Sécurité gérée par Salesforce

Développement axé sur la sécurité

Le cycle de vie du développement sécurisé (SSDL) de Salesforce assure la sécurité à chaque étape du processus de développement. Le SSDL fournit des formations, des processus de pointe et des outils permettant de garantir la prévisibilité, la responsabilité et la transparence. Les meilleures pratiques du développement sécurisé comprennent la défense en profondeur, le moindre privilège, les valeurs par défaut sécurisées et des analyses régulières de la vulnérabilité statique et dynamique.

Cycle de vie du développement sécurisé de Salesforce :

• Application des principes de codage sécurisé de l’Open Web Application Security Project (OWASP).
• Activités de modélisation des menaces sur tous les produits et toutes les fonctionnalités nouvellement développées avant leur implémentation.
• Administration d’analyses de vulnérabilité statique et dynamique.
• Évaluations de sécurité régulières par des tiers.
• Prise en charge des évaluations de sécurité initiées par le client.
• Assistance aux clients avec des sessions de questions/réponses et des évaluations par les pairs.

La sécurité au niveau de la plateforme B2C Commerce

B2C Commerce adopte une approche de défense en profondeur en matière de protection de ses environnements de production. Cette approche comprend plusieurs contrôles de sécurité au niveau des applications, de l’infrastructure et du réseau afin de garantir le traitement et le stockage sécurisés des données client.

Les multiples applications qui composent B2C Commerce sont dotées de solides mécanismes d’authentification. Vous pouvez autoriser les utilisateurs authentifiés à accéder à différentes parties de l’application en fonction de leur rôle. Le SSDL garantit que ces fonctionnalités comportent des contrôles de sécurité qui protègent les utilisateurs tout en leur permettant de les personnaliser.

Le niveau de l’infrastructure comporte plusieurs couches de confiance, avec des pare-feu et des contrôles d’accès à tous les niveaux du système, y compris pour la couche des bases de données.

• Nous appliquons l’hébergement mutualisé au niveau de la couche des bases de données. Il offre une protection contre l’accès aux données entre les locataires.
• Chaque locataire possède sa propre base de données et toutes les données sont associées à l’identifiant de l’organisation et aux droits du locataire.
• Les données en transit sont sécurisées par cryptage pour éviter toute exposition potentielle des données ouvertes lors de leur déplacement entre l’emplacement principal et le support de sauvegarde.
• La sécurité s’étend par ailleurs jusqu’à la couche physique de nos centres de données. Par exemple, lorsque les disques de nos centres de données arrivent en fin de vie, ils sont effacés puis déchiquetés, de sorte que les données ne peuvent pas être récupérées.

Nous informons les clients des avis de sécurité liés à la plateforme B2C Commerce sur le site des Avis de sécurité.

Suivre l'accès des utilisateurs internes

Le modèle de sécurité Commerce Cloud concernant les actions des employés de Salesforce sur les realms client inclut une journalisation transparente de toutes les zones sensibles. Pour plus d'informations, voir Audit des événements de sécurité dans B2C Commerce.