Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Cumplimiento de la norma de salvaguardias de la FTC de EE. UU.

La FTC Safeguards Rule exige a las instituciones financieras no bancarias que evalúen sus defensas mediante penetration testing y vulnerability assessments. Descubre cómo ImmuniWeb apoya la sección 314.4(d).

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento de la norma de salvaguardias de la FTC de EE. UU.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la US FTC Safeguards Rule

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento de la norma de salvaguardias de la FTC de EE. UU.

¿Qué es la FTC Safeguards Rule?

La Norma de Medidas de Protección exige a las instituciones afectadas que desarrollen y mantengan un programa de seguridad de la información por escrito con nueve elementos fundamentales: un Individuo Calificado para supervisarlo, una evaluación de riesgos, controles de acceso, cifrado, autenticación multifactorial, prácticas de desarrollo seguro, monitoreo y pruebas, un plan de respuesta ante incidentes, supervisión de proveedores de servicios y un informe anual.

The 2023 amendment added a breach-notification obligation: institutions must notify the FTC within 30 days of discovering a security event involving the unencrypted information of 500 or more consumers. Institutions with fewer than 5,000 consumers are exempt from certain requirements.

See how ImmuniWeb supports FTC Safeguards Rule Section 314.4(d)- penetration testing and vulnerability assessments of your systems. Request a demo· or run a free Community Edition test.

Who Must Comply with FTC Safeguards Rule?

La Norma de Salvaguardias se aplica a las instituciones financieras no bancarias, incluidas:

  • Concesionarios de automóviles, agentes hipotecarios y prestamistas que realizan financiación o arrendamiento.
  • Preparadores de impuestos, contadores y asesores crediticios que manejan información financiera de los clientes.
  • Otras entidades «involucradas significativamente» en actividades financieras bajo la jurisdicción de la FTC.

Institutions running web and mobile applications that handle customer information must test and secure them.

Requisitos clave de la «Safeguards Rule» para la seguridad de aplicaciones

Application security is driven by the monitoring-and-testing requirement:

  • 314.4(d) - Monitoreo y pruebas: implementar un monitoreo continuo o realizar pruebas de penetración anuales y evaluaciones de vulnerabilidades al menos cada seis meses.
  • Pruebas de penetración: al menos una vez al año, centradas en los riesgos identificados, cuando no exista monitoreo continuo.
  • Evaluaciones de vulnerabilidades: al menos cada seis meses, o tras un cambio sustancial en las operaciones.

Requisitos de la Safeguards Rule en profundidad

Section 314.4(d) - Penetration Testing and Vulnerability Assessments

Absent effective continuous monitoring, the Safeguards Rule requires annual penetration testing targeted to identified risks and vulnerability assessments at least every six months. The FTC separates penetration testing from vulnerability scanning, signalling that it expects testing that validates real-world exploitability - which is exactly what manual penetration testing provides.

Desarrollo seguro y notificación de brechas

La Norma también exige un desarrollo seguro de aplicaciones y una remediación oportuna, y la enmienda de 2023 obliga a notificar a la FTC en un plazo de 30 días tras una violación de datos elegible. Reducir la probabilidad de violaciones mediante pruebas periódicas respalda ambos aspectos.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades que la Safeguards Rule espera que encuentre se corresponden estrechamente con el OWASP Top 10:

  • Control de acceso roto — los usuarios acceden a datos o acciones que no deberían.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — Inyección SQL, de comandos u otro tipo a través de entradas no validadas.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Security Misconfiguration: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
  • Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
  • Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo apoyar la FTC Safeguards Rule con ImmuniWeb

  1. Mapee los sistemas de datos de los clientes. Realice un inventario de las aplicaciones y activos expuestos a Internet con ImmuniWeb Discovery.
  2. Prueba de penetración anual (314.4(d)) con On-Demand y MobileSuite.
  3. Run vulnerability assessments with Neuron, at least every six months.
  4. Remediar y volver a probar con informes accionables y cero falsos positivos.
  5. Secure development with Continuous in CI/CD.
  6. Preparar pruebas para el informe anual del Individuo Calificado.

Cómo le ayuda ImmuniWeb a cumplir con la FTC Safeguards Rule

ImmuniWeb facilita el cumplimiento de la Sección 314.4(d) mediante las pruebas de penetración y las evaluaciones de vulnerabilidad que exige el Safeguards Rule.

Requisito Lo que requiere Productos ImmuniWeb
314.4(d) - penetration testing Annual penetration testing targeted to risks. On-Demand, MobileSuite
314.4(d) - vulnerability assessments Evaluaciones al menos cada seis meses. Neuron, Discovery
Desarrollo seguro Desarrollar aplicaciones de forma segura; remediar fallos. Continuous, On-Demand

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for the Safeguards Rule's monitoring-and-testing requirement.

FTC Safeguards Rule vs marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
Regla de Salvaguardas de la FTC 314.4(d) pruebas de penetración + evaluaciones de vulnerabilidad Pruebas de penetración web/móviles + escaneo + ASM
Parte 500 del NYDFS 500.5 pruebas de penetración + evaluaciones Las mismas pruebas cubren ambos
NIST CSF 2.0 funciones Protect / Detect Pruebas y monitoreo de aplicaciones
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Inventario de aplicaciones expuestas a Internet que manejan información de clientes
  • Pruebas de penetración anuales realizadas (314.4(d))
  • Evaluaciones de vulnerabilidad al menos cada seis meses
  • Prácticas de desarrollo seguro aplicadas
  • Los hallazgos se remedian y se revalidan; se conserva la evidencia.
  • Proceso de notificación de violaciones de datos preparado (FTC, 30 días)
  • Evidencia preparada para el informe anual

Por qué es importante el cumplimiento de la FTC Safeguards Rule

The FTC enforces the Safeguards Rule, with civil penalties per violation and potential personal liability for officers, and breach reports are generally made public. Penetration testing and vulnerability assessments are explicit requirements where continuous monitoring is not in place.

Dado que las aplicaciones web y móviles que gestionan información financiera de los clientes son un objetivo prioritario, las pruebas demostrables son una de las formas más directas de cumplir con la sección 314.4(d) y reducir el riesgo de violaciones de seguridad.

Preguntas frecuentes

  • P
    ¿Qué es la Regla de Salvaguardas de la FTC?
    A
    A rule under the Gramm-Leach-Bliley Act (16 CFR Part 314) requiring non-bank financial institutions to maintain a written information security program; enforceable since 9 June 2023.
  • P
    ¿Quién debe cumplir con la Safeguards Rule?
    A
    Entidades financieras no bancarias bajo la jurisdicción de la FTC: concesionarios de automóviles, corredores de hipotecas, preparadores de impuestos, contadores y otros implicados significativamente en actividades financieras.
  • P
    ¿Qué exige la Sección 314.4(d)?
    A
    Monitoreo continuo, o pruebas de penetración anuales y evaluaciones de vulnerabilidad al menos cada seis meses.
  • P
    ¿Exige la Norma de Medidas de Protección pruebas de penetración?
    A
    Sí: cuando no se dispone de un monitoreo continuo eficaz, se requieren pruebas de penetración anuales y evaluaciones de vulnerabilidad semestrales.
  • P
    When must breaches be reported to the FTC?
    A
    En un plazo de 30 días tras descubrir un incidente de seguridad que involucre información no cifrada de 500 o más consumidores (desde el 13 de mayo de 2024).
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con la Norma de Salvaguardas?
    A
    By providing the annual penetration testing and bi-annual vulnerability assessments required under Section 314.4(d) for web and mobile applications.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la US FTC Safeguards Rule

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto