Sicurezza dei dati in Salesforce: una analisi tecnica

La sicurezza dei dati è una preoccupazione fondamentale per qualsiasi organizzazione che utilizzi servizi cloud.

In questo articolo, esamineremo in dettaglio come Salesforce implementa e gestisce la sicurezza dei dati aziendali, analizzando le diverse componenti dell’architettura di sicurezza e le best practice per la protezione delle informazioni sensibili.

Salesforce implementa una architettura di sicurezza multi-livello.

Questa espressione vuol dire che esistono vari livelli di protezione, ognuno con un ruolo specifico nella garantire la sicurezza.

A livello di organizzazione, Salesforce garantisce la sicurezza generale della piattaforma attraverso meccanismi come le restrizioni sugli indirizzi IP (cioè è possibile limitare alcune operazioni solo a chi si connette da determinati punti della rete) , l’autenticazione a più fattori (MFA – ossia una seconda verifica oltre alla password, magari con il cellulare) e la gestione delle sessioni utente, limitando l’accesso solo a chi è autorizzato.

Per quanto riguarda la sicurezza degli “oggetti”, il sistema stabilisce quali utenti possono visualizzare, modificare, creare o eliminare determinati oggetti all’interno della piattaforma.

Ricorderete forse che in Salesforce, un oggetto è una struttura dati che rappresenta un’entità specifica all’interno del sistema, simile a una tabella in un database relazionale. Ogni oggetto contiene campi, che corrispondono alle colonne di una tabella, e record, che rappresentano le singole voci memorizzate.

Questo livello di controllo è gestito principalmente attraverso i profili utente e i permessi associati agli oggetti. In pratica, ogni utente può lavorare solo con alcuni tipi di oggetti, quelli necessari a svolgere il suo lavoro.

Oltre alla gestione degli oggetti, Salesforce offre un controllo più granulare sulla sicurezza dei singoli record (i dati veri e propri). Questo significa che gli utenti possono avere accesso solo a determinati record in base al proprio ruolo, alla gerarchia aziendale o a regole di condivisione predefinite. In questo modo, ad esempio, un venditore può accedere solo ai propri clienti, mentre un manager può visualizzare tutti i record del suo team.

Un ulteriore livello di sicurezza riguarda i singoli campi all’interno di un oggetto. Con questa configurazione, si può impedire a un utente di visualizzare o modificare specifiche informazioni, anche se ha accesso al record. Ad esempio, un agente di vendita potrebbe vedere i dettagli di un cliente, ma non i dati finanziari riservati.

Infine, Salesforce permette di controllare l’accesso a specifiche applicazioni e componenti dell’interfaccia utente, gestendo chi può interagire con determinate pagine o funzionalità attraverso profili, set di permessi e configurazioni delle interfacce Lightning.

Un esempio concreto di questa architettura si può trovare in un’azienda che utilizza Salesforce per la gestione delle vendite e del servizio clienti. Chi lavora nell’ufficio vendite avrà accesso solo ai propri clienti, mentre un direttore del dipartimento potrà visualizzare i record di tutto il team. Un amministratore, pur avendo un controllo completo, potrebbe non essere autorizzato a modificare dati sensibili come quelli finanziari, grazie a restrizioni applicate ai campi.

Questa strategia multilivello assicura che le informazioni siano accessibili solo alle persone autorizzate, proteggendo i dati sensibili e garantendo la conformità alle politiche aziendali di sicurezza.

Esiste poi una sicurezza dell’infrastruttura

L’infrastruttura fisica di Salesforce (in pratica, i server con i dati) è progettata secondo gli standard più elevati di sicurezza:

I data center sono certificati ISO 27001 (uno standard globale per la gestione della sicurezza delle informazioni applicabile a qualsiasi organizzazione) e SOC 2 Type II (un audit specifico per le aziende che forniscono servizi cloud, che dimostra la loro capacità di proteggere i dati dei clienti nel tempo)

Ci sono sistemi ridondanti ad alta disponibilità e backup distribuiti geograficamente. In pratica, ogni componente critico dell’infrastruttura ha almeno una controparte identica pronta a subentrare in caso di guasto.

Questo include server applicativi, database, sistemi di storage e componenti di rete. La ridondanza si estende anche a livello geografico, con data center “mirror” (cioè identici) che lavorano in modalità active-active (ossia sono attivi contaporaneamente sia quello “originale” che il “clone”).

Questo permette il failover automatico in caso di disastri naturali o altri eventi critici. Failover vuol dire che, in caso di guasto di un componente critico, si attiva automaticamente quello di riserve.

