Salesforce Trust

Håll dig uppdaterad inom säkerhet

Salesforce arbetar hårt för att sätta standarden som en effektiv partner för kundsäkerhet inom molntjänster.

 

Best practice inom säkerhet

Salesforce anstränger sig för att hjälpa våra kunder till större säkerhet vid användning av våra tjänster. I och med att hotbilden ständigt förändras, vill vi starkt uppmuntra våra kunder till att vidta åtgärder för att förhindra otillåten tillgång till Salesforce-organisationerna.

Vi rekommenderar starkt att administratörer av Salesforce överväger följande åtgärder för att göra upplevelsen så säker som möjligt för Salesforce-användarna, samtidigt som företagsinformationen skyddas. Följande punkter är säkerhetsfunktioner som finns tillgängliga i Salesforce och som erbjuder ytterligare skikt för verifiering eller identifiering av slutanvändaren:

Tvåstegsverifiering

Metoden med tvåstegsverifiering innebär att alla inloggningsförsök, utöver inloggningsuppgifter, också kräver ytterligare en verifieringsfaktor. Detta kan uppnås genom att använda Salesforce Authenticator eller andra liknande säkerhetslösningar. Inloggningsförsök som inte har giltiga uppgifter både från den första och andra källan kommer inte att få tillgång till Salesforce. Läs avsnittet Hjälp och utbildning för att lära dig mer om hur denna funktion implementeras.

Definierat inloggnings-IP

Definierat inloggnings-IP hindrar otillåten tillgång genom att användarna måste logga in på Salesforce från vissa utvalda IP-adresser – vanligtvis ditt företagsnätverk eller ett VPN. Genom att använda Definierat inloggnings-IP kan administratören bestämma ett antal tillåtna IP-adresser i syfte att kontrollera tillgången till Salesforce. Den som försöker logga in från en annan IP-adress kommer inte att få tillgång till Salesforce. Om du använder utgåvorna Professional, Group eller Personal, kan du konfigurera inloggnings-IP:n under Säkerhetskontroller > Sessionsinställningar. Om du använder antingen Enterprise, Unlimited, Performance eller Developer Edition, kan du konfigurera inloggnings-IP:n under Hantera användare > Profiler. Lär dig hur du implementerar denna funktion.

TLS 1.1 eller senare

Med start den 4 mars 2017 kommer Salesforce att kräva att säkra organisationsuppkopplingar använder protokollet TLS 1.1 eller senare, för att kunna erbjuda en säkrare miljö och fortsatt PCI-kompatibilitet. Organisationer som använder TLS 1.0 måste uppdateras för att ha fortsatt tillgång till API-integrationer, uppkoppling mot grupper och webbplatser, partnerapplikationsutbyten och webbläsartillgång för användare.

Kontrollera hur dina användare och integrationer kopplar upp sig mot Salesforce för att säkerställa att de stöder TLS 1.1. För att identifiera användare eller integrationer som fortfarande använder TLS 1.0 kan administratörer lägga till fälten ”TLS Protocol” och ”TLS Cipher Suite” i rapporten för inloggningshistorik.

För en lyckad övergång bör uppdateringen genomföras i god tid innan nedläggningen sker. Du kan ladda ner Checklista inför nedläggning av TLS 1.0 (PDF) för råd och best practice när det gäller att förbereda övergången.

För mer information, se Salesforce nedläggning av TLS 1.0 och ställ dina frågor i den officiella gruppen Salesforce Infrastructure Success Community. Du kan också titta på Säkra uppkopplingar: Hur nedläggningen av TLS 1.0 påverkar din organisation (webbseminarium) och höra experter berätta om nedläggningen.

Om du har några frågor, var god öppna ett ärende hos vår support via portalen för Hjälp & Utbildning.

Lär användare mer om nätfiske

Salesforce rekommenderar starkt att alla användare får utbildning och lär sig mer om vad nätfiske är. De allra flesta cyberattacker använder skadlig programvara för att infektera en dator med skadlig kod, i syfte att stjäla lösenord och information eller att förstöra datorn eller ett helt nätverk. Som tur är behöver du inte vara en säkerhetsexpert för att kunna stoppa dessa skadliga programvaror.

Här är några enkla råd som du kan ge till dina Salesforce-användare:

Lär användarna att inte låta sig luras av nätfiske – det vill säga inte klicka på länkar eller öppna bifogade filer i misstänka e-postmeddelanden. En av de effektivaste metoderna vid cyberattacker är just att lura någon till att klicka på en länk eller att öppna en bifogad fil som installerar skadlig programvara. Det är detta som kallas nätfiske. E-postmeddelandet kan berätta något som gör dig nyfiken eller som kan vara användbart, men det kan också se ut som ett riktigt meddelande från ett verkligt företag (paketleverans, lönebesked, skatteinformation, sociala medier m.m.).

