Beveiliging is vanaf de basis ingebouwd in onze producten. Salesforce biedt onze klanten innovatieve tools en educatieve bronnen die nodig zijn om gegevens te beschermen, maar we zijn van mening dat eigenlijk iedereen samen verantwoordelijk is voor beveiliging. We raden alle klanten aan om de volgende best practices op te volgen om Salesforce-exemplaren te beschermen tegen compromittering en om te voldoen aan de normen in de branche.

Krijg de basisprincipes onder de knie

Implementatie van MFA of

Single Sign-On

Het is nu belangrijker dan ooit om goede beveiligingsmaatregelen te nemen om uw bedrijf en klanten te beschermen. Omdat er steeds meer bedreigingen komen waarbij de inloggegevens van gebruikers worden gestolen, zijn enkel gebruikersnamen en wachtwoorden niet meer voldoende om te beschermen tegen ongeoorloofde toegang. 

Multi-factorenauthenticatie (MFA) biedt een extra beveiligingslaag tegen dreigingen zoals phishing, credential stuffing en accountovername. Het implementeren van MFA is een enorm effectieve manier om binnen uw bedrijf de beveiliging van Salesforce-gegevens te vergroten.

MFA-bronnen bekijken >

Beveiligingsstatuscontrole uitvoeren bij elke release

Statuscontrole is een gratis tool die standaard bij de producten van Salesforce wordt geleverd. De tool is gebouwd op ons hoofdplatform en stelt beheerders in staat om de belangrijkste beveiligingsinstellingen van de organisatie te beheren via één dashboard. Met Statuscontrole kunnen beheerders naadloos met één klik mogelijke zwakke beveiligingsinstellingen identificeren en corrigeren. Klanten kunnen ook aangepaste baselinenormen opstellen voor een betere afstemming op de afzonderlijke beveiligingsbehoeften van bedrijven.

Meer informatie over Statuscontrole >

Meer informatie over best practices

  • Salesforce raadt het af om leaf- of intermediate-SSL/TLS-certificaten vast te zetten omdat deze tot beschikbaarheidsproblemen kunnen leiden wanneer intermediate-certificaten worden geroteerd tijdens routinebewerkingen. Er kunnen echter bepaalde gevallen zijn waarbij de certificaten wel moeten worden vastgezet, bijvoorbeeld als bepaalde middleware is geïntegreerd. Als u leaf-/intermediate-certificaten vastzet, overweeg dan om alleen het hoofdcertificaat vast te zetten. Als u tijdig op de hoogte wilt worden gesteld van aankomende certificaatrotaties en -vernieuwingen, wordt u lid van de Certificate Changes Trailblazer Community en abonneert u zich op e-mailupdates van de groep.

  • Inlog-IP-bereiken beperken ongeautoriseerde toegang door gebruikers te verplichten om bij Salesforce in te loggen vanaf daartoe aangewezen IP-adressen. Deze zijn doorgaans afkomstig van uw bedrijfsnetwerk of VPN. Door middel van Inlog-IP-bereiken kunnen beheerders een bereik van toegestane IP-adressen definiëren om dusdoende de toegang tot Salesforce onder controle te houden. Diegenen die proberen om bij Salesforce in te loggen van buiten de daartoe aangewezen IP-adressen, wordt geen toegang verleend.

    • Bij gebruik van de Professional, Group of Personal Edition kunt u inlog-IP-bereiken configureren onder Beveiligingselementen > Sessie-instellingen.
    • Bij gebruik van de Enterprise, Unlimited, Performance of Developer Edition kunt u inlog-IP-bereiken configureren onder Gebruikers beheren > Profielen.
  • Als onderdeel van uw algehele beveiligingsstrategie kunt u Salesforce Shield overwegen. Hoewel Salesforce sowieso al vele kant-en-klare beveiligingsmiddelen biedt, vult Shield de beveiligingsvoorzieningen nog verder aan met verbeterde versleuteling, app- en gegevensbewaking en automatisering van beveiligingsbeleid. Shield kan beheerders en ontwikkelaars helpen een nieuw niveau van vertrouwen en transparantie te bereiken voor bedrijfskritieke apps.

