Suojattu - Organisaation tietoturva
Lue lisää Hyvin rakenteellisesta luotetusta → suojasta → organisaation suojauksesta → todennuksesta
| Mistä etsiä? Tuotealue | Sijainti | Miltä hyvä näyttää? Kuvio |
|---|---|
| Sovellusalusta | Apex | ✅ Todennusmenetelmät käyttävät nimettyjä tunnuksia käyttäjänimi-/salasana-kulkujen käsittelemiseen |
| Sovellusalusta | Apex | ✅ Käyttäjänimet tai salasanat eivät näy koodissa luettavassa muodossa (ei kovakoodattuja arvoja tai merkkijonoja) |
| Sovellusalusta | Apex | ✅ Jos mukautettuja sisäänkirjautumiskulkuja on olemassa, kaikki asiaankuuluvat mukautetut Apex-koodit käyttävät asiaankuuluvia SessionManagement-metodeja |
| Sovellusalusta | Aura | ✅ Käyttäjänimet tai salasanat eivät näy koodissa luettavassa muodossa (ei kovakoodattuja arvoja tai merkkijonoja) |
| Sovellusalusta | Aura | ✅ Todennusmenetelmät käyttävät nimettyjä tunnuksia käyttäjänimi-/salasana-kulkujen käsittelemiseen |
| Sovellusalusta | Dokumentaatio | ✅ Hyväksytyt suojaushenkilöt on selkeästi määritetty ja lueteltu |
| Sovellusalusta | Dokumentaatio | ✅ Suojauspäälliköiden ja sallittujen todennusmallien (UI, API) välinen kartoitus on olemassa suojausmatriisissa |
| Sovellusalusta | Lightning (LWC) | ✅ Todennusmenetelmät käyttävät nimettyjä tunnuksia käyttäjänimi-/salasana-kulkujen käsittelemiseen |
| Sovellusalusta | Lightning (LWC) | ✅ Käyttäjänimet tai salasanat eivät näy koodissa luettavassa muodossa (ei kovakoodattuja arvoja tai merkkijonoja) |
| Sovellusalusta | Organisaatio | API-käyttöoikeuksien hallinta estää käyttäjiä todentamasta itsensä valtuuttamattomalla yhdistetyllä sovelluksella |
| Sovellusalusta | Organisaatio | ✅ Salesforceen kirjautuvien käyttäjien ja entiteettien välinen suhde on 1:1 (ei jaettuja käyttäjiä) |
| Sovellusalusta | Organisaatio | ✅ Sisäänkirjautumiskokoonpanot vastaavat Salesforcen MFA-tarkistusta |
| Sovellusalusta | Organisaatio | ✅ Jos SSO-kertakirjautuminen on käytössä, hyväksytyllä pääkäyttäjällä on suora kirjautumisoikeus |
| Sovellusalusta | Organisaatio | ✅ Sisäänkirjautumisten valvonta -ominaisuutta käytetään, kun sisäänkirjautumishistoria täytyy tallentaa yli 6 kuukauden ajan Käytä sisäänkirjautumisten valvonta -ominaisuutta, kun sisäänkirjautumishistorian säilytys on pakollista, jotta se säilytetään 6 kuukauden-10 vuoden ajan |
Lue lisää Hyvin rakenteellisesta luotetusta → suojasta → organisaation suojauksesta → valtuutuksesta
| Mistä etsiä? Tuotealue | Sijainti | Miltä hyvä näyttää? Kuvio |
|---|---|
| Einstein | Botit | ✅ Jokaiselle liiketoimintatarkoitukselle on määritetty yksilöllinen bottikäyttäjä Bottikokoonpanon Einstein Bot Builderin yleiskatsaus -osiossa valittu bottikäyttäjä tarjoaa vain vähimmäisoikeusperiaatteen mukaisesti liiketoimintatarkoituksen suorittamiseen tarvittavan käyttöoikeuden. |
| Sovellusalusta | Apex | ✅ Tietokantaoperaatiot suorittavat kenttätason ja objektitason käyttöoikeustarkistuksia asianmukaisesti DML- ja Database DML -lausekkeet esittävät käyttäjä- tai järjestelmätilan datatoiminnoille JA/tai DML- ja Database DML -lausekkeet käyttävät ennen datatoimintoja stripInaccessible-metodeja |
