Ti trovi qui:
Shield Platform Encryption (Add-On) Encryption Policy - Enable Opt Out Key Derivation and BYOK (Policy di crittografia aggiuntiva Shield Platform Encryption - Abilitazione della derivazione delle chiavi e BYOK)
Utilizzo della funzione Bring Your Own Key (BYOK) come chiave di crittografia dei dati finale per crittografare i dati sensibili.
Nome controllo
Shield Platform Encryption Policy - Chiavi gestite Salesforce - Segreto tenant probabilistico
Configurazione consigliata
In Impostazioni di crittografia, in Impostazioni di crittografia avanzate caricare la propria chiave e disattivare la derivazione della chiave. Configurare e utilizzare la propria chiave gestita nel KMS per crittografare i campi, i file e gli allegati e i dati del bus degli eventi.
Imposta>Impostazioni di crittografia>Impostazioni di crittografia avanzate>Abilita Consenti BYOK per escludere la derivazione della chiave.
Imposta>Gestione chiavi>Tipo di chiave>Porta la tua chiave>Deseleziona Usa derivazione chiave Salesforce>Carica la tua chiave.
Panoramica sul controllo
Utilizzo della funzione BYOK come chiave di crittografia dei dati finale per crittografare i dati sensibili.
Rischio per la sicurezza se non configurato
I dipendenti non autorizzati possono visualizzare informazioni personali sensibili (Personalmente identificabili) quando la crittografia non è abilitata e le chiavi esposte possono causare un controllo della crittografia inefficace. Ruotando le chiavi regolarmente (ad esempio ogni anno), una chiave trapelata concede l'accesso solo a dati specifici. Il resto dei dati rimane al sicuro sotto chiavi diverse.
Scenari di minaccia
Senza Gestione chiavi di crittografia, le chiavi esposte possono essere utilizzate dagli agenti delle minacce per accedere ai dati sensibili crittografati.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
A seconda dei dati sensibili memorizzati nella piattaforma e dei requisiti normativi che l'azienda deve rispettare.
Rischio maggiore quando
La crittografia non è abilitata e le chiavi non vengono ruotate o esposte a molti utenti e applicazioni esterne.
Rischio basso o nullo quando
Questo controllo può essere considerato a basso rischio quando vengono implementati uno o più dei seguenti elementi:
- Utilizza le chiavi generate da Salesforce
- L'accesso alle chiavi è limitato dall'utilizzo della MFA
Considerazioni su Business e integrazione
I clienti devono valutare la giustificazione aziendale per la gestione delle chiavi per crittografare i dati.
Rimedio consigliato
A seconda dei requisiti, abilitare Gestione della crittografia delle chiavi in linea con la policy aziendale e i requisiti di conformità, Chiavi gestite Salesforce o Bring Your Own Keys.
Guida all'esame dello stato della sicurezza
N/D - Attualmente non ispezionato dallo strumento Controllo dello stato della sicurezza.
