Salesforce が管理するセキュリティ

セキュリティに焦点をあてた開発

Salesforce セキュア開発ライフサイクル (SSDL) は、開発プロセスの各段階でセキュリティを提供します。SSDL は教育、業界をリードするプロセス、およびツールを提供して、予測可能性、責任、透明性を確実にします。安全な開発のベストプラクティスには、多層防御、最小権限、安全なデフォルト、定期的な静的および動的な脆弱性分析などがあります。

Salesforce セキュア開発ライフサイクル:

• Open Web Application Security Project (OWASP) のセキュアコーディング原則を適用します。
• すべての商品と新しく開発した機能に対して、実装前に脅威のモデリングアクティビティを実行します。
• 静的および動的な脆弱性スキャンを実行します。
• 定期的にサードパーティのセキュリティの評価を行います。
• 顧客が開始したセキュリティ評価をサポートします。
• 質疑応答セッションとピアレビューで顧客をサポートします。

B2C Commerce プラットフォームレベルのセキュリティ

B2C Commerce では、本番環境を保護するために多層防御のアプローチをとっています。このアプローチは、アプリケーション、インフラストラクチャ、およびネットワークのレベルで複数のセキュリティコントロールをもち、顧客データが安全に処理および保存されることを保証します。

B2C Commerce を構成する複数のアプリケーションは、強力な認証メカニズムを提供しています。認証済みのユーザーに対し、ユーザーの役割に応じてアプリケーションのさまざまな部分へのアクセスを承認できます。SSDL によって、カスタマイズが可能となる一方、これらの機能でユーザーを保護するためのセキュリティコントロールが確実に提供されます。

インフラストラクチャレベルは複数のレイヤーの信頼性をもち、データベースレイヤーを含むシステムのすべてのレベルにファイアウォールとアクセスコントロールがあります。

• データベースレイヤーでは、データがテナントを超えてアクセスされないようにするため、複数テナント制が強制されています。
• 各テナントは独自のデータベースをもち、すべてのデータはテナントの Org ID と利用資格にリンクされています。
• 送信中のデータは暗号化で保護され、主要な場所とバックアップの場所の間で転送される際のオープンデータの漏洩の可能性を防ぎます。
• また、セキュリティは当社のデータセンターの物理レイヤーにも広がっています。たとえば、当社のデータセンターのディスクが寿命に達した場合、データが復元できないように、ディスクは消去され、細断されます。

B2C Commerce プラットフォームのセキュリティに関する勧告は、Security Advisories サイトで顧客に通知されます。

内部ユーザーアクセスの追跡

Salesforce の従業員が顧客のレルムで行うアクションに関する Commerce Cloud セキュリティモデルにより、すべての機密性の高い領域で透明性の高いログが記録されます。詳細については、B2C Commerce でのセキュリティイベントの監査を参照してください。