Verwalten Sie Ihre SAP-Datenprivatsphäre, Sicherheit und Risiken

Antwort auf das Recht auf Zugang/Löschung in Produktivsystemen

Egal, ob Sie dem PDPA in Thailand, einer der staatlichen Gesetze in den USA oder der DSGVO in Europa unterliegen, Sie sind verpflichtet, auf das Recht auf Zugang und die Löschung personenbezogener Daten in Ihrer Umgebung zu reagieren.

Das Recht auf Löschung übertrumpft nicht Ihre anderen rechtlichen und Compliance-Anforderungen, wie z. B. die Aufbewahrung von Aufzeichnungen für Steuerprüfungen. Sie müssen nun einen Weg finden, um zu überprüfen, ob Daten aus anderen rechtlichen Gründen benötigt werden, und falls nicht, sensible Daten aus Ihrem System zu entfernen.

SAP stellt eine Herausforderung bei der Datenlöschung dar; als relationale Datenbank ist die sensible Daten mit Ihren Geschäftstransaktionen intrinsisch verknüpft. Traditionelle Methoden des Archivierens oder Löschens erfordern, dass Sie Ihre Transaktionen und Stammdaten vollständig entfernen.

EPI-USE Labs bietet eine Alternative mit Data Redact, das PII aus Datensätzen entfernt, aber die referentielle Integrität der Lösung bewahrt. Data Disclose bietet eine effektive PII-Zuordnung in einem PDF-Ausgabeformat, was einen effizienten Prozess zur Beantwortung des Rechts auf Zugang ermöglicht.

Daten in Nicht-Produktivsystemen verschlüsseln

Jedes Unternehmen muss seine Prozesse testen, sei es die jährlichen Aktualisierungen der Lohnsteuer, Service-Pack-Upgrades oder neue Anpassungen. Sie möchten nicht erst in der Produktion feststellen, dass es ein Problem mit den neuen Prozessen gibt; deshalb erstellen die meisten Unternehmen Kopien ihrer Produktionssysteme und richten Testumgebungen ein.

Die Anzahl der Testumgebungen variiert je nach Unternehmen, aber eine typische Konfiguration könnte folgendermaßen aussehen:

• Entwicklung: mit begrenzten bis gar keinen echten Daten
• Qualität: eine reduzierte Datenkopie aus der Produktion
• Vorproduktion: eine vollständige Kopie der Produktionsdatenbank

Die neuen Datenschutzgesetze besagen, dass Sie eine informierte und ausdrückliche Zustimmung für die Verwendung der Daten in Bezug auf betroffene Personen einholen müssen. Aus unserer Erfahrung haben die meisten Unternehmen keine Zustimmung zur Verwendung von Daten für Testzwecke. Selbst wenn ein Zustimmungsprozess vorhanden ist, gibt es eine zusätzliche Herausforderung, wenn eine betroffene Person keine Zustimmung erteilt.

Wir empfehlen die Datenanonymisierung mit Data Secure, das eine direkte In-Place-Datenanonymisierung oder die Möglichkeit zur Verschlüsselung beim Verlassen der Daten in Verbindung mit Client Sync bietet, einem Teil des Data Sync Manager Suite.

Verstehen Sie die Risiken der Datensicherheit und des Datenschutzes

Um ein Problem zu lösen, müssen Sie es zuerst verstehen. Sowohl beim Datenschutz als auch bei der Datensicherheit müssen Sie die Risiken verstehen, die in Ihren Geschäftsprozessen und Ihrer IT-Infrastruktur bestehen.

Betrachten Sie Ihre Geschäftsprozesse und Sicherheitsrisiken. Zum Beispiel: Nehmen Ihre Kollegen im Front Office oder Personalwesen während Anrufen Notizen? Wenn ja, was ist der Sicherheitsprozess für diese Notizen? Befolgen Sie die besten Praktiken für Datensicherheit in Ihrem gesamten Unternehmen?

Im Hinblick auf Ihre IT-Infrastruktur gibt es drei Hauptaspekte zu berücksichtigen:

• Externe Bedrohung: Netzwerksicherheit und Infrastruktur, wie z. B. Firewalls oder VPN-Schutz.
• Interne Bedrohung: Das Risiko des Zugriffs auf Daten im Netzwerk / SAP-System.
• Compliance-Risiko: Wo befinden sich Ihre personenbezogenen Daten (PII) und wie werden diese verwaltet?

Unser umfassender Service zur Bewertung des SAP-Datenschutzes bietet Transparenz über die internen und Compliance-Risiken für Ihr Unternehmen.

Führen Sie geschäftszentriertes GRC für SAP durch

Governance, Risk und Compliance (GRC)-Lösungen berücksichtigen viele Aspekte des Zugriffsrisikos. Wir sind eine Partnerschaft mit Soterion 

eingegangen, die eine schnelle und effiziente Analyse Ihrer GRC-Risiken mit standardmäßig gelieferten Regelsets bietet, die Folgendes abdecken:

• Trennung der Aufgaben (SoD)
• Datenschutz: Nutzer, die auf sensible Daten zugreifen
• Cross-jurisdiktionale Datenzugriffe
• Kritische Transaktionsrisiken

Diese Lösungen können zwischen SAP und Cloud-Anwendungen (wie SAP SuccessFactors) integriert werden, um eine ganzheitliche Sicht auf Ihr Zugriffsrisiko zu bieten.

Soterion bietet auch eine Bewertung Ihrer Systemlizenzen, Firefighter-Zugriffsprozesse und mehr an.

Minimieren Sie die Angriffsfläche in Ihrer SAP-Landschaft

Um sensible Daten zu schützen, sollten Sie in Erwägung ziehen, „die Angriffsfläche“ in Ihrer SAP-Landschaft zu reduzieren – die Topografie der Systeme und Daten, die angegriffen werden können. Datenmaskierung oder -obfuskation kann die referentielle Integrität und Funktionalität Ihrer Test-, Schulungs-, Sandbox- und Entwicklungssystem-Daten bewahren, ohne die betroffenen Personen identifizierbar zu machen oder sensible Datenfelder offenzulegen.

Data Secure, ein Teil der EPI-USE Labs Data Sync Manager (DSM) Suite, ist eine vollständige Lösung zum Datenschutz, die SAP-Daten maskiert, um sensible Informationen zu schützen. Sie ermöglicht es, dass die Daten korrekt funktionieren, mit hunderten vorgefertigten Maskierungsregeln. Neue Regeln können von Grund auf neu erstellt, bestehende erweitert oder Inhalte von anderen Community-Nutzern auf unserer kollaborativen Plattform Client Central heruntergeladen werden. Das Ergebnis ist ein Echtzeit-Datenschutz.

Viele Unternehmen haben integrierte SAP-Landschaften, bei denen Daten über ERP-, CRM-, SRM- und externe Umgebungen verteilt sind. Data Secure anonymisiert integrierte Datenobjekte konsistent in verschiedenen Systemen.

Müssen Sie Daten außerhalb von SAP maskieren? Unser Entwicklungsteam kann eine Lösung erstellen, die Daten maskiert und Data Secure auf Nicht-SAP-Systeme erweitert.