Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Cumplimiento con la FINMA suiza

FINMA Circular 2023/1 requires Swiss banks to manage operational and cyber risk and test their resilience. Learn how ImmuniWeb supports its vulnerability analyses and penetration testing.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento de la Circular 2023/1 de FINMA
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la FINMA

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento con la FINMA suiza

What Is FINMA's operational-risk circular?

Circular 2023/1 concretizes FINMA's supervisory practice on operational risk, ICT governance, cyber risk, critical-data handling, cross-border services and operational resilience. Operational resilience is the ability to restore critical functions within a defined tolerance after a disruption.

En materia de ciberriesgo, se espera que las instituciones identifiquen, protejan, detecten, respondan y se recuperen de las amenazas cibernéticas —incluyendo la realización de análisis periódicos de vulnerabilidades, pruebas de penetración y ejercicios cibernéticos— y notifiquen los ciberataques a FINMA conforme a la Directriz 05/2020.

Mira cómo ImmuniWeb apoya los análisis de vulnerabilidades y las pruebas de penetración de FINMA - para las aplicaciones bancarias que importan. Solicita una demo· o ejecuta una prueba gratuita de la Community Edition.

¿Quién debe cumplir con FINMA?

La Circular 2023/1 se aplica a:

  • Swiss banks and securities firms supervised by FINMA.
  • Grupos financieros y conglomerados dentro del ámbito de supervisión de la FINMA.
  • Otras instituciones, en una medida proporcional, basada en su tamaño, complejidad y perfil de riesgo.

Las aplicaciones web, móviles y de API que operan estas instituciones se encuentran dentro de las expectativas cibernéticas de la circular.

Key FINMA Requirements for Application Security

En la gestión de riesgos cibernéticos, varias expectativas impulsan el trabajo de seguridad de aplicaciones:

  • • Análisis de vulnerabilidades: realizar análisis periódicos para identificar vulnerabilidades en los sistemas y aplicaciones de TIC.
  • • Pruebas de penetración: realizar pruebas de penetración periódicas; se espera que las instituciones de mayor tamaño utilicen pruebas guiadas por amenazas (comparables a TIBER/TLPT).
  • • Proteger y responder: proteger la confidencialidad, la integridad y la disponibilidad de los datos críticos y las TIC, y responder a las vulnerabilidades identificadas.

FINMA Cyber Requirements in Depth

Vulnerability Analyses and Penetration Testing

La FINMA espera que las instituciones realicen análisis periódicos de vulnerabilidades y pruebas de penetración de sus sistemas y aplicaciones de TIC, y que subsanen los problemas encontrados. Las revisiones de supervisión han señalado pruebas demasiado limitadas; por lo tanto, es importante cubrir las aplicaciones web, móviles y API relevantes, con pruebas orientadas a amenazas para las instituciones de mayor tamaño.

Protección de riesgos cibernéticos y notificación de incidentes

Las instituciones deben proteger los datos críticos y las TIC, abordar las vulnerabilidades y reportar los ciberataques a la FINMA: una alerta temprana en 24 horas y un informe detallado en 72 horas, conforme a la Directriz 05/2020. Reducir la probabilidad de incidentes mediante pruebas periódicas apoya ambos requisitos.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades de las aplicaciones que FINMA espera que detecte se alinean estrechamente con el OWASP Top 10:

  • Control de acceso defectuoso: los usuarios acceden a datos o acciones a las que no deberían.
  • Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
  • Inyección — Inyección SQL, de comandos u otro tipo a través de entradas no validadas.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Configuración de seguridad incorrecta: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
  • Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
  • Fallos en la integridad del software y de los datos: actualizaciones no confiables, pipelines CI/CD inseguros.
  • Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo dar apoyo a la Circular FINMA 2023/1 con ImmuniWeb

  1. Map ICT assets. Inventory internet-facing banking apps and APIs with ImmuniWeb Discovery.
  2. Ejecute análisis de vulnerabilidades con el escaneo de Neuron.
  3. Realiza pruebas de penetración en aplicaciones web y móviles con On-Demand y MobileSuite.
  4. Apoye las pruebas guiadas por amenazas con intervenciones manuales lideradas por expertos para instituciones de mayor envergadura.
  5. Remediar y volver a probar con informes accionables y cero falsos positivos.
  6. Pruebe continuamente con Continuous en CI/CD.

