- Thời gian đọc: 05 phút
- Bài viết dành cho: Các cấp lãnh đạo và quản lý
Trong nhiều năm, những lo ngại về bảo mật luôn là lý do hàng đầu khiến các doanh nghiệp còn chần chừ trong việc sử dụng các dịch vụ đám mây. Tuy nhiên, một cuộc khảo sát gần đây với 200 chuyên gia bảo mật CNTT đã chỉ ra rằng: bất chấp những lo ngại về bảo mật, chỉ 35% người tham gia khảo sát cho rằng các hệ thống dựa trên đám mây (cloud-based) sẽ kém an toàn hơn so với các hệ thống tại chỗ (on-premise) của họ.
Trong khi đó, 64,9% còn lại tin rằng hệ thống cloud sẽ an toàn hơn hoặc ít nhất là bằng hệ thống on-premise. Phần lớn sự tin tưởng này có được là nhờ những nỗ lực của những nền tảng dịch vụ dựa trên đám mây hàng đầu như Salesforce, giúp bảo mật toàn diện dữ liệu của khách hàng và cung cấp các tính năng mạnh mẽ theo yêu cầu của từng doanh nghiệp.
Có 17 phương pháp mà các chuyên gia bảo mật khuyên dùng để tận dụng tối đa tính năng bảo mật của Salesforce, hãy cùng Gimasys tìm hiểu những phương pháp này. Nhưng trước tiên, chúng ta hãy cùng tìm hiểu khả năng của Salesforce CRM có thể cung cấp cho người dùng những lợi ích tuyệt vời gì về bảo mật và tuân thủ.
Tổng quan về bảo mật Salesforce
1. Salesforce Trust
Trang web Trust dành cho khách hàng của Salesforce cung cấp những thông tin tổng quan về các vấn đề bảo mật sẽ ảnh hưởng đến khách hàng. Cụ thể, đây là nơi mà khách hàng có thể tìm thấy thông tin về những cuộc tấn công lừa đảo hay phần mềm độc hại, cũng như các bước khắc phục mà Salesforce đưa ra để khách hàng có thể thực hiện theo, nhằm giảm thiểu rủi ro bảo mật.
Cho đến hôm nay, phần mềm độc hại gần đây nhất có ảnh hưởng đến người dùng Salesforce là Vawtrak. Vawtrak đánh cắp thông tin đăng nhập của người dùng Salesforce, sau đó sẽ cố gắng để thực hiện các đăng nhập trái phép nhằm mục đích truy cập và đánh cắp dữ liệu được lưu trữ trong hệ thống.
2. Salesforce và sự tuân thủ
Salesforce sử dụng mô hình tuân thủ về quyền riêng tư và bảo mật dữ liệu. Đối với dữ liệu được quản lý như Thông tin sức khỏe được bảo vệ (PHI) và Thông tin nhận dạng cá nhân (PII), Salesforce đóng vai trò là bộ xử lý dữ liệu. Điều đó có nghĩa là Salesforce chịu trách nhiệm cung cấp đầy đủ các biện pháp bảo mật trong khi khách hàng của Salesforce sẽ phải chịu trách nhiệm về tính toàn vẹn, chất lượng và việc sử dụng dữ liệu cũng như các loại dữ liệu đang được lưu trữ.
Salesforce đã đáp ứng các yêu cầu của nhiều chứng nhận tuân thủ nghiêm ngặt bao gồm:
- ISO 27001/27018
- SOC 2
- SOC 3
- PCI DSS
- Safe Harbor
- Salesforce’s Government Cloud, bao gồm Force.com, Sales Cloud, Service Cloud, Analytics Cloud và Chatter.
Nói chung, hợp đồng sẽ bao gồm các điều khoản cấm Salesforce truy cập vào tài khoản của khách hàng hoặc giải phóng dữ liệu khách hàng được lưu trữ trong nền tảng của họ. Có một số ngoại lệ nhất định đối với điều khoản này, bao gồm cả khi Salesforce thực hiện cập nhật kỹ thuật để khắc phục sự cố/ ngừng hoạt động dịch vụ, hoặc khi bị buộc phải chia sẻ dữ liệu với cơ quan thực thi pháp luật.
3. Nền tảng nhiều người thuê (multi-tenant)
Salesforce là một nền tảng nhiều người thuê (multi-tenant). Điều đó có nghĩa là Salesforce sẽ sử dụng một nền tảng điện toán đám mây duy nhất để cung cấp dịch vụ cho nhiều người. Điều này có thể gây ra lo ngại về bảo mật khi một khách hàng vô tình truy cập vào dữ liệu được lưu trữ trong phiên bản Salesforce của khách hàng khác. Salesforce giải quyết vấn đề này bằng cách cung cấp cho mỗi doanh nghiệp một số nhận dạng duy nhất, sau đó được liên kết với mỗi người dùng trong cùng công ty.
