Este texto se tradujo utilizando el sistema de traducción automatizado de Salesforce. Realice nuestra encuesta para proporcionar comentarios sobre este contenido y díganos qué le gustaría ver a continuación.
Protegido - Seguridad de sesión
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Acceso a dispositivos
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué aspecto tiene? Patrón |
|---|---|
| Plataforma | Documentación | ✅ Las personas de seguridad están claramente asignadas a usos y políticas de dispositivos apropiados |
| Plataforma | Documentación | ✅ Las políticas de dispositivos son claras y detectables |
| Plataforma | Organización | ✅ La configuración de la aplicación conectada móvil Salesforce requiere desbloqueo por PIN/contraseña después de la inactividad |
| Plataforma | Organización | ✅ Si las necesidades comerciales requieren un control estricto de los usuarios que pueden acceder a Salesforce Mobile, el Control de acceso de API está activado y los conjuntos de permisos están asignados a todos los usuarios de las aplicaciones móviles Salesforce |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Gestión de sesión
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué aspecto tiene? Patrón |
|---|---|
| Plataforma | Apex | ✅ Si existen flujos de inicio de sesión personalizados, todo el código personalizado relacionado utiliza métodos SessionManagement apropiados para asignar seguridad a nivel de sesión |
| Plataforma | Aura | ✅ Si existen flujos de inicio de sesión personalizados, utilice un controlador Apex con los métodos de SessionManagement necesarios para asignar seguridad a nivel de sesión |
| Plataforma | Estándares de diseño | ✅ Las personas de seguridad enumeran claramente los tipos de sesión aprobados y la configuración de tiempo de espera/duración para cada persona |
| Plataforma | Estándares de diseño | ✅ Se definen estándares para las actividades que requieren seguridad a nivel de sesión elevada |
| Plataforma | Estándares de diseño | ✅ Estándares definidos para las actividades que requieren permisos elevados para ser asignadas |
| Plataforma | Estándares de diseño | ✅ Las políticas de gestión de tokens y ámbito de aplicación conectada son claras y detectables |
| Plataforma | Documentación | ✅ Las políticas de gestión de tokens y ámbito de aplicación conectada son claras y detectables |
| Plataforma | Documentación | ✅ Se han especificado las horas de inicio de sesión (o se han identificado como no necesarias) |
| Plataforma | Componentes web Lightning (LWC) | ✅ Si existen flujos de inicio de sesión personalizados, utilice un controlador Apex con los métodos de SessionManagement necesarios para asignar seguridad a nivel de sesión |
| Plataforma | Organización | ✅ Si los usuarios acceden a Salesforce desde detrás de un cortafuegos, el cortafuegos utiliza una lista de admisión de dominios requeridos en vez de direcciones IP para proteger las comunicaciones a/desde Salesforce |
| Plataforma | Organización | ✅ Los intervalos de tiempo de espera de sesión inactivos no superan el valor predeterminado (2 horas) |
| Plataforma | Organización | ✅ Todos los siguientes parámetros están activados: -Protección contra secuestro de clics para páginas de Configuración -Protección contra secuestro de clics para páginas de Salesforce que no son de Configuración -Protección contra la falsificación de solicitudes en sitios cruzados (CSRF) -Protección contra secuencias de comandos en sitios cruzados (XSS) -Activar protección contra la inhalación de contenido -Protección contra URL de referencia -Advertir a los usuarios antes de que se les redirija fuera de Salesforce |
| Plataforma | Organización | ✅ Las auditorías de sesión muestran que los usuarios solo acceden a Salesforce a través de tipos de sesión esperados |
| Plataforma | Organización | ✅ Existe un conjunto de permisos claro y activo para el acceso "Solo usuario de API" (con el permiso "Solo API" establecido como TRUE) y todos los usuarios de integración y automatizados están asignados |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Detección y respuesta a amenazas
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué aspecto tiene? Patrón |
|---|---|
| Einstein | Agentes | ✅ Los registros de eventos de agentes incluyen datos de conversaciones Activar el parámetro para registros de eventos enriquecidos, a menos que haya una razón crítica por la que se deban enmascarar los datos de conversaciones |
| Einstein | Capa Einstein Trust | ✅ Las funciones de IA generativa se auditan regularmente Datos de auditoría de IA generativa de Einstein está activada desde la página de configuración Comentarios de Einstein. Las conversaciones de IA generativa, incluyendo la solicitud y su respuesta, se auditan y revisan regularmente |
| Plataforma | Empresa | ✅ Los datos de auditoría están disponibles en informes que las partes interesadas comerciales pueden comprender y acceder |
| Plataforma | Empresa | ✅ Se realizan revisiones periódicas del historial y los informes de auditoría |
| Plataforma | Documentación | ✅ Todas las respuestas automatizadas se documentan claramente |
| Plataforma | Documentación | ✅ Los pasos para revisar registros disponibles en Salesforce están documentados |
| Plataforma | Documentación | ✅ Se han especificado niveles de auditoría para todos los objetos en su modelo de datos |