  • Met Mijn domein kunt u een aangepast domein toevoegen aan uw Salesforce-organisatie-URL. Met een aangepast domein kunt u uw merk extra kracht bijzetten en wordt uw organisatie veiliger. Daarnaast kunt u hiermee onze best practices volgen voor het niet opgeven van exemplaarnamen in code en integraties (bijvoorbeeld na1.salesforce.com). Als u de best practices volgt, krijgen u en uw gebruikers een betere ervaring tijdens toekomstig onderhoud.

    Met Mijn domein definieert u een aangepast domein dat onderdeel is van uw Salesforce-domein. Een aangepast domein is in feite een subdomein van een primair domein. Als we het voorbeeld gebruiken van universele containers, is het subdomein 'universele-containers' in dit Mijn domein-voorbeeld: https://universele-containers.my.salesforce.com.

    Met een aangepaste domeinnaam kunt u inlogpogingen en verificatie op verschillende manieren beter beheren voor uw organisatie. U kunt:

    • Paginaverzoeken blokkeren of omleiden als er geen gebruik wordt gemaakt van de nieuwe domeinnaam
    • Een aangepast beleid voor inloggen instellen om te bepalen hoe gebruikers worden geverifieerd
    • In meerdere Salesforce-organisaties tegelijk werken
    • Gebruikers laten inloggen met een sociale-media-account (van bijvoorbeeld Google of Facebook) via de inlogpagina
    • Gebruikers toestaan om éénmalig in te loggen voor toegang tot externe services
    • Uw bedrijfsidentiteit benadrukken met uw unieke domein-URL
    • Uw inlogscherm voorzien van uw merk en de content in het rechterframe aanpassen
  • Gebruikers laten hun computers soms onbeheerd achter, of ze loggen niet uit. U kunt uw toepassingen tegen ongeoorloofde toegang beschermen door sessies automatisch te sluiten als er gedurende een bepaalde periode geen sessieactiviteit is. De standaardtime-outduur is 2 uur, maar u kunt een tijd tussen de 30 minuten en 8 uur kiezen. Voor het wijzigen van de sessietime-outinstellingen klikt u op: Set-up > Beveiligingsinstellingen > Sessie-instellingen.

  • Transport Layer Security (TLS) is het meest geïmplementeerde beveiligingsprotocol en het wordt gebruikt voor webbrowsers en andere toepassingen waarvoor een veilige uitwisseling van gegevens over een netwerk is vereist. Vanaf oktober 2019 vereist Salesforce dat alle beveiligde organisatieverbindingen TLS 1.2 of hoger wordt gebruikt, om zo te zorgen voor een veiligere omgeving en continue naleving in de betaalkaartbranche.

  • Salesforce raadt aan om alle Salesforce-gebruikers informatie aan te bieden over phishing. Bij de meeste cyberaanvallen wordt gebruikgemaakt van malware (schadelijke software) om een computer te infecteren met schadelijke code die is bedoeld om wachtwoorden en gegevens te stelen of zelfs volledige computers of netwerken te verstoren. Gelukkig hoeft u geen beveiligingsexpert te zijn om malware een halt toe te roepen.

    Bij phishing worden er frauduleuze e-mails gebruikt om gebruikers vertrouwelijke informatie te laten onthullen. Dergelijke e-mails lijken van een legitieme organisatie te komen en kunnen links bevatten naar de site van de organisatie (bijvoorbeeld m.b.t. de levering van een pakket, loonadministratie, belastingen, sociale netwerken), maar eigenlijk leiden de links naar nepsites of bijlagen die dienen om malware te installeren en informatie vast te leggen. Deze scams worden steeds verfijnder, dus het kan lastig zijn om te achterhalen of een e-mail echt of nep is. Hieronder staan enkele aanbevelingen voor uw Salesforce-gebruikers voor het controleren van hun e-mails (en bekijk onze pagina met beveiligingswaarschuwingen voor voorbeelden van recente scams):

    • Controleer de onderwerpregel op onverwachte berichten en vreemd taalgebruik
    • Controleer de persoon en organisatie (houd bijvoorbeeld de muisaanwijzer op de naam van de afzender en de URL's, maar klik er niet op)
    • Klik niet op verdachte bijlagen (bijvoorbeeld een vreemde naam of vreemde indeling)
    • Deel geen informatie over inloggegevens (zoals de gebruikersnaam en wachtwoord), tenzij u er zeker van bent dat de e-mail afkomstig is van een vertrouwde afzender
    • Controleer het taalgebruik (zoals grammatica en spelling)
    • Wees op uw hoede bij urgente berichten en berichten waarop direct moet worden gereageerd, bijvoorbeeld als er om geld wordt gevraagd

    Als u of een van uw gebruikers niet zeker weet of een e-mail van Salesforce echt is, stuurt u een kopie van die e-mail als bijlage naar security@salesforce.com. Gebruik het woord 'phish' of 'malware' in de onderwerpregel om aan te geven dat de e-mail naar verwachting phishing is.

