Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Singapore PDPA Compliance

Singapore's PDPA requires organisations to make reasonable security arrangements for personal data. Learn how ImmuniWeb helps you meet the Section 24 Protection Obligation.

Tiempo de lectura:8 min. Actualizado:20 de junio de 2025
Singapur, Ley de Protección de Datos Personales (PDPA), Cumplimiento
Rellene los campos resaltados en rojo a continuación.

Talk to a Specialist about
Singapore PDPA Compliance and Cybersecurity

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento de la PDPA de Singapur y ciberseguridad

¿Qué es la PDPA de Singapur?

La PDPA regula la recopilación, el uso y la divulgación de datos personales por parte de las organizaciones. Establece una serie de obligaciones de protección de datos —que incluyen el consentimiento, la limitación de la finalidad, la notificación, el acceso y la rectificación— y exige a las organizaciones que designen un Delegado de Protección de Datos.

Se aplica a las organizaciones que tratan datos personales en Singapur, incluidas las con sede en el extranjero. La PDPC fiscaliza activamente la Ley y publica sus decisiones de aplicación.

See how ImmuniWeb helps you meet PDPA's Section 24 Protection Obligation- reasonable security arrangements for the apps that hold personal data. Request a demo· or run a free Community Edition test.

Who Must Comply with PDPA?

La PDPA se aplica a:

  • Organisations(including foreign organisations) that collect, use or disclose personal data in Singapore.
  • Intermediarios de datos que tratan datos personales en nombre de otra organización.
  • Cualquier sector y tamaño: la obligación de protección se aplica independientemente de la industria.

Any organisation running web and mobile applications that hold personal data must make reasonable security arrangements and test them.

Key PDPA Requirements for Application Security

La seguridad de las aplicaciones se encuadra en la Protección Obligation:

  • Artículo 24 - Obligación de Protección: realizar arreglos de seguridad razonables para proteger los datos personales en su posesión o control contra el acceso, recolección, uso, divulgación, copia, modificación, disposición no autorizados o riesgos similares.
  • Obligación de notificación de violaciones de datos: notificar a la PDPC (y a las personas afectadas cuando corresponda) las violaciones de datos notificables.
  • Accountability: put in place policies and practices, including a Data Protection Officer, to meet the obligations.

Requisitos de seguridad de la PDPA en detalle

Sección 24 - Obligación de protección

El artículo 24 exige «medidas de seguridad razonables» para proteger los datos personales. Para los sistemas expuestos a Internet, esto implica asegurar y probar periódicamente las aplicaciones web y móviles, así como las APIs que contienen datos personales, y corregir las vulnerabilidades detectadas, tanto antes como después de cambios significativos.

Data Breach Notification

Since 2021, organisations must assess and notify the PDPC of notifiable breaches, generally within set timeframes. Reducing breach likelihood through regular application testing is the most effective way to avoid triggering this obligation.

Riesgos comunes en aplicaciones web y móviles a abordar

Las violaciones de datos personales suelen comenzar con aplicaciones web y móviles vulnerables. Los riesgos que la Sección 24 espera que aborde se alinean estrechamente con el OWASP Top 10:

  • Control de acceso defectuoso: los usuarios acceden a datos o acciones a las que no deberían.
  • Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
  • Inyección — Inyección SQL, de comandos u otro tipo a través de entradas no validadas.
  • Diseño inseguro — falta de controles de seguridad por diseño, no solo por errores.
  • Configuración de seguridad incorrecta: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
  • Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
  • Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo abordar la seguridad de aplicaciones según la PDPA con ImmuniWeb

  1. Map your exposure.Inventory internet-facing apps and assets with ImmuniWeb Discovery.
  2. Pruebe las aplicaciones web con On-Demand (pruebas de penetración) y Neuron (escaneo).
  3. Prueba las aplicaciones móviles con MobileSuite y Neuron Mobile.
  4. Remediate and retest with actionable reports evidencing 'reasonable security arrangements'.
  5. Realice pruebas de forma continua con Continuous en CI/CD y repruebas periódicas.
  6. Monitorea las filtraciones con el monitoreo de la Dark Web de Discovery para la preparación ante brechas.

