Superación de la revisión de seguridad
Salesforce.com revisa todas las aplicaciones nuevas para asegurarse de cumplen con las normas de seguridad. Las aplicaciones deben cumplir o sobrepasar estos
En este capítulo...
• Acerca de la revisión de seguridad requisitos para obtener la certificación. Las aplicaciones que ya están certificadas también se someten a una revisión anual.
• Pasos en la revisión de seguridad • El cuestionario de la revisión de
seguridad La seguridad de la información del cliente es fundamental para nuestro éxito continuado mutuo. Es necesario hacer las cosas bien desde el principio para que • Creación de una organización de
publicación de AppExchange nuestros clientes puedan tener plena confianza en Force.com como la plataforma que desean para sus aplicaciones corporativas principales.
• Cambio de la organización de
publicación de AppExchange Este capítulo contiene directrices y tareas específicas que le ayudarán a asegurarse de que sus aplicaciones superan el proceso de revisión de seguridad de AppExchange.
• Actualización de la versión del paquete en la lista de AppExchange • Envío de una aplicación móvil al
proceso de revisión de seguridad • Envío de un paquete de extensión
para someterlo a la revisión de seguridad
• Recursos para la revisión de seguridad • Preguntas más frecuentes sobre la
Acerca de la revisión de seguridad
La revisión de seguridad es un proceso diseñado para evaluar la seguridad adoptada en las organizaciones de los socios. Además, la finalidad de la revisión es garantizar que todas las aplicaciones publicadas en AppExchange cumplen las mejores prácticas de la industria en relación con los estándares de seguridad. Para conocer la información más reciente sobre la revisión de seguridad, visite http://wiki.developerforce.com/page/Security_Review.
La revisión de seguridad de AppExchange:
• Da garantías a los clientes para que confíen en que las aplicaciones de terceros funcionan correctamente con sus aplicaciones de Salesforce.
• Ayuda a los socios a ofrecer aplicaciones que abarquen varios sistemas y que cumplan con las necesidades de los usuarios de AppExchange.
• Permite que salesforce.com facilite las relaciones abiertas entre los clientes, los desarrolladores de terceros y los proveedores de aplicaciones, ya que proporciona un ecosistema seguro.
El ámbito de la revisión de seguridad depende del tipo de aplicación. En el proceso se realizarán las pruebas que se indican a continuación para cada tipo de componente incluido en su aplicación.
Ámbito de revisión Descripción
Tipo de aplicación
Aplicaciones en las que los datos principales, la lógica y la interfaz de usuario se han
Force.com • Análisis de código automático
• Revisión de código manual y pruebas de caja negra
compilado por completo en la plataforma
Force.com. La aplicación puede invocar • Componentes del lado de cliente (Flash y JavaScript)
servicios Web de terceros autorizados, como Amazon, Google, Facebook, etc.
• Integraciones y servicios Web Aplicaciones que no se ejecutan dentro del
entorno de Salesforce. Estas aplicaciones
Aplicaciones cliente y móviles • Pruebas prácticas manuales
• Integraciones y servicios Web
toman la plataforma Force.com como el • Revisión de la arquitectura y pruebas del servidor Web
origen de los datos y utilizan el modelo de desarrollo de cualquier herramienta y plataforma para el que estén diseñados. Los ejemplos clásicos de este tipo de aplicación son las aplicaciones para iPhone y los conectores de Microsoft Outlook.
Las aplicaciones que se ejecutan en un entorno alojado de terceros y se integran con
Aplicaciones Web • Pruebas automáticas y pruebas manuales
de caja negra
Salesforce, aprovechando la API de servicios • Componentes del lado de cliente (Flash y JavaScript)
Web de Force.com. Los datos de aplicaciones, la lógica y la interfaz de usuario se pueden
almacenar fuera de Force.com. • Integraciones y servicios Web
• Revisión de la arquitectura y pruebas del servidor Web
Pasos en la revisión de seguridad
Los pasos del proceso de revisión de seguridad son los siguientes:
Acerca de la revisión de seguridad Superación de la revisión de seguridad
1. Prepárese para la revisión de seguridad.
• Lea las directrices de seguridad descritas en este capítulo.
