Salesforce Data 360 transformeert de manier waarop ondernemingen op grote schaal klantgegevens verbinden, harmoniseren en activeren. De ware kracht ervan ligt echter in de manier waarop die gegevens gedurende hun levenscyclus veilig worden beheerd. Deze beveiligingsreferentiearchitectuur biedt een praktische, complete blauwdruk voor het beschermen van Data 360-omgevingen. Dit bereiken we door middel van de kernprincipes van least privilege, zero Trust design en governance standaard. Beveiliging in Data 360 is een gedeeld verantwoordelijkheidsmodel. Salesforce beveiligt de infrastructuur, het netwerk, encryptieservices, het platform, de naleving en de toepassing zelf met wereldwijde standaarden zoals ISO 27001, SOC 2 en de Algemene verordening gegevensbescherming (AVG). Salesforce-beheerders beveiligen de gegevens van hun organisatie binnen het platform door toegang te definiëren, privacy af te dwingen en integraties te beheren. Dit omvat het implementeren van sterk identiteits- en toegangsbeheer (IAM) dat alleen noodzakelijke toegang verleent, het afdwingen van twee-factorenauthenticatie (2FA) en het naleven van het principe van de minste rechten en ondernemings- en regelgevende mandaten. Data 360 Governance verbindt deze lagen van verantwoordelijkheid, zodat beveiliging en naleving op elkaar afgestemd blijven. Het zorgt ervoor dat rollen, beleidsvormen, machtigingen en gegevensverwerkingsregels worden gedefinieerd en continu worden gehandhaafd gedurende het gehele proces, van opname tot activering. Gegevensafstamming, metagegevensclassificatie en instemmingsbewustzijn zijn ingebouwd in elk object en proces. Hierdoor verandert governance van een handmatige toezichtfunctie in een operationeel controlevlak. Salesforce biedt een veerkrachtige, conforme basis waarop ondernemingen volledige controle behouden over hun gegevenspositie, privacy-instellingen en integratiegrenzen. Samen creëren ze een beveiligings- en governance-structuur waarin elke gegevensset, elk beleid en elke gebruikersactie traceerbaar, consistent en verankerd in Trust is. Beveiliging in Data 360 gaat verder dan statische besturingselementen. Het is ingebed in elke fase van de gegevenslevenscyclus. Vanaf het moment dat gegevens worden opgenomen, worden ze versleuteld, gevalideerd en geclassificeerd onder ondernemingsbeleid. Terwijl het gecombineerd en verrijkt is, worden kenmerken van metagegevensafstamming en instemming onderhouden om verantwoordelijkheid te waarborgen. Wanneer insights worden geactiveerd voor zakelijk of AI-gebruik, worden uitgaande stromen beschermd via versleutelde kanalen, krachtige authenticatie en autorisatie, beleidsbewust bestuur en het afdwingen van instemming, zodat gegevens vertrouwd, conform en beveiligd blijven van opname tot activering.

Salesforce Data 360 is een cloud-native gegevensplatform dat volledig is gebaseerd op de Hyperforce architectuur van Salesforce, dat een veilige, conforme en schaalbare basis biedt voor wereldwijde activiteiten.

• Hyperforce biedt beveiliging en naleving als ingebouwde mogelijkheden, niet als uitbreidingen. Het biedt een gemeenschappelijke set basisbesturingselementen die diep geïntegreerd zijn in de platforms en toepassingen van Salesforce, waardoor elke laag, van infrastructuur tot app-ervaring, is ontworpen met beveiliging, privacy en naleving als kern.
• Data 360 neemt robuuste raamwerken voor toegang, encryptie en naleving van regelgeving rechtstreeks over van de basisbesturingselementen van Hyperforce.
• Dit standaardmodel beperkt kwetsbaarheden en vereenvoudigt de levering van vertrouwde, conforme gegevensservices.

• Data 360 wordt uitgevoerd binnen een speciaal functioneel domein dat wordt gehost op Hyperforce, een gecombineerd cloudplatform dat isolatie, prestaties en beveiliging voor meerdere belanghebbenden garandeert.
• Data 360 maakt gebruik van een microservices-architectuur, waarbij alle services worden gecontaineriseerd en georkestreerd via Kubernetes.
• Door toepassing van de principes van zero Trust beheert het Istio-servicenetwerk veilige communicatie tussen services en biedt het verkeersbeheer, observatie en beleidsafdwinging.

• Data 360-services worden geleverd en werken met Salesforce Managed Virtual Private Cloud (VPC), waardoor scheiding, efficiënte controle en geoptimaliseerde interne netwerken mogelijk zijn.
• De architectuur ondersteunt horizontale schaalbaarheid, waardoor Data 360 gegevensverwerkingswerk op petabyteschaal aankan.

• Data 360 biedt duidelijk gedefinieerde API's voor integratie met Salesforce CRM-toepassingen en andere gegevensbronnen.
• Het ondersteunt zowel op first party (1P) als Hyperforce gebaseerde Salesforce CRM-organisaties, wat zorgt voor brede compatibiliteit tussen omgevingen.
• Met Data Cloud One kunnen klanten meerdere Salesforce CRM-organisaties verbinden met één Data 360-exemplaar.

Beveiliging binnen Salesforce Data 360 werkt onder een gedeeld verantwoordelijkheidsmodel, een framework dat ook wordt gebruikt door toonaangevende cloudproviders zoals Amazon Web Services (AWS), Microsoft Azure en Google Cloud. Dit model definieert een duidelijke grens: Salesforce is verantwoordelijk voor de beveiliging van de cloud en klanten zijn verantwoordelijk voor de beveiliging in de cloud. Inzicht in en operationalisering van dit onderscheid is essentieel voor het behoud van een veerkrachtig, conform en veilig gegevensecosysteem.

Salesforce is verantwoordelijk voor het beveiligen en onderhouden van de integriteit van het Data 360-platform en de wereldwijde infrastructuur ervan. Dit omvat:

• Fysieke en omgevingsbeveiliging: Hyperforce wordt gehost op de AWS-infrastructuur en Amazon heeft de gedelegeerde verantwoordelijkheid voor de bescherming van hun wereldwijde gegevenscentra via toegangscontroles, bewaking en milieubescherming.
• Netwerk- en perimeterverdediging: Distributed Denial of Service (DDoS) vermindering, inbraakdetectie en encryptie voor al het verkeer in transit (TLS 1.2 en hoger) en in ruste (AES-256).
• Platformverharding en Patchbeheer: Doorlopend kwetsbaarheidsbeheer, patchimplementatie en baselining van beveiliging op OS-niveau.
• Naleving en certificering: Continue audits op standaarden zoals SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018 en gereedheid voor frameworks zoals GDPR. Deze besturingselementen zorgen ervoor dat het Data 360-platform veilig, betrouwbaar en conform blijft, waardoor klanten zich kunnen richten op bedrijfslogica en gegevensbeheer in plaats van infrastructuurverdediging.

Klanten zijn verantwoordelijk voor het beveiligen van hun gegevens, configuraties en operationele processen binnen hun Salesforce Data 360-organisaties. Belangrijke gebieden van verantwoordelijkheid omvatten:

• Identiteits- en toegangsbeheer (IAM): Definieer rollen, dwing multi-factorenauthenticatie (MFA) en Single Sign-On (SSO) af en pas het principe van de minste rechten toe.
• Gegevensbeheer: Classificeer gevoelige gegevens, pas waar nodig maskeren toe en dwing toegangscontroles op object-, veld- en recordniveau af.
• Integratiebeveiliging: Beheer API-toegang via OAuth 2.0, JSON Web Token JWT en andere authenticatiestandaarden met behulp van benoemde inloggegevens en externe inloggegevens.
• Bewaking en respons: Gebruik eventbewakings- en audittrajecten en stuur logboeken door naar een systeem voor beveiligingsinformatie- en eventbeheer (SIEM) voor geavanceerde detectie van bedreigingen. Salesforce biedt de veilige basis, maar klanten bepalen hun feitelijke beveiligingspositie door middel van hun configuraties, besturingselementen en waakzaamheid.

Beveiliging is niet alleen een technische constructie, het is een organisatorische discipline. Gegevensbescherming in Salesforce Data 360 wordt bereikt door samenwerking tussen architectuur-, operations- en governance-teams. Ondernemingen moeten:

• Controleer ongebruikte of overbevoorrechte accounts voortdurend en trek ze in.
• Automatiseer afdwinging met behulp van beleidsvormen als code en CI/CD-pijplijnen.
• Voer oefeningen op tafel uit die incidenten simuleren, zoals ongeoorloofde activering van gegevens of exfiltratie, om de reactiegereedheid te verbeteren. De effectiviteit van Data 360 wordt niet alleen geschaald op basis van voorzieningen, maar ook op basis van hoe verantwoordelijk klanten deze operationaliseren.

Salesforce Data 360 omarmt een filosofie die standaard beveiligd is, namelijk een verschuiving van reactief beheer naar preventief ontwerp. In plaats van later te beginnen met openen en aanhalen, begint elke nieuwe Data 360-organisatie nu met de status "Alles weigeren", waardoor nul Trust principes worden afgedwongen vanaf de eerste implementatie.

In oudere omgevingen hebben klanten een tolerant "Alles toestaan"-model overgenomen voor snellere onboarding. Hoewel handig, creëerde dit risico van onbedoelde overbelichting en verkeerde configuratie. De nieuwe standaardarchitectuur keert deze benadering om:

• Geen enkele gebruiker of systeem heeft impliciete toegang.
• Alle machtigingen moeten expliciet worden verleend.
• Gegevenstoegang, integratie en governance worden afgedwongen vanaf dag 0. Dit dwingt de minste rechten by design af, waardoor het risico op abusievelijke blootstelling of escalatie van rechten drastisch wordt verminderd.

Dit model heeft zowel technische als gedragsmatige gevolgen:

• Teams moeten toegangsmodellen bewust plannen en machtigingen afstemmen op naleving en bedrijfsgrenzen.
• Governance wordt een ingebouwde ontwerpvereiste, geen bijzaak.
• Eigendom en verantwoordelijkheid voor gegevens worden vanaf het begin gedefinieerd. Voor oudere Data 360-organisaties die nog steeds onder "Alles toestaan" werken, moeten beheerders configuraties handmatig aanscherpen om ze af te stemmen op de nieuwe baseline, een kritieke stap in elke modernisering van de beveiliging of elk Data 360-volwassenheidsprogramma.