4. Salesforce Health Check
Một trong những công cụ hữu ích nhất dành cho người dùng Salesforce là Salesforce Health Check. Tính năng này cung cấp thêm các điểm bảo mật so với cài đặt cơ bản do Salesforce đề xuất, bao gồm:
- Độ dài mật khẩu tối thiểu (Salesforce đề xuất 8 ký tự)
- Số lần đăng nhập không hợp lệ tối đa (Salesforce khuyến nghị 3 lần)
- Buộc đăng xuất khi hết thời hạn phiên (Salesforce khuyên doanh nghiệp nên bật tính năng này)
- Buộc đăng nhập lại sau khi quản trị viên đăng nhập với tư cách người dùng khác (Salesforce khuyên doanh nghiệp nên bật tính năng này)
Các tính năng bảo mật tích hợp của Salesforce
Quản trị viên của Salesforce có một số cách để bảo vệ dữ liệu khỏi các mối đe dọa bên trong và bên ngoài hệ thống, bao gồm kiểm tra và kiểm soát truy cập.
Salesforce theo dõi tất cả các lần đăng nhập trong sáu tháng gần nhất, bao gồm cả vị trí của lần đăng nhập đó và địa chỉ IP. Quản trị viên cũng có thể bật chế độ theo dõi lịch sử đăng nhập để hiển thị đầy đủ các thay đổi và người dùng đã thực hiện thay đổi đó.
Salesforce có một hệ thống mạnh mẽ giúp kiểm soát quyền truy cập và xác thực danh tính người dùng bao gồm:
- Xác thực hai yếu tố
- Tùy chỉnh luồng đăng nhập
- Phân quyền truy cập theo vai trò/ vị trí của người dùng
- Mã hóa hệ thống
Tham khảo:
Tìm hiểu về Salesforce Manufacturing Cloud – Giải pháp CRM hàng đầu cho ngành sản xuất
Ứng dụng Salesforce CRM trong ngành bán lẻ
Doanh nghiệp bán lẻ nâng cao hiệu quả hoạt động với Salesforce CRM
17 phương pháp giúp tận dụng tối đa tính năng bảo mật của Salesforce
Salesforce mang tới cho doanh nghiệp rất nhiều tính năng bảo mật khác nhau. Tuy nhiên, việc có tận dụng được tối đa các tính năng này hay không lại phụ thuộc vào từng doanh nghiệp. Dưới đây là 17 phương pháp hay nhất mà các chuyên gia bảo mật khuyên dùng:
- Bật hạn chế IP đối với thông tin đăng nhập của người dùng để giảm thiểu rủi ro bị truy cập trái phép trong trường hợp tài khoản bị xâm phạm.
- Bật xác thực đa yếu tố cho tất cả người dùng để giảm nguy cơ truy cập trái phép.
- Đặt các quy tắc chia sẻ trong toàn tổ chức càng hạn chế càng tốt trong khi vẫn cho phép các chức năng kinh doanh bình thường .
- Yêu cầu mật khẩu an toàn kết hợp chữ hoa, chữ thường, số, ký hiệu và yêu cầu có tối thiểu 8 ký tự.
- Đặt số lần đăng nhập không chính xác tối đa từ 3 đến 5 lần.
- Bật câu trả lời bí mật bị che khuất để đặt lại mật khẩu.
- Buộc đăng nhập lại khi hết thời hạn phiên đăng nhập.
- Giữ khung thời gian chờ của phiên đăng nhập càng ngắn càng tốt mà không làm ảnh hưởng đến người dùng.
- Tắt bộ nhớ đệm và tự động hoàn thành trên trang đăng nhập.
- Hết hạn mật khẩu người dùng trong vòng 90 ngày kể từ ngày tạo.
- Ghi nhớ lịch sử mật khẩu để mật khẩu tương tự không được sử dụng cho đến khi ít nhất 5 mật khẩu mới được tạo thêm.
- Mật khẩu không được chứa từ ‘mật khẩu’.
- Nếu sử dụng mã hóa nền tảng, hãy thường xuyên tạo mã khóa mới.
- Khi hủy khóa mã hóa, hãy đảm bảo rằng tất cả dữ liệu được mã hóa trước đó đều được mở khóa trước.
- Mã hóa lại dữ liệu đã được mã hóa bằng khóa mới nhất nếu chúng đang sử dụng khóa cũ, ngay cả khi khóa cũ đã được lưu trữ và không gặp vấn đề.
- Bật bảo vệ clickjack cho trang Visualforce của khách hàng
- Đảm bảo tất cả các thiết bị truy cập Salesforce đều được cài đặt phiên bản trình duyệt mới nhất, phần mềm chống phần mềm độc hại và hệ thống vận hành.
Bạn đang băn khoăn về một hệ thống CRM trên nền tảng điện toán đám mây liệu có an toàn và mang lại nhiều giá trị cho doanh nghiệp? Hãy LIÊN HỆ với Gimasys để được tư vấn từ những chuyên gia CRM.