Prácticas recomendadas de seguridad

Salesforce no recomienda usar certificados SSL/TLS intermedios ni certificados de hoja, ya que pueden crear problemas de disponibilidad cuando roten los certificados intermedios durante las operaciones rutinarias. Sin embargo, en algunos casos puede haber integraciones de middleware que puedan requerir la fijación de los certificados. Si está fijando certificados intermedios o de hoja, considere fijar únicamente el certificado raíz. Para recibir notificaciones puntuales sobre las próximas rotaciones y renovaciones de certificados, únase a la Trailblazer Community sobre cambios de certificados y suscríbase a las actualizaciones de correo electrónico del grupo.

Los intervalos de IP de inicio de sesión limitan el acceso no autorizado al exigir a los usuarios que inicien sesión en Salesforce desde direcciones IP concretas, por lo general las pertenecientes a la red o VPN de su empresa. Al utilizar intervalos de direcciones IP de inicio de sesión, los administradores pueden definir un intervalo de direcciones IP permitidas para controlar el acceso a Salesforce. Aquellos que intenten iniciar sesión en Salesforce desde direcciones IP que no sean las especificadas no podrán hacerlo. 

• Si está usando Professional Edition, Group Edition o Personal Edition, puede configurar los intervalos de IP de inicio de sesión en Controles de seguridad > Configuración de la sesión. 
• Si está usando Enterprise Edition, Unlimited Edition, Performance Edition o Developer Edition, puede configurar Intervalo IP de conexión en Gestionar usuarios > Perfiles.

Valorar el uso de Salesforce Shield como parte de su estrategia general de seguridad. Aunque Salesforce viene equipado con muchos controles de seguridad integrados, Shield complementa sus funciones de seguridad con el cifrado mejorado, la supervisión de datos y aplicaciones, y la automatización de las políticas de seguridad. Shield puede ayudar a los administradores y desarrolladores a crear un nuevo nivel de transparencia y confianza en aplicaciones de negocio esenciales.

Mi dominio le permite agregar un dominio personalizado a la URL de su organización de Salesforce. Tener un dominio personalizado le permite destacar su marca y hace que su organización sea más segura. Además, le permite seguir las prácticas recomendadas de no especificar nombres de instancias en código e integraciones (p. ej., na1.salesforce.com). Seguir esta recomendación garantiza un mejor funcionamiento para todos los usuarios en mantenimientos futuros.

Si usa Mi dominio, puede definir un dominio personalizado que sea parte de su dominio de Salesforce. Un dominio personalizado es, en realidad, un subdominio de otro principal. Si seguimos el ejemplo de Universal Containers, su subdominio sería "universal-containers" en este ejemplo de Mi dominio: https://universal-containers.my.salesforce.com.

Un nombre de dominio personalizado le ayuda a gestionar mejor el inicio de sesión y la autenticación de su organización de varias maneras clave. Puede:

• Bloquear o redireccionar solicitudes de página que no empleen el nuevo nombre de dominio.
• Definir una política de inicio de sesión personalizada para determinar cómo se autentifican los usuarios.
• Trabajar en múltiples organizaciones de Salesforce simultáneamente.
• Permitir que los usuarios inicien sesión mediante una cuenta de redes sociales como Google and Facebook desde la página de inicio de sesión.
• Permitir que los usuarios inicien sesión una vez para acceder a servicios externos.
• Destacar la identidad de su negocio con su URL de dominio única.
• Incluir su marca en la pantalla de inicio de sesión y personalizar el contenido del marco derecho.

A veces, los usuarios dejan sus equipos desatendidos o no cierran sesión. Puede proteger sus aplicaciones de un acceso no autorizado cerrando automáticamente las sesiones cuando no haya actividad en ellas durante un periodo de tiempo. El tiempo de espera predeterminado es de 2 horas, aunque puede configurar este valor entre 30 minutos y 8 horas. Para cambiar el tiempo de espera de sesión, haga clic en: Configuración> Controles de seguridad> Configuración de la sesión.

TLS es el acrónimo de Transport Layer Security (Seguridad de la capa de transporte), que es el protocolo de seguridad más empleado por los navegadores web y otras aplicaciones que requieren que los datos se comuniquen de forma segura en una red. A partir de octubre de 2019, Salesforce exige que todas las conexiones seguras de las organizaciones empleen TLS 1.2 o de versiones posteriores para garantizar la seguridad del entorno y el cumplimiento de las normas del sector de pagos con tarjeta.

Salesforce recomienda encarecidamente que todos los usuarios de Salesforce reciban formación relativa al phishing. La mayoría de ciberataques emplean malware (software dañino) para infectar equipos informáticos con código dañino diseñado para robar contraseñas, datos o impedir el funcionamiento de toda una red o equipo. Por suerte, no hace falta ser un experto en seguridad para detener el malware.