    Voor instructies voor het doorsturen van e-mails als bijlage via Gmail, bekijkt u E-mails verzenden als bijlagen in de Ondersteuning van Google.

  • Sterke wachtwoordbeveiliging is belangrijk voor het beschermen van uw Salesforce-accounts. Salesforce raadt de volgende best practices aan: 

    • Wachtwoordverloop: Salesforce raadt aan om wachtwoorden niet langer dan 90 dagen geldig te laten zijn; daarna moeten gebruikers hun wachtwoord opnieuw instellen
    • Wachtwoordlengte: Salesforce raadt een minimale wachtwoordlengte van 8 tot 10 tekens aan
    • Wachtwoordcomplexiteit: beheerders moeten gebruikers vragen om een combinatie te gebruiken van letters, cijfers en speciale tekens in hun Salesforce-wachtwoord

    Daarnaast moet u gebruikers eraan herinneren dat wachtwoorden nooit mogen worden gebruikt voor meerdere accounts tegelijk; dan wordt het risico op binnendringing namelijk groter voor meerdere accounts. Tot slot moeten gebruikers begrijpen dat ze nooit hun wachtwoord met iemand mogen delen (niet online en niet persoonlijk). Hieronder valt ook het Salesforce-wachtwoord.

  • Een machtigingenset is een verzameling instellingen en machtigingen die gebruikers toegang biedt tot verschillende tools en functies. Machtigingensets bieden gebruikers meer functionele toegang zonder dat ze iets veranderen aan hun profielen.

    Maak machtigingensets om toegang te verlenen in logische groepen gebruikers, ongeacht de primaire functie van die gebruikers. Stel dat u verschillende gebruikers hebt die leads moeten kunnen verwijderen en overdragen. U kunt een machtigingenset maken op basis van de taken die de gebruikers moeten uitvoeren, en de machtigingenset opnemen in machtigingensetgroepen (gebaseerd op specifieke functies binnen het bedrijf). Gebruikers mogen slechts één profiel hebben, maar wel meerdere machtigingensets. 

  • Controlelogboeken bieden een chronologisch overzicht van alle activiteiten in uw systeem, zoals inlogpogingen, gewijzigde machtigingen en toevoeging/verwijdering van records. Ze worden gebruikt om afwijkend gebruik van het systeem te detecteren en zijn van groot belang bij het diagnosticeren van potentiële of daadwerkelijke beveiligingsproblemen.

    We raden u aan om controleprocessen in te stellen voor uw Salesforce-exemplaar en om regelmatig controles uit te voeren om in de gaten te houden of er sprake is van onverwachte wijzigingen of trends in gebruik.

  • Een hardwarebeveiligingsmodule is een fysiek of virtueel systeem dat wordt gebruikt om cryptografische functies aan te bieden en te beheren in zakelijke omgevingen. HSM's worden gebruikt in combinatie met basisbeveiligingsfuncties, zoals versleuteling, ontsleuteling en authenticatie..

    We raden aan om HSM's te gebruiken als vertrouwensbasis om de sleutels te beschermen die worden gebruikt om gegevens te beveiligen in omgevingen met meerdere clouds en on-premise exemplaren. Ze moeten worden gecertificeerd op basis van de hoogste beveiligingsnormen (zoals FIPS 140-2 en Common Criteria), ze moeten worden geïsoleerd van de bedrijfsnetwerken van de organisatie en de toegang ertoe moet worden beperkt tot enkel geautoriseerd personeel.

Een beveiligingsprobleem melden

Als toonaangevende leverancier van 'software-as-a-service' en 'platform-as-a-service' is Salesforce toegewijd aan het bieden van uitstekende beveiliging van onze omgeving en de gegevens van klanten. U kunt ons helpen door beveiligingsproblemen te melden.

Een probleem melden