Door standaard nul toegang te geven en expliciete beleidsdefinities te vereisen, zorgt Salesforce Data 360 voor Trust by Design, een fundamentele evolutie in de beveiliging van bedrijfsgegevens. Deze benadering zorgt ervoor dat:

• Ongeautoriseerde toegang en risico's op gegevenslekkage worden geminimaliseerd.
• Governancekaders worden structureel afgedwongen, niet optioneel.
• Ondernemingen krijgen een meer voorspelbare, controleerbare en veerkrachtige beveiligingspositie in alle omgevingen. In wezen is beveiliging niet langer een voorziening die u toevoegt. Het is de basis waarmee u begint.

Identity and Access Management (IAM) in Salesforce Data 360 is de eerste en meest kritieke verdedigingslaag. Het bepaalt wie toegang heeft tot het platform en welke acties ze eenmaal binnen kunnen uitvoeren. Een goed geïmplementeerd IAM-framework is de sterkste controle die een onderneming heeft om haar klantgegevens te beschermen en operationele integriteit te waarborgen.

Authenticatie vestigt digital Trust, hetgeen bevestigt dat elke gebruiker, service of extern systeem dat toegang heeft tot Salesforce Data 360 legitiem is.

Data 360 ondersteunt gebundelde authenticatie met identiteitsleveranciers van ondernemingsniveau (IdP's), zoals Microsoft Entra ID (Azure AD), Okta of Ping Identity met behulp van SAML 2.0, OpenID Connect (OIDC) of een systeem voor identiteitsbeheer tussen domeinen (SCIM). Deze bundeling breidt de levenscyclus van uw huisstijl rechtstreeks in Salesforce uit. Wanneer een medewerker bij het bedrijf komt, overdraagt of het bedrijf verlaat, wordt diens toegang automatisch aangepast, waardoor weesaccounts afnemen en nalevingsgereedheid wordt verbeterd.

Met Single Sign-On (SSO) authenticeren gebruikers één maal met behulp van hun bedrijfsinloggegevens en krijgen ze beveiligde toegang tot Salesforce-toepassingen zonder afzonderlijke wachtwoorden. Dit vermindert vermoeidheid van inloggegevens en minimaliseert risico's van hergebruik van wachtwoorden of phishing.

De identiteitsleverancier (IdP) wordt de enige autoriteit voor authenticatiebeslissingen en dwingt multi-factorenauthenticatie (MFA), voorwaardelijke toegang en op risico gebaseerde controles af. Authenticatie evolueert van één event naar een continue evaluatie van Trust, reagerend op gebruikersgedrag en context. Gebundelde authenticatie biedt:

• Gecentraliseerde beleidshandhaving: Authenticatiestandaarden worden op één plaats beheerd in alle Salesforce-omgevingen.
• End-to-end traceerbaarheid: Gecombineerde controletrajecten koppelen elke actie terug aan een geverifieerde identiteit.
• Mensgerichte ervaring: Een wrijvingloos, veilig inlogproces zorgt ervoor dat teams zich kunnen richten op insights, niet op inloggegevens.

Zodra een gebruiker is geverifieerd, definieert autorisatie wat deze kan openen, weergeven of wijzigen. Het stelt de operationele grenzen vast die gevoelige gegevens beschermen en de minste rechten afdwingen. Beginsel van minste rechten (PoLP): Elke gebruiker en elk systeem krijgt alleen de machtigingen die nodig zijn voor zijn of haar functie, meer niet. Dit principe beperkt de potentiële schade door gecompromitteerde inloggegevens of verkeerde configuraties drastisch. Op rollen gebaseerde toegangscontrole (RBAC): Salesforce Data 360 gebruikt machtigingensets en groepen machtigingensets om fijnmazige mogelijkheden toe te wijzen die zijn afgestemd op bedrijfsrollen. Bijvoorbeeld:

• Een Data Engineer kan opnamepijplijnen en transformaties beheren met behulp van de machtigingenset Data 360 Architect.
• Een marketinganalist kan wel een query uitvoeren op geharmoniseerde gegevens, maar kan geen modellen wijzigen met behulp van de machtigingenset Data 360-activeringsmanager.
• Een activeringsmanager kan uitgaande campagnes uitvoeren, maar heeft geen toegang tot brongegevens met behulp van de machtigingenset Data 360-activeringsmanager Toegang wordt centraal beheerd en controleerbaar, waardoor verantwoordelijkheid wordt gegarandeerd gedurende de gehele levenscyclus van gegevens. Indien geïntegreerd met IdP's zoals Entra ID, Okta of Ping Identity, wordt het toegangsbeleid naadloos doorgevoerd binnen de hele onderneming via SCIM-leveringen en SAML/SSO-bundeling.

Salesforce biedt vooraf gedefinieerde machtigingensets die best practices voor scheiding van taken en naleving van industriestandaarden zoals ISO 27001 omvatten.

Deze structurele scheiding van machtigingen zorgt ervoor dat niet één rol de gehele levenscyclus van gegevens controleert, waarbij wordt voldaan aan de vereisten voor scheiding van taken (SoD) in frameworks zoals ISO 27001 en SOC 2. Data 360-standaardmachtigingensets worden bij elke release automatisch bijgewerkt wanneer nieuwe voorzieningen beschikbaar komen. Een aangepaste machtigingenset daarentegen zou niet automatisch worden bijgewerkt, wat zou leiden tot potentiële beveiligingskwetsbaarheden of functionaliteitsverlies als deze niet zorgvuldig wordt onderhouden.

• Automatische beleidsevolutie: Salesforce onderhoudt en werkt standaardmachtigingensets bij als onderdeel van de platformreleases. Wanneer nieuwe voorzieningen worden geïntroduceerd, worden machtigingensets automatisch uitgelijnd, waardoor administratieve overhead wordt verminderd en configuratieafwijkingen worden voorkomen.
• Gereduceerd aanvalsoppervlak: Granulaire toegangsgrenzen voorkomen gegevensmisbruik of onbedoelde escalatie van rechten.
• Gereedheid voor controle en naleving: Gestandaardiseerde rollen vereenvoudigen attestering, waardoor het voor bedrijven gemakkelijker wordt om toegangscontroles aan te tonen tijdens audits of wettelijke beoordelingen.
• Schaalbare governance: Beheerders kunnen deze rollen rechtstreeks toewijzen aan enterprise IAM-systemen zoals Okta en Microsoft Entra ID met behulp van SCIM-leveringen en SAML/SSO-bundeling, wat zorgt voor een uniforme beveiligingspositie voor zowel Data 360 als het bredere enterprise-ecosysteem.

• Standaardrollen aannemen: Gebruik de standaardmachtigingensets van Salesforce in plaats van te klonen of aan te passen, om automatische updates en consistente machtigingenmodellen voor releases te garanderen
• Integreren met Enterprise IAM: Centraliseer de levering van toegang via SCIM of identiteitsbundeling om zichtbaarheid en controle over de levenscyclus van alle identiteiten te behouden.
• Regelmatige toegangsbeoordelingen uitvoeren: Implementeer periodieke attesteringsprocessen om kruipen van machtigingen te detecteren en te zorgen voor afstemming met functionele vereisten.
• Just-in-Time-toegang toepassen: Verleen voor uitgebreide functies tijdelijke machtigingen die automatisch verlopen, in overeenstemming met zero Trust principes. IAM is het besturingsvlak dat menselijke identiteit, systeemtoegang en gegevensbeheer verbindt. Salesforce Data 360 biedt ondernemingen de tools om Zero Trust af te dwingen via gebundelde authenticatie, granulaire autorisatie en continu veranderende machtigingsmodellen. Maar de werkelijke effectiviteit ervan hangt af van de manier waarop organisaties deze besturingselementen operationaliseren — mensen, processen en technologie afstemmen op één doel: Data Trust zonder compromissen.

In het huidige Enterprise Data-ecosysteem is governance niet langer een beperking; het is de belangrijkste factor voor vertrouwde intelligentie. Voor architecten definieert het het evenwicht tussen wendbaarheid en controle, tussen open access en gegarandeerde naleving. Salesforce Data 360 (Data 360) is ontworpen met dit principe als kern. Governance en Trust zijn geen toegevoegde lagen; ze zijn ingebouwd in het weefsel van de architectuur. Elke fase van de gegevenslevenscyclus, van opname en harmonisering tot activering en AI-gestuurde insights, werkt onder een uniform governance-controlevlak dat definieert hoe gegevens binnen de hele onderneming op verantwoorde wijze worden geclassificeerd, beveiligd, geopend en gebruikt.

Data 360 is gebaseerd op een governance-first-model, dat ervoor zorgt dat elke gegevensinteractie, van opname tot activering van insights, beleidsbewust, controleerbaar en conform is. Governance fungeert als het centrale besturingsvlak en beheert de manier waarop gegevens worden ontdekt, geclassificeerd en beschermd gedurende hun levenscyclus. Dit gecombineerde regelvlak zorgt ervoor dat:

• Gegevenstoegang is contextueel geautoriseerd: alleen de juiste gebruikers, onder het juiste beleid, kunnen op de juiste gegevens reageren.
• Governance is ingebed in zowel de semantische als operationele lagen, wat zorgt voor consistentie tussen de manier waarop gegevens worden gemodelleerd en hoe ze worden beschermd.
• De principes Zero Trust en Minste rechten worden afgedwongen: waarbij identiteit, context en beleid in real-time worden geëvalueerd voordat toegang wordt verleend. Via deze architectuur transformeert Salesforce Data 360 governance van statisch machtigingenbeheer naar een dynamische, beleidsgestuurde doeltreffende laag. Eén die zich continu aanpast aan de context, compliance by design afdwingt en Trust op ondernemingsniveau handhaaft.

Op macroniveau bieden gegevensruimten logische scheiding en isolatie van ondernemingsgegevensdomeinen, waardoor organisaties met bedrijfsmodellen met meerdere merken, regio's of belanghebbenden gegevens kunnen beheren binnen één gecombineerd platform. Gegevensruimten kunnen worden afgestemd op bedrijfsdomeinen (zoals Sales, Marketing of Customer Success) of op regelgevende en geografische grenzen (zoals EU, AMER of APAC), waardoor governance en toegangscontroles de operationele en nalevingsstructuur van de organisatie weerspiegelen zonder het onderliggende gegevensplatform te versnipperen.

