Este texto se tradujo utilizando el sistema de traducción automatizado de Salesforce. Realice nuestra encuesta para proporcionar comentarios sobre este contenido e indicarnos qué le gustaría ver a continuación.
Protegido: seguridad de sesión
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Acceso a dispositivos
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué aspecto tiene? Patrón |
|---|---|
| Plataforma | Documentación | ✅ Las personas de seguridad están claramente asignadas a usos y políticas de dispositivos apropiados |
| Plataforma | Documentación | ✅ Las políticas de dispositivos son claras y detectables |
| Plataforma | Organización | ✅ La configuración de la aplicación conectada móvil Salesforce requiere el desbloqueo de PIN/contraseña tras la inactividad |
| Plataforma | Organización | ✅ Si las necesidades de negocio requieren un control estricto de los usuarios que pueden acceder a Salesforce Mobile, el Control de acceso de API está activado y los conjuntos de permisos están asignados a todos los usuarios de aplicaciones móviles Salesforce |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Gestión de sesiones
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué aspecto tiene? Patrón |
|---|---|
| Plataforma | Apex | ✅ Si existen flujos de inicio de sesión personalizados, todo el código personalizado relacionado utiliza métodos SessionManagement apropiados para asignar seguridad a nivel de sesión |
| Plataforma | Aura | ✅ Si existen flujos de inicio de sesión personalizados, utilice un controlador Apex con los métodos de SessionManagement necesarios para asignar seguridad a nivel de sesión |
| Plataforma | Estándares de diseño | ✅ Las personas de seguridad enumeran claramente los tipos de sesión aprobados y la configuración de tiempo de espera/duración para cada persona |
| Plataforma | Estándares de diseño | ✅ Estándares definidos para las actividades que requieren seguridad a nivel de sesión elevada |
| Plataforma | Estándares de diseño | ✅ Estándares definidos para las actividades que requieren permisos elevados para asignarse |
| Plataforma | Estándares de diseño | ✅ Las políticas de gestión de tokens y ámbito de aplicación conectada son claras y detectables |
| Plataforma | Documentación | ✅ Las políticas de gestión de tokens y ámbito de aplicación conectada son claras y detectables |
| Plataforma | Documentación | ✅ Se especificaron las horas de inicio de sesión (o se identificaron como no necesarias) |
| Plataforma | Componentes web Lightning (LWC) | ✅ Si existen flujos de inicio de sesión personalizados, utilice un controlador Apex con los métodos de SessionManagement necesarios para asignar seguridad a nivel de sesión |
| Plataforma | Organización | ✅ Si los usuarios acceden a Salesforce desde detrás de un cortafuegos, el cortafuegos utiliza una lista de admisión de dominios obligatorios en vez de direcciones IP para proteger las comunicaciones a/desde Salesforce |
| Plataforma | Organización | ✅ Los intervalos de tiempo de espera de sesión inactivos no superan el valor predeterminado (2 horas) |
| Plataforma | Organización | ✅ Todos los siguientes parámetros están activados: -Protección contra secuestro de clics para páginas de Configuración -Protección contra secuestro de clics para páginas de Salesforce que no son de Configuración -Protección contra la falsificación de solicitudes de sitio cruzado (CSRF) -Protección contra secuencias de comandos de sitio cruzado (XSS) -Activar protección contra el rastreo de contenido -Protección contra URL de referencia -Advertir a los usuarios antes de que se les redirija fuera de Salesforce |
| Plataforma | Organización | ✅ Las auditorías de sesión muestran que los usuarios solo acceden a Salesforce a través de tipos de sesión esperados |
| Plataforma | Organización | ✅ Existe un conjunto de permisos claro y activo para el acceso de "Usuario solo de API" (con el permiso "Solo de API" establecido como TRUE) y todos los usuarios de integración y automatizados están asignados |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Detección y respuesta ante amenazas
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué aspecto tiene? Patrón |
|---|---|
| Einstein | Agentes | ✅ Los registros de eventos de agentes incluyen datos de pláticas Activar la configuración para registros de eventos enriquecidos, a menos que haya una razón crítica por la que los datos de pláticas deben enmascararse |
| Einstein | Capa Einstein Trust | ✅ Las funciones de IA generativa se auditan regularmente Datos de auditoría de IA generativa de Einstein está activada desde la página de configuración Comentarios de Einstein. Las pláticas de IA generativa, incluyendo la solicitud y su respuesta, se auditan y revisan regularmente |
| Plataforma | Compañía | ✅ Los datos de auditoría están disponibles en reportes que las partes interesadas de negocio pueden comprender y acceder |
| Plataforma | Compañía | ✅ Se realizan revisiones regulares del historial y los reportes de auditoría |
| Plataforma | Documentación | ✅ Todas las respuestas automatizadas están documentadas claramente |
| Plataforma | Documentación | ✅ Los pasos para revisar registros disponibles en Salesforce están documentados |
| Plataforma | Documentación | ✅ Se han especificado niveles de auditoría para todos los objetos en su modelo de datos |