En los ataques de phishing se emplean correos electrónicos para engañar a los usuarios para que revelen información confidencial. Dichos correos electrónicos suelen simular que proceden de una organización legítima, y pueden contener vínculos que parecen llevar al sitio de esa organización (por ejemplo, empresas de paquetería, nóminas, notificaciones fiscales o redes sociales), cuando en realidad se trata de un sitio falso o documento adjunto diseñado para captar información. Esos fraudes son cada vez más sofisticados, por lo que puede resultar difícil distinguir un correo electrónico falso de uno verdadero. A continuación, se incluyen algunas recomendaciones que debería transmitir a sus usuarios de Salesforce para cuando revisen su correo electrónico (y consulte nuestra página Advertencias de seguridad si desea ver ejemplos de fraudes recientes):

• Revise la línea de asunto en busca de mensajes inesperados y una sintaxis extraña.
• Verifique la persona y organización (p. ej., pase el ratón sobre el nombre del remitente y las URL sin hacer clic en ellos).
• No haga clic en archivos adjuntos sospechosos (p. ej., nombres o formatos raros).
• No proporcione credenciales (p. ej., nombre de usuario y contraseña) sin estar totalmente seguro de que el correo electrónico procede de un remitente de confianza.
• Compruebe bien la escritura (fíjese en la gramática y ortografía).
• Desconfíe de los mensajes urgentes y apremiantes, especialmente si se le solicita un pago.

Si usted o alguno de sus usuarios no sabe si un correo electrónico de Salesforce es o no fiable, reenvíe una copia del mismo como archivo adjunto a security@salesforce.com. Incluya las palabras "phish" o "malware" en la línea de asunta para indicar que sospecha que el correo electrónico puede ser de phishing.

Si desea instrucciones sobre cómo reenviar un correo electrónico como archivo adjunto con Gmail, consulte Enviar correos electrónicos como archivos adjuntos en la Ayuda de Google.

Es importante garantizar la seguridad de las contraseñas para proteger sus cuentas de Salesforce, y Salesforce recomienda seguir las siguientes prácticas: 

• Caducidad de la contraseña: Salesforce recomienda definir un plazo máximo de 90 días para que los usuarios deban reiniciar sus contraseñas.
• Longitud de la contraseña: Salesforce sugiere una longitud mínima de contraseña de 8-10 caracteres.
• Complejidad de la contraseña: los administradores deben pedir a los usuarios que incluyan una combinación de letras, números y caracteres especiales en su contraseña de Salesforce.

Además, recuerde a los usuarios que no utilicen nunca las mismas contraseñas en distintas cuentas, ya que, de hacerlo, podrían poner en riesgo más de una cuenta. Por último, los usuarios deben entender que jamás deben compartir con nadie sus contraseñas, ni en línea ni en persona, y que eso también se aplica a su contraseña de Salesforce.

Un conjunto de permisos es una recopilación de opciones de configuración y permisos que otorgan al usuario acceso a diversas herramientas y funciones. Los conjuntos de permisos amplían el acceso funcional de los usuarios sin cambiar los perfiles.

Cree conjuntos de permisos para otorgar acceso a grupos lógicos de usuarios, independientemente de cuál es su puesto principal. Por ejemplo, imagine que tiene varios usuarios que deben eliminar y transferir candidatos. Puede crear un conjunto de permisos que se basen en las tareas que deben realizar esos usuarios e incluir el conjunto de permisos en grupos de conjuntos de permisos que se basen en funciones de trabajo. Aunque los usuarios solo pueden tener un perfil, pueden tener varios conjuntos de permisos. 

Los registros de auditoría ofrecen un registro cronológico de todas las actividades de su sistema, como los inicios de sesión, cambios de permisos y eliminación o incorporación de registros. Se emplean para detectar un uso anómalo del sistema, y son esenciales para diagnosticar problemas de seguridad que ya existen o que podrían producirse.

Recomendamos que defina seguimientos de auditoría para su instancia de Salesforce y realice auditorías periódicas para hacer un seguimiento de cambios inesperados o tendencias de uso.

Un módulo de seguridad de hardware es un sistema físico o virtual reforzado que se emplea para administrar funciones criptográficas en entornos de empresa. Los HSM se emplean conjuntamente con funciones esenciales de seguridad que incluyen el cifrado, descifrado y la autenticación.

Recomendamos usar los HSM como raíz de confianza para proteger las claves empleadas para proteger los datos de múltiples entornos de nube y locales. Deben certificarse con los más altos estándares de seguridad (como FIPS 140-2 y Common Criteria), mantenerse aislados de las redes corporativas de la organización y restringir el acceso solo a personal autorizado.