Vous êtes ici :
Paramètres de notification : Paramètres de notification de l'application cliente externe
Le contrôle facilite la configuration des notifications push mobiles pour alerter les utilisateurs d'événements Salesforce spécifiques.
Nom du contrôle
Applications clientes externes : Paramètres de notification : Paramètres de notification de l'application cliente externe : Paramètres de notification de l'application cliente externe
Configuration recommandée
Configurez les paramètres de notification de l'application cliente externe (bêta).
Vue d'ensemble du contrôle
Le contrôle facilite la configuration des notifications push mobiles pour alerter les utilisateurs d'événements Salesforce spécifiques, tels que des demandes d'approbation ou des mentions, lorsqu'ils n'utilisent pas activement l'application.
Risque de sécurité s'il n'est pas configuré
L'absence de stratégie de notification push définie augmente la probabilité de fuite de données confidentielles via des charges de travail en texte clair affichées sur les écrans des appareils verrouillés ou interceptées via des canaux de livraison non sécurisés.
Scénarios de menace
Une personne non autorisée peut afficher les détails confidentiels des transactions, les informations de demande d'approbation ou les mentions d'utilisateur directement depuis l'écran de verrouillage de l'appareil sans demander l'authentification physique au combiné.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Le non-sécurisation du contenu des notifications peut entraîner une violation de la confidentialité des informations confidentielles, pouvant entraîner un vol d'identité, la prise de contrôle de comptes ou le non-respect des réglementations relatives à la confidentialité des données.
Risque plus élevé quand
Les niveaux de risque augmentent lorsque les charges de travail de notification contiennent des informations d'identification personnelle (PII) ou lorsque l'application ne masque pas les aperçus de messages lorsque l'appareil reste verrouillé.
Risque faible quand
Le risque est réduit si l'application envoie uniquement des pings génériques qui demandent à l'utilisateur de s'authentifier dans l'application pour afficher le contenu confidentiel réel ou si le cryptage de bout en bout est appliqué à la charge utile.
Considérations relatives à l'entreprise et à l'intégration
L'établissement de ces stratégies nécessite une coordination entre les serveurs de notification back-end et les API de système d'exploitation mobile, ce qui peut affecter les métriques d'engagement des utilisateurs et la rapidité des alertes critiques.
Remédiation recommandée
Implémentez une stratégie qui limite les données confidentielles dans les charges utiles push et configure l'application pour utiliser des espaces réservés génériques pour les notifications affichées sur l'écran de verrouillage au niveau du système.
Guide d'examen sanitaire de sécurité
Respectez les principes de sécurité de la messagerie en faisant en sorte que les notifications push servent uniquement de mécanisme de signalisation plutôt que de transport principal de données confidentielles ou de secrets cryptographiques.
