Salesforce Trust

Esté al día en seguridad

Salesforce está comprometido con ser el referente en lo concerniente a la seguridad de los clientes y ser un socio eficaz en el Software como servicio.

 

Prácticas recomendadas de seguridad

Salesforce se centra en ayudar a nuestros clientes a tener más seguridad al acceder a Salesforce. Con el escenario cambiante de amenazas, instamos encarecidamente a nuestros clientes a tomar acciones para evitar el acceso no autorizado a sus organizaciones de Salesforce.

Recomendamos encarecidamente que los administradores de Salesforce consideren realizar los siguientes pasos para hacer la experiencia lo más segura posible para los usuarios de Salesforce, protegiendo al mismo tiempo los datos de la empresa. Las siguientes funciones de seguridad disponibles en Salesforce proporcionan capas adicionales de validación o autenticación de los usuarios finales.

Autenticación de dos factores

La autenticación de dos factores requiere que todos los intentos de inicio de sesión tengan ambas credenciales y un segundo factor de autenticación. Esto puede conseguirse utilizando Salesforce Authenticator o soluciones similares desde proveedores de seguridad. No se otorgará acceso a Salesforce a los intentos de inicio de sesión que no tengan credenciales válidas de ambas fuentes. Conozca cómo implementar esta función en Ayuda y formación.

Intervalos de direcciones IP de inicio de sesión

Los intervalos de direcciones IP de inicio de sesión limitan el acceso no autorizado solicitando a los usuarios que inicien sesión en Salesforce desde direcciones IP designadas, normalmente su red corporativa o VPN. Al utilizar intervalos de direcciones IP de inicio de sesión, los administradores pueden definir un intervalo de direcciones IP permitidas para controlar el acceso a Salesforce. No se otorgará acceso a los usuarios que intenten iniciar sesión en Salesforce fuera de las direcciones IP designadas. Si está utilizando las ediciones Professional, Group o Personal, puede configurar los intervalos de direcciones IP de inicio de sesión en Controles de seguridad > Configuración de la sesión. Si está utilizando las ediciones Enterprise, Unlimited, Performance o Developer, puede configurar los intervalos de direcciones IP de inicio de sesión en Administrar usuarios > Perfiles. Conozca cómo implementar esta función.

TLS 1.1 o versiones posteriores

A partir del 4 de marzo de 2017, Salesforce requerirá conexiones de organización seguras que utilicen el protocolo TLS 1.1 o versiones posteriores para proporcionar un entorno más seguro y cumplimiento PCI continuado. Las organizaciones que utilicen TLS 1.0 deberán actualizarse para seguir teniendo acceso a las integraciones de API, las conexiones con las comunidades y sitios, los intercambios de aplicaciones de socios y el acceso de los navegadores de los usuarios.

Revise el modo en que sus usuarios e integraciones conectan con Salesforce para garantizar que dichas conexiones están listas para admitir TLS 1.1 y versiones posteriores. Para identificar usuarios o integraciones que aún utilizan TLS 1.0, los administradores pueden agregar los campos "Protocolo TLS" y "Conjunto de cifrado TLS" al informe Historial de inicio de sesión.

Para realizar una transición satisfactoria, deberá realizar acciones mucho antes de que se produzca la desactivación. Puede descargar la Lista de comprobación de preparación para la desactivación de TLS 1.0 (PDF) para consultar prácticas recomendadas sobre la preparación para este cambio.

Para obtener más información, revise Desactivación por parte de Salesforce del cifrado TLS 1.0 y publique sus preguntas en el grupo Official: Salesforce Infrastructure de Success Community. También puede ver Conexiones seguras: Cómo la desactivación de TLS 1.0 afecta a su organización (seminario web) para escuchar a los expertos hablar sobre la desactivación.

Si tiene preguntas adicionales, abra un caso en el Servicio de atención al cliente a través del portal de Ayuda y formación.

Educar a los usuarios sobre el phishing

Salesforce recomienda encarecidamente educar sobre el phishing a todos los usuarios de Salesforce. La mayoría de los ciberataques utilizan malware (software dañino) para infectar un sistema con código dañino diseñado para robar contraseñas, datos o interrumpir un sistema informático/entorno de red completo. Afortunadamente, no tiene que ser un experto en la seguridad para ayudar a detener el malware.

Algunas sencillas recomendaciones que puede dar a sus usuarios de Salesforce:

Enseñe a los usuarios a no ser engañados por el phishing, y no hacer clic en vínculos o abrir datos adjuntos de mensajes de correo electrónico sospechosos. Una de las técnicas de ciberataque más efectivas es engañar a alguien para que haga clic en un vínculo o abra datos adjuntos que instalan malware. Estos se denominan correos electrónicos de phishing, ya que intentan convencerle de que abra un mensaje de correo electrónico. El correo electrónico de phishing puede decir algo intrigante, útil, o bien parecer un mensaje legítimo de una empresa real (entrega de paquetería, nómina, impuestos oficiales, redes sociales, etc.).