• Elke gegevensruimte fungeert als een virtuele grens en definieert welke gegevensverzamelingen een gebruiker of team kan zien of gebruiken.
• Toegang binnen een gegevensruimte wordt expliciet verleend, waardoor geen impliciete machtigingen of kruisbesmetting van de zichtbaarheid van gegevens worden gegarandeerd.
• Dit maakt gebundeld eigendom mogelijk: elke bedrijfseenheid kan zijn domein onafhankelijk besturen en toch gecentraliseerd overzicht en naleving behouden. Gegevensruimten vormen de eerste laag van governance en zorgen voor structurele duidelijkheid en verantwoordelijkheid voor alle ondernemingsgegevenssets. <img style="border:1px solid #e5e5e5;margin:2rem 0rem"

src="https://a.sfdcstatic.com/developer-website/prod/images/architect/data_360_security_architecture/data_360_dataspace.png" alt="Data 360-gegevensruimten" />

In Salesforce Data 360 dienen RBAC en ABAC verschillende maar complementaire doelen en worden ze toegepast op verschillende lagen van het platform. RBAC wordt voornamelijk gebruikt voor platform- en capaciteitstoegang. Het bepaalt wie toegang heeft tot Data 360-constructies en -voorzieningen zoals Gegevensruimten, proces maken, beheermogelijkheden en toegang tot tools. RBAC wordt geïmplementeerd door middel van machtigingen en machtigingensets, bijvoorbeeld door gebruikers toegang te geven tot een gegevensruimte met specifieke ingeschakelde voorzieningen. ABAC wordt gebruikt voor het afdwingen van gegevenstoegang. ABAC-beleidsvormen zijn volledig verantwoordelijk voor het bepalen wie toegang heeft tot welke gegevensobjecten en kenmerken, inclusief beveiliging op objectniveau (OLS), toegang op veldniveau en beperkingen op rijniveau. Deze beslissingen worden dynamisch genomen door de actie, gebruikerskenmerken en resourcekenmerken tijdens run-time te evalueren. In ABAC blijven machtigingen onderdeel van het model, maar bepaalt het beleid zelf de toegang, niet alleen de rol. Beleidsvormen evalueren context zoals bedrijfseenheid, regio, gegevensgevoeligheid, doel van gebruik of wettelijke beperkingen om toegang toe te staan of te weigeren. Bijvoorbeeld:

• RBAC geeft een gebruiker toegang tot Data 360-gegevensruimte en analysevoorzieningen.
• ABAC bepaalt of diezelfde gebruiker een specifieke klantengegevensset kan lezen, welke rijen deze kan zien en welke kenmerken zijn gemaskeerd of beperkt. Dankzij deze duidelijke scheiding kan Data 360 veilig schalen:
• RBAC biedt gecontroleerde toegang tot platformmogelijkheden en werkstromen.
• ABAC biedt verfijnde, beleidsgestuurde gegevenstoegang die is afgestemd op nalevings-, verblijfs- en gegevensbeschermingsvereisten. Samen maken ze bestuurde gegevensdemocratisering mogelijk zonder platformmachtigingen te verwarren met logica voor gegevensautorisatie. In wezen dwingt RBAC toegang af op basis van machtigingstoewijzing, terwijl ABAC machtigingen evalueert in context — waarbij actie-, gebruikers- en resourcekenmerken worden gecombineerd om adaptieve, verfijnde toegangscontrole te bieden voor Salesforce Data 360

De kern van de verfijnde toegangscontrole van Salesforce Data 360 wordt gevormd door op kenmerken gebaseerde toegangscontrole (ABAC, aangestuurd door de CEDAR-beleidstaal. In tegenstelling tot statische, op rollen gebaseerde machtigingen, evalueert ABAC dynamisch wie toegang aanvraagt, wat ze proberen te openen en onder welke voorwaarden — zodat elke gegevensinteractie overeenkomt met ondernemingsbeleid en Trust grenzen.

De ABAC-engine van Data 360 evalueert toegangsbeslissingen op basis van een combinatie van drie kernkenmerktypen:

• Gebruikerskenmerken: afdeling, locatie, vrijgaveniveau
• Gegevenskenmerken: classificatie, gevoeligheid (PII, PHI, Financiële gegevens), gegevensruimte Dit flexibele, beleidsgestuurde model zorgt ervoor dat afdwinging automatisch wordt aangepast naarmate gebruikersrollen, gegevensclassificaties of bedrijfsomstandigheden zich ontwikkelen, wat essentieel is voor grote, gedistribueerde en gereguleerde ondernemingen. <img style="border:1px solid #e5e5e5;margin:2rem 0rem"

src="https://a.sfdcstatic.com/developer-website/prod/images/architect/data_360_security_architecture/attribute_based_access_control.png" alt="Controle over op kenmerk gebaseerd beleid" />

Salesforce Data 360 implementeert een op standaarden gebaseerde op kenmerken gebaseerde architectuur voor toegangscontrole (ABAC), die is afgestemd op best practices uit de sector voor beleidsgestuurde gegevensgovernance. Het bestaat uit drie primaire functionele componenten:

• Policy Information Point (PIP) - Beleid, verrijkte metagegevens en classificatie:
• Bevat beleidsdefinities zelf, inclusief beleidsvormen voor gegevenstoegang, classificatie, maskeren, bewaren en gebruik die van toepassing zijn op ondernemingsgegevens.
• Onderhoudt verrijkte metagegevens zoals tags, classificaties, bedrijfscontext en end-to-end afstamming.
• Gebruikt door LLM en ML gestuurde classificatie om automatisch gevoelige gegevens te taggen (bijv. PII.Email, PII.Phone, PHI).
• Tagpropagatie zorgt ervoor dat classificaties automatisch langs de gegevensafstamming (DLO → DLO → DMO) stromen.
• Gevoeligheid en naleving behouden voor alle transformaties.
• Beleidsbeslissingspunt (PDP): De PDP is de beslissingsengine die CEDAR-beleidsvormen interpreteert.
• Neemt contextuele invoer op uit de PEP (gebruikersidentiteit, verzoekmetagegevens) en verwijzingskenmerken uit de PIP.
• Evalueert beleidsvormen deterministisch om consistente, verklaarbare en schaalbare toegangsbeslissingen te nemen.
• Ondersteunt zowel real-time als batchevaluaties, wat prestaties en precisie garandeert, zelfs in omgevingen met groot volume.
• Beleidshandhavingspunt (PEP): De PEP is de plaats waar autorisatiebeslissingen tijdens run-time worden afgedwongen.
• Onderschept verzoeken om toegang tot gegevens via alle interactiekanalen, zoals API's, UI-query's, CRM-verrijking of RAG-pijplijnen (GenAI Retrieval-Augmented Generation).
• Past PDP-uitkomsten onmiddellijk toe, zodat elke query en elk ophalen voldoet aan het toegangsbeleid voor de onderneming. De PIP-PDP-PEP-triade vormt samen een gedistribueerd governance-weefsel, dat consistente, op beleid gebaseerde controle afdwingt voor alle Data 360-services en -toegangsmodi. Belangrijk is dat ABAC in Data 360 is geconfigureerd, niet samengesteld. Architecten stellen geen aangepaste besturingsvlakken of afdwingingslogica samen. In plaats daarvan vullen en verbinden ze drie native architectonische componenten die samen functioneren als een uniform governance-weefsel. Op praktisch niveau verloopt de implementatie volgens een eenvoudige progressie: classificeer de gegevens, definieer de beleidsvormen en laat het platform ze automatisch afdwingen. Eenmaal geconfigureerd, wordt toegangscontrole een systeemwerking in plaats van een handmatig of procedureel proces. Deze gedistribueerde governance fabric zorgt voor consistente beleidsafdwinging binnen alle toegangskanalen, waardoor een gecombineerde Trust grens wordt gecreëerd binnen Data 360.

Het ABAC-framework van Data 360 ondersteunt gelaagde toegangsgrenzen, waardoor gegevens niet alleen op objectniveau worden beschermd, maar ook binnen specifieke velden en records.

• Beveiliging op objectniveau (OLS): De buitenste grens van toegangscontrole. Regelt toegang tot volledige gegevensstructuren zoals gegevens-lakeobjecten (Data Lake Objects, DLO's) of gegevensmodelobjecten (Data Model Objects, DMO's). Voorbeeld: Toegang verlenen tot het object Klant, maar niet tot Transacties.
• Beveiliging op veldniveau (FLS): Bepaalt toegang tot specifieke velden binnen een object. Voorbeeld: Een marketinggebruiker kan klantennamen zien, maar kan geen creditcardnummers of nationale identifiers weergeven.
• Beveiliging op recordniveau (RLS): De fijnste controlelaag. Bepaalt welke afzonderlijke records binnen een gegevensset een gebruiker kan weergeven of wijzigen. Voorbeeld: Een regiomanager heeft alleen toegang tot klantgegevens die zijn gekoppeld aan de toegewezen regio.
• Dynamic Data Masking (DDM) : Schakelt realtime gegevensbescherming in. Als aanvulling op ABAC dwingt DDM beleidsgestuurde verhulling van gevoelige informatie af zonder de onderliggende gegevensset te wijzigen. Tijdens de query maskeert DDM automatisch velden zoals persoonsgegevens of financiële gegevens op basis van gebruikersrol, context of nalevingsregels.
• Gevoelige gegevens blijven beschermd binnen UI-weergaven, API's en AI-werkstromen.
• Vermindert het risico op gegevenslekkage door te zorgen voor consistent maskeren in alle verbruikslagen.
• Handhaaft de controleerbaarheid. Elke gemaskerde query wordt vastgelegd en getraceerd binnen het governance-framework van Data 360. <img style="border:1px solid #e5e5e5;margin:2rem 0rem"

src="https://a.sfdcstatic.com/developer-website/prod/images/architect/data_360_security_architecture/attribute_based_access_control_in_action.png" alt="Op kenmerken gebaseerde beleidsbesturing in actie" />

Deze architectuur transformeert toegangscontrole van een statisch machtigingenmodel naar een dynamische, contextbewuste beleidsstructuur. Door de gestructureerde eenvoud van RBAC te combineren met de contextuele diepgang van ABAC, bereikt Salesforce Data 360:

• Consistente beleidshandhaving bij opname, harmonisering en activering.
• Adaptief bestuur dat meegroeit met gegevens, rollen en nalevingsbehoeften.
• Gecombineerde Trust grenzen over de gehele levenscyclus van gegevens — van opname tot AI-activering.

