Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Tests totaux:
485,773,462
737,046
130,956

New York DFS (23 NYCRR 500) Compliance

Le règlement NYDFS en matière de cybersécurité exige que les entités financières concernées réalisent annuellement des tests d’intrusion et des évaluations de vulnérabilité. Découvrez comment ImmuniWeb soutient la section 500.5.

Temps de lecture:8 min. Mise à jour:8 juillet 2025
Conformité à la réglementation de cybersécurité du New York DFS
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
New York DFS Cybersecurity Regulation Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.

Conformité à la réglementation de cybersécurité du New York DFS

What Is the NYDFS Cybersecurity Regulation?

Part 500 requires each Covered Entity to maintain a risk-based cybersecurity program with prescriptive controls: a risk assessment, a CISO, multi-factor authentication, encryption, access controls, monitoring and logging, an asset inventory, incident notification within 72 hours, and an annual certification signed by the CEO and CISO.

The Second Amendment added board-level oversight, expanded notification, automated vulnerability scanning with manual review, and additional requirements for larger 'Class A' companies. The annual certification creates personal accountability for senior officers.

See how ImmuniWeb supports NYDFS Section 500.5 penetration testing and vulnerability assessments- for the financial applications you run. Request a demo· or run a free Community Edition test.

Who Must Comply with NYDFS Part 500?

La partie 500 s'applique aux entités couvertes:

  • Banques et prêteurs agréés ou autorisés par la NYDFS.
  • Sociétés d'assurance opérant sous l'autorisation de NYDFS.
  • Autres entités de services financiers (y compris les prêteurs hypothécaires) ; les grandes entreprises de «classe A» sont soumises à des exigences supplémentaires.

Les applications Web, mobiles et API exploitées par ces entités relèvent du champ d’application des exigences de test de la Partie 500.

Key NYDFS Requirements for Application Security

La sécurité des applications est régie par la section 500.5:

  • 500.5(a) - Penetration testing: annual penetration testing of information systems based on the risk assessment.
  • 500.5(b) - Évaluations de vulnérabilité: évaluations de vulnérabilité semestrielles, incluant des scans automatisés et une revue manuelle des systèmes.
  • Surveillance et remédiation: surveiller les vulnérabilités identifiées et y remédier dans les plus brefs délais.

Les exigences du NYDFS Part 500 en détail

Section 500.5 - Tests d'intrusion et évaluations de vulnérabilités

Section 500.5 requires annual penetration testing of information systems based on the risk assessment, plus bi-annual vulnerability assessments including automated scans and manual review of systems not otherwise covered. Penetration testing and scanning of web and mobile applications and APIs satisfy these requirements directly.

Application Security in the Program

Au-delà de l'article 500.5, les exigences du programme en matière de surveillance, de contrôle d’accès et d’évaluation des risques touchent toutes la sécurité des applications. La numérisation continue et les tests d’intrusion périodiques, avec un suivi des correctifs, maintiennent le programme efficace et prêt à fournir les preuves nécessaires.

Risques courants des applications Web et mobiles à remédier

The vulnerabilities Section 500.5 expects you to find map closely to the OWASP Top 10:

  • Contrôle d'accès cassé — des utilisateurs accédant à des données ou actions interdites.
  • Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
  • Injection — Injection SQL, de commande ou autre via des entrées non validées.
  • Insecure Design — contrôles de sécurité manquants par conception, pas seulement à cause d'un bug.
  • Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
  • Composants vulnérables et obsolètes — bibliothèques et frameworks non corrigés.
  • Identification & Authentication Failures — weak login, session or credential handling.
  • Software & Data Integrity Failures — untrusted updates, insecure CI/CD pipelines.
  • Échecs de journalisation et de surveillance de la sécurité — les attaques passent inaperçues.
  • Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.

Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.

