Salesforce Trust

Resta aggiornato sulla sicurezza

Salesforce è impegnata a stabilire lo standard di riferimento nel modello Software-as-a-Service in qualità di partner efficiente in materia di sicurezza dei clienti.

 

Procedure ottimali per la sicurezza

Salesforce si impegna a consentire ai clienti di usufruire di una maggiore protezione quando accedono al nostro servizio. Poiché le minacce sono in continuo aumento, invitiamo caldamente i clienti ad adottare misure che consentano di impedire l'accesso non autorizzato alle proprie organizzazioni Salesforce.

Consigliamo vivamente agli amministratori Salesforce di eseguire le operazioni descritte di seguito per aumentare al massimo la sicurezza degli utenti di Salesforce, proteggendo al tempo stesso i dati aziendali. Le seguenti funzioni per la sicurezza disponibili in Salesforce forniscono ulteriori livelli di convalida o autenticazione degli utenti finali.

Autenticazione a due fattori

L'autenticazione a due fattori richiede che per tutti i tentativi di accesso si utilizzino sia le credenziali sia un secondo fattore di autenticazione. Si può utilizzare a tale scopo Salesforce Authenticator o applicazioni simili disponibili presso i fornitori di soluzioni di protezione. Se nei tentativi di accesso non vengono utilizzate credenziali valide di entrambe le fonti, l'accesso a Salesforce non verrà concesso. Le istruzioni per l'implementazione di questa funzione sono disponibili in Assistenza & formazione.

Intervalli IP di accesso

Gli intervalli IP di accesso limitano l'accesso non autorizzato richiedendo agli utenti di accedere a Salesforce da indirizzi IP specifici, normalmente la rete o VPN aziendale. Mediante gli intervalli IP di accesso, gli amministratori possono definire un intervallo di indirizzi IP autorizzati per controllare l'accesso a Salesforce. L'accesso non viene concesso a chi tenta di accedere a Salesforce da indirizzi IP diversi da quelli specificati. Se si utilizza la versione Professional Edition, Group Edition o Personal Edition, è possibile configurare gli indirizzi IP di accesso in Controlli protezione > Impostazioni di sessione. Se si utilizza la versione Enterprise Edition, Unlimited Edition, Performance Edition o Developer Edition, è possibile configurare gli intervalli IP di accesso in Gestisci utenti > Profili. Impara come implementare questa funzione.

TLS 1.1 o versioni superiori

A decorrere dal 4 marzo 2017, Salesforce prevede per le connessioni sicure dell'organizzazione l'adozione del più recente protocollo di sicurezza TLS 1.1 o versioni superiori, per offrire un ambiente più sicuro e agevolare il processo continuativo di conformità PCI. Le organizzazioni che utilizzano TLS 1.0 devono eseguire l'aggiornamento per garantire l'accesso alle integrazioni API, le connessioni a comunità e siti, lo scambio di app dei partner e l'accesso al browser utente.

Rivedi le modalità di collegamento a Salesforce degli utenti e delle integrazioni, per accertarti che le connessioni siano pronte a supportare TLS 1.1. Per identificare gli utenti o le integrazioni che utilizzano ancora la versione TLS 1.0, gli amministratori possono aggiungere i campi "Protocollo TLS" e "Pacchetti di crittografia TLS" nel Rapporto cronologia accessi.

Per garantire il successo del trasferimento, è necessario agire ben prima della data prevista per la disabilitazione. Per le procedure ottimali su come prepararsi a questo cambiamento, scarica l'Elenco di controllo della preparazione alla disabilitazione di TLS 1.0 (PDF).

Per ulteriori informazioni, consulta Salesforce disabilita la crittografia TLS 1.0 e pubblica eventuali domande nel gruppo Official: Salesforce Infrastructure della Success Community. In alternativa, è possibile guardare il webinar Secure Connections: How TLS 1.0 disablement impacts your organization (Connessioni sicure: impatto della disabilitazione di TLS 1.0 sulla tua organizzazione) per ascoltare gli esperti sul tema della disabilitazione.

Per ulteriori chiarimenti, è possibile aprire un caso con l'Assistenza sul portale Assistenza & formazione.

Educazione dei clienti sul phishing

Salesforce consiglia caldamente una formazione mirata sul phishing per tutti gli utenti di Salesforce. La maggior parte degli attacchi informatici fa uso di malware (software pericoloso) per infettare un computer con un codice generato appositamente per rubare password o dati oppure distruggere interamente il computer/la rete. Fortunatamente, per difendersi dal malware non è necessario essere degli esperti della sicurezza.

Seguono alcuni semplici consigli dedicati agli utenti di Salesforce:

È importante insegnare agli utenti come difendersi dal phishing, evitando di fare clic su link o aprire allegati in email sospette. Una delle tecniche di attacco informatico più efficace consiste proprio nell'invitare la vittima a fare clic su un link o aprire un allegato in grado di installare un malware. Vengono dette email di phishing, in quanto inducono ad aprire un'email. Le email di phishing di norma contengono informazioni interessanti, utili, oppure si presentano sotto forma di messaggi legittimi di una società esistente (consegna pacchi, buste paga, IRS, social network, ecc.).