Het governancemodel van Salesforce Data 360 is native ingebed in het Salesforce Platform, waardoor gecombineerde beveiliging, naleving en toegangscontrole mogelijk zijn voor zowel operationele als analytische gegevens. Door de kernmogelijkheden van Salesforce voor identiteits- en toegangsbeheer over te nemen—zoals identiteitsbundeling, machtigingensets, gecentraliseerd schrijven van beleid en platformencryptie—past Data 360 consistent Trust policies toe in clouds zonder parallelle governance-stacks te introduceren. In plaats van isolatie, autorisatie en afstamming als afzonderlijke aandachtspunten te behandelen, integreert het platform ze in één uitvoeringsbewust Trust fabric dat de gehele gegevenslevenscyclus bestrijkt. Op structureel niveau wordt dit governanceweefsel gevormd door drie complementaire lagen die in onderlinge samenwerking werken:

• Gegevensruimten, die duidelijke logische grenzen stellen voor gegevensisolatie en regelgevingssegmentering
• Op kenmerken gebaseerde toegangscontrole (Attribute-Based Access Control, ABAC), die verfijnde, contextbewuste autorisatiebeslissingen mogelijk maakt op basis van identiteit, doel en gegevenskenmerken
• Semantische afkomst, die zakelijke betekenis, gevoeligheid en traceerbaarheid behoudt terwijl gegevens worden opgenomen in insights en activering Samen creëren ze een governance-model waarin toegangsbeslissingen verklaarbaar zijn, de afdwinging automatisch verloopt en de naleving continu is in plaats van retroactief. Het resultaat is een platform waar governance niet langer een beperkende factor of een bijzaak is. In plaats daarvan wordt het een ondersteunende laag—waardoor architecten gegevensproducten en AI-gestuurde werkstromen kunnen ontwerpen met het vertrouwen dat Trust, privacy en wettelijke vereisten worden afgedwongen door het systeem zelf. Deze samenstellingsbenadering zorgt ervoor dat ondernemingsgegevens niet alleen bruikbaar blijven, maar ook op verantwoorde wijze kunnen worden toegepast. Dit ondersteunt inzicht, activering en automatisering op schaal zonder afbreuk te doen aan transparantie, beveiliging of controle.

In het tijdperk van AI-gestuurde ondernemingen is het beveiligen van gegevens geen eenmalige gebeurtenis, maar een continu proces dat informatie beschermt vanaf het moment dat deze het ecosysteem binnenkomt tot het moment dat deze wordt geactiveerd voor zakelijk of AI-gebruik. Salesforce Data 360 integreert beveiligings- en governance-controles in elke fase van de gegevenslevenscyclus, zodat gegevensintegriteit, vertrouwelijkheid en Trust behouden blijven van opname tot activering van insights.

De kern van het beschermingmodel van Salesforce Data 360 wordt gevormd door Platform-encryptie voor Data 360 — een transparant, hoogwaardig encryptieframework dat gegevens zowel in ruste als onderweg beveiligt, zonder afbreuk te doen aan bruikbaarheid of schaalbaarheid.

Gegevens die in het Data 360 Data Lake worden bewaard, worden automatisch versleuteld op de opslaglaag, waardoor gegevens onleesbaar blijven, zelfs als fysieke of ongeoorloofde toegang plaatsvindt. Belangrijke mogelijkheden omvatten:

• Transparante gegevens-lake-encryptie: Alle gegevens die in het gegevens-lake blijven staan, worden versleuteld op de opslaglaag met behulp van door de klant beheerde sleutels (CMK). Dit zorgt ervoor dat zelfs als er ongeautoriseerde toegang tot de fysieke opslag plaatsvindt, de gegevens onleesbaar en onontcijferbaar blijven.
• Door klant beheerde sleutels (CMK): Klanten behouden volledige controle over encryptiesleutels — een cruciale mogelijkheid voor gereguleerde sectoren zoals financiële dienstverlening, gezondheidszorg en overheid. CMK maakt fijnmazige auditing, controle en bewijs van gegevenssoevereiniteit mogelijk, rechtstreeks in overeenstemming met wettelijke verplichtingen zoals AVG, HIPAA en ISO 27001.
• Extern sleutelbeheer (EKM): Met Externe sleutelbeheer, een voorziening van Platform-encryptie voor Data 360, kunnen klanten gegevens in Data 360 versleutelen met behulp van sleutels die zijn opgeslagen in de AWS KMS-accounts van de klanten. Dit biedt klanten meer flexibiliteit terwijl hun gegevens in Data 360 veilig en beschermd blijven.
• Breng uw eigen sleutel (BYOK): Voortbouwend op CMK en EKM biedt Data 360 klanten nu de mogelijkheid om hun eigen sleutelmateriaal rechtstreeks binnen Salesforce te uploaden om gegevens at rest en zoekindexen te versleutelen. Deze uitbreiding biedt een extra beschermingslaag voor persoonsgegevens, gevoelige, vertrouwelijke en bedrijfseigen gegevens—zonder dat klanten sleutels hoeven te maken of beheren in AWS KMS.
• Sleutelrotatie en levenscyclusbeheer: Toetsrotatie wordt gracieus afgehandeld. Nieuwe gegevens worden versleuteld met de nieuwe sleutel, terwijl oudere gegevens versleuteld blijven met de oorspronkelijke sleutel, waardoor downtime of prestatievermindering wordt voorkomen. Dit rotatiemechanisme versterkt de naleving zonder operationele onderbreking.

Elk stukje gegevens dat wordt verzonden tussen Data 360-services, API's en connectoren, wordt beschermd met behulp van Transport Layer Security (TLS) 1.2 of hoger, wat end-to-end encryptie in beweging biedt. Dit zorgt ervoor dat:

• Gegevens kunnen niet worden onderschept of gewijzigd tijdens overdracht.
• Communicatie tussen Salesforce-services, vertrouwde connectoren en klanteindpunten blijft privé en controleerbaar.
• Beveiliging strekt zich consistent uit over opnamepijplijnen, harmoniserings processen, activeringswerkstromen en externe API integraties. Door door de klant beheerde encryptie at rest te combineren met continue encryptie onderweg, maakt Salesforce Data 360 een diepgaande architectuur die klantgegevens beschermt tegen zowel externe aanvallen als interne infrastructuurdreigingen.

Hoewel encryptie en toegangscontroles gegevens binnen Salesforce Data 360 beveiligen, is het beveiligen van gegevensverkeer tussen systemen net zo belangrijk. Moderne ondernemingen werken in multi-cloud- en hybride omgevingen, waar gevoelige gegevens stromen tussen Salesforce, analyseplatforms, externe API's en gegevens-lakes. Om dit aan te pakken, heeft Salesforce een beveiligd integratieframework ontwikkeld dat is gecentreerd rond benoemde inloggegevens (NC's) en externe inloggegevens (EC's) — een beleidsgestuurde, op nul Trust afgestemde basis voor veilige connectiviteit.

Salesforce heeft een robuust veilig integratieframework ontwikkeld, dat is gecentreerd rond benoemde inloggegevens (NC's) en externe inloggegevens (EC's). Samen abstraheren ze de complexiteit van inloggegevens, dwingen ze toegang met de minste rechten af en maken ze consistent authenticatiebeheer mogelijk voor alle integraties, zonder geheimen in code of configuratie bloot te leggen. Dit raamwerk abstraheert beveiligingscomplexiteiten, dwingt best practices af en stelt een beleidsgestuurd controlevlak vast voor alle externe verbindingen — in overeenstemming met Salesforce's Zero Trust en security-by-design principes.

Benoemde gegevens

Benoemde inloggegevens vormen de hoeksteen van de veilige integratiearchitectuur van Salesforce. Ze bieden een declaratief, gecentraliseerd mechanisme voor het definiëren van externe eindpunten en hun authenticatieparameters — waardoor de noodzaak om gevoelige inloggegevens zoals gebruikersnamen, wachtwoorden of tokens hard te coderen in Apex code of configuratiebestanden overbodig wordt. In plaats daarvan verwijzen ontwikkelaars en beheerders gewoon naar een alias van een benoemd gegeven (bijvoorbeeld SnowflakeConnector_NC), waarna Salesforce automatisch de onderliggende authenticatie en het beheer van de verbinding afhandelt. Architectonische en beveiligingsvoordelen:

• Vereenvoudigd onderhoud: NC's consolideren externe eindpunt-URL's en authenticatieparameters in één beheerde record. Updates, zoals het wijzigen van een eindpunt of het roteren van inloggegevens, vereisen alleen wijzigingen in de NC-record, waardoor wordt voorkomen dat code of stromen opnieuw worden geïmplementeerd in verschillende omgevingen.
• Verbeterde beveiliging: Inloggegevens worden veilig opgeslagen in de versleutelde geheime opslag van Salesforce, waardoor blootstelling in coderepository's, configuratiebestanden of logboeken wordt voorkomen. Het authenticatieproces zelf wordt automatisch beheerd tijdens run-time, waardoor menselijke fouten en het risico op lekkage worden verminderd. Naleving naleving: De scheiding van inloggegevens en bedrijfslogica vereenvoudigt de naleving van regelgeving voor gegevensbescherming zoals GDPR, HIPAA en PCI DSS. Accountants kunnen gemakkelijk controleren of toegang tot externe gegevens voldoet aan het beveiligings- en governancebeleid van de onderneming.
• Omzeilt externe site-instellingen: NC's elimineren de verouderde vereiste voor externe site-instellingen, waardoor configuratie en implementatie worden gestroomlijnd, met name voor grootschalige of multi-omgevingsimplementaties voor ondernemingen.

