Cumplimiento del NYDFS 23 NYCRR 500

Contactar con un experto

Volver a todos los casos de uso

23 NYCRR 500 y gestión de riesgos de terceros

A principios de 2017, el Departamento de Servicios Financieros del Estado de Nueva York (DFS) instituyó la norma23 NYCRR 500para establecer nuevos requisitos de ciberseguridad para las empresas de servicios financieros. La normativa está diseñada para proteger la confidencialidad, integridad y disponibilidad de la información de los clientes y los sistemas informáticos relacionados.

La norma 23 NYCRR 500 se promulgó en respuesta al alarmante aumento de las violaciones de datos y las amenazas cibernéticas contra las instituciones financieras. Un componente clave para cumplir con la ley es gestionar los controles de seguridad informática y las políticas de privacidad de datos de los proveedores.

Varias secciones del reglamento se refieren específicamente a los proveedores externos:

  • La sección 500.11aborda directamente la política de seguridad de los proveedores de servicios externos. Exige a las entidades afectadas que implementen políticas y procedimientos escritos que aborden la seguridad de los sistemas de información de terceros basándose en unaevaluación de riesgos.
  • La sección 500.16exige a las entidades cubiertas que establezcan planes y medidas para garantizar la resiliencia operativa, incluyendo planes de respuesta ante incidentes, continuidad del negocio y recuperación ante desastres.
  • La sección 500.17exige la notificación específica de incidentes de ciberseguridad de terceros.

Requisitos pertinentes

  • Mantener un programa de ciberseguridad que incluya evaluaciones de riesgos, auditorías independientes y documentación de respaldo.

  • Implementar y mantener políticas de seguridad de la información basadas en evaluaciones de riesgos, incluyendo la gestión de proveedores y terceros prestadores de servicios.

  • Nombrar a un CISO que sea responsable de revisar e informar sobre el programa de ciberseguridad de la organización.

  • Incluir tecnologías y prácticas específicas de ciberseguridad.

  • Crear un programa de gestión de riesgos de terceros.

  • Presentar una certificación anual que confirme el cumplimiento de estas normas.

Cumplimiento de los requisitos 23 NYCRR 500 TPRM

Así es como Prevalent puede ayudarle a cumplir los requisitos de gestión de riesgos de terceros establecidos en la norma 23 NYCRR 500:

Requisitos del 23 NYCRR 500 Cómo ayudamos
SECCIÓN 500.11
(a) Cada entidad cubierta deberá implementar políticas y procedimientos escritos diseñados para garantizar la seguridad de los sistemas de información y la información no pública a la que tengan acceso o que esté en poder de terceros proveedores de servicios. Dichas políticas y procedimientos se basarán en la evaluación de riesgos de la entidad cubierta y abordarán, en la medida en que sea aplicable:
(1) la identificación y evaluación de riesgos de los proveedores de servicios externos;

Prevalent le permite evaluar y supervisar a terceros en función del alcance de las amenazas a sus activos de información mediantela captura, el seguimiento y la cuantificación de los riesgos inherentes. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros incluyen:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.
La lógica de clasificación basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.
(2) prácticas mínimas de ciberseguridad que deben cumplir dichos proveedores de servicios externos para poder realizar negocios con la entidad cubierta;

Prevalent centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI). Nuestras soluciones también proporcionan información sobre los riesgos empresariales, reputacionales, financieros y de violación de datos para informar y añadir contexto a las decisionesde selección de proveedores.

Prevalent traslada a cada proveedor seleccionado a las fases de contratación y/o incorporación de la diligencia debida, haciendo avanzar automáticamente al proveedor a través del ciclo de vida de terceros.
(3) los procesos de diligencia debida utilizados para evaluar la idoneidad de las prácticas de ciberseguridad de dichos proveedores de servicios externos; y

Prevalentautomatiza las evaluaciones de riesgospara ampliar la visibilidad, la eficiencia y la escala de su programa de gestión de riesgos de terceros en todas las etapas del ciclo de vida de los terceros.

Con una biblioteca de más de 750 evaluaciones estandarizadas, capacidades de personalización y flujo de trabajo y corrección integrados, la solución automatiza todo, desde la recopilación y el análisis de encuestas hasta la calificación de riesgos y la generación de informes.

Con Prevalent, puede recopilar y correlacionar fácilmente información sobre una amplia gama de controles de proveedores para determinar las amenazas a la gestión de la información, basándose en la importancia crítica del tercero según lo determinado por la evaluación de riesgos inherentes.