How ImmuniWeb Helps You Achieve FINMA Compliance

ImmuniWeb soporta las expectativas de la FINMA en materia de análisis de vulnerabilidades y pruebas de penetración con evidencia lista para la revisión supervisora.

Requisito Lo que requiere Productos ImmuniWeb
Pruebas de penetración Pruebas de penetración periódicas y basadas en amenazas. On-Demand, MobileSuite
Análisis de vulnerabilidades Regular vulnerability analyses and remediation. Neuron, Discovery
Desarrollo seguro Embed testing across the life cycle. Continuous

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing (including support for threat-led engagements); Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for FINMA supervision.

FINMA y los marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
Circular FINMA 2023/1 Análisis de vulnerabilidades + pruebas de penetración Pruebas de penetración web y móvil, escaneo, ASM y soporte basado en amenazas
EU DORA Pruebas de resiliencia (sector financiero) Las mismas pruebas cubren ambos
Swiss FADP Seguridad de los datos (artículo 8) Las mismas pruebas cubren ambos
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Inventario de aplicaciones bancarias expuestas en Internet y API
  • Análisis de vulnerabilidades periódicos realizados
  • Pruebas de penetración realizadas (basadas en amenazas para instituciones de mayor tamaño)
  • Critical data and ICT protected; vulnerabilities remediated
  • Los hallazgos se remedian y se revalidan; se conserva la evidencia.
  • Flujo de trabajo de notificación de ciberataques preparado (24 h / 72 h)
  • Pruebas de resiliencia operativa para funciones críticas

Por qué el cumplimiento de FINMA es fundamental

La FINMA supervisa a las instituciones financieras suizas y exige una gestión demostrable del riesgo cibernético, incluidos análisis periódicos de vulnerabilidades y pruebas de penetración de sistemas críticos, con un estricto régimen de notificación de ciberataques de 24 horas / 72 horas. Las revisiones de supervisión han señalado específicamente pruebas demasiado estrechas.

Dado que las aplicaciones web, móviles y de API constituyen una superficie de ataque primaria para los bancos, las pruebas demostrables son una de las formas más directas de cumplir con los requisitos de ciberseguridad de la FINMA y respaldar la resiliencia operativa.

Preguntas frecuentes

  • P
    ¿Qué es la Circular 2023/1 de la FINMA?
    A
    La circular de la FINMA «Riesgos operativos y resiliencia: bancos», en vigor desde el 1 de enero de 2024, establece las expectativas en materia de riesgos operativos, ciberseguridad y resiliencia para las entidades financieras suizas.
  • P
    ¿Quién debe cumplir con la Circular 2023/1 de la FINMA?
    A
    Swiss banks and securities firms, with proportionate expectations extending to other institutions based on size, complexity and risk.
  • P
    What does FINMA expect for cyber testing?
    A
    Análisis periódicos de vulnerabilidades y pruebas de penetración, con pruebas basadas en amenazas (comparables a TIBER/TLPT) para las entidades de mayor tamaño.
  • P
    ¿Cuáles son los plazos de notificación de ciberataques de la FINMA?
    A
    Una alerta temprana dentro de las 24 horas y un informe detallado dentro de las 72 horas, de acuerdo con la Guía FINMA 05/2020.
  • P
    How does ImmuniWeb help with FINMA compliance?
    A
    Proporcionando análisis de vulnerabilidades y pruebas de penetración web y móvil (incluido el apoyo a intervenciones basadas en amenazas) con evidencia para la revisión supervisora.
  • P
    ¿Se aplica la FINMA a entidades no bancarias?
    A
    The circular targets banks and securities firms, but many expectations apply proportionately to other supervised institutions.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la FINMA

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto