New York DFS (23 NYCRR 500) Compliance
Le règlement NYDFS en matière de cybersécurité exige que les entités financières concernées réalisent annuellement des tests d’intrusion et des évaluations de vulnérabilité. Découvrez comment ImmuniWeb soutient la section 500.5.
Conformité à la réglementation de cybersécurité du New York DFS
What Is the NYDFS Cybersecurity Regulation?
Part 500 requires each Covered Entity to maintain a risk-based cybersecurity program with prescriptive controls: a risk assessment, a CISO, multi-factor authentication, encryption, access controls, monitoring and logging, an asset inventory, incident notification within 72 hours, and an annual certification signed by the CEO and CISO.
The Second Amendment added board-level oversight, expanded notification, automated vulnerability scanning with manual review, and additional requirements for larger 'Class A' companies. The annual certification creates personal accountability for senior officers.
See how ImmuniWeb supports NYDFS Section 500.5 penetration testing and vulnerability assessments- for the financial applications you run. Request a demo· or run a free Community Edition test.
Who Must Comply with NYDFS Part 500?
La partie 500 s'applique aux entités couvertes:
- Banques et prêteurs agréés ou autorisés par la NYDFS.
- Sociétés d'assurance opérant sous l'autorisation de NYDFS.
- Autres entités de services financiers (y compris les prêteurs hypothécaires) ; les grandes entreprises de «classe A» sont soumises à des exigences supplémentaires.
Les applications Web, mobiles et API exploitées par ces entités relèvent du champ d’application des exigences de test de la Partie 500.
Key NYDFS Requirements for Application Security
La sécurité des applications est régie par la section 500.5:
- 500.5(a) - Penetration testing: annual penetration testing of information systems based on the risk assessment.
- 500.5(b) - Évaluations de vulnérabilité: évaluations de vulnérabilité semestrielles, incluant des scans automatisés et une revue manuelle des systèmes.
- Surveillance et remédiation: surveiller les vulnérabilités identifiées et y remédier dans les plus brefs délais.
Les exigences du NYDFS Part 500 en détail
Section 500.5 - Tests d'intrusion et évaluations de vulnérabilités
Section 500.5 requires annual penetration testing of information systems based on the risk assessment, plus bi-annual vulnerability assessments including automated scans and manual review of systems not otherwise covered. Penetration testing and scanning of web and mobile applications and APIs satisfy these requirements directly.
Application Security in the Program
Au-delà de l'article 500.5, les exigences du programme en matière de surveillance, de contrôle d’accès et d’évaluation des risques touchent toutes la sécurité des applications. La numérisation continue et les tests d’intrusion périodiques, avec un suivi des correctifs, maintiennent le programme efficace et prêt à fournir les preuves nécessaires.
Risques courants des applications Web et mobiles à remédier
The vulnerabilities Section 500.5 expects you to find map closely to the OWASP Top 10:
- Contrôle d'accès cassé — des utilisateurs accédant à des données ou actions interdites.
- Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
- Injection — Injection SQL, de commande ou autre via des entrées non validées.
- Insecure Design — contrôles de sécurité manquants par conception, pas seulement à cause d'un bug.
- Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
- Composants vulnérables et obsolètes — bibliothèques et frameworks non corrigés.
- Identification & Authentication Failures — weak login, session or credential handling.
- Software & Data Integrity Failures — untrusted updates, insecure CI/CD pipelines.
- Échecs de journalisation et de surveillance de la sécurité — les attaques passent inaperçues.
- Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.
Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.
How to Support NYDFS Part 500 with ImmuniWeb
- 1. Cartographiez vos systèmes. Invenoriez les applications financières et les API exposées sur Internet avec ImmuniWeb Discovery.
- 2. Test d'intrusion annuel (500.5(a)) avec On-Demand et MobileSuite.
- 3. Run vulnerability assessments (500.5(b)) with Neuron, bi-annually.
- 4. Remediate and retest with actionable, zero-false-positive reports.
- 5. Test continuously with Continuous in CI/CD.
- 6. Prepare evidence for the annual certification and NYDFS reviews.
How ImmuniWeb Helps You Achieve NYDFS Part 500 Compliance
ImmuniWeb supports Section 500.5 with the penetration testing and vulnerability assessments NYDFS requires, with audit-ready evidence.
| Exigence | Ce que cela nécessite | Produits ImmuniWeb |
|---|---|---|
| 500.5(a) | Annual penetration testing. | On-Demand, MobileSuite |
| 500.5(b) | Bi-annual vulnerability assessments (scans + review). | Neuron, Discovery |
| Program & remediation | Monitor and remediate; secure development. | Continuous, On-Demand |
ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for the annual NYDFS certification.
NYDFS Part 500 vs Cadres internationaux
Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:
| Framework | Perspective sécurité des applications | Comment ImmuniWeb s'aligne |
|---|---|---|
| NYDFS Part 500 | 500.5 tests d'intrusion + évaluations de vulnérabilité | Tests d’intrusion Web/mobile + scans + ASM |
| FTC Safeguards Rule | Tests 314.4(d) | Les mêmes tests couvrent les deux |
| EU DORA | Tests de résilience | Les mêmes tests couvrent les deux |
| NIST CSF 2.0 | Protect / Detect functions | Tests et surveillance des applications |
Tests d'intrusion vs scans de sécurité
Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.
Liste de contrôle de conformité (Sécurité des applications)
- Inventaire des applications financières exposées sur Internet et des API
- Annual penetration testing performed (500.5(a))
- Bi-annual vulnerability assessments performed (500.5(b))
- Des scans automatisés ainsi qu'un examen manuel sont en place
- Constatations corrigées et retestées ; preuves conservées
- Incident notification process ready (72 hours)
- Evidence prepared for the annual CEO/CISO certification
Pourquoi la conformité à la partie 500 du NYDFS est essentielle
Le NYDFS applique la Partie 500 de manière stricte, avec des ordonnances par consentement et des amendes pouvant atteindre 30 millions de dollars US, et la certification annuelle signée par le CEO et le CISO engage leur responsabilité personnelle. Les tests d’intrusion et les évaluations de vulnérabilité constituent des obligations explicites et récurrentes en vertu de l’article 500.5.
Because web, mobile and API applications are a primary attack surface for financial institutions, demonstrable testing is one of the most direct ways to meet Part 500 and avoid enforcement.