Salesforce Trust

Mantenha-se atualizado em segurança

A Salesforce está comprometida com a definição do padrão em software como serviço como uma parceira eficaz na segurança do cliente.

 

Práticas recomendadas de segurança

A Salesforce dedica-se a ajudar os clientes a acessar o nosso serviço com mais segurança. Com o cenário de ameaças em crescimento, incentivamos nossos clientes a tomar medidas para ajudar a evitar o acesso não autorizado às suas organizações do Salesforce.

Recomendamos enfaticamente que os administradores do Salesforce considerem adotar as medidas a seguir para tornar a experiência dos usuários do Salesforce tão segura quanto possível, ao mesmo tempo que protege os dados da empresa. Os seguintes recursos de segurança disponíveis no Salesforce fornecem camadas adicionais de autenticação ou validação do usuário final:

Autenticação de dois fatores

A Autenticação de dois fatores exige que todas as tentativas de login tenham credenciais de login e um segundo fator de autenticação. Para isso, é possível usar o Salesforce Authenticator ou soluções semelhantes de fornecedores de segurança. As tentativas de login que não tiverem credenciais válidas de ambas as fontes não terão acesso concedido ao Salesforce. Aprenda a implementar esse recurso em Ajuda e treinamento.

Intervalos de IP para fazer login

Os Intervalos de IP de login limitam o acesso não autorizado solicitando que os usuários efetuem login no Salesforce a partir de endereços IP designados – normalmente sua rede corporativa ou VPN. Ao usar os Intervalos de IP de login, os administradores podem definir um intervalo de endereços IP permitidos para controlar o acesso ao Salesforce. Aqueles que tentarem efetuar login no Salesforce de fora dos endereços IP designados não terão o acesso concedido. Se você estiver usando a Professional, Group ou Personal Edition, poderá configurar os Intervalos de IP de login em Controles de segurança > Configurações de sessão. Se estiver usando a Enterprise, Unlimited, Performance ou Developer Edition, poderá configurar os Intervalos de IP de login em Gerenciar usuários > Perfis. Aprenda como implementar esse recurso.

TLS 1.1 ou superior

A partir de 4 de março de 2017, a Salesforce passará a exigir que conexões de organizações seguras usem o protocolo mais recente TLS 1.1 ou superior, a fim de oferecer um ambiente mais seguro e de cumprir as normas de PCI. É necessário atualizar as organizações que usam TLS 1.0 para que continuem tendo acesso às integrações de API, conexões com comunidades e sites, trocas de aplicativos de parceiros e acesso ao navegador do usuário.

Verifique como seus usuários e suas integrações se conectam ao Salesforce para garantir que as conexões estejam prontas para o TLS 1.1. Para identificar os usuários ou as integrações que ainda usam TLS 1.0, os administradores podem adicionar os campos "Protocolo TLS" e "TLS Cipher Suite" ao relatório Histórico de logins.

Para que a transição seja bem-sucedida, tome medidas bem antes da desativação. Você pode fazer download da Lista de verificação de preparação para a desativação do TLS 1.0 (PDF) com as práticas recomendadas sobre como se preparar para essa mudança.

Para obter mais informações, leia A Salesforce está desativando a criptografia TLS 1.0 e publique suas dúvidas em Oficial: grupo da Comunidade de sucesso de infraestrutura do Salesforce. Você também pode assistir ao webinar Conexões seguras: como a desativação do TLS 1.0 afeta sua organização e saiba o que experts pensam sobre a desativação.

Em caso de dúvidas, abra um caso junto ao suporte no portal de Ajuda e treinamento.

Eduque os usuários sobre phishing

A Salesforce recomenda enfaticamente que todos os usuários do Salesforce se eduquem sobre phishing. A maioria dos ataques cibernéticos usa malware (software mal-intencionado) para infectar um computador com código mal-intencionado criado para roubar senhas ou dados ou para prejudicar todo um computador ou uma rede. Felizmente, não é preciso ser expert em segurança para ajudar a bloquear o malware.

Algumas recomendações simples que você pode fazer aos seus usuários do Salesforce:

Ensine os usuários a não se enganarem com o phishing e a não clicarem em links nem abrirem anexos em emails suspeitos. Uma das técnicas mais eficazes de ataque cibernético é convencer alguém a clicar em um link ou a abrir um anexo que instala um malware. Eles são chamados de emails de phishing, pois o convencem a abrir um email. O email de phishing pode dizer algo intrigante ou útil, ou parecer uma mensagem legítima de uma empresa real (entrega de pacote, folha de pagamento, Receita, rede social, etc.).

