Ti trovi qui:
Impostazioni notifiche: Impostazioni di notifica dell'app client esterna
Il controllo facilita la configurazione delle notifiche push mobili per avvisare gli utenti di eventi Salesforce specifici.
Nome controllo
App client esterne: Impostazioni notifiche: Impostazioni di notifica dell'app client esterna: Impostazioni di notifica dell'app client esterna
Configurazione consigliata
Configurare le impostazioni di notifica dell'app client esterna (beta).
Panoramica sul controllo
Il controllo facilita la configurazione delle notifiche push mobili per avvisare gli utenti di eventi Salesforce specifici, ad esempio richieste di approvazione o menzioni, mentre non utilizzano attivamente l'applicazione.
Rischio per la sicurezza se non configurato
L'assenza di una policy definita per le notifiche push aumenta la probabilità di fuga di dati sensibili attraverso payload in formato testo normale visualizzati sulle schermate dei dispositivi bloccati o intercettati tramite canali di consegna non sicuri.
Scenari di minaccia
Una persona non autorizzata potrebbe visualizzare i dettagli sensibili delle transazioni, le informazioni sulle richieste di approvazione o le menzioni degli utenti direttamente dalla schermata di blocco del dispositivo senza richiedere l'autenticazione fisica al portatile.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
La mancata protezione del contenuto delle notifiche può causare una violazione della riservatezza delle informazioni sensibili, potenzialmente con conseguente furto di identità, acquisizione di account o mancato rispetto dei regolamenti sulla privacy dei dati.
Rischio maggiore quando
I livelli di rischio aumentano quando i payload delle notifiche includono informazioni personali (PII) o quando l'applicazione non maschera le anteprime dei messaggi mentre il dispositivo rimane bloccato.
Basso rischio quando
Il rischio è ridotto se l'applicazione invia solo ping generici che richiedono all'utente di autenticarsi all'interno dell'app per visualizzare il contenuto sensibile effettivo o se al payload viene applicata la crittografia end-to-end.
Considerazioni su Business e integrazione
La definizione di queste policy richiede il coordinamento tra i server di notifica di backend e le API del sistema operativo mobile, il che può influire sulle metriche di coinvolgimento degli utenti e sulla tempestività degli avvisi critici.
Rimedio consigliato
Implementare una policy che limita i dati sensibili nei payload push e configura l'applicazione in modo che utilizzi segnaposto generici per le notifiche visualizzate nella schermata di blocco a livello di sistema.
Guida all'esame dello stato della sicurezza
Rispettare i principi di messaggistica protetta in modo che le notifiche push servano solo come meccanismo di segnalazione anziché come trasporto principale di dati sensibili o segreti crittografici.