Externe inloggegevens (EC's) definiëren het authenticatieprotocol en de stroom die Salesforce gebruikt bij het verbinden met een externe service, en geven in feite een antwoord op "hoe te authenticeren". Eén EC kan worden hergebruikt voor meerdere NC's die hetzelfde authenticatietype delen, wat hergebruik van configuraties en consistente beveiligingsafdwinging bevordert. Ondersteunde authenticatieprotocollen:

• OAuth 2.0 (alle varianten ondersteund)
• JWT (JSON Web Token)
• Basisauthenticatie
• AWS Signature v4
• Aangepaste authenticatie
• Geen authenticatie (voor open API's of openbare eindpunten) Externe inloggegevens en Benoemde inloggegevens zijn ontworpen rond duidelijke scheiding van taken. Een extern inloggegeven definieert de manier waarop moet worden geauthenticeerd, waarbij het authenticatieprotocol, het tokentype en de vernieuwingswerking voor het verbinden met externe systemen worden opgegeven. Een benoemd gegeven bepaalt daarentegen waar verbinding moet worden gemaakt: de eindpunt-URL en welk extern gegeven voor die verbinding moet worden gebruikt. Dit ontwerp zorgt ervoor dat authenticatielogica en eindpuntconfiguratie ontkoppeld blijven, waardoor Salesforce diverse integratieprotocollen veilig kan ondersteunen en tegelijkertijd een gecentraliseerd en consistent beheer van inloggegevens binnen de hele onderneming behoudt.

Hoewel de gebruikersinterface van Data 360 een groot deel van de onderliggende configuratie abstraheert, wordt het framework Benoemd gegeven en Extern gegeven vaak onder de motorkap gebruikt door de eigen connectoren en gegevensstromen. Dit betekent dat, zelfs wanneer beheerders gewoon "een gegevensverbinding toevoegen" via een begeleide UI, Data 360 dit gestandaardiseerde beveiligingsmodel achter de schermen nog steeds toepast. Architectonische implicaties:

• Gecombineerd beveiligingsmodel: Elke connector — of het nu gaat om een externe database , AWS S3 of een enterprise-API — profiteert van dezelfde encryptie-, authenticatie- en sleutelbeheerstandaarden die worden afgedwongen door benoemde en externe inloggegevens.
• Abstrahering van ontwikkelaar: Ontwikkelaars en beheerders hoeven authenticatiestromen of inloggegevensrotatie niet handmatig af te handelen. Salesforce beheert de levenscyclus, het verlopen en vernieuwen van tokens automatisch.
• Consistente beleidshandhaving: Dit raamwerk zorgt ervoor dat alle connectoren zich houden aan consistent authenticatie-, controle- en vastleggingsbeleid — essentieel voor grootschalige opname van meerdere bronnen in gereguleerde sectoren.
• Toekomstbestendige uitbreidbaarheid: Naarmate Salesforce zijn authenticatiestack verbetert (bijvoorbeeld om nieuwe OAuth-stromen of FIDO2-standaarden te ondersteunen), worden deze verbeteringen automatisch doorgevoerd binnen alle connectoren zonder dat refactoring of herimplementatie nodig is.

Salesforce Data 360 biedt een groot aantal kant-en-klare connectoren die gegevensintegratie uit verschillende bronnen stroomlijnen. Hierdoor kunnen bedrijven hun gegevens efficiënt consolideren en benutten. Salesforce biedt meerdere connectortypen, waaronder native Salesforce-connectoren, cloudopslagconnectoren, databaseconnectoren en toepassings- en API-connectoren. Naast de aangeboden connectoren worden ook nul ETL-tools ondersteund. Salesforce-connectoren maken een naadloze integratie mogelijk tussen Salesforce-producten, zoals Sales Cloud, Service Cloud en Marketing Cloud, met Data 360. Daarnaast wordt een reeks connectoren naar cloudopslagleveranciers aangeboden, waaronder Amazon S3, Google Cloud Storage en Azure Data Lake. Met de vooraf samengestelde connectoren voor databases zoals Snowflake, Redshift en BigQuery kunnen ondernemingen hun bestaande gegevenswarehouses koppelen aan Data 360. Bovendien biedt Data 360 connectoren voor diverse externe toepassingen en API's, zoals Google-advertenties, Facebook-advertenties en andere marketingplatforms. Voor meer flexibiliteit integreert Data 360 met ETL-tools zoals MuleSoft en Informatica.

De beveiliging van gegevens die zijn opgeslagen binnen Salesforce Data 360, heeft voorop gestaan bij veel aan Data 360 gerelateerde gesprekken. Als onderdeel van Salesforce's streven naar een diepgaande beveiligingsbenadering wordt evenveel belang gehecht aan de beveiliging van de manier waarop gegevens worden opgenomen in de Data 360-omgeving. Salesforce erkent dat bedrijven actief zijn in diverse gegevensecosystemen, vaak verspreid over meerdere cloudplatforms, opslagoplossingen en analysetools. Onze Data 360-connectoren fungeren als brug tussen deze omgevingen. De connector maakt veilige, schaalbare en efficiënte gegevensintegratie mogelijk, terwijl de hoge beveiligingsnormen van Salesforce worden gehandhaafd. Deze connectoren zorgen voor een naadloze gegevensstroom zonder afbreuk te doen aan integriteit of privacy. De drie essentiële componenten van Data 360-connectorbeveiliging zijn:

• Authenticatie/autorisatietoewijzing: Veilig toegangsbeheer is essentieel voor gegevensbeveiliging. Verschillende cloudconnectoren gebruiken verschillende authenticatie- en autorisatiemechanismen om gebruikerstoegang te valideren en te controleren. Authenticatie zorgt ervoor dat gebruikers of systemen legitieme entiteiten zijn, terwijl autorisatie het niveau van verleende toegang definieert. Salesforce zorgt ervoor dat de connectoren ervan, waar mogelijk, voldoen aan industrienormen.
• Interoperabiliteit van ZETL-voorzieningen (Zero Copy): Duplicatie van gegevens vormt beveiligings- en operationele uitdagingen. Dit gaat ook gepaard met onnodige opslagkosten, inconsistenties in gegevens en een verhoogde blootstelling aan risico's. De ZETL-benadering (Zero Extract, Transform and Load) van Salesforce zorgt ervoor dat realtime gegevens kunnen worden gedeeld tussen platforms zonder dat fysieke gegevensreplicatie nodig is. Dit betekent dat gegevens binnen de oorspronkelijke omgeving kunnen blijven en toch toegankelijk zijn voor verwerking, rapportage en analyse. Bovendien verkleint dit ook het aanvalsoppervlak aanzienlijk en verbetert het de potentiële naleving van wetgeving inzake verblijfsvergunningen.
• Ondersteuning van gegevensfederatie: In de huidige multi-cloudomgevingen hebben organisaties uitgebreide gegevenstoegang nodig zonder onnodige gegevensverplaatsing. Het gebundelde gegevensmodel van de Data 360-connector ondersteunt zowel op bestanden als op query's gebaseerde gegevensbundeling, waardoor ondernemingen externe gegevensbronnen in realtime kunnen benutten. Of u nu toegang hebt tot gestructureerde databases, semigestructureerde logboeken of ongestructureerde bestanden, de connectoren van Salesforce zorgen ervoor dat gegevens gedurende de gehele levenscyclus veilig blijven. Salesforce streeft ernaar haar klanten de transparantie te bieden die nodig is om te navigeren door de complexiteiten van gegevensbeveiliging en naleving, zelfs met onze integraties. Onze Data 360-connectoren kunnen worden geïntegreerd met AWS S3, Google Cloud Storage, Snowflake of andere platforms en zijn ontworpen om Trust, transparantie en controle over kritieke bedrijfsgegevens te garanderen.

Toewijzing van beveiliging en authenticatie van Salesforce Data 360-connector

In de laatste fase van de gegevenslevenscyclus – gegevensactivering – worden gecombineerde en verrijkte klantprofielen binnen Salesforce Data 360 veilig gedistribueerd naar externe systemen voor toepassingen verderop in de stroom, zoals gepersonaliseerde marketing, analyses of doeltreffende betrokkenheid. Deze fase vertegenwoordigt de overgang van insight naar actie — en draagt daarom de hoogste verantwoordelijkheid voor het onderhouden van gegevensintegriteit, privacynaleving en Trust.

Uitgaande gegevensoverdrachten beveiligen

Data 360 dwingt veilige uitgaande connectiviteit af via beheerde, versleutelde trajecten. Alle activeringsdoelen – of het nu gaat om SFTP, Amazon S3, Microsoft Azure Blob, Google Cloud Storage of advertentienetwerken – moeten worden geconfigureerd met behulp van definities van beveiligde verbindingen die worden geverifieerd via het framework Benoemd gegeven en Extern gegeven van Salesforce, zodat er geen inloggegevens of eindpunten zichtbaar zijn in platte tekst. Architectonische beveiligingselementen:

• Versleutelde kanalen: Alle uitgaande gegevensoverdrachten vinden plaats via met TLS versleutelde kanalen, waardoor vertrouwelijkheid en integriteit tijdens het transport worden gewaarborgd.
• Credential abstraction: Uitgaande eindpunten gebruiken Benoemde gegevens, waarbij gebruik wordt gemaakt van de versleutelde geheime opslag van Salesforce en gecentraliseerd beheer voor alle API-sleutels en authenticatietokens. Dit voorkomt blootstelling van gevoelige details in configuratiebestanden of stroomdefinities.
• Toegang tot governance: Activeringsdoelen kunnen worden gebonden aan specifieke integratiegebruikers met machtigingen met bereik, wat verfijnde toegangscontrole en volledige controlemogelijkheden voor uitgaande events biedt.
• Netwerkbeveiliging: Voor omgevingen met veel beveiliging kunnen uitgaande verbindingen worden beperkt tot Privéverbindingskoppelingen, waardoor gegevensactiveringsverkeer binnen een privé AWS- of Azure-netwerk blijft in plaats van via het openbare internet.

