Cumplimiento con la FINMA suiza
FINMA Circular 2023/1 requires Swiss banks to manage operational and cyber risk and test their resilience. Learn how ImmuniWeb supports its vulnerability analyses and penetration testing.
Cumplimiento con la FINMA suiza
What Is FINMA's operational-risk circular?
Circular 2023/1 concretizes FINMA's supervisory practice on operational risk, ICT governance, cyber risk, critical-data handling, cross-border services and operational resilience. Operational resilience is the ability to restore critical functions within a defined tolerance after a disruption.
En materia de ciberriesgo, se espera que las instituciones identifiquen, protejan, detecten, respondan y se recuperen de las amenazas cibernéticas —incluyendo la realización de análisis periódicos de vulnerabilidades, pruebas de penetración y ejercicios cibernéticos— y notifiquen los ciberataques a FINMA conforme a la Directriz 05/2020.
Mira cómo ImmuniWeb apoya los análisis de vulnerabilidades y las pruebas de penetración de FINMA - para las aplicaciones bancarias que importan. Solicita una demo· o ejecuta una prueba gratuita de la Community Edition.
¿Quién debe cumplir con FINMA?
La Circular 2023/1 se aplica a:
- Swiss banks and securities firms supervised by FINMA.
- Grupos financieros y conglomerados dentro del ámbito de supervisión de la FINMA.
- Otras instituciones, en una medida proporcional, basada en su tamaño, complejidad y perfil de riesgo.
Las aplicaciones web, móviles y de API que operan estas instituciones se encuentran dentro de las expectativas cibernéticas de la circular.
Key FINMA Requirements for Application Security
En la gestión de riesgos cibernéticos, varias expectativas impulsan el trabajo de seguridad de aplicaciones:
- • Análisis de vulnerabilidades: realizar análisis periódicos para identificar vulnerabilidades en los sistemas y aplicaciones de TIC.
- • Pruebas de penetración: realizar pruebas de penetración periódicas; se espera que las instituciones de mayor tamaño utilicen pruebas guiadas por amenazas (comparables a TIBER/TLPT).
- • Proteger y responder: proteger la confidencialidad, la integridad y la disponibilidad de los datos críticos y las TIC, y responder a las vulnerabilidades identificadas.
FINMA Cyber Requirements in Depth
Vulnerability Analyses and Penetration Testing
La FINMA espera que las instituciones realicen análisis periódicos de vulnerabilidades y pruebas de penetración de sus sistemas y aplicaciones de TIC, y que subsanen los problemas encontrados. Las revisiones de supervisión han señalado pruebas demasiado limitadas; por lo tanto, es importante cubrir las aplicaciones web, móviles y API relevantes, con pruebas orientadas a amenazas para las instituciones de mayor tamaño.
Protección de riesgos cibernéticos y notificación de incidentes
Las instituciones deben proteger los datos críticos y las TIC, abordar las vulnerabilidades y reportar los ciberataques a la FINMA: una alerta temprana en 24 horas y un informe detallado en 72 horas, conforme a la Directriz 05/2020. Reducir la probabilidad de incidentes mediante pruebas periódicas apoya ambos requisitos.
Riesgos comunes en aplicaciones web y móviles a abordar
Las vulnerabilidades de las aplicaciones que FINMA espera que detecte se alinean estrechamente con el OWASP Top 10:
- Control de acceso defectuoso: los usuarios acceden a datos o acciones a las que no deberían.
- Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
- Inyección — Inyección SQL, de comandos u otro tipo a través de entradas no validadas.
- Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
- Configuración de seguridad incorrecta: configuración predeterminada, incompleta o insegura.
- Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
- Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
- Fallos en la integridad del software y de los datos: actualizaciones no confiables, pipelines CI/CD inseguros.
- Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.
For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.
Cómo dar apoyo a la Circular FINMA 2023/1 con ImmuniWeb
- Map ICT assets. Inventory internet-facing banking apps and APIs with ImmuniWeb Discovery.
- Ejecute análisis de vulnerabilidades con el escaneo de Neuron.
- Realiza pruebas de penetración en aplicaciones web y móviles con On-Demand y MobileSuite.
- Apoye las pruebas guiadas por amenazas con intervenciones manuales lideradas por expertos para instituciones de mayor envergadura.
- Remediar y volver a probar con informes accionables y cero falsos positivos.
- Pruebe continuamente con Continuous en CI/CD.
How ImmuniWeb Helps You Achieve FINMA Compliance
ImmuniWeb soporta las expectativas de la FINMA en materia de análisis de vulnerabilidades y pruebas de penetración con evidencia lista para la revisión supervisora.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| Pruebas de penetración | Pruebas de penetración periódicas y basadas en amenazas. | On-Demand, MobileSuite |
| Análisis de vulnerabilidades | Regular vulnerability analyses and remediation. | Neuron, Discovery |
| Desarrollo seguro | Embed testing across the life cycle. | Continuous |
ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing (including support for threat-led engagements); Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for FINMA supervision.
FINMA y los marcos internacionales
Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:
| Framework | Perspectiva de la seguridad de aplicaciones | Cómo mapea ImmuniWeb |
|---|---|---|
| Circular FINMA 2023/1 | Análisis de vulnerabilidades + pruebas de penetración | Pruebas de penetración web y móvil, escaneo, ASM y soporte basado en amenazas |
| EU DORA | Pruebas de resiliencia (sector financiero) | Las mismas pruebas cubren ambos |
| Swiss FADP | Seguridad de los datos (artículo 8) | Las mismas pruebas cubren ambos |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas como evidencia de controles |
Pruebas de penetración frente a escaneo de seguridad
Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.
Lista de verificación de cumplimiento (Application Security)
- Inventario de aplicaciones bancarias expuestas en Internet y API
- Análisis de vulnerabilidades periódicos realizados
- Pruebas de penetración realizadas (basadas en amenazas para instituciones de mayor tamaño)
- Critical data and ICT protected; vulnerabilities remediated
- Los hallazgos se remedian y se revalidan; se conserva la evidencia.
- Flujo de trabajo de notificación de ciberataques preparado (24 h / 72 h)
- Pruebas de resiliencia operativa para funciones críticas
Por qué el cumplimiento de FINMA es fundamental
La FINMA supervisa a las instituciones financieras suizas y exige una gestión demostrable del riesgo cibernético, incluidos análisis periódicos de vulnerabilidades y pruebas de penetración de sistemas críticos, con un estricto régimen de notificación de ciberataques de 24 horas / 72 horas. Las revisiones de supervisión han señalado específicamente pruebas demasiado estrechas.
Dado que las aplicaciones web, móviles y de API constituyen una superficie de ataque primaria para los bancos, las pruebas demostrables son una de las formas más directas de cumplir con los requisitos de ciberseguridad de la FINMA y respaldar la resiliencia operativa.