• Revise los recursos gratuitos indicados en nuestro sitio de desarrollo en la Nube seguro.
• Vea nuestro video de seminario Web sobre revisión de seguridad para conocer sugerencias sobre preparación. • Revise la lista de comprobación de requisitos.
• Revise la lista de comprobación del proyecto OWASP Top 10.
• Ejecute un análisis de código fuente de autoservicio gratuito con respecto al código desarrollado en la plataforma Force.com:
• Realice un examen de aplicación Web gratuito con respecto a su aplicación Web externa integrada con Force.com. • Realice pruebas manuales en su aplicación para asegurarse de que cumple con los requisitos de revisión fuera del alcance
de las herramientas. Para obtener más información, consulte: Guía de pruebas de OWASP • Solucione los problemas detectados en las pruebas.
En general, sea todo lo exhaustivo que pueda en las pruebas, ya que si la preparación no es la adecuada, la aprobación podría retrasarse. Por ejemplo, durante la fase de desarrollo de la aplicación, debería ejecutar el analizador de código varias veces para no tener que dedicar demasiado tiempo a solucionar problemas al final. Si tiene otras preguntas, puede hacer contacto con el equipo de seguridad en horario de oficina a través del vínculo: http://security.force.com/security/contact/ohours.
2. Inicie la revisión de seguridad.
Nota: Antes de comenzar el proceso, la aplicación debe estar inscrita en el programa de socios incrustado de ISVforce o Force.com. Si no es así, haga contacto con el AE del proveedor de software independiente o registre un caso en el portal de socios.
a. Inicie sesión en AppExchange con las credenciales de su APO.
b. Haga clic en su nombre que aparece en la esquina superior derecha y, en el menú desplegable, seleccione Consola de publicación (Publishing Console).
c. Haga clic en la ficha Oferta (Offering).
d. Seleccione una de estas dos opciones, según sea adecuado para su aplicación.
• Su aplicación es un paquete (entero o una parte) (Your application is a package [entirely or in part])
• Su aplicación no es un paquete y solo utiliza la API de Sales force (Your application is not a package and only uses the Salesforce API)
e. Haga clic en Guardar.
f. Haga clic en Iniciar revisión (Start Review) para su aplicación. En el caso de aplicaciones existentes que deben someterse
a una revisión de seguridad posterior, registre un caso en el portal de socios.
g. Para cada aplicación, deberá completar una lista de comprobación de seguridad y un cuestionario. Proporcione al equipo de revisión una cuenta de prueba totalmente configurada y otorgue acceso de inicie de sesión a su organización de publicación.
h. Deberá proporcionar un entorno de prueba y documentación para su oferta. Además, deberá pagar la tasa anual de la lista.
El equipo de revisión realizará pruebas para identificar las posibles vulnerabilidades del código y, si fuera necesario, se pondrá en contacto con usted para hablar sobre el seguimiento. Puede consultar el estado de la revisión de seguridad en el portal de socios. El equipo de revisión realizará pruebas de seguridad tanto en la aplicación como en la red y la proporcionará los resultados que obtenga.
3. Revise los resultados. Hay tres resultados posibles.
• Aprobado: tendrá permiso para incluir de inmediato su aplicación en la lista de AppExchange.Puede que se le proporcione
un token de API para acceder a las cuentas con Professional Edition. Para obtener más información sobre el programa de socios, incluidos los requisitos de aptitud, visite el sitio Web www.salesforce.com/partners.
