靜態加密 - Shield Platform Encryption (附加元件)

Salesforce Shield Platform Encryption 是 Salesforce 的附加元件安全性功能,可加密靜態敏感資料,而不會破壞您小組需要的功能,例如搜尋與工作流程。

Shield Platform Encryption 包含下列可加密靜態資料的功能:

• AES 256 位元加密:將業界標準的「進階加密標準」與 256 位元金鑰搭配使用。
• 彈性金鑰管理:
  • Salesforce 產生:讓 Salesforce 處理關鍵生命週期。
  • 自帶金鑰 (BYOK):您會在 Salesforce 外部產生和管理自己的「租戶機密」。
  • 僅限快取金鑰:您的金鑰會儲存在您自己的「外部金鑰管理系統」(KMS) 中,且在需要時只會短暫地在 Salesforce 記憶體中「快取」,永不觸碰磁碟。
• 兩個加密方式:
  • 可能性結構
  • 決定性結構
• 廣泛涵蓋範圍:不同於「Classic」加密 (僅處理少數自訂欄位),Shield 可以加密「標準欄位」(例如名稱或電話)、自訂欄位、檔案、附件,甚至是搜尋索引。

設定後,Shield Platform Encryption 會解決靜態資料曝光的風險,從資料庫和基礎結構層級的未經授權存取而保護敏感資訊,而不只是應用程式層級。透過將資料寫入至磁碟時加密,可減輕後端使用者或服務提供者檢視原始資料的「內部威脅」,同時滿足嚴格的法規合規要求 (例如 HIPAA、GDPR 和 FINRA),要求資料保管證明。此外,其透過允許公司維持對其加密金鑰的獨有控制權來解決資料主權風險,確保即使在多租戶雲端環境中,其最關鍵的 PII 仍無法對沒有特定租戶機密衍生金鑰的任何人進行讀取。

• Shield Platform Encryption (附加) 加密原則 - Salesforce 受管理金鑰
  啟用租戶機密並定期輪替。
• Shield Platform Encryption (附加) 加密原則 - 資料庫加密
  啟用租戶機密並定期輪替。
• Shield Platform Encryption (附加) Encryption 原則 - 針對支援的功能啟用加密
  在支援的功能中啟用加密。
• Shield Platform Encryption (附加) 加密原則 - 管理 Data 360 金鑰
  啟用 Data 360 加密並管理金鑰。
• Shield Platform Encryption (附加) Encryption 原則 - 限制對加密原則設定的存取權
  定期檢閱加密相關權限。
• Shield Platform Encryption (附加) Encryption 原則 - 啟用選擇退出金鑰衍生和 BYOK
  使用「自帶金鑰」(BYOK) 功能作為最終資料加密金鑰來加密敏感資料。