Instruya a sus usuarios para que nunca abran mensajes de correo electrónico de fuentes desconocidas. Los hackers quieren que las personas hagan clic en sus vínculos para que puedan infectar el sistema del usuario. Del mismo modo, enseñe a los usuarios que los mensajes de correo electrónico recibidos de una fuente desconocida deben evaluarse en base a la fuente y su sentido. Si no es así, puede ser dañino. Deberá verificarse siempre la dirección del remitente del mismo modo que puede pasarse el ratón por los vínculos para validarlos. Por ejemplo, si el vínculo dice que proviene de Salesforce, al pasar el ratón sobre el vínculo deberá aparecer una dirección URL que termine con ".salesforce.com".

Si usted o cualquiera de sus usuarios no está seguro sobre si un mensaje de correo electrónico de Salesforce es legítimo, reenvíelo a security@salesforce.com. Consulte los ejemplos de phishing recientes a continuación.

Mi dominio

Mi dominio le permite agregar un dominio personalizado a la URL de su organización de Salesforce. Tener un dominio personalizado le permite resaltar su marca y hace que su organización sea más segura. Además, le permite seguir nuestras prácticas recomendadas de no especificar nombres de instancia en el código y las integraciones (por ejemplo, na1.salesforce.com). Al respetar esta práctica recomendada proporcionará a usted y a sus usuarios finales una experiencia más sencilla durante cualquier futura operación de mantenimiento.

Al utilizar Mi domino, usted define un dominio personalizado que forma parte de su dominio de Salesforce. Un dominio personalizado es realmente un subdominio de un dominio principal. Si utilizamos un ejemplo de Contenedores Universales, el subdominio será “contenedores-universales” en este ejemplo de Mi dominio: https://contenedores-universales.my.salesforce.com

Un nombre de dominio personalizado le ayuda a gestionar mejor los inicios de sesión y la autenticación para su organización de varias maneras. Puede:

  • Bloquear o redirigir solicitudes de página que no utilicen el nuevo nombre de dominio
  • Establecer una política de inicios de sesión personalizada para determinar el modo en que se autentican los usuarios
  • Trabajar en múltiples organizaciones de Salesforce al mismo tiempo
  • Permitir a los usuarios iniciar sesión empleando una cuenta en redes sociales, como Google y Facebook, desde la página de inicio de sesión
  • Permitir a los usuarios iniciar sesión una vez para acceder a servicios externos
  • Resaltar la identidad de su negocio con su dirección URL de dominio exclusiva
  • Asignar su marca de empresa a la pantalla de inicio de sesión y personalizar el contenido del marco derecho

Aprenda más sobre Mi dominio y el modo de implementarlo en su organización.

Políticas de contraseña

La seguridad de contraseñas sólidas es un primer paso importante en la protección de sus cuentas de Salesforce.

Salesforce sugiere estas prácticas recomendadas:

  1. Caducidad de contraseñas: Salesforce recomienda que no transcurran más de 90 días para forzar a los usuarios a restablecer sus contraseñas
  2. Longitud de contraseñas: Salesforce sugiere una longitud mínima de 8 a 10 caracteres para las contraseñas
  3. Complejidad de contraseñas: Obligue a sus usuarios a incluir una mezcla de caracteres numéricos y alfanuméricos en sus contraseñas de Salesforce.
    Además, recuerde a los usuarios que no reutilicen en ningún caso las contraseñas en varias cuentas, ya que pondrán en peligro más de una de sus cuentas. Por último, los usuarios necesitan entender que nunca deben compartir sus contraseñas con nadie, ya sea en línea o en persona, y esto incluye sus contraseñas de Salesforce.

Disminuir los umbrales de tiempo de espera de las sesiones

Los usuarios a veces dejan sus equipos desatendidos o no cierran la sesión. Puede proteger sus aplicaciones frente al acceso no autorizado cerrando automáticamente las sesiones cuando no hay actividad en la sesión por un periodo de tiempo. El tiempo de espera predeterminado es de 2 horas; puede ajustar este valor entre 30 minutos y 8 horas. Para cambiar el tiempo de espera de las sesiones, haga clic en Configuración>Controles de seguridad>Configuración de la sesión.

Ejemplos de phishing

Los estafas por phishing utilizan mensajes de correo electrónico fraudulentos para hacer que los usuarios revelen información confidencial. Dichos mensajes normalmente tienen el aspecto de provenir de una organización legítima y pueden contener vínculos a lo que parece ser el sitio de esa organización, pero realmente es un sitio falso diseñado para capturar información.

Informe de los mensajes de correo electrónico sospechosos reenviándolos a security@salesforce.com.

Ya que estas estafas se vuelven cada vez más sofisticadas, puede ser difícil saber si un mensaje de correo electrónico es real o falso. La mejor forma de evitar el engaño es saber lo que buscar. Consulte estos ejemplos de estafas recientes:

Informar de un mensaje de correo electrónico sospechoso