Gestione la privacidad, la seguridad y los riesgos de sus datos SAP

Responder al Derecho de Acceso/Supresión en sistemas de Producción

Tanto si se adhiere a la PDPA en Tailandia, a una de las leyes estatales en Estados Unidos o al RGPD en Europa, está obligado a responder al Derecho de Acceso y Supresión de datos personales en su entorno.

El derecho a la supresión no anula ninguno de sus otros requisitos legales y de cumplimiento, como la conservación de registros para auditorías fiscales. Ahora se debe encontrar la manera de validar si los datos son necesarios por cualquier otra razón legal y, si no es así, eliminar los datos confidenciales de su sistema.

SAP plantea un reto para la eliminación de datos: al tratarse de una base de datos relacional, los datos sensibles están intrínsecamente ligados a las transacciones comerciales. Por tanto, los métodos tradicionales de archivo o eliminación implican la necesidad de eliminar por completo las transacciones y los datos maestros.

EPI-USE Labs ofrece una alternativa con Data Redact,  que elimina la PII de los registros pero mantiene la integridad referencial de la solución. Y Data Disclose proporciona una asignación eficaz de la IIP en un archivo PDF, lo que permite un proceso eficiente para responder al Derecho de Acceso

Codificar datos en sistemas de no producción

Todas las empresas necesitan probar sus procesos, ya se trate de las actualizaciones anuales de la fiscalidad de las nóminas, de la actualización de paquetes de servicios o de nuevas personalizaciones. Nadie descubrir que tiene un problema con los nuevos procesos en Producción, por lo que la mayoría de las empresas tomarán una copia de sus sistemas de producción y crearán entornos de prueba.

El número de entornos de prueba varía en función de la empresa, pero una configuración típica constaría de:

• Desarrollo con datos reales limitados o inexistentes
• Calidad: una copia reducida de Producción
• Preproducción: una copia completa de la base de datos de producción

Las nuevas leyes de privacidad establecen que se debe contar con consentimiento informado y explícito para el uso de los datos relativos a los interesados. Según nuestra experiencia, la mayoría de las empresas no cuentan con el consentimiento para utilizar datos con fines de prueba. Incluso si se dispusiera de un proceso de consentimiento, existe el reto adicional de saber qué hacer en caso de que el interesado no dé su autorización.

Nosotros recomendamos la anonimización de datos con Data Secure, que proporciona anonimización de datos in situ y directa, o la posibilidad de codificar a la salida al vincularse con Client Sync, parte de la suite Data Sync Manager.

Comprender y mitigar sus riesgos de privacidad y seguridad de los datos

Para resolver un problema, primero hay que entenderlo. Tanto en el caso de la privacidad como en el de la seguridad de los datos, hay que comprender los riesgos que entrañan los procesos empresariales y su entorno informático.

Piense en sus procesos empresariales y en los riesgos de seguridad. Por ejemplo, ¿toman notas sus compañeros de secretaría o de RR.HH. durante las llamadas? Si es así, ¿cuál es el proceso de seguridad de esas notas? ¿Se siguen las mejores prácticas de seguridad de datos en toda la empresa?

En cuanto a su entorno informático, las tres principales consideraciones son:

• Amenaza externa: Seguridad de redes e infraestructuras, como cortafuegos o protección VPN.
• Amenaza interna: El riesgo de acceso de los datos en la red/ sistema SAP.
• Riesgo de cumplimiento: ¿Dónde está su IIP y cómo se gestiona?

Nuestro servicio de evaluación de la privacidad de datos SAP proporciona transparencia sobre los riesgos internos y de cumplimiento para su empresa.

Impulsar una GRC centrada en la empresa para SAP

Las soluciones de Gobernanza, Riesgo y Cumplimiento (GRC) tienen en cuenta muchos aspectos del riesgo de acceso. Estamos asociados con Soterion, el cual ofrece un análisis rápido y eficaz de sus riesgos de GRC con un conjunto de reglas estándar para cubrir:

• Segregación de Funciones (SoD)
• Privacidad: usuarios accediendo a datos sensibles 
• Acceso a datos entre jurisdicciones
• Riesgo crítico de transacción.

Estas soluciones pueden integrarse entre SAP y las aplicaciones en la nube (como SAP SuccessFactors) para proporcionar una visión holística de su riesgo de acceso.

Además, Soterion también le ofrece una evaluación de las licencias de su sistema, los procesos de acceso de emergencia ('firefighter access') y más.

Reducir la "superficie de ataque" de su infraestructura SAP

Para proteger datos confidenciales, considere la posibilidad de reducir «la superficie de ataque» en su entorno SAP, es decir, la topografía de los sistemas y datos que pueden ser atacados. El enmascaramiento u ofuscación de datos puede mantener la integridad referencial y la funcionalidad de los datos de sus sistemas de prueba, formación, sandbox y desarrollo sin hacer identificables a los sujetos de los datos ni dejar expuestos los campos de datos sensibles.

Data Secure, parte de la suite Data Sync Manager (DSM) de EPI-USE Labs, es una solución completa de protección de datos que enmascara los datos SAP para salvaguardar la información confidencial. Permite que los datos funcionen correctamente con cientos de reglas de enmascaramiento prediseñadas. Se pueden crear nuevas reglas desde cero, ampliar las existentes o descargar contenidos de otros usuarios de la comunidad en nuestra plataforma de colaboración, Client Central. El resultado es protección de datos en tiempo real.

Muchas empresas han integrado entornos SAP con datos distribuidos entre ERP, CRM, SRM y entornos externos. Data Secure anonimiza de manera consistente los objetos de datos integrados en diferentes sistemas.

¿Necesitas codificar datos fuera de SAP? Nuestro equipo de desarrollo personalizado puede crear una solución que codifique datos, extendiendo Data Secure a sistemas que no son SAP.