Data 360-activeringsstroom

Security in Data 360 gaat verder dan technische controles en omvat beleidsbewust bestuur. Op het moment van activering dwingt de Data 360 Trust Layer van Salesforce automatisch instemmings- en privacybeleidsvormen van klanten af, zodat alleen in aanmerking komende gegevens worden gedeeld met externe bestemmingen. Belangrijkste mogelijkheden:

• Instemmingsbewuste gegevensstromen: Data 360 evalueert instemmingsvlaggen zoals "Niet delen", "Niet verkopen" of "E-mail afmelden" voordat gegevens worden geactiveerd. Records die deze instemmingsvoorwaarden schenden, worden automatisch uitgesloten van uitgaande gegevenssets.
• Uitlijning van regelgeving: Deze beleidsafdwingingen komen overeen met wereldwijde privacykaders, waaronder AVG, CCPA en HIPAA, waarbij naleving rechtstreeks in het activeringsproces van gegevens wordt ingebed in plaats van te vertrouwen op afdwinging verderop in de stroom.
• Geautomatiseerde herkomst en controle: Elke uitgaande activeringsevent wordt vastgelegd met volledige metagegevens over de herkomst van de gegevens, inclusief bron-DMO, instemmingsstatus en bestemmingsdetails. Dit maakt rapportage voor audits mogelijk voor toezichthouders of interne governanceteams. Salesforce Data 360 integreert beveiliging, governance en privacycontroles in de gehele gegevenslevenscyclus – van opname en opslag tot integratie en activering – zodat klantgegevens in elke fase versleuteld, beleidsconform en vertrouwd blijven. Door Platform Encryption, Named & External Credentials en consent-aware activering te combineren, levert Data 360 een end-to-end Zero Trust architectuur die gegevensintegriteit, vertrouwelijkheid en naleving waarborgt van bron tot bedrijfsactivering.

Voor veel beveiligingsbewuste ondernemingen, met name in gereguleerde sectoren en de publieke sector, vormen gegevensomgevingen met internetbeperkingen een kerncomponent van hun strategie voor naleving en cyberbeveiliging. Hoewel een dergelijke isolatie de blootstelling van buitenaf minimaliseert, introduceert het ook integratieproblemen voor Salesforce Data 360 en Agentforce, die veilige toegang tot door de klant beheerde gegevens-lakes vereisen. De meeste Enterprise Data Lakes bevinden zich op hyperscalerplatforms zoals AWS, Microsoft Azure of Google Cloud. Omdat Salesforce Data 360 werkt op de AWS-infrastructuur, is voor een veilige verbinding met klantomgevingen die worden gehost op andere clouds, een privénetwerkpad tussen clouds vereist dat het openbare internet omzeilt.

Data 360 biedt privé, intra-cloud connectiviteit via AWS PrivateLink, wat veilige, directe toegang mogelijk maakt tussen Data 360 en door de klant beheerde gegevensbronnen, inclusief services zoals Snowflake (gehost op AWS), Redshift of S3, zonder verkeer naar het openbare internet bloot te stellen. Alle communicatie blijft binnen de AWS-backbone, met behulp van privé-IP-adressering en niet-routeerbare netwerkpaden, waardoor het risico van onderschepping van gegevens in transit wordt geëlimineerd en wordt voldaan aan strenge beveiligingsvereisten voor de onderneming en de regelgeving. Deze architectuur zorgt voor:

• Blootstelling aan nul internet: Gegevens verlaten nooit het privénetwerk van AWS.
• Privé IP-communicatie: Het verkeer blijft extern geïsoleerd en niet-adresseerbaar.
• Uitlijning van naleving: Voldoet aan beveiligingsnormen zoals ISO 27001, SOC 2 en FedRAMP.

Om klanten te ondersteunen die in multi-cloudomgevingen werken, breidt Salesforce dezelfde beveiligingsprincipes buiten AWS uit via Private Interconnect. Deze mogelijkheid maakt cross-cloud privéconnectiviteit mogelijk tussen Data 360 en gegevens-lakes die worden gehost in Azure of Google Cloud, waarbij dezelfde garanties van privéroutering, nul internetdoorgang en versleuteld verkeer met alleen backbones behouden blijven. Er zijn twee architectonische implementatiemodellen beschikbaar:

• Door klant beheerde interconnectie: Klanten integreren hun bestaande privénetwerkcircuits, zoals Azure ExpressRoute, Google Cloud Interconnect of Equinix Fabric, rechtstreeks met Data 360 VPC's.
• Door Salesforce beheerde interconnectie: Salesforce levert en beheert de cross-cloud koppeling, waarbij privéservice-eindpunten zichtbaar worden in de doelcloudomgeving van de klant voor een kant-en-klare set-up.

Salesforce Data 360, een krachtig platform voor het combineren van ondernemingsgegevens, is gebouwd met robuuste, meerlaagse beveiligingsbesturingselementen. Voor klanten is het beheer van API-beveiliging een essentieel onderdeel van een uitgebreide strategie voor gegevensbescherming, waarmee ze toegang kunnen beheren, integraties kunnen beheren en het gebruik effectief kunnen bewaken. Dit zijn de belangrijkste mogelijkheden en voorzieningen die klanten kunnen instellen, beheren en beheren voor API-beveiliging binnen Salesforce Data 360.

Klanten kunnen diverse ingebouwde Salesforce-voorzieningen gebruiken om veilige API-toegang tot hun Data 360-exemplaren te garanderen:

1. Robuuste authenticatie en autorisatie (OAuth 2.0)

Salesforce verplicht strikte authenticatie voor de Data 360-API's, met OAuth 2.0 als het standaard en aanbevolen protocol.

• Verbonden apps: Klanten maken en configureren verbonden apps om toegang tot externe toepassingen te beheren. Dit is het primaire mechanisme voor authenticatie en het verlenen van toegang tot de Data 360-opname- en query-API's.
• OAuth-bereiken: Beheerders kunnen specifieke OAuth-bereiken (bijvoorbeeld cdp_ingest_api, api) definiëren om de minimaal vereiste machtigingen aan te vragen, waarbij het principe van de minste rechten wordt nageleefd.
• Multi-factorenauthenticatie (MFA): Salesforce Authenticator en andere MFA-oplossingen kunnen worden afgedwongen, waarbij een vitale beveiligingslaag wordt toegevoegd en ervoor wordt gezorgd dat alleen geverifieerde gebruikers toegang hebben tot het systeem, inclusief via API-logins.

2. Granulaire toegangscontrole en machtigingen

Klanten hebben een verfijnde controle over welke gebruikers en toepassingen toegang hebben tot gegevens en welke acties ze kunnen uitvoeren.

• API-toegangscontrole (voorziening): Eenmaal ingeschakeld door Salesforce-ondersteuning, kunnen beheerders met deze voorziening expliciet goedkeuren welke verbonden apps kunnen worden gebruikt voor toegang tot de API's. Alle niet-goedgekeurde apps worden automatisch geblokkeerd, waardoor het risico op ongeoorloofde gegevensextractie aanzienlijk wordt verminderd.
• Machtigingensets en profielen: Beheerders beheren API-toegang door de machtiging "API ingeschakeld" toe te wijzen via gebruikersprofielen of speciale machtigingensets. Dit zorgt ervoor dat gebruikers alleen toegang hebben die relevant is voor hun functie.
• Op rollen gebaseerde toegangscontrole (RBAC): Binnen Data 360 kunnen klanten op rollen gebaseerde beleidsvormen voor toegangscontrole maken en beheren om gegevenstoegangsniveaus (object-, veld- en recordniveaubeveiliging) te definiëren, wat consistentie en controle binnen het platform garandeert.
• Specifieke integratiegebruikers: Best practices raden aan om specifieke "API Only"-gebruikers te maken voor integraties, hun machtigingen te beperken tot alleen wat nodig is voor de API-aanroep, in plaats van een systeembeheerdersaccount te gebruiken.

3. Netwerkbeveiligingselementen

• IP-whitelisting/inlog-IP-bereiken: Klanten kunnen API-toegang beperken tot een gedefinieerd bereik van vertrouwde IP-adressen. Elke inlogpoging vanuit een niet-goedgekeurd IP-bereik kan worden geweigerd of aangevochten voor verificatie.
• Privé verbinden: Met deze voorziening, die is gebaseerd op AWS PrivateLink, kunnen beheerders gevoelige gegevens beheren zonder eindpunten bloot te stellen aan het openbare internet, waardoor het risico op aanvallen op openbaar zichtbare eindpunten wordt geëlimineerd.
• Encryptie in transit en at rest: Alle gegevens worden versleuteld onderweg (met behulp van TLS) en in ruste, waardoor gevoelige informatie wordt beschermd tegen ongeoorloofde toegang, zelfs als deze wordt onderschept.

4. Bewaking, controle en governance

Zichtbaarheid is de sleutel tot beveiliging. Salesforce biedt uitgebreide tools voor het bewaken en controleren van API-activiteit.

• Event Monitoring: Biedt vrijwel realtime bijhouden van diverse events, inclusief API-aanroepen en inlogpogingen. Klanten kunnen deze gegevens gebruiken voor controle en om beleid voor transactiebeveiliging te maken.
• Beveiligingscentrum: Deze voorziening biedt één geconsolideerde weergave van de meetgegevens over de toestand van beveiliging, naleving en governance in alle Salesforce-organisaties, wat bewaking en beheer vereenvoudigt.
• Veldcontroletraject: Helpt klanten bij het bijhouden van inlog- en veldhistorie, het bewaken van set-upwijzigingen en het afhandelen van controle- en nalevingsverplichtingen voor gegevensbewaring.
• Voorzieningen van Data Governance: Omvat gegevenstagging en -classificatie, beleidsafdwinging en dynamisch gegevensmaskeren om ervoor te zorgen dat consistent governancebeleid wordt toegepast op alle aanspreekpunten voor gegevens, inclusief die welke toegankelijk zijn via API's.

1. Kernbesturingselementen inschakelen: Begin met het inschakelen van standaardinstellingen voor de hele organisatie, zoals MFA- en IP-beperkingen.
2. Controle over API-toegang aanvragen: Leg een case vast bij de ondersteuning van Salesforce om de voorziening "API-toegangscontrole" in te schakelen in uw organisatie.
3. Verbonden apps configureren: Maak specifieke verbonden apps voor elke integratie, definieer de vereiste OAuth-bereiken en wijs deze toe aan geautoriseerde profielen/machtigingensets.
4. Minste rechten implementeren: Zorg ervoor dat alle integratiegebruikers de machtiging "Alleen API" hebben en minimale toegang tot gegevens.
5. Bewaken en controleren: Gebruik het Event Monitoring and Security Center regelmatig om API-gebruik te beoordelen, anomalieën te detecteren en kwetsbaarheidsbeoordelingen uit te voeren.
6. Best practices afdwingen: Dwing altijd TLS af, sla vernieuwingstokens veilig op, roteer sessie-ID's en valideer gegevensinvoer. Door gebruik te maken van deze robuuste, door de klant configureerbare voorzieningen kunnen bedrijven een veilige en conforme omgeving onderhouden voor alle API-interacties binnen Salesforce Data 360.