Pasos en la revisión de seguridad Superación de la revisión de seguridad
• Aprobado provisionalmente: se han identificado problemas de riesgo bajo o medio que se pueden solucionar con
bastante facilidad y no suponen un riesgo significativo para salesforce.com ni para sus clientes. Tendrá permiso para crear una lista público de su aplicación en AppExchange. Sin embargo, si no soluciona los problemas indicados en el plazo especificado, se retirará la aplicación de AppExchange. Puede que se le proporcione un token de API para acceder a las cuentas con Professional Edition.
• No aprobado: se han identificado problemas de riesgo elevado durante la fase de pruebas. No podrá incluir su aplicación
en la lista en AppExchange hasta que se solucionen todos los problemas y el equipo de seguridad de AppExchange lo haya comprobado. Si la aplicación ya se encuentra en la lista en AppExchange, tendrá 60 días para solucionar los problemas. No recibirá un token de API para acceder a las cuentas con Professional Edition.
Pasos clave después de superar la revisión de seguridad
Una vez que ha superado la revisión de seguridad, se le considera apto para lo siguiente: • Incluir su aplicación en una lista pública en AppExchange
• Solicitar un token de API
Nota: Salesforce.com se reserva el derecho de llevar a cabo pruebas aleatorias en las instalaciones o fuera de ellas en
las aplicaciones publicadas. Si, durante estas pruebas, observamos que la aplicación ya no cumple algunos de los requisitos de mejores prácticas, se lo notificaremos y le daremos un plazo para que solucione el problema. En casos de gravedad extrema, podríamos eliminar la lista de AppExchange del acceso público.
El cuestionario de la revisión de seguridad
Al iniciar la revisión de seguridad se ejecuta un cuestionario online en el que se le pide toda la información necesaria para probar la aplicación. Reserve el tiempo suficiente para responder a todas las preguntas, ya que se trata de un cuestionario detallado y exhaustivo. Durante el proceso, puede guardar las respuestas cuando quiera y retomar el cuestionario en otro momento para completarlo.
Nota: Responda de la forma más detallada posible. Es mejor pecar por exceso de información que por defecto de
esta. Además, cuanta más información tengamos, más rápidas irán las pruebas de la aplicación y podremos aprobarla antes.
El cuestionario consiste en una serie de pantallas que le guiarán por la información que necesitamos y que variarán en función de los componentes que haya en su aplicación (es decir, Force.com, basada en Web, híbrida o móviles).
1. Preparación
Descripción general de los pasos del cuestionario y de los indicadores de información útil.
2. Información general
Su nombre y datos de contacto.
3. Políticas y certificaciones
Detalles de la política de seguridad de la información de la compañía y de las certificaciones de esta. Si lo desea, puede cargar los documentos acreditativos.
4. Componentes
Los componentes y las tecnologías que se usan en la aplicación. Puede seleccionar los elementos relevantes en una lista de comprobación según el tipo de aplicación. A continuación, le indicamos algunos ejemplos:
• Force.com: Apex, Visualforce, API y SSO
• Aplicación Web: marcos de trabajo/lenguajes (Java, .NET, Rails, etc.), SSO y Heroku
El cuestionario de la revisión de seguridad Superación de la revisión de seguridad
• Aplicación cliente: aplicación de escritorio, plugin de navegador e implementación de kit de herramientas CTI de Salesforce
• Aplicación móvil: iOS, Android, Blackberry y Windows
5. Entornos de prueba
Detalles de acceso como credenciales de inicio de sesión, vínculos de instalación y datos de ejemplo para entornos de prueba activos y configurados por completo. Dependen del tipo de aplicación.