È fondamentale insegnare agli utenti a non aprire mai email provenienti da destinatari sconosciuti. L'intento degli hacker è far sì che le persone facciano clic sul proprio link per infettare il computer dell'utente. Allo stesso modo, insegnare agli utenti che le email ricevute da un mittente sconosciuto devono essere valutate in base alla fonte, verificando se sia plausibile. In caso contrario, potrebbe trattarsi di materiale pericoloso. Verificare sempre l'indirizzo del mittente; per quanto riguarda eventuali link ad altri URL, è sufficiente passarvi sopra con il mouse per verificarli. Ad esempio, se il link sembra provenire da Salesforce, passandovi sopra con il mouse deve comparire un URL che termina con ".salesforce.com”.

In caso di dubbi, tuo o dei tuoi utenti, in merito alla legittimità di una qualsiasi email Salesforce, inoltra l'email all'indirizzo security@salesforce.com. Esamina gli esempi recenti di phishing riportati di seguito.

Dominio personale

La funzione Dominio personale consente di aggiungere un dominio personalizzato all'URL dell'organizzazione Salesforce. L'uso di un dominio personalizzato permette di evidenziare il proprio marchio e aumenta la sicurezza dell'organizzazione. Inoltre, è conforme alle pratiche ottimali aziendali che vietano di specificare i nomi delle istanze nel codice e nelle integrazioni (ad es. na1.salesforce.com). L'adozione di questa procedura ottimale garantisce a te e ai tuoi utenti finali un'esperienza più fluida durante eventuali manutenzioni future.

Grazie alla funzione Dominio personale, è possibile definire un dominio personalizzato che è parte del dominio Salesforce esistente. Un dominio personalizzato di fatto è un sottodominio di un dominio principale. Prendendo ad esempio Universal Containers, il rispettivo sottodominio sarebbe “universal-containers” in questo esempio di Dominio personalizzato: https://universal-containers.my.salesforce.com.

Un nome di dominio personalizzato consente di gestire meglio le procedure di accesso e autenticazione della propria organizzazione, sotto numerosi aspetti chiave. Le operazioni consentite sono elencate di seguito.

  • Bloccare o reindirizzare le richieste di pagine che non utilizzano il nome del nuovo dominio
  • Impostare criteri di accesso personalizzati per determinare le modalità di autenticazione degli utenti
  • Operare contemporaneamente in più organizzazioni Salesforce
  • Consentire agli utenti l'accesso da un account sociale, quali Google e Facebook, dalla pagina di accesso
  • Consentire agli utenti di connettersi una sola volta per accedere a servizi esterni
  • Rafforzare l'identità aziendale grazie all'URL di dominio univoco
  • Riportare il logo aziendale sulla schermata di accesso e personalizzare il contenuto del frame destro

Ottieni maggiori informazioni su Dominio personale e sulle modalità di implementazione nella tua organizzazione.

Criteri relativi alle password

Adottare livelli di protezione elevati per le password è un primo passo fondamentale ai fini della protezione degli account Salesforce.

Salesforce consiglia le seguenti procedure ottimali:

  1. Scadenza della password – Salesforce consiglia un periodo non superiore ai 90 giorni, al termine del quale gli utenti dovranno reimpostare le proprie password
  2. Lunghezza della password – Salesforce consiglia una lunghezza minima della password di 8-10 caratteri
  3. Complessità della password – Per comporre la password Salesforce, gli utenti devono utilizzare caratteri alfanumerici (lettere e numeri).
    Inoltre, ricorda agli utenti di non riutilizzare mai le proprie password su più account, per evitare di comprometterne la sicurezza. Infine, è essenziale che gli utenti comprendano che non è consentito condividere le proprie password con nessuno, sia online sia di persona, inclusa la password Salesforce.

Riduzione delle soglie di timeout delle sessioni

Talvolta gli utenti lasciano incustoditi i propri computer senza disconnettersi. Per proteggere le applicazioni dall'accesso non autorizzato, è possibile chiudere automaticamente le sessioni se non viene rilevata alcuna attività per un determinato periodo di tempo. Il timeout predefinito è di 2 ore, tuttavia è possibile impostare un valore compreso tra 30 minuti e 8 ore. Per modificare il timeout delle sessioni, fare clic su: Impostazione > Controlli protezione > Impostazioni di sessione.

Esempi di phishing

I tentativi di phishing utilizzano email fraudolente per spingere gli utenti a rivelare informazioni riservate. In genere, queste email si presentano come se provenissero da un'organizzazione legittima e possono contenere link al presunto sito di detta organizzazione, in realtà un falso sito creato appositamente per carpire informazioni.

Segnala eventuali email sospette inoltrandole a security@salesforce.com.

Poiché le truffe diventano via via più sofisticate, può risultare difficile riconoscere un'email vera da una falsa. Il modo migliore per evitare tranelli è sapere cosa cercare. Seguono alcuni esempi di truffe recenti:

Segnala un'email sospetta