Cumplimiento del NYDFS 23 NYCRR 500

Contactar con un experto

Volver a todos los casos de uso

23 NYCRR 500 y gestión de riesgos de terceros


A principios de 2017, el Departamento de Servicios Financieros del Estado de Nueva York (DFS) instituyó 23 NYCRR 500 establecer nuevos requisitos de ciberseguridad para las empresas de servicios financieros. La normativa está diseñada para proteger la confidencialidad, integridad y disponibilidad de la información de los clientes y los sistemas informáticos relacionados.

La norma 23 NYCRR 500 se promulgó en respuesta al alarmante aumento de las violaciones de datos y las amenazas cibernéticas contra las instituciones financieras. Un componente clave para cumplir con la ley es gestionar los controles de seguridad informática y las políticas de privacidad de datos de los proveedores.

Varias secciones del reglamento se refieren específicamente a los proveedores externos:

  • La sección 500.11aborda directamente la política de seguridad de los proveedores de servicios externos. Exige a las entidades afectadas que implementen políticas y procedimientos escritos que aborden la seguridad de los sistemas de información de terceros basándose en unaevaluación de riesgos.
  • La sección 500.16exige a las entidades cubiertas que establezcan planes y medidas para garantizar la resiliencia operativa, incluidos planes de respuesta ante incidentes, continuidad del negocio y recuperación ante desastres.
  • La sección 500.17exige la notificación específica de incidentes de ciberseguridad de terceros.

Requisitos pertinentes

  • Mantener un programa de ciberseguridad que incluya evaluaciones de riesgos, auditorías independientes y documentación de respaldo.
  • Implementar y mantener políticas de seguridad de la información basadas en evaluaciones de riesgos, incluyendo la gestión de proveedores y terceros prestadores de servicios. 
  • Nombrar a un CISO que sea responsable de revisar e informar sobre el programa de ciberseguridad de la organización.
  • Incluir tecnologías y prácticas específicas de ciberseguridad.
  • Crear un programa de gestión de riesgos de terceros.
  • Presentar una certificación anual que confirme el cumplimiento de estas normas.

 

Cumplimiento de los requisitos 23 NYCRR 500 TPRM

Así es como Prevalent puede ayudarle a cumplir los requisitos de gestión de riesgos de terceros establecidos en la norma 23 NYCRR 500:

 

Requisitos del 23 NYCRR 500 Cómo ayudamos
SECCIÓN 500.11
(a) Cada entidad cubierta deberá implementar políticas y procedimientos escritos diseñados para garantizar la seguridad de los sistemas de información y la información no pública a la que tengan acceso o que esté en poder de terceros proveedores de servicios. Dichas políticas y procedimientos se basarán en la evaluación de riesgos de la entidad cubierta y abordarán, en la medida en que sea aplicable:
(1) la identificación y evaluación de riesgos de los proveedores de servicios externos; Prevalent le permite evaluar y supervisar a terceros en función del alcance de las amenazas a sus activos de información mediante Capturar, rastrear y cuantificar los riesgos inherentes.. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.
La lógica de clasificación basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.
(2) prácticas mínimas de ciberseguridad que deben cumplir dichos proveedores de servicios externos para poder realizar negocios con la entidad cubierta; Prevalent centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI). Nuestras soluciones también proporcionan información sobre los riesgos empresariales, reputacionales, financieros y de violación de datos para informar y añadir contexto a selección de proveedores decisiones.

Prevalent traslada a cada proveedor seleccionado a las fases de contratación y/o incorporación de la diligencia debida, haciendo avanzar automáticamente al proveedor a través del ciclo de vida de terceros.
(3) los procesos de diligencia debida utilizados para evaluar la idoneidad de las prácticas de ciberseguridad de dichos proveedores de servicios externos; y Prevalente automatiza las evaluaciones de riesgos ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de terceros en todas las etapas del ciclo de vida de los terceros.

Con una biblioteca de más de 750 evaluaciones estandarizadas, capacidades de personalización y flujo de trabajo y corrección integrados, la solución automatiza todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la generación de informes.

Con Prevalent, puede recopilar y correlacionar fácilmente inteligencia sobre una amplia gama de controles de proveedores para determinar las amenazas a la gestión de la información, en función de la criticidad del tercero según lo determinado por la evaluación de riesgos inherente.

Los resultados de las evaluaciones y la supervisión continua se cotejan en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones preparadas para terceros con el fin de mitigar los riesgos.
(4) evaluación periódica de dichos proveedores de servicios externos en función del riesgo que representan y de la idoneidad continua de sus prácticas de ciberseguridad. Las evaluaciones pueden realizarse antes de la firma del contrato, en el momento de la renovación del contrato o con la frecuencia que se considere necesaria (por ejemplo, trimestral o anualmente).

