Вы находитесь здесь:
Совместимый общий доступ к данным
Этот элемент управления применяет немедленное удаление записей участников пользователя в рамках совместимого общего доступа к данным (CDS) при каждой деактивации пользователя или переходе к роли, которая больше не требует доступа.
Управление именем
Совместимый общий доступ к данным
Рекомендованная конфигурация
Удаление записей участников до деактивации пользователя - деактивация пользователя Salesforce с записями участников общего доступа к соответствующим данным.
Общие сведения о контроле
Этот элемент управления применяет немедленное удаление записей участников пользователя в рамках совместимого общего доступа к данным (CDS) при каждой деактивации пользователя или переходе к роли, которая больше не требует доступа. Систематическая очистка этих назначений детального общего доступа обеспечивает полный отзыв доступа к конфиденциальной записи, предотвращая несанкционированный доступ к данным и сохраняя строгое соответствие регламенту.
Риск безопасности, если он не настроен
Отсутствие систематического отказа в доступе посредством совместимого общего доступа к данным создает значительный риск чрезмерного доступа к данным, когда пользователи, которые были деактивированы или переключены на новые роли, сохраняют несанкционированный доступ к конфиденциальным финансовым записям. Это сохранение «старых» полномочий увеличивает вероятность внутренних взломов данных и может привести к серьезному несоответствию нормативных требований к конфиденциальности данных, например, GDPR или GLBA.
Сценарии угроз
Сотрудник переходит на новую роль или отдел, но сохраняет «черствые» записи участников в соответствующем общем доступе к данным, поскольку администратор включил параметр сохранения записей после их деактивации, а не очистки. Исполнитель угрозы (или злонамеренный инсайдер), который потом компрометирует эту организацию, использует эти затянувшиеся полномочия для негласного извлечения конфиденциальных финансовых сделок и личных данных клиентов, к которым у пользователя больше нет доступа.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Увеличение риска в зависимости от объема полномочий доступа пользователя.
Повышенный риск при
Риск значительно возрастает из-за отсутствия автоматических бизнес-правил отмены инициализации, в результате чего очистка детализированных записей участников переходит к ручным процессам, подверженным ошибкам, во время автономной работы пользователя или изменения роли.
Кроме того, отсутствие периодических проверок сертификации доступа для общего доступа к соответствующим данным гарантирует, что недействительные полномочия остаются незамеченными, что позволяет внутренним перемещениям сохранять доступ к конфиденциальным финансовым записям через много лет после истечения срока их действия.
Низкий или нулевой риск при
Чтобы минимизировать риск остаточного доступа в соответствующем общем доступе к данным, компании должны внедрить обязательное удаление записей участников и групп участников до деактивации пользователя, что можно строго регулировать, включив параметр «Удаление записей участников до деактивации пользователя» в общих параметрах Salesforce.
Рекомендации по бизнесу и интеграции
Роли и полномочия пользователя.
Рекомендованное исправление
Внедрите инфраструктуру общего доступа к соответствующим данным при удалении пользователей.
Руководство по проверке состояния безопасности
Нет/нет - в настоящее время не проверяется средством проверки состояния безопасности.