| Plataforma | Documentación | ✅ Las políticas de seguridad contienen una lista de eventos que deben desencadenar una respuesta junto con el tipo de respuesta apropiado |
| Plataforma | Organización | ✅ Existen automatizaciones para responder a amenazas desactivando cuentas de usuario o bloqueando el acceso a recursos en tiempo real si se detecta un uso anormal |
| Plataforma | Organización | ✅ Las notificaciones y alertas están configuradas para notificar a los usuarios apropiados sobre actividad anómala |
| Plataforma | Organización | ✅ El seguimiento del historial de campos está activado para todos los campos que contienen datos privados o confidenciales |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Acceso a dispositivos
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué evitar? Antipatrón |
|---|---|
| Plataforma | Documentación | ⚠️ Las políticas de seguridad no existen o no contienen información acerca del acceso a dispositivos |
| Plataforma | Organización | ⚠️ La aplicación conectada móvil Salesforce no está configurada para requerir desbloqueo de PIN/contraseña por inactividad |
| Plataforma | Organización | ⚠️ Las necesidades de negocio requieren un control estricto de los usuarios que pueden acceder a Salesforce Mobile, pero el Control de acceso de API no está activado o los conjuntos de permisos no se utilizan para controlar el acceso a aplicaciones móviles Salesforce |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Gestión de sesiones
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué evitar? Antipatrón |
|---|---|
| Plataforma | Apex | ⚠️ Si existen flujos de inicio de sesión personalizados, no hay lógica para asignar seguridad a nivel de sesión |
| Plataforma | Aura | ⚠️ Si existen flujos de inicio de sesión personalizados, no hay lógica para asignar seguridad a nivel de sesión |
| Plataforma | Estándares de diseño | ⚠️ Los estándares no están definidos para las actividades que requieren seguridad a nivel de sesión elevada |
| Plataforma | Estándares de diseño | ⚠️ Los estándares no están definidos para las actividades que requieren permisos elevados para asignarse |
| Plataforma | Estándares de diseño | ⚠️ Las políticas de seguridad no contienen información acerca de ámbitos de aplicaciones conectadas o gestión de tokens |
| Plataforma | Estándares de diseño | ⚠️ Las personas de seguridad no existen o carecen de información acerca de tipos de sesión y configuración de tiempo de espera/duración |
| Plataforma | Documentación | ⚠️ Las políticas de gestión de tokens y ámbito de aplicación conectada no están documentadas |
| Plataforma | Componentes web Lightning (LWC) | ⚠️ Si existen flujos de inicio de sesión personalizados, no hay lógica para asignar seguridad a nivel de sesión |
| Plataforma | Organización | ⚠️ No hay definiciones de qué tipos de sesión deben tener los usuarios |
| Plataforma | Organización | ⚠️ Los permisos "Solo API" no están claros o faltan en la integración y los usuarios automatizados |
| Plataforma | Organización | ⚠️ No hay auditoría de sesión regular |
| Plataforma | Organización | ⚠️ Si los usuarios acceden a Salesforce desde detrás de un cortafuegos, el cortafuegos utiliza direcciones IP codificadas para proteger las comunicaciones a/desde Salesforce |
| Plataforma | Organización | ⚠️ Los intervalos de tiempo de espera de sesión inactivos superan el valor predeterminado (2 horas) |
| Plataforma | Organización | ⚠️ Cualquiera de los siguientes parámetros está desactivado: -Protección contra secuestro de clics para páginas de Configuración -Protección contra secuestro de clics para páginas de Salesforce que no son de Configuración -Protección contra falsificación de solicitudes de sitio cruzado (CSRF) -Protección contra secuencias de comandos de sitio cruzado (XSS) -Activar protección contra rastreo de contenido -Protección contra URL de referencia -Advertir a los usuarios antes de que se les redirija fuera de Salesforce |
Obtenga más información acerca de Confianza bien arquitectónica → Seguro → Seguridad de sesión → Detección y respuesta ante amenazas
| ¿Dónde buscar? Área de producto | Ubicación | ¿Qué evitar? Antipatrón |
|---|---|
| Einstein | Organización | ⚠️ Las funciones de IA generativa no se auditan Las pláticas de IA generativa, incluyendo la solicitud y su respuesta, no se auditan y revisan regularmente |
| Plataforma | Compañía | ⚠️ Los datos de auditoría solo están disponibles a través de archivos de registro que requieren experiencia en la materia para acceder e interpretar |
| Plataforma | Compañía | ⚠️ No existen procesos para revisar la información de auditoría |
| Plataforma | Documentación | ⚠️ Las políticas de seguridad no existen o no incluyen información acerca de la detección y alerta de amenazas |
| Plataforma | Documentación | ⚠️ La documentación para respuestas automatizadas no existe o no está clara |
| Plataforma | Organización | ⚠️ No existen automatizaciones para responder a amenazas |
| Plataforma | Organización | ⚠️ Las notificaciones y alertas no están configuradas para notificar a los usuarios apropiados sobre actividades anómalas, o existen algunas notificaciones y alertas relacionadas con actividades anómalas, pero son ad hoc |
| Plataforma | Organización | ⚠️ El seguimiento del historial de campos no está activado de forma coherente para campos que contienen datos privados o confidenciales |