Práticas recomendadas de segurança

A Salesforce não recomenda fixar certificados leaf ou SSL/TLS intermediários, porque eles podem criar problemas de disponibilidade quando a rotação de certificados for realizada durante as operações de rotina. No entanto, é possível que haja certos casos de uso envolvendo integrações de middleware que possam demandar a fixação de certificados. Se você estiver fixando certificados leaf/intermediários, considere fixar somente o certificado raiz. Para receber notificações oportunas sobre as próximas rotações de certificado, participe da Trailblazer Community de alterações de certificado e inscreva-se para receber atualizações do grupo por e-mail.

Os intervalos de IP de login limitam o acesso não autorizado ao solicitar que os usuários efetuem login no Salesforce de endereços IP designados, normalmente sua rede corporativa ou VPN. Ao usar os Intervalos de IP de login, os administradores podem definir um intervalo de endereços IP permitidos para controlar o acesso ao Salesforce. As pessoas que tentarem efetuar login no Salesforce de fora dos endereços IP designados não terão o acesso concedido. 

• Se você estiver usando as edições Professional, Group ou Personal, será possível configurar os Intervalos de IP de login em Controles de segurança > Configurações da sessão. 
• Se você estiver usando as edições Enterprise, Unlimited, Performance ou Developer, é possível configurar os Intervalos de IP de login em Gerenciar usuários > Perfis.

Como parte de sua estratégia geral de segurança, considere usar o Salesforce Shield. Embora o Salesforce seja dotado de muitos controles de segurança prontos para usar, o Shield complementa seus recursos de segurança com criptografia avançada, monitoramento de aplicativos e dados e automação de política de segurança. O Shield pode ajudar administradores e desenvolvedores a estabelecer um novo patamar de confiança e transparência em aplicativos críticos para os negócios.

O Meu domínio permite que você adicione um domínio personalizado ao URL da sua organização do Salesforce. Ter um domínio personalizado permite que você faça sua marca se destacar e deixe sua organização mais segura. Além disso, também permite que você siga nossas práticas recomendadas de não especificar nomes de instâncias em códigos e integrações (por exemplo, na1.salesforce.com). Seguir essa prática recomendada vai proporcionar a você e seus usuários finais uma experiência mais harmoniosa em manutenções futuras.

Com o Meu domínio, você pode definir um domínio personalizado que faça parte do seu domínio do Salesforce. Na verdade, um domínio personalizado é um subdomínio de um domínio primário. Se usarmos o exemplo de Universal Containers, seu subdomínio seria "universal-containers" nesse exemplo do Meu domínio: https://universal-containers.my.salesforce.com.

Ter um nome de domínio personalizado ajuda você a gerenciar melhor os logins e autenticações da sua organização de diversas maneiras essenciais. Você pode:

• Bloquear ou redirecionar solicitações de página que não utilizam o novo nome do domínio
• Definir uma política de login personalizada para determinar como os usuários devem ser autenticados
• Trabalhar em diversas organizações do Salesforce ao mesmo tempo
• Permitir que os usuários façam login usando uma conta social, como Google ou Facebook, pela página de login
• Autorizar que os usuários façam login uma única vez para acessas serviços externos
• Fazer a identidade da sua empresa se destacar com um URL exclusivo para o seu domínio
• Exibir sua marca na tela de login e personalizar o conteúdo à direita da estrutura do URL

Os usuários às vezes deixam os computadores desacompanhados ou não fazem logout. Você pode proteger seus aplicativos contra acessos não autorizados encerrando automaticamente as sessões quando não houver nenhuma atividade por um certo período de tempo. O tempo limite das sessões, por padrão, é de 2 horas. Você pode definir esse valor entre 30 minutos e 8 horas. Para alterar o tempo limite das sessões, clique em: Configuração > Controles de segurança > Configurações de sessão.

Segurança da camada de transporte, ou TLS, é o protocolo de segurança mais amplamente implementado em navegadores da Web e outros aplicativos que exigem que os dados sejam trocados de forma segura em uma rede. Desde outubro de 2019, a Salesforce exige que todas as conexões seguras das organizações utilizem o TLS 1.2 ou sua versão mais recente para garantir o mais alto nível de segurança nos ambientes e a manutenção da conformidade com o setor de cartões de pagamento.

A Salesforce considera altamente recomendável que todos os usuários do Salesforce aprendam sobre phishing. A maioria dos ciberataques utiliza malwares (softwares maliciosos) para infectar um computador com códigos maliciosos criados para roubar senhas, dados ou afetar um computador ou uma rede em sua totalidade. Felizmente, você não precisa ser um especialista em segurança para ajudar a prevenir malwares.

