apps that hold private information. Request a demo· or run a free Community Edition test.
¿Quién debe cumplir con la Ley SHIELD?
La Ley SHIELD se aplica a:
- Cualquier persona o empresa que posea o licencie información privada informatizada de residentes de Nueva York.
- Empresas fuera de Nueva York que posean información privada de residentes de Nueva York (alcance extraterritorial).
- Cualquier sector y tamaño —con un estándar menos estricto para las pequeñas empresas, adaptado a su tamaño y complejidad—.
Cualquier empresa que opere aplicaciones web y móviles que contengan información privada de residentes de NY debe protegerlas y probarlas.
Requisitos clave de la Ley SHIELD para la seguridad de aplicaciones
La seguridad de las aplicaciones se enmarca dentro de los resguardos técnicos razonables de la Sección 899-bb:
- Assess risks in software design: assess risks in network and software design and in information processing, transmission and storage.
- Detectar, prevenir y responder: detectar, prevenir y responder a ataques o fallos del sistema.
- Probar y supervisar los controles clave: probar y supervisar periódicamente la eficacia de los controles clave, sistemas y procedimientos.
Requisitos de seguridad del SHIELD Act en profundidad
Artículo 899-bb: Medidas de seguridad técnicas razonables
El artículo 899-bb espera que las empresas evalúen los riesgos en el diseño de redes y software y que detecten, prevengan y respondan a los ataques. Las pruebas de penetración y el escaneo de vulnerabilidades de aplicaciones web y móviles son formas prácticas de evaluar los riesgos del diseño de software y validar que los controles resisten ante ataques reales.
Pruebas y monitoreo de controles clave
La Ley exige específicamente probar y monitorear regularmente la eficacia de los controles clave, sistemas y procedimientos. El escaneo continuo y las pruebas de penetración periódicas, junto con el monitoreo de la superficie de ataque, operativizan este requisito.
Riesgos comunes en aplicaciones web y móviles a abordar
Los riesgos de la aplicación que la Ley SHIELD espera que aborde coinciden estrechamente con el OWASP Top 10:
- Control de acceso roto — usuarios accediendo a datos o acciones a los que no deberían.
- Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
- Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
- Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
- Security Misconfiguration: configuración predeterminada, incompleta o insegura.
- Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
- Fallos de identificación y autenticación — gestión deficiente de inicios de sesión, sesiones o credenciales.
- Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
- Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.
For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.
Cómo abordar la seguridad de las aplicaciones según la Ley SHIELD con ImmuniWeb
- Mapa tu exposición. Realiza un inventario de las aplicaciones orientadas a Internet que almacenan información privada con ImmuniWeb Discovery.
- Prueba aplicaciones web con On-Demand (pruebas de penetración) y Neuron (escaneo).
- Prueba las aplicaciones móviles con MobileSuite y Neuron Mobile.
- Evalúe los controles clave regularmente y remedie las vulnerabilidades con informes accionables y sin falsos positivos.
- Siga probando de forma continua con Continuous en CI/CD.
- Monitorea las filtraciones con el monitoreo de la Dark Web de Discovery.
Cómo ImmuniWeb le ayuda a cumplir con la Ley SHIELD
ImmuniWeb ayuda a las empresas a implementar y demostrar las medidas técnicas razonables de seguridad que exige la sección 899-bb.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| Evaluar riesgos de diseño de software | Identifica vulnerabilidades en aplicaciones y software. | On-Demand, Neuron, Discovery |
| Detectar y responder | Detectar, prevenir y responder a ataques. | Neuron, Continuous, Discovery |
| Prueba de controles clave | Evalúe y supervise periódicamente la eficacia de los controles. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
ImmuniWeb On-Demand y MobileSuite proporcionan pruebas de penetración web y móvil; Neuron y Neuron Mobile ofrecen escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea su superficie de ataque y monitorea la Dark Web, evidenciando las salvaguardas técnicas razonables de la Ley SHIELD.
La Ley SHIELD y los marcos internacionales
Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:
| Framework | Perspectiva de la seguridad de aplicaciones | Marco Enfoque de seguridad de aplicaciones Mapeo de ImmuniWeb |
|---|---|---|
| New York SHIELD Act | Medidas de seguridad técnicas razonables (899-bb) | Pruebas de penetración web y móvil, escaneo, ASM, monitorización de Dark Web |
| CCPA de California | Seguridad razonable | Las mismas pruebas cubren ambos |
| Parte 500 del NYDFS | 500.5 pruebas de penetración + evaluaciones | Las mismas pruebas cubren ambos |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas como evidencia de controles |
Pruebas de penetración frente a escaneo de seguridad
Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.
Lista de verificación de cumplimiento (Application Security)
- Inventario de aplicaciones expuestas a Internet que contienen información privada
- Aplicaciones web probadas contra el Top 10 de OWASP
- Aplicaciones móviles probadas conforme al OWASP Mobile Top 10
- Riesgos de diseño de software evaluados y mitigados
- Controles clave probados y monitoreados regularmente
- Los hallazgos se subsanan y se revalidan; se conservan los registros
- Proceso de notificación de brechas y monitoreo de exposición implementados
Por qué es importante el cumplimiento de la Ley SHIELD
The SHIELD Act is enforced by the New York Attorney General, which can seek civil penalties for failures to maintain reasonable safeguards or to notify breaches. Because it applies to any business holding NY residents' private information, its reach is broad - extending well beyond New York-based companies.
Dado que las aplicaciones web y móviles son un vector principal de brechas, probar y monitorearlas de manera demostrable es una de las formas más claras de cumplir con las salvaguardias técnicas razonables de SHIELD Act.