Ensine os usuários a nunca abrir emails vindos de fontes desconhecidas. Os hackers querem que as pessoas cliquem no link para que possam infectar seus computadores. Da mesma forma, ensine os usuários que é preciso avaliar emails de fontes desconhecidas com base na fonte e se o email faz ou não sentido. Em caso negativo, ele pode ser mal-intencionado. Deve-se sempre verificar o endereço do remetente e passar o mouse sobre os URLs para verificá-los. Por exemplo, se o link afirma ser da Salesforce, um URL que termina em ".salesforce.com" deverá ser exibido quando você passar o mouse sobre ele.

Se você ou algum de seus usuários não sabe se um email da Salesforce é legítimo ou não, encaminhe o email para security@salesforce.com. Consulte os exemplos recentes de phishing abaixo.

Meu domínio

Meu domínio permite adicionar um domínio personalizado ao URL da organização do Salesforce. Um domínio personalizado permite destacar sua marca e torna sua organização mais segura. Além disso, ele permite que você siga nossa prática recomendada de não especificar nomes de instância em código e integrações (por exemplo, na1.salesforce.com). Seguindo essa prática recomendada, você e seus usuários finais terão menos problemas durante eventuais manutenções futuras.

Usando Meu domínio, você define um domínio personalizado que faz parte do seu domínio do Salesforce. Na verdade, um domínio personalizado é um subdomínio de um domínio principal. Usando como exemplo a Universal Containers, o subdomínio seria "universal-containers" neste exemplo de Meu domínio: https://universal-containers.my.salesforce.com.

Um nome de domínio personalizado ajuda a gerenciar melhor os procedimentos de login e autenticação da sua organização de várias maneiras importantes. Você pode:

  • Bloquear ou redirecionar solicitações de página que não usem o novo nome de domínio
  • Definir uma política de login personalizada e determinar como os usuários serão autenticados
  • Trabalhar em várias organizações do Salesforce ao mesmo tempo
  • Permitir que os usuários efetuem login usando uma conta social, como Google e Facebook, na página de login
  • Permitir que os usuários efetuem login uma única vez para acessar serviços externos
  • Realçar sua identidade corporativa com um URL de domínio exclusivo
  • Colocar sua marca na tela de login e personalizar o conteúdo do quadro direito

Aprenda mais sobre o Meu domínio e como implementá-lo em sua organização.

Políticas de senha

Uma segurança de senha forte é um importante primeiro passo para proteger suas contas do Salesforce.

A Salesforce recomenda estas práticas:

  1. Expiração de senha – A Salesforce recomenda 90 dias no máximo para obrigar os usuários a redefinirem suas senhas
  2. Tamanho da senha – A Salesforce sugere um tamanho mínimo de oito a dez caracteres para a senha
  3. Complexidade da senha – Exija que os usuários incluam uma mistura de caracteres alfabéticos e numéricos na senha do Salesforce.
    Além disso, lembre aos usuários que eles não devem reutilizar senhas em mais de uma conta, sob o risco de comprometer mais de uma de suas contas. Por último, os usuários precisam entender que nunca devem compartilhar suas senhas com qualquer pessoa, seja online ou pessoalmente, incluindo a senha do Salesforce.

Diminuir limites de tempo de sessão

Às vezes, os usuários deixam seus computadores sem monitoramento ou não efetuam logoff. Para proteger seus aplicativos contra o acesso não autorizado, você pode fechar automaticamente as sessões quando não houver atividade por um período de tempo. O limite padrão é de duas horas, podendo ser configurado entre 30 minutos e oito horas. Para alterar o tempo limite da sessão, clique em Configuração > Controles de segurança > Configurações de sessão.

Exemplos de phishing

Os ataques de phishing usam emails fraudulentos para convencer os usuários a revelar informações confidenciais. Esses emails geralmente parecem ter vindo de uma organização legítima e podem conter links para o que parece ser o site da organização, mas que é na verdade um site falso criado para capturar informações.

Relate emails suspeitos encaminhando-os para security@salesforce.com.

Conforme os ataques se tornam mais sofisticados, pode ser difícil saber se um email é falso ou real. A melhor maneira de não se deixar enganar é saber o que procurar. Veja estes exemplos recentes de ataques:

Relate um email suspeito