Golpes de phishing utilizam emails fraudulentos para fazer com que os usuários revelem informações confidenciais. Esses emails normalmente parecem ter sido enviados por uma organização autêntica e podem conter links para o que parece ser o site dessa organização (por exemplo, entrega de remessas, folha de pagamentos, administração de impostos, redes sociais), mas são, na realidade, um site falso criado para capturar informações. À medida que esses golpes se tornam mais sofisticados, pode ser difícil saber se um email é real ou falso. Veja abaixo algumas recomendações que você deve fazer aos seus usuários do Salesforce no que diz respeito à análise de seus emails (e confira nossa página Avisos de segurança para verificar exemplos de golpes recentes):

• Analise a linha de assunto e verifique se há mensagens inusitadas ou uma linguagem estranha
• Verifique a pessoa e a organização (por exemplo, passe o mouse sobre o nome do remetente e os URLs, mas não clique neles)
• Não clique em anexos suspeitos (por exemplo, nome ou formato estranho)
• Não revele informações de credenciais (por exemplo, nome de usuário, senha) a menos que você esteja certo de que o remetente do email é confiável
• Verifique a linguagem mais uma vez (por exemplo, gramática, ortografia)
• Desconfie de mensagens que solicitam respostas urgentes ou imediatas, especialmente aquelas que pedem dinheiro

Se você ou qualquer um de seus usuários não tiver certeza da autenticidade de um email da Salesforce, encaminhe uma cópia do email suspeito como anexo para security@salesforce.com. Inclua as palavras "phish" ou "malware" na linha de assunto para indicar que se trata de um email suspeito de phishing.

Para obter instruções sobre como encaminhar um email como anexo usando o Gmail, confira Enviar emails como anexos na Ajuda do Google.

A segurança de senhas fortes é uma medida importante para a proteção das suas contas do Salesforce e a Salesforce recomenda as práticas a seguir: 

• Expiração da senha – a Salesforce recomenda que os usuários sejam obrigados a redefinir suas senhas após 90 dias no máximo
• Comprimento da senha – a Salesforce sugere senhas com comprimento mínimo de 8 a 10 caracteres
• Complexidade da senha – os administradores devem solicitar que os usuários incluam uma combinação de caracteres alfanuméricos, numéricos e especiais em suas senhas do Salesforce

Além disso, devem relembrar os usuários que nunca devem reutilizar senhas em contas diferentes ou vão correr o risco de que mais do que uma de suas contas sejam comprometidas. Por fim, os usuários precisam entender que eles nunca devem compartilhar senhas com ninguém, seja online ou pessoalmente, o que inclui a senha do Salesforce.

Um conjunto de permissões é uma coleção de configurações e permissões que permite que os usuários tenham acesso a diversas ferramentas e funções. Conjuntos de permissões ampliam o acesso funcional dos usuários sem alterar seus perfis.

Crie conjuntos de permissões para conceder acesso entre agrupamentos lógicos de usuários, independentemente de sua função de trabalho primária. Por exemplo, digamos que você tenha diversos usuários que precisam excluir e transferir leads. Você pode criar um conjunto de permissões baseado nas tarefas que esses usuários precisam realizar. E incluir o conjunto de permissões dentro de grupos de conjuntos de permissões com base em funções de trabalho. Embora os usuários possam ter apenas um perfil, eles podem ter diversos conjuntos de permissões. 

As documentações de auditoria fornecem um registro cronológico de todas as atividades em seu sistema, como logins, alterações de permissões e inclusão/exclusão de registros. Elas são usadas para a detecção de uso irregular do sistema e são fundamentais para o diagnóstico de problemas de segurança, potenciais ou reais.

Recomendamos que você configure trilhas de auditoria para sua instância do Salesforce e realize auditorias regulares para monitorar mudanças inesperadas e tendências de uso.

Um Módulo de segurança de hardware é um sistema físico ou virtual reforçado usado para prover e administrar funções criptográficas em ambientes empresariais. HSMs são utilizados em conjunto com funções essenciais de segurança, incluindo criptografia, decriptografia e autenticação.

Recomendamos que os HSMs sejam usados como uma raiz de confiança para proteger chaves utilizadas para proteger dados em diversos ambientes na nuvem e on-premise. Eles devem ser certificados de acordo com os mais elevados padrões de segurança (como o FIPS 140-2 e os Critérios comuns), mantidos isolados da rede corporativa da organização e com acesso restrito a pessoal autorizado.