Cómo ayuda ImmuniWeb a lograr el cumplimiento de la PDPA

ImmuniWeb ayuda a las organizaciones a implementar y demostrar las «medidas de seguridad razonables» que exige el artículo 24.

Requisito Lo que requiere Productos ImmuniWeb
Artículo 24 Medidas de seguridad razonables para proteger los datos personales. On-Demand, Neuron, Discovery, Continuous
Apps y datos Aplicaciones web/móviles seguras que almacenan datos personales. On-Demand, Neuron, MobileSuite, Neuron Mobile
Preparación ante brechas de datos Detectar la exposición y filtración de datos para reducir las brechas notificables. Discovery (ASM / Dark Web)

ImmuniWeb On-Demand y MobileSuite entregan web y mobile penetration testing; Neuron y Neuron Mobile proporcionan escaneo automatizado; Continuous integra las pruebas en CI/CD; y Discovery mapea tu superficie de ataque y supervisa la Dark Web en busca de datos personales filtrados.

PDPA frente a los marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
PDPA de Singapur Artículo 24: Obligación de protección Pruebas de penetración web y móvil, escaneo, ASM, monitorización de Dark Web
Hong Kong PDPO DPP4: seguridad de los datos personales Las mismas pruebas cubren ambos
EU GDPR Artículo 32: Seguridad del tratamiento Las mismas pruebas cubren ambos
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Inventario de aplicaciones expuestas a Internet y activos expuestos
  • Aplicaciones web probadas contra el Top 10 de OWASP
  • Aplicaciones móviles probadas conforme al OWASP Mobile Top 10
  • Medidas de seguridad razonables implementadas y verificadas (artículo 24)
  • Los intermediarios de datos están sujetos a normas de seguridad equivalentes
  • Los hallazgos se subsanan y se revalidan; se conservan los registros
  • Proceso de notificación de brechas y monitoreo de exposición implementados

Por qué importa el cumplimiento de la PDPA

Desde las enmiendas de 2021, la PDPC puede imponer multas de hasta 1 millón de S$ o el 10 % de la facturación anual de una organización en Singapur, lo que sea mayor, junto con la notificación obligatoria de violaciones de datos. La PDPC publica sus decisiones, por lo que la aplicación de la ley es transparente.

Dado que las aplicaciones web y móviles son uno de los principales vectores de brechas, asegurarlas y probarlas de manera demostrable es una de las formas más claras de cumplir con el artículo 24 y proteger una marca en un importante centro regional.

Preguntas frecuentes

  • P
    ¿Qué es la PDPA de Singapur?
    A
    La Ley de Protección de Datos Personales de 2012, la ley de protección de datos de Singapur, administrada por la Comisión de Protección de Datos Personales (PDPC).
  • P
    ¿Quién regula la PDPA?
    A
    La Comisión de Protección de Datos Personales (PDPC).
  • P
    ¿Quién debe cumplir con la PDPA?
    A
    Las organizaciones (incluidas las extranjeras) que recopilan, utilizan o divulgan datos personales en Singapur, y sus intermediarios de datos.
  • P
    What is the Section 24 Protection Obligation?
    A
    Exige a las organizaciones que adopten medidas de seguridad razonables para proteger los datos personales contra acceso, uso y divulgación no autorizados, así como contra riesgos similares.
  • P
    Does the PDPA require security testing?
    A
    El estándar de «medidas de seguridad razonables» del artículo 24 se cumple en la práctica mediante pruebas de penetración y escaneo de vulnerabilidades de los sistemas que almacenan datos personales.
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con la PDPA?
    A
    Al probar y asegurar las aplicaciones web y móviles que contienen datos personales, y al supervisar la superficie de ataque para detectar exposiciones.
  • P
    ¿Cuáles son las sanciones previstas en la PDPA?
    A
    Hasta 1 millón de dólares singapurenses o el 10 % de la facturación anual en Singapur, lo que sea mayor, además de la notificación obligatoria de brechas.
Rellene los campos resaltados en rojo a continuación.

Talk to a Specialist about
Singapore PDPA Compliance and Cybersecurity

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto