SAP GDPR: Intervista con MAPA

MAPA: 

Da un punto di vista tecnico, la nostra principale preoccupazione riguardava il nostro sistema SAP ERP. Per garantire la coerenza dei dati, cerchiamo sempre di evitare la cancellazione dei dati dal sistema. Con le funzioni standard SAP, i record di dati sensibili non possono essere cancellati senza ulteriore elaborazione. Questi dati vengono semplicemente salvati in un'altra posizione mediante archiviazione. Il problema è che può essere ripristinato. Anche la redazione di singoli campi all'interno dei record di dati non e un'opzione.

La soluzione SAP per risolvere la sfida GDPR è stata presentata durante un incontro presso il DSAG (German SAP User Group). Purtroppo ci è sembrata inadeguata, anche a causa dei costi e dello sforzo di implementazione. Alla fine, siamo giunti alla conclusione che con gli strumenti standard SAP non sarebbe stato possibile cancellare i dati dal sistema rispettando la GDPR.

Abbiamo dovuto scoprire in dettaglio quali dati personali sono stati memorizzati e dove sono stati memorizzati all'interno del landscape SAP. Nella relativa documentazione, inizialmente, siamo stati in grado di dimostrare solo quali record di dati dovevano essere potenzialmente redatti: questo documento è stato preparato per la conversione tecnica ed era dettagliato fino ai singoli campi.

MAPA:

Da anni utilizziamo Data Secure per anonimizzare i dati di test nei sistemi di Non-Produzione. Ecco perché ci siamo affidati all'accuratezza tecnica dell'anonimizzazione anche per strutture di dati complessi, come il modulo SAP HCM. Per implementare la normativa sulla privacy dei dati (GDPR), tuttavia, i singoli record di dati devono essere redatti nei sistemi di produzione. L'approccio che EPI-USE Labs ha adottato con la GDPR Compliance Suite ha soddisfatto i nostri bisogni:

Con Data Disclose, vengono fatte ricerche nell'intero sistema SAP e vengono individuati i dati sensibili. L'impronta di una persona viene trovata, recuperata e resa disponibile. Inoltre si possono effettuare ricerche anche in sistemi non SAP attraverso l’integrazione con API.

MAPA:

La prima tappa è stata la preparazione generale del sistema SAP. Prima dell'installazione dei trasport che ci sono stati forniti, dovevano essere soddisfatti i requisiti tecnici primari. Il nostro sistema non era preparato per l'uso della GDPR Compliance Suite. Grazie alla moderna tecnologia dell’applicazione FIORI di EPI-USE Labs, abbiamo sia preparato il nostro team di sistemisti per il futuro, ed abbiamo importato tutti i pacchetti di supporto necessari. I requisiti tecnici generali per la GDPR Compliance Suite sono NetWeaver 7.0 e Fiori Gateway.

Data Disclose può quindi essere attivato immediatamente. Sulla base del modello fornito, i dati personali sono stati individuati, ponendo le basi per soddisfare i requisiti dell'articolo 15 (diritto di accesso) di GDPR per il sistema SAP. 

Nella seconda fase del progetto viene messo in atto il diritto alla cancellazione ai sensi dell'articolo 17 del GDPR.

EPI-USE Labs offre anche la soluzione adeguata per la redazione dei dati. Nell'ambito della GDPR Compliance Suite per SAP, Data Redact è in grado di oscurare rapidamente e costantemente i dati sensibili senza cancellare interi record di dati.

Ciò significa che i dati non possono più essere collegati a una persona specifica (o persona interessata), ma i rapporti possono essere creati come al solito senza compromettere l'integrità referenziale dei dati.

Prima dell'introduzione di Data Redact, dovevamo definire quali campi dovevano essere resi anonimi nell'area di conflitto tra le politiche di conservazione e l'economia dei dati. È stato inoltre necessario prendere in considerazione estensioni specifiche del cliente per le strutture dati. Lo sforzo richiesto dipende generalmente da quanto la struttura dei dati è tenuta in stretta relazione con lo standard SAP.

MAPA:

Il vantaggio maggiore è che l'integrità dei dati è garantita. In questo modo, gli ordini dei clienti sono ancora tracciabili, poiché solo i dati sensibili dei clienti vengono oscurati, mentre tutti gli ordini e gli articoli venduti possono ancora essere visualizzati. Non è più possibile assegnare solo al cliente. Ciò significa che tutti i sistemi di test rimangono completamente funzionanti e gli ordini di test possono ancora essere processati. Se fosse necessario archiviare intere aree di dati, l'integrità dei dati ne risentirebbe negativamente.

MAPA:

Il trattamento proporzionato dei dati personali ai sensi dell'articolo 5 del GDPR è un altro elemento chiave per il rispetto del regolamento sulla protezione dei dati. Quando abbiamo introdotto Data Secure, abbiamo discusso l'utilizzo della soluzione Client Sync di EPI-USE Labs per copiare selettivamente i dati SAP. Si tratta di un time slice del sistema di produzione su sistemi di test e di formazione per la creazione di dati di test. Questa copia di mandanti selettiva sostituisce la copia di sistema e supporta la conformità all'articolo 5.

Riteniamo inoltre che la legislazione diventerà più severa in futuro. Prevediamo di utilizzare la GDPR Compliance Suite in tutti i settori dell'azienda. L'utilizzo della Suite non dovrebbe rimanere un compito centrale dell'IT, ma essere decentrato per dare ad ogni reparto la possibilità di rintracciare i dati giusti e renderli anonimi.