EPI-USE Labs fait partie du Group Elephant, qui possède et finance une entité à but non lucratif appelée Éléphants, Rhinocéros et Personnes ("ERP"). Nous nous sommes récemment entretenus avec Jan van Rensburg, ...
Vice-présidente senior des solutions HCM Danielle Larocca travaille dans l'espace SAP HCM depuis plus de 20 ans. Mentor SAP et conférencière vedette lors de nombreuses conférences, Danielle a écrit quatre livres à succès sur SAP, est rédactrice technique pour le SAP Professional Journal et est souvent la voix de l'expert dans la série Ask the Expert de SAPInsider pour les RH.
Les hackers, escrocs, rançongiciels et technologie font souvent la une des journaux actuellement et la sécurité est toujours au premier plan. La protection des données des employés est un aspect critique pour les équipes de gestion des ressources humaines et de la paie. Les lois et réglementations varient selon les pays et incluent le POPI Act, le RGPD et l’HIPAA à titre d’exemples, mais il existe aussi le simple bon sens pour gérer le droit à la confidentialité des employés.
Dans de nombreux cas, la vulnérabilité des données découle d’une erreur humaine, comme ce célèbre exemple survenu il y a quelques années : une entreprise de traitement de la paie présente ses excuses après la publication accidentelle de numéros de sécurité sociale. Parfois, l’intention est plus malveillante, avec pour dessein de lancer une cyberattaque sur une organisation afin de voler les identités des employés.
Quelle que soit l’intention, assurer la sécurité des données RH et de paie critiques est une nécessité. Pour les entreprises qui utilisent SAP® ou SAP SuccessFactors, voici quelques points clés à prendre en considération.
Lorsque vous utilisez SAP ou SuccessFactors, vos données peuvent résider dans plusieurs environnements. Souvent, les clients ont besoin de données valides dans des instances non productives ou des mandants pour le test, le support ou la formation. Cela constitue une zone de vulnérabilité car les contrôles en place dans les environnements non productifs peuvent différer de ceux utilisés en production. Les clients rafraîchissent souvent les données d’un environnement à l’autre et celles-ci peuvent contenir des données d’employés. Dans ces cas, vous devez utiliser un mécanisme sécurisé pour le déplacement sécurisé de ces données et l’anonymisation appropriée de ces données dans les environnements SAP ou SuccessFactors hybrides. Pour en savoir plus et vous assurer que vos données critiques sont sécurisées et optimisées dans une solution certifiée SAP, visitez Data Sync Manager (DSM) pour HCM pour plus d’informations.
Il est facile d’identifier l’emplacement principal qui contient une grande partie des données d’employées de base. Par exemple, nous savons que le champ Sexe est stocké dans l’infotype 0002 Informations personnelles dans SAP et dans le profil des employés dans SuccessFactors Employee Central. Nous devons cependant réfléchir à tous les emplacements dans lesquels ces données sont propagées, notamment les rapports, les interfaces et les fichiers spool, et nous assurer qu’elles y sont aussi en sécurité. La connaissance de tous ces points de contact est critique. L’un des moyens de s’assurer que vos données sont protégées est d’utiliser des solutions tiers certifiées SAP qui sont les seules a détenir les certifications appropriées permettant de garantir le respect des autorisations SAP et SuccessFactors appropriées. Pour le reporting, les interfaces et les documents, la solution de pointe qui détient cette certification SAP critique est Query Manager avec Document Builder. Visitez Query Manager pour plus d’informations.
La conformité aux réglementations n’est pas une activité ponctuelle, mais plutôt un événement récurrent qui nécessite des révisions et mises à jour régulières. Dans l’univers SAP ECC, cela inclut non seulement l’accès aux données des employés, mais aussi l’accès pour développer ou exécuter ABAP (où le code peut être rédigé pour évaluer les tables ou les données de cluster) et l’accès aux bases de données. J’ai vu de nombreux employeurs déployer des efforts considérables pour verrouiller les données de base au niveau du code de transaction/de l’infotype/de l’utilisateur tout en ignorant que ces données sensibles étaient disponibles à toute personne ayant les compétences nécessaires pour réviser les données en accédant au code, aux tables ad hoc (SQ01), aux «spools» ou aux bases de données Basis (Select *...). De plus, les données sont également transmises aux modules Finance avec leurs propres ensembles d’autorisations qui nécessitent une révision. Gardez à l’esprit que chaque somme versée est enregistrée quelque part et même un rapport de centre de coût peut divulguer des informations sensibles critiques qui pourraient rendre vulnérables les données personnelles d’un employé.
Pour SAP HCM, les objets d’autorisation sont les éléments essentiels à votre sécurité RH. Ils décident de ce qui peut être fait sur un infotype donné. L’accès doit être contrôlé et révisé régulièrement, mais vous devez aussi envisager la séparation des tâches pour le traitement de la paie. Pour répondre à ces préoccupations et évaluer les rôles et autorisations, les mettre à jour et les gérer de manière économique et intuitive, tout en vous conformant aux réglementations sur la confidentialité des données, consultez Soterion Access Risk Manager. Visitez le logiciel de conformité de Soterion pour plus d’informations.
© EPI-USE Labs
13-15 rue Taitbout, Paris 75009 •Locations des bureaux
Leave a Comment: