Gestisci la tua privacy, sicurezza ed i tuoi rischi in SAP

Rispondere al diritto di accesso/rimozione in sistemi di Produzione 

Sia che stiate aderendo al PDPA in Thailandia, a una delle leggi statali negli Stati Uniti o al GDPR in Europa, siete tenuti a fornire una risposta al Diritto di accesso e alla cancellazione dei dati personali dal vostro ambiente.

Il Diritto all'eliminazione non sostituisce nessun altro requisito legale e di conformità, come ad esempio la conservazione dei registri per le verifiche fiscali. Ora è necessario trovare un modo per verificare se i dati sono necessari per altri motivi legali e, in caso contrario, rimuovere i dati sensibili dal sistema.

SAP rappresenta una sfida per la rimozione dei dati: essendo un database relazionale, i dati sensibili sono intrinsecamente legati alle transazioni aziendali. Pertanto, i metodi tradizionali di archiviazione o eliminazione implicano la necessità di rimuovere completamente le transazioni e i dati anagrafici.

EPI-USE Labs offre un'alternativa con Data Redact, che rimuove le PII dai record ma lascia l'integrità referenziale della soluzione. E Data Disclose fornisce un'efficace mappatura delle PII in un output PDF, consentendo un processo efficiente per rispondere al Diritto di Accesso.

Scramble dei dati nei sistemi non di produzione

Ogni azienda ha bisogno di testare i propri processi, che si tratti degli aggiornamenti annuali della tassazione sulle retribuzioni, dell'aggiornamento del service pack o di nuove personalizzazioni. Non si vuole scoprire di avere un problema con i nuovi processi in produzione, quindi la maggior parte delle aziende prende una copia dei propri sistemi di produzione e crea ambienti di test.

Il numero di ambienti di test varia a seconda dell'azienda, ma una tipica configurazione prevede

• Sviluppo con dati reali limitati o inesistenti
• Qualità: una copia ridotta dei dati della produzione
• Pre-produzione una copia completa del database di produzione.

Le nuove leggi sulla privacy stabiliscono che è necessario avere un consenso informato ed esplicito per l'utilizzo dei dati relativi agli interessati. Secondo la nostra esperienza, la maggior parte delle aziende non dispone di tale consenso per l'utilizzo dei dati a scopo di test. Anche se si dispone di un processo di consenso, è necessario capire cosa fare in caso di risposta negativa da parte dell'interessato.

Consigliamo l'anonimizzazione dei dati con Data Secure, che fornisce l'anonimizzazione diretta dei dati in loco, o la possibilità di scramble all'uscita quando è collegato con Client Sync, parte della Data Sync Manager Suite.

Comprendere i rischi per la privacy e la sicurezza dei dati

Per risolvere un problema, è necessario innanzitutto comprenderlo. Sia per la privacy che per la sicurezza dei dati, è necessario comprendere i rischi legati ai processi aziendali e al patrimonio informatico.

Considerate i vostri processi aziendali e i rischi per la sicurezza. Ad esempio, i colleghi del front office o delle risorse umane prendono appunti durante le chiamate? Se sì, qual è il processo di sicurezza per questi appunti? State seguendo le best practice per la sicurezza dei dati in tutta l'azienda? 

Per quanto riguarda il vostro patrimonio informatico, le considerazioni principali sono tre:

• Minaccia esterna: Sicurezza della rete e dell'infrastruttura, come firewall o protezione VPN.
• Minaccia interna: Il rischio di accesso ai dati nella rete o nel sistema SAP.
• Rischio di conformità: Dove si trovano le vostre PII e come vengono gestite?

Il nostro servizio completo di valutazione della privacy dei dati SAP fornisce trasparenza sui rischi interni e di conformità per la vostra azienda.

Guidare il GRC incentrato sul business per SAP

Le soluzioni di Governance, Risk and Compliance (GRC) tengono conto di molti aspetti del rischio di accesso. Siamo partner di Soterion, che offre un'analisi rapida ed efficiente dei vostri rischi GRC con set di regole standard che coprono:

• Segregazione dei compiti (SoD)
• Privacy: utenti che accedono a dati sensibili
• Accesso ai dati in più giurisdizioni
• Rischio di transazioni critiche.

Queste soluzioni possono integrarsi tra SAP e le applicazioni cloud (come SAP SuccessFactors) per fornire una visione olistica del rischio di accesso.

Soterion offre anche una valutazione delle licenze di sistema, dei processi di accesso dei vigili del fuoco e altro ancora.

Ridurre al minimo la superficie di attacco di SAP

Per proteggere i dati sensibili, considerate la possibilità di ridurre la "superficie di attacco" nel vostro panorama SAP, ovvero la topografia dei sistemi e dei dati che possono essere attaccati. Il mascheramento o l'offuscamento dei dati possono mantenere l'integrità referenziale e la funzionalità dei dati dei sistemi di test, formazione, sandbox e sviluppo senza rendere identificabili i soggetti dei dati o lasciare esposti campi di dati sensibili.

Data Secure, parte della suite Data Sync Manager (DSM) di EPI-USE Labs, è una soluzione completa di protezione dei dati che maschera i dati SAP per salvaguardare le informazioni sensibili. Consente ai dati di funzionare correttamente grazie a centinaia di regole di mascheramento preconsegnate. È possibile creare nuove regole da zero, estendere quelle esistenti o scaricare contenuti da altri utenti della community sulla nostra piattaforma collaborativa, Client Central. Il risultato è una protezione dei dati in tempo reale.

Molte aziende hanno paesaggi SAP integrati con dati distribuiti tra ERP, CRM, SRM e ambienti esterni. Data Secure anonimizza gli oggetti di dati integrati in modo coerente su sistemi diversi.

Avete bisogno di anonimizzare i dati al di fuori di SAP? Il nostro team di sviluppo personalizzato è in grado di creare una soluzione per la frammentazione dei dati, che estende Data Secure a sistemi non SAP.