Você está aqui:
Compartilhamento de dados em conformidade
Esse controle impõe a remoção imediata de registros de participantes do usuário na estrutura Compartilhamento de dados em conformidade (CDS) sempre que um usuário é desativado ou faz a transição para um papel que não requer mais acesso.
Nome do controle
Compartilhamento de dados em conformidade
Configuração recomendada
Excluir registros do participante antes de desativar um usuário – Desative um usuário do Salesforce que tenha registros de participante de Compartilhamento de dados em conformidade.
Visão geral de controle
Esse controle impõe a remoção imediata de registros de participantes do usuário na estrutura Compartilhamento de dados em conformidade (CDS) sempre que um usuário é desativado ou faz a transição para um papel que não requer mais acesso. Ao limpar sistematicamente essas atribuições de compartilhamento granulares, isso garante que o acesso a registros confidenciais seja totalmente revogado, impedindo a exposição não autorizada de dados e mantendo a conformidade regulatória rígida.
Risco de segurança, se não configurado
A falta de remoção sistemática do acesso por meio do Compartilhamento de dados em conformidade cria um risco significativo de exibição excessiva de dados, em que usuários que foram desativados ou mudaram para novos papéis mantêm visibilidade não autorizada de registros financeiros confidenciais. Essa persistência de permissões "antigo" aumenta a probabilidade de violações de dados internas e pode levar a uma grave não conformidade regulatória com mandatos de privacidade de dados, como GDPR ou GLBA.
Cenários de ameaça
Um funcionário faz a transição para um novo papel ou departamento, mas retém registros de participante "antigo" no Compartilhamento de dados em conformidade porque o administrador habilitou a configuração para reter registros após a desativação, em vez de removê-los. Um ator de ameaça (ou um indivíduo mal-intencionado) que, em seguida, compromete essa conta, explora essas permissões ociosas persistentes para filtrar silenciosamente acordos financeiros confidenciais e dados de clientes privados que o usuário não tem mais autorização para acessar.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
Aumente o risco dependendo do escopo da permissão de acesso do usuário.
Risco maior quando
O risco é significativamente aumentado pela ausência de fluxos de trabalho de desprovisionamento automatizados, o que deixa a limpeza de registros de participantes granulares para processos manuais sujeitos a erros durante o desempate do usuário ou alterações de papel.
Além disso, a ausência de revisões periódicas de certificação de acesso para o Compartilhamento de dados em conformidade garante que permissões inválidas permaneçam não detectadas, permitindo que as transferências internas mantenham a visibilidade de registros financeiros confidenciais muito depois que sua "necessidade de saber" expirou.
Baixo ou Sem risco quando
Para minimizar o risco de acesso residual no Compartilhamento de dados em conformidade, as empresas devem impor a exclusão obrigatória de registros de participantes e grupos de participantes antes da desativação do usuário, que pode ser estritamente regulada habilitando a configuração "Excluir registros de participantes antes de desativar um usuário" nas Configurações gerais do Salesforce.
Considerações de negócios e integração
Papéis e permissões de usuário.
Remediação recomendada
Implemente uma estrutura de Compartilhamento de dados em conformidade ao remover usuários.
Diretriz de revisão de saúde de segurança
N/A – atualmente não inspecionado pela ferramenta Análise de integridade de segurança.
