Salesforce가 관리하는 보안

보안 중심 개발

Salesforce 보안 개발 라이프사이클(SSDL)은 개발 프로세스의 모든 단계에 보안 기능을 제공합니다. SSDL은 교육, 업계 최고의 프로세스, 예측 가능성, 책임 및 투명성을 보장하는 도구를 제공합니다. 보안 개발 모범 사례에는 심층 방어, 최소 권한, 보안 기본값, 정기적인 정적 및 동적 취약성 분석이 포함됩니다.

Salesforce 보안 개발 라이프사이클:

• OWASP(Open Web Application Security Project) 보안 코딩 원칙을 적용합니다.
• 구현 전에 모든 제품과 새롭게 개발된 기능에서 위협 모델링 활동을 수행합니다.
• 정적 및 동적 취약성 스캔을 관리합니다.
• 정기적인 타사 보안 평가를 시행합니다.
• 고객이 시작한 보안 평가를 지원합니다.
• Q&A 세션과 대면 검토로 고객을 지원합니다.

B2C Commerce 플랫폼 수준 보안

B2C Commerce는 프로덕션 환경을 보호할 때 심층 방어 접근 방식을 채택합니다. 이 접근 방식에는 고객 데이터를 안전하게 처리하고 저장하기 위해 애플리케이션, 인프라 및 네트워크 수준에서 여러 보안 컨트롤이 포함됩니다.

B2C Commerce를 구성하는 여러 애플리케이션은 강력한 인증 메커니즘을 제공합니다. 역할에 따라 애플리케이션의 다양한 부분을 접근하도록 인증된 사용자를 승인합니다. SSDL은 이러한 기능이 맞춤 설정을 허용하면서 사용자를 보호하는 보안 제어 기능을 제공할 수 있도록 합니다.

인프라 수준에는 데이터베이스 계층을 포함한 모든 시스템 수준에서 방화벽과 접근 제어를 포함한 여러 개의 트러스트 레이어가 있습니다.

• 테넌트에서 접근하는 데이터로부터 보호하는 데이터베이스 레이어에서 다중 테넌트를 시행합니다.
• 각 테넌트에는 자체 데이터베이스가 있으며 모든 데이터는 테넌트의 조직 ID와 자격에 연결됩니다.
• 전송 중인 데이터는 기본 및 백업 위치 사이를 이동할 때 잠재적인 공개 데이터 노출을 방지하기 위해 암호화로 보호됩니다.
• 또한 보안 기능은 데이터 센터에서 물리적 레이어로 확장됩니다. 예를 들어 데이터 센터의 디스크 수명이 다했을 때 해당 디스크는 내용을 지운 후 파쇄되므로 데이터를 복구할 수 없습니다.

보안 권고 사이트의 B2C Commerce 플랫폼과 관련된 보안 권고 사항을 고객에게 알립니다.

내부 사용자 액세스 추적

Salesforce 직원이 고객 realm에 대해 실행하는 작업과 관련하여 Commerce Cloud 보안 모델에 모든 민감한 영역에 대해 투명한 로깅을 포함됩니다. 자세한 내용은 B2C Commerce의 보안 이벤트 감사을(를) 참조하십시오.