| Sovellusalusta | Apex | ✅ Tietokantaoperaatiot suorittavat kenttätason ja objektitason käyttöoikeustarkistuksia asianmukaisesti SOQL- ja SOSL-lausekkeet käyttävät avainsanoja WITH USER_MODE ja WITH SYSTEM_MODE JA / TAI stripInaccessible-metodeja käytetään kyselyiden ja alakyselyiden tulosten suodattamiseen |
| Sovellusalusta | Apex | ✅ Tietokantaoperaatiot suorittavat kenttätason ja objektitason käyttöoikeustarkistuksia asianmukaisesti sObject-kuvaavat tulosten menetelmät (esim. isAccessible, isCreateable, isUpdateable ja/tai isDeletable) käytetään säästeliäästi |
| Sovellusalusta | Suunnittelun standardit | ✅ Korotettujen käyttöoikeuksien käyttötarkoitukset on luetteloitu selkeästi mukaan lukien: - Kaikkien tietojen muokkausoikeudet - Kaikkien tietojen tarkasteluoikeudet |
| Sovellusalusta | Dokumentaatio | ✅ Jokainen käyttäjä ja järjestelmä, joilla on pääsy Salesforceen, kartoitetaan yhteen tai useampaan henkilökuvaan suojausmatriisissa |
| Sovellusalusta | Dokumentaatio | ✅ Suojausmatriisi näyttää selkeästi metadatan käyttöoikeudet ja kohdistetut käyttäjähenkilöt |
| Sovellusalusta | Organisaatio | ✅ Käyttöoikeusjoukkoja ja käyttöoikeusjoukkoryhmiä käytetään metadatan käyttöoikeuksien hallintaan |
| Sovellusalusta | Organisaatio | ✅ Käyttöoikeusjoukot ja käyttöoikeusjoukkoryhmät, jotka vastaavat liiketoimintaominaisuuksia |
| Sovellusalusta | Organisaatio | ✅ Jokaiselle integraatiolle on määritetty yksilöllinen Vain API -integrointikäyttäjä |
| Sovellusalusta | Organisaatio | ✅ Profiileja käytetään vain vähän ja vain sisäänkirjautumisen IP-osoitealueiden ja sisäänkirjautumisaikojen hallintaan |
| Sovellusalusta | Organisaatio | ✅ Käyttäjille kohdistetut käyttöoikeudet noudattavat suojausmatriisirajoituksen määritelmiä |
Lue lisää Hyvin rakenteellisesta luotetusta → suojasta → organisaation suojauksesta → todennuksesta
| Mistä etsiä? Tuotealue | Sijainti | Mitä vältettävä? Anti-Kuvio |
|---|---|
| Sovellusalusta | Apex | ⚡️ Käyttäjänimet ja salasanat näytetään koodissa |
| Sovellusalusta | Apex | ⚡️ Jos mukautettuja sisäänkirjautumiskulkuja on olemassa, istuntotason suojauksen kohdistamiseen ei ole logiikkaa |
| Sovellusalusta | Apex | ⚡️ Todennus käsitellään ad hoc |
| Sovellusalusta | Aura | ⚡️ Todennus käsitellään ad hoc |
| Sovellusalusta | Aura | ⚡️ Käyttäjänimet ja salasanat näytetään koodissa |
| Sovellusalusta | Yritys | ⚡️ Käyttäjien provisioinnin ja provisioinnin kumoamisen palvelutasosopimuksia ja vaatimuksia ei ole olemassa |
| Sovellusalusta | Dokumentaatio | ⚡️ Ei sisällä suojaushenkilöitä |
| Sovellusalusta | Dokumentaatio | ⚡️ Suojausmatriisissa ei ole selkeitä kartoituksia suojaushenkilöille ja sallituille todennusskeemoille |
| Sovellusalusta | Lightning (LWC) | ⚡️ Todennus käsitellään ad hoc |
| Sovellusalusta | Lightning (LWC) | ⚡️ Käyttäjänimet ja salasanat näytetään koodissa |
| Sovellusalusta | Organisaatio | ⚡️ API-käyttöoikeuksien hallinta ei ole käytössä |
