Actualizaciones críticas y de seguridad

Esta versión incluye nuevas actualizaciones críticas para configuración de formato regional, métodos de Apex @AuraEnabled, acciones y otros cambios. Además, compruebe actualizaciones en la página Actualizaciones de seguridad y actualizaciones críticas lanzadas previamente y recién aplicadas.

Para garantizar una transición sin problemas, cada actualización crítica tiene un periodo de participación, el cual finaliza en la fecha de activación automática que se muestra en la página Actualizaciones críticas de Configuración. Durante este periodo, puede activar y desactivar manualmente cada actualización con la frecuencia necesaria para evaluar la repercusión en la organización y modificar las personalizaciones afectadas. Una vez transcurrido el periodo de participación, la actualización se activa de forma permanente por Salesforce. Para obtener más información, consulte Responder a actualizaciones críticas.

La página Actualizaciones de seguridad en Configuración proporciona una lista de actualizaciones de seguridad que afectan a su organización. Cada actualización incluye recomendaciones paso a paso para acciones a realizar en su organización.

Nuevas actualizaciones críticas

Estas actualizaciones críticas son nuevas en Winter ’20.

Activar formatos de configuración regional de ICU (Actualización crítica)
Para ayudarle a hacer negocio allá donde esté, estamos adoptando los formatos de Componentes internacionales para Unicode (ICU) para fechas y horas. Estos nuevos formatos sustituyen formatos de Java 8 Development Kit (JDK8) de Oracle. ICU establece el estándar internacional para estos formatos para todas las configuraciones regionales. Los nuevos formatos proporcionan una experiencia coherente en la plataforma Salesforce y mejoran la integración con aplicaciones compatibles con ICU en todo el mundo.
Restringir el acceso a métodos de Apex @AuraEnabled para usuarios invitados y de portal basándose en perfil de usuario (Actualización crítica)
Esta actualización crítica le proporciona mayor control sobre qué usuarios invitados o de portal pueden acceder a clases de Apex con métodos @AuraEnabled.
Restringir el acceso a métodos de Apex @AuraEnabled para usuarios autenticados basándose en perfil de usuario (Actualización crítica)
Esta actualización crítica le proporciona mayor control sobre qué usuarios autenticados pueden acceder a clases de Apex con métodos @AuraEnabled.
Utilizar with sharing para controladores de Apex @AuraEnabled con colaboración implícita (Actualización crítica)
Esta actualización importante cambia el comportamiento de controladores de Apex @AuraEnabled que no especifican with sharing o without sharing para tomar como valor predeterminado with sharing.
Aplicar modificadores de acceso en propiedades de Apex en Marcado de componente Lightning (Actualización crítica)
Esta actualización crítica hace coherentes los componentes Lightning con el uso de propiedades de Apex en otros contextos. Por ejemplo, una expresión de marcado ya no puede acceder a una propiedad de Apex con un captador de Apex privado.
Enrutar Mis Dominios a través de Salesforce Edge (Actualización crítica)
Estamos acelerando solicitudes de dominio para Mis dominios. Con esta actualización, mantiene la misma dirección Mi dominio, pero las solicitudes pasan por Salesforce Edge. Salesforce Edge utiliza tecnología de aprendizaje automático para mejorar la conectividad y el desempeño. Puede confirmar esta actualización para permitir a Salesforce mover Mi dominio de su organización al nuevo servicio antes de la fecha de activación automática de julio de 2020.
Migrar políticas heredadas al marco de trabajo de seguridad de transacciones mejorado (Actualización crítica)
Con el nuevo marco de trabajo de la política de seguridad de transacciones mejorada de Salesforce, puede crear políticas de seguridad de transacciones que ejecutan acciones en cualquier objeto estándar o personalizado. Ahora que el nuevo marco está disponible de forma general, estamos retirando el marco de trabajo heredado en la versión Summer ’20. Para prepararse para esta retirada y sacar provecho de las nuevas funciones, migre sus políticas de seguridad de transacciones heredadas al nuevo marco de trabajo lo antes posible.
Activar guardado parcial para acciones invocables (Actualización crítica)
Esta actualización crítica mejora los comportamientos y efectos de acciones invocables fallidas. Solo afecta a llamadas de API de REST externa ea acciones invocables realizadas de forma masiva. Con esta actualización, al invocar un conjunto de acciones en una sola solicitud, una sola acción invocable fallida ya no causa el fallo de toda la transacción. Sin esta actualización, si una sola acción invocable falla, se revierten otras acciones invocables en la transacción y toda la transacción falla.
Requerir una implementación y mostrar las acciones correctas (Actualización crítica)
Esta actualización requiere que seleccione una implementación para el componente Acciones y Recomendaciones. Cuando configura Lightning Flow for Service, una implementación le permite controlar las acciones que los agentes pueden iniciar cuando necesitan una acción que no aparece en la lista de tareas del componente.
Requerir el permiso Personalizar aplicación para el acceso de lectura directo a tipos de metadatos personalizados (Actualización crítica)
Los usuarios sin el permiso Personalizar aplicación pueden leer tipos de metadatos personalizados no protegidos utilizando diferentes API proporcionadas por Salesforce. Siguiendo el enfoque “seguridad de forma predeterminada”, el acceso de lectura para usuarios que no tienen el permiso Personalizar aplicación se revoca con esta actualización. Este cambio afecta a páginas de Visualforce y componentes Lightning que hacen referencia directamente a tipos de metadatos personalizados. Para tipos de metadatos personalizados, un administrador puede otorga el acceso de forma explícita a un conjunto de permisos o perfil específico.
Continuar trabajando con diálogos centrados en fichas (Actualización crítica)
En aplicaciones de consola Lightning, los diálogos ya no le impiden interactuar con el resto de la interfaz de usuario. Esta actualización crítica limita el enfoque de diálogos desencadenados por una ficha o subficha de espacio de trabajo a solo la ficha que lo desencadenó.