Instruera användarna att aldrig öppna e-postmeddelanden från okända avsändare. Hackare vill att mottagaren klickar på länken så att de kan infektera dennes dator. På samma sätt, lär användarna att bedöma e-post från okända avsändare utifrån vilken källa det är och om det verkar vettigt. Om inte, kan det handla om skadlig programvara. Avsändarens adress bör alltid kontrolleras och alla URL-länkar kan verifieras genom att sväva med musen över dem. Om länken till exempel säger att den går till Salesforce, ska URL-adressen som syns när du svävar med musen över den sluta på ”.salesforce.com”.

Om du eller någon annan användare är osäker på om ett e-postmeddelande som verkar komma från Salesforce är seriöst eller inte, skicka det vidare till security@salesforce.com. Se några färska exempel på nätfiske nedan.

Min domän

Med Min domän kan du lägga till en egen domän i URL:en för din Salesforce-organisation. Ett eget domännamn sätter fokus på ditt varumärke och gör din organisation säkrare. Dessutom följer du då vår rekommendation att inte specificera namnet på instansen i koder och integrationer (t.ex. na1.salesforce.com). Att följa denna best practice kommer att ge dig och dina slutanvändare en smidigare upplevelse vid framtida underhåll.

Med My Domain kan du definiera en egen domän som är en del av din Salesforce-domän. Ett eget domännamn är i verkligheten en subdomän till toppdomänen. Om vi tar exemplet Universal Containers, skulle deras subdomän i detta My Domain-exempel vara ”universal-containers”: https://universal-containers.my.salesforce.com.

Ett eget domännamn hjälper dig att bättre hantera inloggningar och verifieringar gällande din organisation. Du kan:

  • Blockera eller omdirigera förfrågningar som inte använder det nya domännamnet
  • Konfigurera en egen inloggningspolicy som bestämmer hur användarna ska verifieras
  • Arbeta i flera Salesforce-organisationer på samma gång
  • Låta användare logga in med konton från sociala medier, såsom Google och Facebook, på inloggningssidan
  • Tillåta användare att logga in en gång för att få tillgång till externa tjänster
  • Sätta fokus på ditt varumärke tack vare ett unikt domän-URL
  • Skräddarsy innehållet och utseendet på din inloggningssida

Lär dig mer om My Domain och hur du kan implementera det i din organisation.

Lösenordspolicy

Ett viktigt första steg för att skydda dina Salesforce-konton är att ha ett starkt lösenordsskydd.

Salesforce ger följande rekommendationer:

  1. Lösenordets giltighetstid – Salesforce rekommenderar att användarna tvingas byta lösenord efter högst 90 dagar
  2. Lösenordets längd – Salesforce föreslår att inget lösenord får underskrida 8–10 tecken
  3. Lösenordets komplexitet – Kräv att användarnas Salesforce-lösenord består av både bokstäver och siffror.
    Påminn dessutom användarna om att aldrig använda samma lösenord till flera konton, eftersom detta ökar risken för att lösenordet ska avslöjas. Till sist, säkerställ att användarna förstår vikten av att aldrig dela med sig av sina lösenord – inklusive Salesforce-lösenordet – till någon annan, vare sig på nätet eller till en fysisk person.

Minska sessionslängden

Användare lämnar ibland sina datorer obevakade eller glömmer att logga ut. Du kan skydda dina applikationer mot otillåten tillgång genom att automatiskt stänga ned sessionen när ingen aktivitet har skett under en viss tid. Standardinställningen är 2 timmar, men du kan ändra detta till vilket värde som helst mellan 30 minuter och 8 timmar. För att ändra sessionslängden, klicka på Inställningar > Säkerhetskontroller > Sessionsinställningar.

Exempel på nätfiske

Nätfiske är en form av bedrägeri där man använder sig av falska e-postmeddelanden för att få användare att avslöja konfidentiell information. Sådan e-post ser ofta ut att komma från en legitim organisation och kan innehålla länkar till sidor som ser ut att vara organisationens hemsida, men det rör sig egentligen om en falsk sida som är designad för att samla in information.

Rapportera misstänkta e-postmeddelanden genom att vidarebefordra dem till security@salesforce.com.

Dessa bedrägerier blir allt mer sofistikerade och det kan vara svårt att veta om ett e-postmeddelande är falskt eller inte. Det bästa du kan göra för att inte bli lurad är att lära dig vad du ska hålla utkik efter. Här kan du läsa om några färska exempel på nätfiske:

Rapportera misstänkta e-postmeddelanden