Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

SAMA Cyber Security Framework Compliance

El Marco de Ciberseguridad de la SAMA es obligatorio para las instituciones financieras saudíes. Descubre cómo ImmuniWeb cumple con sus requisitos de gestión de vulnerabilidades y pruebas de penetración.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento del Marco de Ciberseguridad (1.0) de la Autoridad Monetaria de Arabia Saudita (SAMA)
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre el cumplimiento del SAMA Cyber Security Framework (1.0)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento del Marco de Ciberseguridad (1.0) de la Autoridad Monetaria de Arabia Saudita (SAMA)

¿Qué es el Marco de Ciberseguridad de la SAMA?

El SAMA CSF establece la línea base de ciberseguridad para las instituciones financieras saudíes. Está organizado en dominios principales —que cubren liderazgo y gobernanza, gestión de riesgos y cumplimiento, operaciones y tecnología, y ciberseguridad de terceros—, cada uno con subdominios y controles.

Controls are assessed against a maturity model, and Member Organizations submit periodic self-assessments to SAMA. Supervisory reviews expect demonstrable evidence - including penetration testing results - that technical controls are functioning, not merely documented.

Descubre cómo ImmuniWeb facilita la gestión de vulnerabilidades y las pruebas de penetración del SAMA CSF para las aplicaciones que ejecuta tu institución. Solicita una demostración · o ejecuta una prueba gratuita de la Community Edition.

¿Quién debe cumplir con el SAMA CSF?

El SAMA CSF se aplica a todas las Organizaciones Miembro de la SAMA:

  • Bancos y aseguradoras regulados por el Banco Central de Arabia Saudí.
  • Empresas financieras y agencias de información crediticia bajo la supervisión de la SAMA.
  • Infraestructura del mercado financiero y otras entidades reguladas por SAMA.

Las aplicaciones web, móviles y de API que operan estas instituciones están sujetas a los controles técnicos del marco.

Requisitos clave del CSF de la SAMA para la seguridad de las aplicaciones

Dentro del dominio de operaciones y tecnología, varios controles impulsan las actividades de seguridad de aplicaciones:

  • Desarrollo seguro de software: aplique un ciclo de vida de desarrollo de software seguro para las aplicaciones.
  • Gestión de vulnerabilidades: realizar evaluaciones periódicas de vulnerabilidades y subsanar los hallazgos dentro de los plazos previstos por la SAMA.
  • Pruebas de penetración: realizar pruebas de penetración periódicas y estructuradas como evidencia de que los controles técnicos funcionan, a diferencia del escaneo de vulnerabilidades.

Requisitos de seguridad de aplicaciones del SAMA CSF a fondo

Gestión de vulnerabilidades y pruebas de penetración

SAMA expects institutions to run regular vulnerability assessments and structured penetration testing, with critical and high findings remediated within expected timeframes. Supervisory reviews specifically look for penetration testing evidence, so combining continuous scanning with periodic manual penetration testing is key.

Desarrollo seguro de software

El marco exige un ciclo de vida de desarrollo de software seguro. Incorporar pruebas de seguridad en el desarrollo y probar las aplicaciones antes de su lanzamiento mantiene su seguridad y proporciona evidencia de madurez frente al SAMA CSF.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades de la aplicación que el marco espera que encuentres se corresponden estrechamente con el OWASP Top 10:

  • Control de acceso defectuoso: los usuarios acceden a datos o acciones a las que no deberían.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — Inyección SQL, de comandos u otro tipo a través de entradas no validadas.
  • Insecure Design — falta de controles de seguridad por diseño, no solo por errores.
  • Configuración de seguridad incorrecta: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
  • Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
  • Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo apoyar el cumplimiento del CSF de la SAMA con ImmuniWeb

  1. Mapee sus activos. Inventarie las aplicaciones y APIs expuestas a Internet con ImmuniWeb Discovery.
  2. Gestione las vulnerabilidades con Neuron scanning y tracked remediation.
  3. Pruebas de penetración de aplicaciones web y móviles con On-Demand y MobileSuite.
  4. Desarrollo seguro con Continuous en CI/CD.
  5. Remedie dentro del SLA utilizando informes accionables sin falsos positivos.
  6. Prepare la evidencia para la autoevaluación anual de SAMA y las revisiones de supervisión.