Actualizaciones crítica presentadas anteriormente

Estas actualizaciones críticas se anunciaron en una versión anterior y aún están disponibles.

Activar la colaboración de cuentas manual en Gestión de territorio de compañía (Actualización crítica presentada anteriormente)
Esta actualización cambia el código de motivo TerritoryManual en registros AccountShare a Territory2AssociationManual y es obligatoria para permitir a los usuarios compartir cuentas manualmente con grupos de territorio. Esta actualización crítica estaba disponible por primera vez en Spring ’19.
Evitar la creación de expresiones de funciones en componentes Aura creados de forma dinámica (Actualización crítica presentada anteriormente)
Para mejorar la seguridad y la estabilidad, esta actualización crítica evita que los valores de atributo pasados a $A.createComponent() o $A.createComponents() se interpreten como expresiones de funciones de Aura. Esta actualización crítica estaba disponible por primera vez en Summer ’19.
Estabilizar el nombre de host para las URL de mi dominio en entornos sandbox (Actualización clave presentada anteriormente)
Estamos eliminando nombres de instancia de direcciones URL de MyDomain para entornos sandbox. El nombre de instancia identifica el lugar donde se aloja su organización de sandbox de Salesforce. La eliminación del nombre de instancia hace que la dirección URL sea más clara y más fácil de recordar para usuarios, por ejemplo, MyDomain--SandboxName.my.salesforce.com sustituye MyDomain--SandboxName.cs5.my.salesforce.com. Esta actualización crítica estaba disponible por primera vez en Summer ’18.
Eliminar nombres de instancia de direcciones de URL para Visualforce, Generador de comunidades, Site.com Studio y Archivos de contenido (Actualización clave presentada anteriormente)
Estamos eliminando los nombres de instancia de Visualforce, Community Builder, Site.com Studio y direcciones URL de archivo de contenido. Un nombre de instancia identifica el lugar donde se aloja su organización de Salesforce. Los dominios sin instancia son más claros y fáciles de recordar para usuarios. Esta actualización clave se aplica a organizaciones con un Mi dominio implementado. Tras esta actualización, una URL que incluya el nombre de instancia, como un marcador, redirige automáticamente al nuevo nombre de host. Esta actualización crítica estaba disponible por primera vez en Spring ’18.

Actualizaciones crítica aplicadas

Estas actualizaciones críticas se anunciaron en una versión anterior y están ahora aplicadas.

