Empiece a realizar un seguimiento de su progreso
Inicio de Trailhead
Inicio de Trailhead

Proteger sus páginas web y de destino

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Usar el cifrado SSL para las interacciones con páginas
  • Crear métodos de seguridad de formulario para evitar los envíos malintencionados

Proteger sus páginas

Antes, en este módulo, platicamos sobre las funciones de seguridad y claves de cifrado integradas en Marketing Cloud. Es posible que, como desarrollador preocupado por la seguridad, esté deseando proteger también sus páginas web y de destino en Marketing Cloud. Después de todo, ¿para qué sirve toda esta seguridad si dejamos que cualquiera (o cualquier bot) pase por la puerta? A continuación, explicaremos cómo proteger sus páginas.

Usar certificados SSL

Marketing Cloud gestiona mucho más que solo mensajes; las páginas web permiten a los suscriptores enviar información, suscribirse a comunicaciones o ver mensajes fuera de su cliente de email. Para asegurar una experiencia lo más segura posible, recomendamos usar certificados SSL para proteger las comunicaciones web. Estos certificados pueden proteger:

  • Las URL de CloudPage
  • Las páginas de destino de su cuenta
  • Los vínculos incluidos en los mensajes de email de Email Studio
  • El contenido de la cartera

Además, los certificados SSL agregan una capa de seguridad al tráfico web para ayudar a evitar que partes externas intercepten información confidencial. Genial. ¡Es todo un alivio!

¿Necesita un certificado? Pues puede comprar sus propios certificados o dejar que Marketing Cloud gestione las compras en su lugar. Si compra sus certificados a través de Marketing Cloud, podrá usarlos para proteger tanto las páginas como el contenido. Además, Marketing Cloud gestiona y renueva los certificados sin ningún costo adicional. Si compra los certificados por sí mismo, no podrá usarlos para proteger las páginas (no imágenes).

Nota

Nota

Recomendamos usar certificados válidos durante un año, como máximo. ¿Por qué? Lo adivinó: Son más seguros. 

Gestionar envíos de formularios

Cuando use integraciones de API o CloudPages para capturar información de los suscriptores, es importe que las gestione teniendo en cuenta la seguridad. Estamos aquí para ayudarle. Consulte estas sugerencias que le ayudarán a proteger sus datos de formulario. (Y recuerde que no son los únicos factores de seguridad que debe tener en cuenta, pero son un buen lugar para empezar en Marketing Cloud).

  • Si incluye cadenas de consulta en sus páginas, no transfiera los valores SubscriberID, SubscriberKey ni ContactKey sin cifrar. Además, aplique cifrado en lugar de codificación Base64 o StringtoHex para transferir valores desde los campos. La codificación puede decodificarse fácilmente, lo que no ocurre con el cifrado.
  • Cualquier procesamiento y validación de campos debe producirse en el lado del servidor. También recomendamos usar dos o más parámetros de cadena de consulta para comprobar que el mismo suscriptor está interactuando con la página antes de presentar datos.
  • Las páginas de aplicación que cree requerirán autenticación. Recomendamos usar la función AMPscript MicrositeURL para cifrar los parámetros de cadena de consulta.
  • Cualquier página de destino pública no autenticada o no solicitada debe incluir una cláusula global IF/THEN que compruebe si hay parámetros obligatorios vacíos. Este paso evita que se realice ningún procesamiento cuando alguien intenta acceder a la página directamente, en lugar de pasar por el flujo asignado.
  • Active los encabezados de seguridad de sus páginas siguiendo esta muestra de JavaScript en el lado del servidor.

Ejemplo: Activar encabezados de seguridad de una página web

<script runat=server>
   Platform.Response.SetResponseHeader("Strict-Transport-Security","max-age=200");
   Platform.Response.SetResponseHeader("X-XSS-Protection","1; mode=block");
   Platform.Response.SetResponseHeader("X-Frame-Options","Deny");
   Platform.Response.SetResponseHeader("X-Content-Type-Options","nosniff");
   Platform.Response.SetResponseHeader("Referrer-Policy","strict-origin-when-cross-origin");
   Platform.Response.SetResponseHeader("Content-Security-Policy","default-src 'self'");
</script>

Este ejemplo evita problemas comunes de formularios web, como la secuencia de comandos de sitio cruzada o la inyección de SQL.

¿Quiere saber más? La siguiente unidad incluye recomendaciones y las mejores prácticas de seguridad de datos.

Recursos