Las capacidadesintegradas y nativasde supervisión de riesgos cibernéticos, empresariales, reputacionales y financierosseñalan los cambios significativos entre las evaluaciones periódicas y pueden activar notificaciones, evaluaciones de seguimiento u otras acciones.

Prevalent ofrece recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos. Estas recomendaciones están respaldadas por funciones de flujo de trabajo y gestión de tareas para garantizar que los terceros aborden los riesgos de forma oportuna y satisfactoria.
SECCIÓN 500.16
(a) Como parte de su programa de ciberseguridad, cada entidad cubierta deberá establecer planes por escrito que contengan medidas proactivas para investigar y mitigar eventos disruptivos y garantizar la resiliencia operativa, incluyendo, entre otros, planes de respuesta a incidentes, continuidad del negocio y recuperación ante desastres.
(2) Plan de continuidad del negocio y recuperación ante desastres (a los efectos de esta Parte, plan BCDR). Los planes BCDR se diseñarán de forma razonable para garantizar la disponibilidad y funcionalidad de los servicios de la entidad cubierta y proteger al personal, los activos y la información no pública de la entidad cubierta en caso de emergencia u otra interrupción de sus actividades comerciales normales. Dichos planes deberán, como mínimo:

(iii) incluir un plan para comunicarse con las personas esenciales en caso de emergencia u otra interrupción de las operaciones de la entidad cubierta, incluidos los empleados, las contrapartes, las autoridades reguladoras, los proveedores de servicios externos, los especialistas en recuperación ante desastres, el órgano rector superior y cualquier otra persona esencial para la recuperación de la documentación y los datos y la reanudación de las operaciones;

(vi) identificar a los terceros que sean necesarios para la continuidad de las operaciones comerciales de la entidad cubierta.

 Prevalent automatiza la evaluación, el monitoreo continuo, el análisis y la corrección de Resiliencia y continuidad empresarial de terceros – al tiempo que se asignan automáticamente los resultados a los marcos de control NIST, ISO y otros.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

La plataforma Prevalent incluye una evaluación completa de la resiliencia empresarial basada en las prácticas de la norma ISO 22301 que permite a las organizaciones:

  • Clasificar a los proveedores en función de su perfil de riesgo y criticidad para la empresa.
  • Esbozar objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO).
  • Centralizar el inventario de sistemas, las evaluaciones de riesgos, los cuadros RACI y las terceras partes.
  • Garantizar una comunicación coherente con los proveedores durante las interrupciones de la actividad.

Cuando se requiere la rescisión o salida de servicios críticos, Prevalent aprovecha encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión del acceso, el cumplimiento de las leyes pertinentes, los pagos finales y mucho más. La solución también sugiere acciones basadas en las respuestas a las evaluaciones de salida y deriva las tareas a los revisores según sea necesario.
SECCIÓN 500.17
(a) Notificación de incidentes de ciberseguridad.
(3) Cada entidad cubierta que se vea afectada por un incidente de ciberseguridad en un proveedor de servicios externo deberá notificarlo al superintendente por vía electrónica, utilizando el formulario que figura en el sitio web del departamento, lo antes posible y, en cualquier caso, en un plazo máximo de 72 horas desde el momento en que la entidad cubierta tenga conocimiento de dicho incidente de ciberseguridad. Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto de incidentes con proveedores externos mediante la gestión centralizada de proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a directrices de corrección. Las capacidades clave incluyen:

  • Cuestionarios de gestión de sucesos e incidentes continuamente actualizados y personalizables
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Definición de los propietarios de los riesgos con recordatorios de persecución automatizados para mantener las encuestas dentro de los plazos previstos.
  • Informes proactivos sobre proveedores
  • Vistas consolidadas de las calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa.
  • Orientación de las recomendaciones de corrección incorporadas para reducir el riesgo
  • Plantillas de informes integradas
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de la información y determinar los datos de riesgo.

Recursos adicionales

Blog

APRA CPS 234: Mejores prácticas para cumplir los requisitos de gestión de riesgos de terceros

Blog

Normas de divulgación de ciberseguridad de la SEC: 9 preguntas clave que se deben plantear a terceros

Blog

Cumplimiento de los requisitos PRA SS2/21 para la gestión de riesgos de terceros

Guía

Adapte su programa TPRM a 14 normas del sector

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.