Activar la actualización crítica de Lightning Experience ahora se activa a partir del 7 de enero de 2020
Anteriormente, anunciamos que esta actualización crítica podría activarse con Winter ‘20. Por mayor precaución, decidimos retrasar la activación automática de esta actualización. Ahora se activará para su organización en un plazo de 72 horas a partir del 7 de enero de 2020.
Restringir la utilización de plantillas de email basadas en HTML de Salesforce Classic a los navegadores seguros (actualización clave, aplicada)
Restringir el uso de plantillas de email basadas en HTML de Salesforce Classic fue una actualización clave en Summer ’18 y se aplicó en Winter ’20. Esta actualización clave impide la utilización de plantillas de email basadas en HTML, como, por ejemplo, las plantillas personalizadas, de Visualforce o las plantillas HTML estándar al acceder a Salesforce desde Microsoft Internet Explorer. Internet Explorer no es compatible con la Política de seguridad de contenidos (CSP) de Salesforce, por lo que no ofrece la protección de navegador necesaria. Recomendamos un navegador compatible con CSP, como, por ejemplo, Microsoft Edge, Google Chrome, o Mozilla Firefox.
Mejorar la seguridad del email con claves DKIM rediseñadas (actualización clave, aplicada)
Mejorar la seguridad de email con claves DKIM rediseñadas fue una actualización clave en Winter ’19 y se aplicó en Winter ’20. Para abordar posibles vulnerabilidades de seguridad con claves DomainKeys Identified Mail (DKIM), mejoramos el modo en que se crean. Ya no tiene que trabajar con claves públicas y privadas. En su lugar, Salesforce publica el registro TXT que contiene su clave pública en la DNS. También agregamos la rotación de claves automática para reducir el riesgo de que sus claves se tornen vulnerables por terceros. Las claves generadas a través del antiguo método siguen funcionando, pero en Winter ’20, cuando genera nuevas claves, debe utilizar el método más seguro. Además, como el uso compartido de claves puede ingresar vulnerabilidades de seguridad, eliminamos la capacidad de importar claves DKIM.
Requerir TLS 1.2 para conexiones HTTPS (actualización crítica, aplicada)
Requerir TLS 1.2 para conexiones HTTPS fue una actualización clave en Summer ’19 y se aplicó el 25 de octubre de 2019. Para mantener los estándares de seguridad más altos y promover la seguridad de sus datos, Salesforce está desactivando el protocolo de cifrado Seguridad de capa de transporte (TLS) 1.1 antiguo. Todas las conexiones entrantes o conexiones salientes de su organización de Salesforce deben utilizar TLS 1.2. Verifique que su acceso de navegador, integraciones de API y otras funciones de Salesforce cumplen con TLS 1.2.
Requerir TLS 1.2 para Conexiones HTTPS en Comunidades y Sitios (Actualización crítica, aplicada)
Requerir TLS 1.2 para conexiones HTTPS en Comunidades y Sitios fue una actualización clave en Summer ’19 y se aplicó el 25 de octubre de 2019. Para mantener los estándares de seguridad más altos y promover la seguridad de sus datos, Salesforce está desactivando el protocolo de cifrado Seguridad de capa de transporte (TLS) 1.1 antiguo. Todas las conexiones entrantes o conexiones salientes de sus comunidades, sitios y portales de Salesforce deben utilizar TLS 1.2. Verifique que su acceso de navegador, integraciones de API y otras funciones de Salesforce cumplen con TLS 1.2.
Los usuarios de solo API pueden acceder únicamente a las API de Salesforce (Actualización crítica, Aplicada)
Los usuarios de solo API pueden acceder únicamente a las API de Salesforce era una actualización crítica en Spring ’19 y se aplicó en Winter ’20. Esta actualización crítica garantiza que si un usuario tiene el permiso Usuario solo de API, puede acceder a Salesforce solo a través de las API, independientemente de sus otros permisos.
Bloquear ciertos campos en el registro Usuario para organizaciones con comunidades y portales (Actualización crítica y de seguridad, aplicada)
Salesforce está dando a los clientes la opción de activar un ajuste de usuario que permite la ocultación de ciertos campos de información personal en los registros de usuarios en organizaciones con comunidades o portales. Los campos se ocultan de la vista cuando los usuarios externos están accediendo a registros de usuarios. Los usuarios externos siguen viendo sus propios registros de usuario.
Restringir el uso de perfiles externos estándar para el registro automático y la asignación a usuarios (Actualización crítica y de seguridad, aplicada)
Esta actualización restringe el uso de perfiles externos estándar para el registro automático y la asignación a usuarios.

Actualizaciones críticas pospuestas

Estas actualizaciones críticas se anunciaron en una versión anterior y se pospuso la fecha de activación automática.