 Questa architettura permette di mantenere un uptime del 99.99%, con manutenzioni programmate che non impattano la disponibilità del servizio (perché’ si lavora su uno dei vari elementi ridondanti).

Salesforce offre anche un monitoraggio 24/7, con una sorveglianza continua e sistemi di rilevamento delle intrusioni.

Interessante anche notare che Salesforce offre una crittografia a livello hardware. Il processo di crittografia avviene automaticamente sui dati archiviati in campi specifici (quelli più critici, come numeri di previdenza sociale, informazioni finanziarie o qualsiasi altro dato sensibile configurato per essere cifrato).

Tuttavia, a differenza della crittografia tradizionale basata su soluzioni software, quella hardware riduce il rischio di compromissione delle chiavi e migliora le prestazioni crittografiche, poiché le operazioni di cifratura e decifratura vengono eseguite direttamente dall’hardware. Questi strumenti lavorano come un ambiente isolato, in cui le chiavi crittografiche vengono generate, archiviate e utilizzate senza mai essere esposte direttamente al sistema operativo o alle applicazioni che le richiedono.

Esiste anche una protezione della rete, che include:

Un firewall multi-livello. Questo tipo di firewall analizza sia le caratteristiche di base dei pacchetti in transito, sia il contenuto delle comunicazioni per individuare minacce più avanzate. Ad esempio, può bloccare tentativi di accesso non autorizzato a determinati servizi, filtrare pacchetti sospetti sulla base di firme note e persino analizzare il comportamento delle connessioni per rilevare attività anomale.

Sistemi IDS/IPS (Intrusion Detection System e Intrusion Prevention System) per monitorare il traffico di rete e individuare tentativi di intrusione o comportamenti sospetti in tempo reale. Un IDS si limita a rilevare minacce e avvisare gli amministratori, mentre un IPS va oltre e blocca automaticamente il traffico dannoso prima che possa causare danni. Questi sistemi utilizzano firme predefinite, analisi comportamentale e intelligenza artificiale per identificare attacchi informatici, come exploit zero-day o tentativi di accesso non autorizzati.

Protocollo SSL/TLS garantisce la crittografia delle comunicazioni tra client e server, proteggendo dati sensibili come credenziali di accesso e informazioni di pagamento. L’ultima versione, TLS 1.3, offre maggiore sicurezza ed efficienza rispetto ai protocolli precedenti, eliminando algoritmi deboli e riducendo il tempo necessario per stabilire una connessione sicura. I certificati digitali utilizzati permettono di verificare l’autenticità dei server e prevenire attacchi come il “man-in-the-middle”, assicurando che i dati trasmessi non possano essere intercettati o alterati da terze parti.

WAF (Web Application Firewall), che protegge le applicazioni web da attacchi comuni come SQL injection, cross-site scripting (XSS) e attacchi DDoS. Diversamente da un firewall tradizionale, che si occupa principalmente del traffico di rete generale, un WAF analizza le richieste HTTP e HTTPS dirette a un sito web per identificare comportamenti malevoli. Può filtrare, bloccare o riscrivere richieste per impedire l’esecuzione di codice dannoso o l’accesso non autorizzato a dati sensibili, offrendo così una protezione avanzata per le piattaforme online.

Infine, se proprio qualcosa non dovesse andare per il verso giusto, ci sono comunque backup automatici, con possibilità di recupero dati fino a 90 giorni.

Il Disaster Recovery (il piano attuato in caso di eventi catastrofici) garantisce infine un RPO (Recovery Point Objective) di 2 ore e un RTO (Recovery Time Objective) di 4 ore.

Un RPO di 2 ore indica che, in caso di disastro, l’azienda perderà al massimo due ore di dati. Questo significa che i backup devono essere eseguiti almeno ogni due ore, affinché in caso di ripristino non si perda un intervallo temporale superiore.

Un RTO di 4 ore, invece, significa che il tempo massimo per ripristinare i sistemi e tornare operativi dopo un disastro è di quattro ore. Se un evento critico si verifica, il processo di ripristino sarà completato entro questo intervallo per evitare impatti significativi sulle operazioni aziendali.

Ti interessa Salesforce.com? Vuoi migliorarti professionalmente e aprirti nuove possibilità lavorative?

Scopri il nostro corso online di Salesforce Administrator !

Formazione a distanza specializzata | Garanzia 100% soddisfatti o rimborsati | Oltre 1000 studenti