• Force.com: nombres de usuario y contraseñas para todos los niveles de usuario (administrador, usuario final, etc.) en una organización de prueba
• Aplicación Web: URL, nombres de usuario y contraseñas para todos los niveles de usuario, claves de API, SSO y configuraciones de OAuth/SAML
• Aplicación cliente: URL de instalación, datos e instrucciones de configuración, así como archivos de licencia necesarios, datos de ejemplo asociados, guías de configuración y credenciales
• Aplicación móvil: vínculo de instalación aparte para cada tipo de aplicación móvil
6. Reportes
Cargue reportes generados en pruebas anteriores. Por ejemplo: • Force.com: reporte del analizador del código de seguridad
Nota: Los resultados del analizador del código deben estar limpios antes de enviar la aplicación para su
revisión. Si detecta falsos positivos en el reporte del analizador, indique los detalles correspondientes. • Aplicación Web: reporte del analizador de la aplicación Web
• Otro: otro reporte o documentación
7. Detalles de la revisión
En esta fase se consolida toda la información proporcionada para que pueda comprobar que es correcta y está completa. Puede volver a cualquier pantalla anterior para modificar su información.
8. Pago
En este paso se efectúa el pago de la revisión de seguridad a través del servicio de pago Recurly. La información de pago queda guardada, de modo que solo tendrá que indicarla una vez. Si su aplicación es gratuita, no será necesario realizar ningún pago.
Creación de una organización de publicación de AppExchange
Todas sus aplicaciones y listas de servicios deben publicarse bajo una sola organización de Salesforce, que será su organización de publicación de AppExchange (APO) principal. La APO, que casi siempre coincide con la organización que utiliza para gestionar las licencias, es la organización donde va a gestionar la publicación de AppExchange. Proporciona al perfil detalles que los clientes ven cuando buscan sus listas.
Cumpla con las siguientes mejores prácticas para la APO.
• Las organizaciones con Developer Edition (DE) donde se crea y se carga la aplicación no deberían designarse como la APO. En su lugar, las organizaciones con DE deberían vincularse a la APO como organizaciones secundarias. De este modo, podrá iniciar sesión en la APO para gestionar todos los paquetes (aplicaciones) y las plantillas de prueba (versiones de ejemplo de su aplicación) que las listas proporcionan, con independencia de la organización que ha utilizado para crear las aplicaciones. Como socio de salesforce.com, tiene una APO y todas las organizaciones vinculadas que necesite.
Creación de una organización de publicación de AppExchange Superación de la revisión de seguridad
• Utilice la misma organización como APO y LMO. De esta manera podrá realizar el seguimiento de los prospectos que la lista genere, así como de los clientes que instalen su aplicación en un lugar.
• Pida al equipo de marketing de su compañía que complete la lista de la aplicación en su APO. Tenga en cuenta que su lista es información pública a la vista de los clientes y los clientes potenciales.
Para crear su APO, haga lo siguiente:
1. Inicie sesión en AppExchange con las credenciales de su LMO. Si no tiene aún una LMO, cree una organización con DE
nueva desde el portal de socios y utilice esas credenciales. Si no utiliza las credenciales de la LMO para crear la APO, podrá cambiar en otro momento la organización.
2. Haga clic en su nombre que aparece en la esquina superior derecha y, en el menú desplegable, seleccione Consola de publicación (Publishing Console). Si no ve el vínculo para acceder a la consola de publicación, efectúe los pasos siguientes: a. Haga clic en Lista en AppExchange (List on the AppExchange).
b. Se mostrará la página que contiene los términos y condiciones. Lea la información y haga clic en Aceptar.
c. Indique si ha publicado una aplicación en AppExchange anteriormente. Pasará a la zona de publicación donde se puede
proporcionar la información sobre la aplicación.
d. Ingrese la información especificada y haga clic en Guardar (Save).
Cambio de la organización de publicación de AppExchange
Para crear una lista en AppExchange, deberá iniciar sesión con las credenciales de Salesforce de una organización que ya exista. Se recomienda que la APO y la LMO sean las mismas. Esto significa que debería iniciar sesión en la consola de publicación de AppExchange con la organización donde esté instalada la aplicación de gestión de licencias.
En algunos casos, es posible que haya iniciado sesión con otra organización y haya creado en esa sesión la lista de AppExchange. Esto puede suceder cuando no tiene aún una LMO creada o las personas responsables de la lista de AppExchange no tienen acceso a la LMO.