| Plataforma | Documentación | ✅ Las políticas de seguridad contienen una lista de eventos que deben desencadenar una respuesta junto con el tipo de respuesta apropiado |
| Plataforma | Organización | ✅ Existen automatizaciones para responder a amenazas desactivando cuentas de usuario o bloqueando el acceso a recursos en tiempo real si se detecta un uso anormal |
| Plataforma | Organización | ✅ Las notificaciones y alertas están configuradas para notificar a los usuarios apropiados sobre actividad anómala |
| Plataforma | Organización | ✅ El seguimiento del historial de campos está activado para todos los campos que contienen datos privados o confidenciales |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Acceso a dispositivos
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué evitar? Antipatrón |
|---|---|
| Plataforma | Documentación | ⚠️ Las políticas de seguridad no existen o no contienen información acerca del acceso a dispositivos |
| Plataforma | Organización | ⚠️ La aplicación conectada móvil Salesforce no está configurada para requerir desbloqueo por PIN/contraseña por inactividad |
| Plataforma | Organización | ⚠️ Las necesidades comerciales requieren un control estricto de los usuarios que pueden acceder a Salesforce Mobile, pero el Control de acceso de API no está activado o los conjuntos de permisos no se utilizan para controlar el acceso a aplicaciones móviles Salesforce |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Gestión de sesión
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué evitar? Antipatrón |
|---|---|
| Plataforma | Apex | ⚠️ Si existen flujos de inicio de sesión personalizados, no hay lógica para asignar seguridad a nivel de sesión |
| Plataforma | Aura | ⚠️ Si existen flujos de inicio de sesión personalizados, no hay lógica para asignar seguridad a nivel de sesión |
| Plataforma | Estándares de diseño | ⚠️ No se definen estándares para las actividades que requieren seguridad a nivel de sesión elevada |
| Plataforma | Estándares de diseño | ⚠️ Los estándares no están definidos para las actividades que requieren permisos elevados para asignarse |
| Plataforma | Estándares de diseño | ⚠️ Las políticas de seguridad no contienen información acerca de ámbitos de aplicación conectada o gestión de tokens |
| Plataforma | Estándares de diseño | ⚠️ Las personas de seguridad no existen o carecen de información sobre los tipos de sesión y la configuración de tiempo de espera/duración |
| Plataforma | Documentación | ⚠️ Las políticas de gestión de tokens y ámbito de aplicación conectada no están documentadas |
| Plataforma | Componentes web Lightning (LWC) | ⚠️ Si existen flujos de inicio de sesión personalizados, no hay lógica para asignar seguridad a nivel de sesión |
| Plataforma | Organización | ⚠️ No hay definiciones de qué tipos de sesión deben tener los usuarios |
| Plataforma | Organización | ⚠️ Los permisos "Solo API" no están claros o faltan en la integración y los usuarios automatizados |
| Plataforma | Organización | ⚠️ No hay auditoría de sesión regular |
| Plataforma | Organización | ⚠️ Si los usuarios acceden a Salesforce desde detrás de un cortafuegos, el cortafuegos utiliza direcciones IP codificadas para proteger las comunicaciones a/desde Salesforce |
| Plataforma | Organización | ⚠️ Los intervalos de tiempo de espera de sesión inactivos superan el valor predeterminado (2 horas) |
| Plataforma | Organización | ⚠️ Cualquiera de los siguientes parámetros está desactivado: -Protección contra secuestro de clics para páginas de Configuración -Protección contra secuestro de clics para páginas de Salesforce que no son de Configuración -Protección contra la falsificación de solicitudes en sitios cruzados (CSRF) -Protección contra secuencias de comandos en sitios cruzados (XSS) -Activar protección contra la inhalación de contenido -Protección contra URL de referencia -Advertir a los usuarios antes de que se les redirija fuera de Salesforce |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Detección y respuesta a amenazas
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué evitar? Antipatrón |
|---|---|
| Einstein | Organización | ⚠️ Las funciones de IA generativa no se auditan Las conversaciones de IA generativa, incluyendo la solicitud y su respuesta, no se auditan y revisan regularmente |
| Plataforma | Empresa | ⚠️ Los datos de auditoría solo están disponibles a través de archivos de registro que requieren experiencia en la materia para acceder e interpretar |
| Plataforma | Empresa | ⚠️ No existen procesos para revisar la información de auditoría |
| Plataforma | Documentación | ⚠️ Las políticas de seguridad no existen o no incluyen información acerca de la detección y alerta de amenazas |
| Plataforma | Documentación | ⚠️ La documentación para respuestas automatizadas no existe o no está clara |
| Plataforma | Organización | ⚠️ No existen automatizaciones para responder a amenazas |
| Plataforma | Organización | ⚠️ Las notificaciones y alertas no están configuradas para notificar a los usuarios apropiados sobre actividades anómalas, o existen algunas notificaciones y alertas relacionadas con actividades anómalas, pero son ad hoc |
| Plataforma | Organización | ⚠️ El seguimiento del historial de campos no está activado de forma coherente para campos que contienen datos privados o confidenciales |