Salesforce Data 360 is ontworpen om te voldoen aan wereldwijde vereisten voor gegevensverblijf en soevereiniteit via het geografisch gedistribueerde implementatiemodel. De service is momenteel beschikbaar in meerdere gereguleerde regio's, waaronder de Verenigde Staten, Canada, Brazilië, Duitsland, India, Australië en Japan. Gegevensverblijftijd wordt bepaald door het toewijzen van het exemplaar van de Kernorganisatie van elke klant aan het dichtstbijzijnde overeenkomende regionale exemplaar van Data 360. Zo worden kernorganisaties in de Verenigde Staten of Canada gekoppeld aan een Data 360-exemplaar binnen de regio VS, terwijl kernorganisaties binnen de Europese Unie worden toegewezen aan een exemplaar dat in Duitsland wordt gehost. Kernorganisaties in India, Australië, Nieuw-Zeeland of Singapore zijn op soortgelijke wijze gekoppeld aan een Data 360-exemplaar dat in India wordt gehost. De Hyperforce infrastructuur van Salesforce ondersteunt dit model en vormt de basis voor controle over geografische gegevens, beveiligingsisolatie en naleving van regelgeving. Hyperforce zorgt ervoor dat klantgegevens, inclusief metagegevens, back-ups en afgeleide gegevenssets, binnen gedefinieerde regionale grenzen blijven. Met deze architectuur kunnen bedrijven voldoen aan lokale gegevensverblijf- en nalevingsvereisten zoals AVG, FFIEC, HIPAA en regionale privacywetgeving in APAC en EMEA. Salesforce blijft de beschikbaarheid van Data 360 uitbreiden naar extra Hyperforce regio's om te voldoen aan zich ontwikkelende wereldwijde privacystandaarden, regionale nalevingsvereisten en verwachtingen van klanten voor soevereine gegevenscontrole.

Salesforce Data 360 is ontworpen om bedrijven te helpen voldoen aan strenge wereldwijde privacy- en regelgevingsvereisten zoals AVG en CCPA. Het platform biedt native mogelijkheden voor het beheer van Rechten van betrokkene (Data Subject Rights, DSR's), inclusief gegevenstoegang, exporteren en verwijderen ("Recht op vergetelheid"), waardoor een conforme behandeling van persoonsgegevens gedurende de gehele levenscyclus wordt gegarandeerd. Hoewel de klant eindverantwoordelijk blijft voor naleving, functioneert Salesforce als een gecertificeerde "serviceprovider" onder regelgeving zoals de CCPA, die de controles op platformniveau, beveiligingsgaranties en contractuele mechanismen levert waarmee organisaties hun nalevingsframeworks efficiënt en op schaal kunnen implementeren.

Trust is de hoeksteen van het Salesforce-platform en Trust wordt verdiend door onafhankelijke validatie. Salesforce beschikt over een breed portfolio van wereldwijde beveiligingscertificeringen en -attesten die aantonen dat het voortdurend streeft naar de bescherming van klantgegevens en het naleven van de hoogste normen voor cloudbeveiliging. Deze certificeringen zijn niet alleen selectievakjes, ze vertegenwoordigen ook rigoureuze, terugkerende controles die de kracht en consistentie van de beveiligingscontroles, processen en infrastructuur van Salesforce verifiëren. Samen vormen ze de ruggengraat van het fundamentele Trust model van Salesforce. Belangrijkste certificeringen en verklaringen omvatten:

• ISO/IEC 27001: Valideert het uitgebreide beheersysteem voor informatiebeveiliging van Salesforce.
• ISO/IEC 27017: Stelt best practices vast voor cloudspecifieke beveiligingscontroles.
• ISO/IEC 27018: Richt zich op het beschermen van persoonsgegevens in de cloud.
• SOC 1, SOC 2 en SOC 3: Onafhankelijke rapporten die het ontwerp en de operationele effectiviteit van de beveiligings- en privacycontroles van Salesforce bevestigen.
• PCI DSS: Zorgt voor de veilige verwerking en opslag van betaalkaartgegevens.
• FedRAMP High & DoD Impact Level 4: Certificeert Salesforce Government Cloud voor gebruik door Amerikaanse federale instanties die gevoelige werkbelastingen beheren. Door deze uitgebreide set certificeringen te onderhouden, geeft Salesforce klanten het vertrouwen dat hun gegevens worden beheerd binnen een platform dat voldoet aan wereldwijde nalevings- en beveiligingsverwachtingen en dat deze vaak overtreft.

In het huidige snelle digitale landschap is een 360-graden overzicht van uw klantgegevens cruciaal, maar minstens zo belangrijk is een 360-graden overzicht van het platform dat die gegevens beheert. Salesforce Data 360 biedt robuuste, ingebouwde functies voor vastleggen, bewaken en observeren, waarmee klanten de kwaliteit, beveiliging en prestaties van gegevens kunnen garanderen. Met deze tools kunt u overstappen van reactief probleemoplossing naar proactief beheer, zodat uw Data 360-implementatie soepel en efficiënt verloopt.

Beveiliging houdt niet op met preventie – het evolueert met waakzaamheid. In een voortdurend veranderend bedreigingslandschap combineert Salesforce geavanceerde platformbewakingsmogelijkheden met door de klant beheerde beoordelingsprocessen om proactieve, continue bescherming te garanderen. Salesforce biedt krachtige native tools voor zichtbaarheid en dreigingsdetectie:

• Set-up controletraject legt een volledige historie van administratieve wijzigingen vast, zodat teams configuratie- of beleidsupdates kunnen traceren.
• Event Monitoring biedt diepgaand inzicht in gebruikersgedrag, API-activiteit en gegevenstoegangspatronen. Deze telemetrie kan naadloos worden geïntegreerd met een Security Information and Event Management-oplossing (SIEM) voor gecentraliseerde analyse en correlatie.

Event Monitoring, onderdeel van het Salesforce Shield aanbod, is de centrale hub voor het bijhouden van gedetailleerde gebruikersactiviteits- en systeemprestatiegegevens in uw Salesforce-organisatie, inclusief Data 360-specifieke acties. Het legt een breed scala aan "events" vast in logbestanden en objecten voor uw analyse.

• Eventlogboekbestanden (ELF's): Deze bieden gedetailleerde details van gebruikersactiviteit en systeemevents, die na een korte vertraging (per uur of dagelijks) kunnen worden gedownload. U hebt toegang tot maximaal 30 dagen aan gegevens via de API of de browser Eventlogboekbestand, met de optie om te exporteren voor opslag op langere termijn.
• Real-time Event Monitoring: Voor onmiddellijke insights worden realtime events gestreamd als platformevents, waardoor u activiteit vrijwel in realtime kunt bewaken en detecteren. Dit is van vitaal belang voor beveiliging en prestaties, zodat u indien nodig onmiddellijk actie kunt ondernemen.
• Data 360-specifieke events: Event Monitoring omvat eventtypen die specifiek zijn voor Data 360-gebruik, zoals Lightning Paginaweergave, Lightning Interactie en Rapportevent gerelateerd aan Data 360-pagina's en -gegevens.
• Integratie met externe tools: Salesforce maakt naadloze integratie mogelijk met populaire externe bewakingsoplossingen zoals Splunk, Datadog, New Relic en Sumo Logic. U kunt Event Monitoring-gegevens streamen of exporteren naar deze platforms voor geconsolideerde observatie binnen uw gehele tech-stack.

Inzicht in de prestaties van uw Data 360-implementatie is essentieel voor een goede gebruikerservaring.

• Lightning Gebruik App: Deze ingebouwde app biedt een geaggregeerde weergave van prestatiemeetgegevens, zoals paginalaadtijden (Experienced Page Time of EPT) en browserprestaties, voor Data 360-pagina's in Lightning Experience.
• Aangepaste rapporten en dashboards: U kunt aangepaste rapporten en dashboards samenstellen met behulp van Data 360-objecten en Event Monitoring-gegevens, inclusief het gebruik van een gratis CRM Analytics-sjabloonapp genaamd Event Monitoring Plus. Deze visualisaties helpen u trends te ontdekken en bottlenecks in prestaties snel te identificeren. Maar technologie alleen is niet genoeg. Echte veerkracht vereist een gedisciplineerd partnerschap tussen geautomatiseerde detectie en menselijke beoordeling. Geautomatiseerde waarschuwingen kunnen real-time anomalieën aan het licht brengen, maar subtiele of langdurige bedreigingen, zoals langzame, ongeoorloofde gegevensexfiltratie door een geldige gebruiker, kunnen vaak het best worden geïdentificeerd aan de hand van periodieke audits en trendanalyses. Salesforce biedt de telemetrie, auditlogboeken en integratiehaken; klanten zorgen voor processtrengheid, operationele cadans en contextspecifieke intelligentie. Samen vormen ze een diepgaand verdedigingsmodel, dat automatisering, analyses en menselijk toezicht combineert om bedreigingen te detecteren, te onderzoeken en erop te reageren voordat ze incidenten worden.

Salesforce Data 360 gaat niet alleen over het combineren van uw klantgegevens; het gaat ook over het intelligent en bruikbaar maken van die gegevens. Een kernonderdeel van deze waardepropositie is het leveren van robuuste rapportage, krachtige dashboards, inzichtelijke meetgegevens en realtime kennisgevingsvoorzieningen. Met deze tools kunnen klanten de gezondheid van gegevens bewaken, prestaties bijhouden en acties automatiseren op basis van gecombineerde gegevens, allemaal binnen de vertrouwde Salesforce-omgeving.

De native rapportage- en dashboardmogelijkheden van Salesforce gaan naadloos over in Data 360, waardoor u uw gecombineerde gegevens kunt visualiseren en analyseren zonder het platform te verlaten.