How to Support NYDFS Part 500 with ImmuniWeb

  1. 1. Cartographiez vos systèmes. Invenoriez les applications financières et les API exposées sur Internet avec ImmuniWeb Discovery.
  2. 2. Test d'intrusion annuel (500.5(a)) avec On-Demand et MobileSuite.
  3. 3. Run vulnerability assessments (500.5(b)) with Neuron, bi-annually.
  4. 4. Remediate and retest with actionable, zero-false-positive reports.
  5. 5. Test continuously with Continuous in CI/CD.
  6. 6. Prepare evidence for the annual certification and NYDFS reviews.

How ImmuniWeb Helps You Achieve NYDFS Part 500 Compliance

ImmuniWeb supports Section 500.5 with the penetration testing and vulnerability assessments NYDFS requires, with audit-ready evidence.

Exigence Ce que cela nécessite Produits ImmuniWeb
500.5(a) Annual penetration testing. On-Demand, MobileSuite
500.5(b) Bi-annual vulnerability assessments (scans + review). Neuron, Discovery
Program & remediation Monitor and remediate; secure development. Continuous, On-Demand

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for the annual NYDFS certification.

NYDFS Part 500 vs Cadres internationaux

Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:

Framework Perspective sécurité des applications Comment ImmuniWeb s'aligne
NYDFS Part 500 500.5 tests d'intrusion + évaluations de vulnérabilité Tests d’intrusion Web/mobile + scans + ASM
FTC Safeguards Rule Tests 314.4(d) Les mêmes tests couvrent les deux
EU DORA Tests de résilience Les mêmes tests couvrent les deux
NIST CSF 2.0 Protect / Detect functions Tests et surveillance des applications

Tests d'intrusion vs scans de sécurité

Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.

Liste de contrôle de conformité (Sécurité des applications)

  • Inventaire des applications financières exposées sur Internet et des API
  • Annual penetration testing performed (500.5(a))
  • Bi-annual vulnerability assessments performed (500.5(b))
  • Des scans automatisés ainsi qu'un examen manuel sont en place
  • Constatations corrigées et retestées ; preuves conservées
  • Incident notification process ready (72 hours)
  • Evidence prepared for the annual CEO/CISO certification

Pourquoi la conformité à la partie 500 du NYDFS est essentielle

Le NYDFS applique la Partie 500 de manière stricte, avec des ordonnances par consentement et des amendes pouvant atteindre 30 millions de dollars US, et la certification annuelle signée par le CEO et le CISO engage leur responsabilité personnelle. Les tests d’intrusion et les évaluations de vulnérabilité constituent des obligations explicites et récurrentes en vertu de l’article 500.5.

Because web, mobile and API applications are a primary attack surface for financial institutions, demonstrable testing is one of the most direct ways to meet Part 500 and avoid enforcement.

Foire aux questions

  • Q
    Qu’est-ce que le 23 NYCRR 500?
    A
    Le règlement sur la cybersécurité du NYDFS, une exigence prescriptive en matière de cybersécurité pour les institutions financières agréées ou autorisées par le New York Department of Financial Services, en vigueur depuis 2017.
  • Q
    Qui doit se conformer à la Partie 500 du NYDFS?
    A
    Covered Entities - banks, insurers, mortgage providers and other entities licensed or authorized by NYDFS; larger 'Class A' companies face additional requirements.
  • Q
    Que demande la section 500.5?
    A
    Annual penetration testing based on the risk assessment and bi-annual vulnerability assessments, including automated scans and manual review.
  • Q
    Quelles sont les modifications de l'amendement II?
    A
    Le Second Amendement de 2023 (dont la mise en œuvre est échelonnée jusqu'en novembre 2025) a ajouté la supervision du conseil d'administration, le balayage automatisé avec examen manuel, des exigences élargies en matière de notification et de Class A, ainsi que la certification du CEO/CISO.
  • Q
    How does ImmuniWeb help with NYDFS Part 500?
    A
    By providing the annual penetration testing and bi-annual vulnerability assessments required under Section 500.5 for web and mobile applications and APIs.
  • Q
    Quelles sont les sanctions prévues par la Partie 500?
    A
    NYDFS has issued consent orders and fines up to USD 30 million, with personal accountability for senior officers through the annual certification.
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
New York DFS Cybersecurity Regulation Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.
Parlez à un expert