Los resultados de las evaluaciones y el seguimiento continuo se recopilan en un único registro de riesgos con informes de mapas de calor que miden y clasifican los riesgos en función de su probabilidad e impacto. Con esta información, los equipos pueden ver fácilmente las consecuencias de un riesgo y disponer de recomendaciones de corrección ya preparadas para que terceros mitiguen los riesgos.
(4) evaluación periódica de dichos proveedores de servicios externos en función del riesgo que representan y de la idoneidad continua de sus prácticas de ciberseguridad.

Las evaluaciones pueden realizarse antes de la firma del contrato, en el momento de la renovación del contrato o con la frecuencia que se considere necesaria (por ejemplo, trimestral o anualmente).

Las capacidadesintegradas y nativasde supervisión de riesgos cibernéticos, empresariales, reputacionales y financierosseñalan los cambios significativos entre las evaluaciones periódicas y pueden activar notificaciones, evaluaciones de seguimiento u otras acciones.

Prevalent ofrece recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos. Estas recomendaciones están respaldadas por funciones de gestión de flujos de trabajo y tareas para garantizar que los terceros aborden los riesgos de manera oportuna y satisfactoria.
SECCIÓN 500.16
(a) Como parte de su programa de ciberseguridad, cada entidad cubierta deberá establecer planes por escrito que contengan medidas proactivas para investigar y mitigar eventos disruptivos y garantizar la resiliencia operativa, incluyendo, entre otros, planes de respuesta a incidentes, continuidad del negocio y recuperación ante desastres.

(2) Plan de continuidad del negocio y recuperación ante desastres (a los efectos de esta Parte, plan BCDR). Los planes BCDR se diseñarán de forma razonable para garantizar la disponibilidad y funcionalidad de los servicios de la entidad cubierta y proteger al personal, los activos y la información no pública de la entidad cubierta en caso de emergencia u otra interrupción de sus actividades comerciales normales. Dichos planes deberán, como mínimo:

(iii) incluir un plan para comunicarse con las personas esenciales en caso de emergencia u otra interrupción de las operaciones de la entidad cubierta, incluidos los empleados, las contrapartes, las autoridades reguladoras, los proveedores de servicios externos, los especialistas en recuperación ante desastres, el órgano rector superior y cualquier otra persona esencial para la recuperación de la documentación y los datos y la reanudación de las operaciones;

(vi) identificar a los terceros que sean necesarios para la continuidad de las operaciones comerciales de la entidad cubierta.

Prevalent automatiza la evaluación, la supervisión continua, el análisis y la corrección dela resiliencia y la continuidad empresarial de terceros, al tiempo que asigna automáticamente los resultados a los marcos de control NIST, ISO y otros.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

La plataforma Prevalent incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301, que permite a las organizaciones:

  • Clasificar a los proveedores según su perfil de riesgo y su importancia para el negocio.
  • Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
  • Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros.
  • Garantizar una comunicación fluida con los proveedores durante las interrupciones del negocio.

Cuando se requiere la rescisión o salida de servicios críticos, Prevalent aprovecha encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión del acceso, el cumplimiento de las leyes pertinentes, los pagos finales y mucho más. La solución también sugiere acciones basadas en las respuestas a las evaluaciones de salida y deriva las tareas a los revisores según sea necesario.
SECCIÓN 500.17
(a) Notificación de incidentes de ciberseguridad.
(3) Cada entidad cubierta que se vea afectada por un incidente de ciberseguridad en un proveedor de servicios externo deberá notificarlo al superintendente por vía electrónica, utilizando el formulario que figura en el sitio web del departamento, lo antes posible y, en cualquier caso, en un plazo máximo de 72 horas desde el momento en que la entidad cubierta tenga conocimiento de dicho incidente de ciberseguridad.

Prevalent permite a su equipo identificar, responder, informar y mitigar rápidamente el impacto delos incidentes de proveedores externosmediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados, la correlación con la supervisión cibernética continua y el acceso a orientación sobre medidas correctivas. Las capacidades clave incluyen:

  • Cuestionarios de gestión de eventos e incidentes continuamente actualizados y personalizables.
  • Seguimiento en tiempo real del progreso en la cumplimentación del cuestionario
  • Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
  • Informes proactivos de proveedores
  • Vistas consolidadas de calificaciones de riesgo, recuentos, puntuaciones y respuestas marcadas para cada proveedor.
  • Reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
  • Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
  • Plantillas de informes integradas
  • Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de información y determinar los datos en riesgo.

Recursos adicionales

Blog

La PDPA y la gestión de riesgos de terceros

Blog

Lista de verificación del cumplimiento del RGPD para la gestión de riesgos de terceros

Blog

Lista de verificación de cumplimiento de la CCPA y la CPRA para la gestión de riesgos de terceros

Guía

Alinee su programa TPRM con la CCPA, el RGPD, la HIPAA y otras normativas.

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.