U kunt standaard- en aangepaste rapporten maken over gegevens die zijn opgeslagen in Data 360, inclusief gecombineerde gegevens uit verschillende bronnen en berekende insights.

• Standaard en aangepast-rapporttypen: Data 360 introduceert nieuwe rapporttypen specifiek voor Data 360-objecten, zoals Gegevensstromen, Segmenten, Activeringen, Identiteitsoplossing en Berekende insights. Hierdoor kunt u query's uitvoeren op uw gecombineerde gegevens met standaard Salesforce Rapportsamenstellers.
• Granulaire analyse: Rapporten ondersteunen maximaal 10 rijgroeperingen, waardoor een fijnere segmentering en gedetailleerde analyse van klantkenmerken en trends mogelijk is.
• Formules en samenvattingen: U kunt formules op rijniveau en overzichten gebruiken om elke record of groep records te evalueren, waardoor u gedetailleerde meetgegevens en samenvattingen op hoog niveau binnen één rapport kunt bijhouden.

Dashboards bieden een visuele weergave van de belangrijkste meetgegevens en trends in uw Data 360-implementatie.

• Gecombineerde weergave: Combineer gegevens uit meerdere Data 360-rapporten of meng zelfs Data 360-rapporten met standaard CRM-rapporten in één dashboard voor een holistische weergave van uw activiteiten en klantinsights.
• Aanpasbare widgets: Gebruik verschillende diagramtypen (staaf, lijn, cirkel, meter, enz.) en tabellen om rapportgegevens effectief weer te geven.
• Realtime insights: Dashboards kunnen worden vernieuwd om actuele informatie te bieden, wat helpt bij snelle, door gegevens gestuurde besluitvorming.

Met Data 360 kunt u Key Performance Indicators (KPI's) definiëren en bijhouden die relevant zijn voor uw bedrijfsdoelen. Deze kunnen worden gegenereerd door middel van:

• Berekende insights: Maak krachtige meetgegevens met behulp van gegevens die worden verwerkt in batches met groot volume. Bereken bijvoorbeeld meetgegevens zoals "Gemiddelde levensduur van klant" of "Totale actieve contractomzet" en gebruik deze als dimensies of meeteenheden in uw rapporten en dashboards.
• Streaming insights: Verwerk gegevens uit streamingbronnen in vrijwel realtime om tijdreeksaggregaties samen te stellen, zoals website- of mobiele betrokkenheidsgegevens. Deze meetgegevens kunnen directe doeltreffende combinaties en gegevensacties aansturen.

Salesforce biedt krachtige automatiserings- en kennisgevingsvoorzieningen om ervoor te zorgen dat u zich bewust bent van kritieke events of gegevenswijzigingen binnen Data 360.

• Op stroom gebaseerde kennisgevingen: U kunt Processtromen instellen om acties te activeren en kennisgevingen te verzenden op basis van events in Data 360-objecten zoals Gegevensstromen, Segmenten en Activeringen.
• Aangepaste waarschuwingen: Maak aangepaste kennisgevingen die via een trigger een e-mailbericht activeren of in de Salesforce-kennisgevingsbel worden weergegeven wanneer aan specifieke voorwaarden wordt voldaan. U kunt bijvoorbeeld een waarschuwing ontvangen als een gegevensstroom mislukt, als een identiteitsoplossingsregel een fout ondervindt of als een belangrijk meetgegeven een bepaalde drempelwaarde overschrijdt.
• Event Notification Service (ENS): Voor ontwikkelaars maakt de API-first Event Notification Service het mogelijk dat externe systemen kennisgevingen ontvangen wanneer bepaalde events plaatsvinden, waardoor naadloze integratie en realtime reacties binnen uw tech-stack mogelijk zijn.
• Gegevensacties: Op basis van streaming insights kunt u gegevensacties activeren, die kunnen worden geconfigureerd om waarschuwingen te verzenden, platformevents aan te roepen of via webhooks te integreren met andere SaaS-toepassingen. Door gebruik te maken van deze uitgebreide mogelijkheden kunnen Salesforce Data 360-klanten hun gegevensecosysteem effectief bewaken, belangrijke meetgegevens visualiseren en tijdige waarschuwingen ontvangen om proactieve betrokkenheid en operationele uitmuntendheid te stimuleren.

De implementatie van Salesforce Data 360 op ondernemingsniveau vereist meer dan alleen technische ondersteuning. Het vereist een bewuste architectuur die veiligheid voorop stelt. De volgende strategische aanbevelingen bieden CTO's en ondernemingsarchitecten een routekaart om Trust, veerkracht en naleving op te bouwen in elke laag van hun Data 360-implementatie.

• Een "Secure-by-Design"-aanpak implementeren: Beveiliging moet niet worden aangepast — het moet fundamenteel zijn. Begin met het standaardbeleid van Salesforce "Alles weigeren" en verleen indien nodig expliciet toegang. Definieer governance, beleidsvormen en toegangskaders voordat u gegevens opneemt of activeert. Het opbouwen van beveiliging vanaf de eerste dag elimineert het risico van verborgen blootstellingen en vereenvoudigt naleving op de lange termijn.
• Een robuuste strategie voor identiteits- en toegangsbeheer (IAM) toepassen: Centraliseer identiteit via gebundelde SSO en dwing multi-factorenauthenticatie (MFA) af om het compromitteren van inloggegevens te beperken. Beperk toegang op inlog-IP-bereiken en gebruik de IdP-mogelijkheden (Identity Provider) van Salesforce om end-to-end verantwoordelijkheid voor gebruikers en integraties vast te stellen. Een gecombineerde IAM-laag vermindert de operationele complexiteit en verhardt uw authenticatieoppervlak.
• Het beginsel van de minste rechten toepassen: Ontwerp rollen voor precisie, niet gemak. Gebruik de standaardmachtigingensets van Salesforce als basis voor scheiding van taken, zodat gebruikers alleen toegang hebben tot wat nodig is. Vermijd te veel aanpassingen van machtigingen — elke afwijking vergroot de onderhoudsoverhead en het risico op onbedoelde toegang.
• Een raamwerk voor Data Governance met meerdere lagen opstellen: Scheid gegevens op bedrijfseenheid of merk met behulp van gegevensruimten en dwing op kenmerken gebaseerde toegangscontrole (ABAC) af met beveiliging op object-, veld- en recordniveau (OLS, FLS, RLS). Gebruik Dynamisch maskeren van gegevens om gevoelige informatie in realtime te beschermen zonder analyses of bruikbaarheid te belemmeren. Dit gelaagde model zorgt ervoor dat governance consistent blijft naarmate gegevens over meerdere domeinen worden geschaald.
• Strategisch gebruik maken van encryptie en veilige integraties: Implementeer voor gevoelige werkbelasting Platform-encryptie met door de klant beheerde sleutels (CMK) om de soevereiniteit over uw encryptielevenscyclus te behouden. Gebruik Benoemde gegevens en Privé verbinden om alle systeem-naar-systeemintegraties te beveiligen, waarbij hard-coded geheimen worden geëlimineerd en ervoor wordt gezorgd dat al het verkeer privé, conform en controleerbaar blijft.
• Een programma voor continue beveiligingsoperaties samenstellen: Beveiliging houdt niet op bij configuratie – het gedijt op operationele discipline. Vul geautomatiseerde bewaking aan met regelmatige auditbeoordelingen van eventlogboeken en toegangstrajecten. Stel een speciale functie voor Security Operations (SecOps) in om anomalieën te identificeren, bedreigingen te onderzoeken en naleving te valideren. Het doel: vroeg signaleren, snel reageren en houding continu verbeteren.

De reis naar een veilige en intelligente onderneming eindigt niet bij implementatie – het evolueert door discipline, design en Trust. Salesforce Data 360 biedt de architectonische basis, maar de echte waarde komt naar voren wanneer organisaties beveiliging, governance en intelligence als één gecombineerde beweging operationaliseren. Ondernemingen moeten Data 360 niet benaderen als een ander gegevensplatform, maar als een veilige, samenstelbare Trust laag die gegevens, AI en klantbetrokkenheid verbindt onder één governance framework. Door een secure-by-design filosofie te hanteren, de minste rechten op elke laag af te dwingen en privéconnectiviteit uit te breiden naar alle gegevensstromen, transformeren organisaties naleving van een selectievakje in een concurrentievoordeel. De volgende stap is continue modernisering: auditautomatisering, beleidsafdwinging en encryptielevenscyclusbeheer inbedden in de dagelijkse activiteiten. Naarmate bedrijven zich ontwikkelen naar agentische, AI-gestuurde architecturen, zullen dezelfde principes die gegevens vandaag beschermen, morgen de ruggengraat vormen van AI-governance — ervoor zorgen dat elk model, elke agent en elke beslissing verklaarbaar, beleidsbewust en conform ontwerp is. Trust wordt uiteindelijk de nieuwe valuta van digitale transformatie. Met Salesforce Data 360 kunnen ondernemingen hun gegevensecosysteem vol vertrouwen schalen, wetende dat elke byte, elke verbinding en elke insight met integriteit is beveiligd, beheerd en geactiveerd.

Krishna Chalamasandra is een doorgewinterde cybersecurity-expert met meer dan 25 jaar ervaring in informatiebeveiligingstechnologie en naleving. Bij Salesforce is hij een vertrouwde adviseur van klanten en een belangrijke leider in de functie Security and Compliance Customer Trust binnen de CISO-organisatie. Krishna was 10 jaar werkzaam bij Cisco, waar hij leiding gaf aan de beveiligingsarchitectuur voor IAM, netwerkbeveiliging en PKI, en sleutelcertificeringen aandreef, waaronder ISO 27001, SOC 1–3, PCI, FedRAMP en FIPS 140-2. Hij heeft ook meer dan 8 jaar bij Novell gewerkt aan het implementeren van controles op infrastructuurniveau en het ondersteunen van complexe beveiligingsbeoordelingen voor wereldwijde, gereguleerde klanten.

Yugandhar Bora is een Software Engineering Architect bij Salesforce, gespecialiseerd in gegevensarchitectuur binnen het Data & Intelligence Applications-platform. Hij leidt initiatieven van de Enterprise Architecture Review Board (EARB) gericht op data governance en gecombineerde gegevensmodellen, terwijl hij bijdraagt aan oplossingen voor geautomatiseerde platformleveringen.