| Sovellusalusta | Organisaatio | ⚡️ Jos käyttäjät käyttävät Salesforcea palomuurin takana, palomuuri käyttää kovakoodattuja IP-osoitteita suojatakseen viestinnän Salesforceen/Salesforceen |
| Sovellusalusta | Organisaatio | ⚡️ Käyttäjien ja Salesforceen kirjautuvien entiteettien välinen suhde ei ole 1:1 (joissa on jaettuja käyttäjätilejä) |
| Sovellusalusta | Organisaatio | ⚡️ Jos SSO on käytössä, yhdelläkään hyväksytyllä pääkäyttäjällä ei ole suoraa kirjautumisoikeutta |
| Sovellusalusta | Organisaatio | ⚡️ Sisäänkirjautumiskokoonpanot eivät vastaa Salesforcen MFA-tarkistusta |
| Sovellusalusta | Organisaatio | ⚡️ Vanhoja nimettyjä tunnuksia käytetään ulkoisten järjestelmien todentamiseen Käytä vanhoja nimettyjä tunnuksia määrittääksesi callout-päätepisteen URL-osoitteen ja sen vaaditut todennusparametrit |
Lue lisää Hyvin rakenteellisesta luotetusta → suojasta → organisaation suojauksesta → valtuutuksesta
| Mistä etsiä? Tuotealue | Sijainti | Mitä vältettävä? Anti-Kuvio |
|---|---|
| Einstein | Botit | ⚡️ Einstein käyttävät Chatbot-peruskäyttäjää tai "yleistä" bottikäyttäjää Bottikokoonpanon Einstein rakentajan yleiskatsaus -osiossa valittu bottikäyttäjä on Chatbot-peruskäyttäjä tai "yleinen" mukautettu Chatbot-käyttäjä, joka jaetaan eri liiketoimintatarkoituksiin käytettyjen bottien välillä |
| Sovellusalusta | Apex | ⚡️ DML, Database Class -metodit, SOQL ja SOSL suoritetaan oletusarvoisessa järjestelmätilassa |
| Sovellusalusta | Apex | ⚡️ Tietokantaoperaatiot eivät suorita käyttöoikeustarkistuksia asianmukaisesti SOQL-kyselyt käyttävät vain WITH SECURITY_ENFORCED-avainsanoja käyttöoikeuksien rajoittamiseen |
| Sovellusalusta | Apex | ⚡️ Tietokantaoperaatiot eivät suorita käyttöoikeustarkistuksia asianmukaisesti DML- tai Tietokantaluokka-metodit käyttävät vain isAccessible-, isCreateable-, isUpdateable- ja/tai isDeletable-tarkastuksia sObject- ja kenttätason käyttöoikeuksille |
| Sovellusalusta | Suunnittelun standardit | ⚡️ Käyttöskenaarioita korotettujen käyttöoikeuksien myöntämiseen ei ole luetteloitu selkeästi Sisältää: - Kaikkien tietojen muokkausoikeudet - Kaikkien tietojen tarkasteluoikeudet |
| Sovellusalusta | Dokumentaatio | ⚡️ Ei näytä selkeästi metadatan käyttöoikeuksia tai kohdistettuja henkilökuvia |
| Sovellusalusta | Dokumentaatio | ⚡️ Dokumentaatio ei sisällä suojausmatriisia |
| Sovellusalusta | Organisaatio | ⚡️ Käyttäjille kohdistetut käyttöoikeudet eivät noudata suojausmatriisirajoituksen määritelmiä |
| Sovellusalusta | Organisaatio | ⚡️ Profiilit sisältävät käyttöoikeuksia metadatan hallintaan |
| Sovellusalusta | Organisaatio | ⚡️ Käyttöoikeusjoukot määritetään ad hoc |
| Sovellusalusta | Organisaatio | ⚡️ Käyttöoikeusjoukkoryhmiä ei ole määritetty myöntämään käyttöoikeuksia liiketoimintaominaisuuksien perusteella |
| Sovellusalusta | Organisaatio | ⚡️ Vain API -käyttäjiä ei ole määritetty tai ne on jaettu useissa integraatioissa |
| Sovellusalusta | Organisaatio | ⚡️ Käyttöoikeusjoukot ovat tarpeettomia tai päällekkäisiä. On vaikea ymmärtää selkeää toiminnallista logiikkaa ja joukkojen välisiä eroavaisuuksia |