Para cambiar su APO, haga lo siguiente:
1. Inicie sesión en AppExchange con las credenciales de su APO.
2. Haga clic en su nombre que aparece en la esquina superior derecha y, en el menú desplegable, seleccione Consola de publicación (Publishing Console).
3. Haga clic en la ficha Publicando (Publishing).
4. Haga clic en Sus organizaciones (Your Organizations).
5. Haga clic en Cambiar mi organización de publicación de AppExchange (Change my AppExchange Publishing
Organization).
6. Ingrese las credenciales de la organización que va a designar como su APO. 7. Haga clic en Guardar.
Si ya tiene una APO designada, al efectuar estos pasos la organización y todas sus organizaciones vinculadas se trasladarán a la organización nueva. Podrían pasar 30 minutos o más hasta que la aplicación aparezca como asociada con la APO. Para confirmar que se ha completado el proceso, regrese a la sección de inicio de la consola de publicación y haga clic en la ficha Sus paquetes cargados (Your Uploaded Packages). Debería ver su versión del paquete en la lista.
Solo puede cambiar su APO si no tiene ninguna lista pública en AppExchange. Si ya ha publicado una lista, debe registrar un caso en el servicio de atención al cliente de Salesforce para cambiar la APO. Tenga en cuenta que la organización con DE donde crea las aplicaciones no debería ser la APO sino que debería estar vinculada a esta. Cuando registre el caso, haga lo siguiente:
• Busque el Id. de organización correspondiente a la LMO.
• Proporcione la URL de lista de AppExchange y explique que le gustaría cambiar su APO a la organización nueva.
Cambio de la organización de publicación de AppExchange Superación de la revisión de seguridad
• Proporcione el Id. de organización correspondiente a la LMO.
Actualización de la versión del paquete en la lista de
AppExchange
Cada vez que actualice el paquete, debería actualizar la lista de AppExchange para señalar la versión más reciente. De esta manera, todos los clientes nuevos obtendrán la versión más reciente de su aplicación. La aplicación actualizada debe cumplir con los criterios siguientes:
1. La aplicación ha superado la revisión de seguridad durante el último año.
2. Ha probado el paquete con el analizador de seguridad y ha solucionado los problemas detectados. 3. El paquete tiene el mismo espacio de nombres que el que ha superado la revisión de seguridad.
Para actualizar la versión del paquete en la lista de AppExchange, haga lo siguiente:
1. Cargue la versión más reciente del paquete desde su organización de empaquetado. 2. Inicie sesión en AppExchange con sus credenciales de la APO.
3. Haga clic en la ficha Sus paquetes cargados (Your Uploaded Packages) para ver una lista de todos los paquetes cargados.
Debería ver la versión del paquete más reciente que acaba de cargar. Hasta que aparezca en esta lista, pueden pasar varios minutos tras su carga.
4. En la columna Revisión de seguridad (Security Review), la versión del paquete que ha superado el control contiene la fecha
en la que lo hizo. Las versiones posteriores mostrarán un estado "No revisada nunca" (Never Reviewed) en la misma columna. Haga clic en Iniciar revisión (Start Review) para la versión más reciente que acaba de cargar.
5. Rellene el cuestionario de autoevaluación y haga clic en Enviar (Submit).
• El paquete pasará por el analizador de origen de seguridad y recibirá los resultados por email. Deberá solucionar los errores que el analizador haya detectado.
• Si su aplicación ha superado la revisión de seguridad durante el último año, la versión nueva del paquete recibirá la aprobación de forma automática y su estado pasará a Revisada (Reviewed). El cambio de estado puede tardar hasta 24 horas.
6. Modifique la lista pública de su aplicación y haga clic en la ficha Oferta (Offering).
7. En la sección "Sus paquetes cargados" (Your Uploaded Packages), haga clic en el vínculo Cambiar paquetes (Change