Desactivar el acceso a métodos del controlador de Apex de no global en paquetes gestionados (Actualización crítica, pospuesta)
Esta actualización crítica, publicada en Summer ’17, estaba programada para activarse automáticamente en Winter ’20, pero se pospuso a Spring ’20. La actualización clave corrige los controles de acceso en métodos del controlador de Apex en paquetes gestionados. Cuando se activa esta actualización, solo los métodos marcados con el modificador de acceso de global son accesibles por componentes Aura desde fuera del espacio de nombres del paquete. Estos controles de acceso le evitan utilizar métodos de API no compatibles que el autor del paquete no pensaba para el acceso global.
Comprobar si existen variables de registros nulas o valores nulos de campos de relación de búsqueda en fórmulas de procesos y flujos (Actualización crítica, pospuesta)
Esta actualización crítica, publicada en Spring ‘19, estaba programada para activarse automáticamente en Summer ‘19, pero se pospuso a Spring ’20. La actualización crítica se llamada anteriormente “Devolver valores nulos en fórmulas de flujo y proceso”.
Habilitar caché mejorado de esquema de organización (actualización crítica, pospuesta)
Esta actualización crítica estaba programada para activarse automáticamente en Summer ’19, pero se pospuso a Spring ’20. Esta actualización crítica habilita el caché mejorado de detalles del esquema de organización y resuelve problemas conocidos con gestión de campo y objeto específico de la versión.
Requerir el acceso de usuario a clases de Apex invocadas por Flujo (Actualización crítica, Pospuesta)
Esta actualización crítica, publicada en Summer ‘19, estaba programada para activarse automáticamente en Winter ‘20, pero se pospuso a Spring ‘21. La actualización crítica se denominaba anteriormente “Mejorar la seguridad requiriendo el acceso de usuario a clases de Apex invocadas por Flujo.”
Requerir el permiso Personalizar aplicación para el acceso de lectura directo a configuraciones personalizadas (Actualización crítica, Pospuesta).
Esta actualización crítica se aplicará a partir del 3 de enero de 2020, como parte de la versión Spring ’20 (originalmente planificada para el 6 de septiembre de 2019, luego pospuesta).

Actualizaciones críticas retiradas

Estas actualizaciones críticas se anunciaron en una versión anterior pero fueron retiradas. Se eliminaron de la Consola de actualización crítica y no se activarán.

Utilizar without sharing para controladores de Apex @AuraEnabled con colaboración implícita (Actualización crítica, Retirada)
Esta actualización crítica, publicada en Spring ’18, estaba programada para activarse automáticamente en Winter ’20, pero se retiró.

Nuevas actualizaciones de seguridad

Estas actualizaciones de seguridad son nuevas en Winter ’20.

Asignar automáticamente registros creados por usuarios invitados a un propietario predeterminado (Actualización de seguridad)
Para aumentar la seguridad de sus datos de Salesforce, configure su organización de modo que los usuarios invitados ya no sean automáticamente el propietario de registros que crean. En su lugar, cuando un usuario crea un registro, el registro se asigna a un usuario activo predeterminado en el organización, que se convierte en el propietario.
Ver todos los usuarios y otros permisos en Perfiles de usuario invitado (Actualización de seguridad)
Los usuarios invitados habitualmente no necesitan acceso para ver todos los usuarios en una organización de Salesforce, de modo que para promover la seguridad de datos, desactivamos el permiso Ver todos los usuarios en perfiles de usuario invitado. Si tiene una organización creada antes de Winter ’20, le recomendamos comprobar el acceso de usuarios y anular la selección del permiso Ver todos los usuarios en todos sus perfiles de usuario invitado. Para mejorar la seguridad, también eliminamos estos permisos del perfil de usuario invitado: Puede aprobar comentarios y publicaciones de noticias en tiempo real, Activar Arquitectura de niveles de interfaz de usuario, Eliminar personas de mensajes directos, Ver temas y Enviar email no de negocio.
Proteger el modelo de colaboración y los valores predeterminados de toda la organización de usuarios invitados (Actualización de seguridad)
Para aumentar la seguridad de sus datos de Salesforce, estamos aplicando valores predeterminados de toda la organización privada para usuarios invitados. También estamos restringiendo los mecanismos de colaboración que puede utilizar para otorgar acceso de registro a usuarios invitados. Si tiene una organización creada antes de Winter ’20, le recomendamos revisar los valores predeterminados de toda la organización externa, grupos públicos, colas y colaboración manual que utiliza para otorgar acceso a usuarios invitados. A continuación, sustituya el acceso otorgado anteriormente por estos mecanismos de colaboración con reglas de colaboración de usuario invitado antes de que se aplique la actualización de seguridad.