Cómo le ayuda ImmuniWeb a cumplir con el SAMA CSF

ImmuniWeb soporta los requisitos de gestión de vulnerabilidades, pruebas de penetración y desarrollo seguro del SAMA CSF con evidencia lista para evaluación.

Requisito Lo que requiere Productos ImmuniWeb
Pruebas de penetración Pruebas de penetración periódicas y estructuradas. On-Demand, MobileSuite
Vulnerability management Evaluaciones periódicas y medidas correctivas. Neuron, Discovery
Desarrollo seguro Ciclo de vida del desarrollo de software seguro. Continuous, On-Demand

ImmuniWeb On-Demand y MobileSuite entregan pruebas de penetración web y móviles; Neuron y Neuron Mobile proporcionan escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea su superficie de ataque, generando la evidencia que esperan las revisiones de supervisión de SAMA.

El CSF de SAMA frente a los marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
SAMA CSF Gestión de vulnerabilidades + pruebas de penetración Pruebas de penetración web/móvil, escaneo, ASM
ECC de la NCA de Arabia Saudí National Essential Cybersecurity Controls Las mismas pruebas cubren ambos
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles
PCI DSS 4.0.1 Requisitos 6 y 11 Pentest + escaneo de aplicaciones web

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Inventario de aplicaciones, API y activos expuestos a Internet
  • Evaluaciones periódicas de vulnerabilidades realizadas
  • Pruebas de penetración estructuradas realizadas
  • Critical/high findings remediated within expected timeframes
  • Ciclo de vida de desarrollo de software seguro aplicado
  • Objetivos de madurez alcanzados (normalmente Nivel 3 o superior)
  • Evidence prepared for the annual SAMA self-assessment

Por qué importa el cumplimiento del SAMA CSF

The SAMA CSF is mandatory for Saudi financial institutions, and the Saudi Central Bank conducts supervisory reviews and can issue formal warnings, directives and corrective-action requirements. Institutions are expected to reach defined maturity levels and to evidence that controls actually work.

Dado que las aplicaciones web, móviles y de API constituyen una superficie de ataque principal para las instituciones financieras, las pruebas de penetración demostrables y la gestión de vulnerabilidades se encuentran entre las formas más directas de evidenciar los controles técnicos del framework.

Preguntas frecuentes

  • P
    What is the SAMA Cyber Security Framework?
    A
    A mandatory cybersecurity governance framework issued by the Saudi Central Bank (SAMA) in 2017, setting the minimum cybersecurity baseline for Saudi financial institutions.
  • P
    ¿Quién debe cumplir con el SAMA CSF?
    A
    Todas las Organizaciones Miembro de la SAMA: bancos, aseguradoras, empresas financieras, agencias de información crediticia e infraestructuras del mercado financiero.
  • P
    ¿Cómo se evalúa el SAMA CSF?
    A
    Los controles se evalúan según un modelo de madurez, y las organizaciones miembros presentan autoevaluaciones periódicas a la SAMA, respaldadas por revisiones de supervisión.
  • P
    ¿Exige el SAMA CSF pruebas de penetración?
    A
    Sí: se esperan pruebas de penetración periódicas y estructuradas como evidencia de que los controles técnicos funcionan, distinto del escaneo de vulnerabilidades.
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con el SAMA CSF?
    A
    Proporcionando pruebas de penetración, gestión de vulnerabilidades y pruebas de desarrollo seguro para aplicaciones web y móviles, con evidencia para revisiones de supervisión.
  • P
    ¿A qué nivel de madurez deben aspirar las instituciones?
    A
    Por lo general, se espera que las instituciones alcancen el Nivel 3 o superior, en función de los requisitos de la SAMA para su categoría.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre el cumplimiento del SAMA Cyber Security Framework (1.0)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto