Безопасность сеанса
Узнайте больше о надежных устройствах с хорошей архитектурой → Безопасные → Безопасность сеанса → Доступ к устройствам
| Где искать? Область продукта | Расположение | Как выглядит добро? Схема |
|---|---|
| Платформа | Документация | ✅ Персоны безопасности четко соотносятся с соответствующими способами использования и политиками устройств |
| Платформа | Документация | ✅ Политики устройства понятны и доступны для обнаружения |
| Платформа | Организация | ✅ Конфигурация мобильного связанного приложения Salesforce требует разблокировки PIN-кода после неактивности |
| Платформа | Организация | ✅ Если бизнес-потребности требуют строгого контроля пользователей, имеющих доступ к мобильному Salesforce, функция «Контроль API-доступа» включена и наборы полномочий назначаются всем пользователям мобильных приложений Salesforce |
Узнайте больше о надежных → Безопасных → Безопасность сеанса → Управление сеансами
| Где искать? Область продукта | Расположение | Как выглядит добро? Схема |
|---|---|
| Platform | Apex | ✅ При наличии настраиваемых потоков входа все связанные настраиваемые коды используют соответствующие методы SessionManagement для назначения безопасности сеанса |
| Платформа | Aura | ✅ При наличии настраиваемых потоков входа используйте контроллер Apex с необходимыми методами SessionManagement для назначения безопасности сеанса |
| Платформа | Стандарты проектирования | ✅ Персоналии безопасности четко отображают утвержденные типы сеансов и параметры времени ожидания/продолжительности для каждой персоны |
| Платформа | Стандарты проектирования | ✅ Стандарты определены для действий, требующих повышенной безопасности сеанса |
| Платформа | Стандарты проектирования | ✅ Стандарты определены для действий, требующих назначения повышенных полномочий |
| Платформа | Стандарты проектирования | ✅ Политики управления областью связанного приложения и маркером понятны и доступны |
| Платформа | Документация | ✅ Политики управления областью связанного приложения и маркером понятны и доступны |
| Платформа | Документация | ✅ Часы входа указаны (или определены как ненужные) |
| Platform | Веб-компоненты Lightning (LWC) | ✅ При наличии настраиваемых потоков входа используйте контроллер Apex с необходимыми методами SessionManagement для назначения безопасности сеанса |
| Платформа | Организация | ✅ Если пользователи заходят в Salesforce из-за брандмауэра, брандмауэр использует список разрешенных обязательных доменов вместо IP-адресов для защиты коммуникаций с Salesforce |
| Платформа | Организация | ✅ Интервалы времени ожидания неактивного сеанса не превышают стандартных (2 часа) |
| Платформа | Организация | ✅ Включены все следующие параметры: -Защита от кликджекинга для страниц настройки -Защита от кликджекинга для страниц Salesforce, не связанных с настройкой -Защита от подделки межсайтовых запросов (CSRF) -Защита от межсайтового скриптинга (XSS) -Включение защиты от нюханья содержимого -Защита от URL-адресов рекомендателя -Предупреждение пользователей перед перенаправлением за пределы Salesforce |
| Платформа | Организация | ✅ Аудиты сеансов показывают пользователям доступ к Salesforce только посредством ожидаемых типов сеансов |
| Платформа | Организация | ✅ Существует четкий активный набор полномочий для доступа «Пользователь только API» (с полномочием «Только API», установленным на TRUE) и назначены все пользователи интеграции и автоматизации |
Узнайте больше о надежных → Безопасных → Безопасность сеанса → Обнаружение угроз и реагирование
| Где искать? Область продукта | Расположение | Как выглядит добро? Схема |
|---|---|
| Einstein | Агенты | ✅ Журналы событий агента содержат данные разговора Включите параметр для журналов обогащенных событий, если нет критической причины маскировать данные разговора |
| Einstein | Слой Trust Einstein | ✅ Функции генеративного искусственного интеллекта регулярно проверяются Данные аудита генеративного искусственного интеллекта Einstein включены на странице настройки отзывов Einstein. Диалоги на основе искусственного интеллекта, включая напоминание и его ответ, регулярно проверяются и проверяются |
| Платформа | Компания | ✅ Данные аудита доступны в отчетах, доступных заинтересованным лицам |
| Платформа | Компания | ✅ Регулярное рассмотрение журнала проверок и отчетов |
| Платформа | Документация | ✅ Все автоматические ответы документируются четко |
| Платформа | Документация | ✅ Этапы проверки журналов, доступных в Salesforce, документируются |
| Платформа | Документация | ✅ Уровни аудита заданы для всех объектов в модели данных |
| Платформа | Документация | ✅ Политики безопасности содержат список событий, которые должны инициировать ответ вместе с соответствующим типом ответа |
| Платформа | Организация | ✅ Автоматизация позволяет реагировать на угрозы путем деактивации организаций пользователей или блокировки доступа к ресурсам в режиме реального времени при обнаружении ненормального использования |
| Платформа | Организация | ✅ Уведомления и предупреждения настроены на уведомление соответствующих пользователей об аномалии активности |
| Платформа | Организация | ✅ Отслеживание журнала поля включено для всех полей, содержащих личные или конфиденциальные данные |
Узнайте больше о надежных устройствах с хорошей архитектурой → Безопасные → Безопасность сеанса → Доступ к устройствам
| Где искать? Область продукта | Расположение | Чего избегать? Антишаблон |
|---|---|
| Платформа | Документация | ⚠️ Политики безопасности не существуют или не содержат сведений о доступе к устройству |
| Платформа | Организация | ⚠️ Мобильное связанное приложение Salesforce не настроено на обязательное разблокирование PIN/паспорта для неактивности |
| Платформа | Организация | ⚠️ Бизнес-потребности требуют строгого контроля пользователей, имеющих доступ к мобильному Salesforce, но функция управления доступом API не включена или наборы полномочий не используются для управления доступом к мобильным приложениям Salesforce |
Узнайте больше о надежных → Безопасных → Безопасность сеанса → Управление сеансами
| Где искать? Область продукта | Расположение | Чего избегать? Антишаблон |
|---|---|
| Platform | Apex | ⚠️ При наличии настраиваемых потоков входа нет логики для назначения безопасности сеанса |
| Платформа | Aura | ⚠️ При наличии настраиваемых потоков входа нет логики для назначения безопасности сеанса |
| Платформа | Стандарты проектирования | ⚠️ Стандарты не определены для действий, требующих повышенной безопасности сеанса |
| Платформа | Стандарты проектирования | ⚠️ Стандарты не определены для действий, требующих назначения повышенных полномочий |
| Платформа | Стандарты проектирования | ⚠️ Политики безопасности не содержат сведений об областях связанного приложения или управлении маркерами |
| Платформа | Стандарты проектирования | ⚠️ Персоны безопасности не существуют или не содержат сведений о типах сеансов и параметрах времени ожидания/продолжительность |
| Платформа | Документация | ⚠️ Область связанного приложения и политики управления маркерами не задокументированы |
| Platform | Веб-компоненты Lightning (LWC) | ⚠️ При наличии настраиваемых потоков входа нет логики для назначения безопасности сеанса |
| Платформа | Организация | ⚠️ Нет определений типов сеансов, которые должны быть у пользователей |
| Платформа | Организация | ⚠️ Полномочия «Только API» неясны или отсутствуют в интеграции и автоматических пользователях |
| Платформа | Организация | ⚠️ Регулярный аудит сеанса отсутствует |
| Платформа | Организация | ⚠️ Если пользователи заходят в Salesforce из-за брандмауэра, брандмауэр использует жестко запрограммированные IP-адреса для защиты коммуникаций с Salesforce |
| Платформа | Организация | ⚠️ Интервалы ожидания неактивного сеанса превышают стандартные (2 часа) |
| Платформа | Организация | ⚠️ Отключены любые из следующих параметров: -Защита от кликджекинга для страниц настройки -Защита от кликджекинга для страниц Salesforce, не связанных с настройкой -Защита от подделки межсайтовых запросов (CSRF) -Защита от межсайтового скриптинга (XSS) -Включение защиты от нюханья содержимого -Защита от URL-адресов рекомендателя -Предупреждение пользователей перед перенаправлением за пределы Salesforce |
Узнайте больше о надежных → Безопасных → Безопасность сеанса → Обнаружение угроз и реагирование
| Где искать? Область продукта | Расположение | Чего избегать? Антишаблон |
|---|---|
| Einstein | Организация | ⚠️ Функции генеративного искусственного интеллекта не проверяются Диалоги с генеративным искусственным интеллектом, включая напоминание и его ответ, регулярно не проверяются и не проверяются |
| Платформа | Компания | ⚠️ Данные аудита доступны только в файлах журнала, требующих профильного опыта для доступа и толкования |
| Платформа | Компания | ⚠️ Не существует процессов для проверки аудиторской информации |
| Платформа | Документация | ⚠️ Политики безопасности не существуют или не содержат информацию об обнаружении угроз и оповещении |
| Платформа | Документация | ⚠️ Документация для автоматических ответов не существует или неясна |
| Платформа | Организация | ⚠️ Автоматизация для реагирования на угрозы отсутствует |
| Платформа | Организация | ⚠️ Уведомления и предупреждения либо не настроены на уведомление соответствующих пользователей об аномальной активности, либо существуют некоторые уведомления и предупреждения, связанные с аномальной активностью, но они являются разовыми |
| Платформа | Организация | ⚠️ Отслеживание журнала поля не включено последовательно для полей, содержащих личные или конфиденциальные данные |