Tutti gli utenti del tuo sistema hanno la transazione SP01?
Davvero permetti a tutte le utenze SAP di vedere cosa stampano tutti gli utenti? Le stampe potrebbero contenere dei dati personali (GDPR), dati riservati? Forse è meglio controllare!
1) Cosa permette di fare la transazione SP01?
La transazione SP01 permette di visualizzare lo spool di stampa di SAP. Lo spool di stampa è una zona dove vengono archiviate le stampe che un utente effettua da SAP prima di essere stampate fisicamente.
A differenza della transazione SP02, che permette di vedere solamente le proprie stampe, la SP01 permette di vedere le stampe di tutti gli utenti.
Se nello stesso sistema SAP ERP usi anche HR, un utente qualsiasi potrebbe vedere la stampa di documenti riservati (es. cedolini, o altri dati HR riservati). È chiaramente possibile vedere inoltre le stampe generate da utenti tecnici (es. di sistema). Spesso infatti esistono dei job che generano degli spool tramite utenze tecniche.
2) È davvero un rischio?
Può essere un rischio molto alto anche se la sola transazione SP01 potrebbe non permettere davvero di visualizzare tutti gli spool.
Come per la maggior parte delle transazioni SAP, il fatto di possedere una transazione non significa poterla eseguire con tutte le sue funzionalità. Infatti, oltre all’oggetto autorizzativo tecnico S_TCODE (che protegge in SAP l’avvio delle transazioni) è necessario avere una serie di ulteriori oggetti autorizzativi per poter vedere il contenuto degli spool di stampa.
Gli oggetti autorizzativi legati alle stampe sono i seguenti:
- S_SPO_ACT – Limitazione delle attività negli spool
- S_SPO_DEV – Limitazione dei device di stampa, se gestiti in SAP
- S_ADMI_FCD con i valori SPOR ed SP01
Nel caso in cui gli oggetti sopra siano presenti, un utente è in grado di visualizzare tutti gli spool tramite la transazione SP01.
Attenzione se abiliti la transazione SP01 in un ruolo che non ha gli oggetti sopra, un certo utente potrebbe riceverli da altri ruoli. In SAP le autorizzazioni si sommano!
3) Come fare per evitare il problema e da dove è probabilmente nato?
- Spesso durante le implementazioni di SAP i consulenti suggeriscono l’uso della transazione SP01. Per chi fa supporto o per chi effettua un progetto, questo può essere corretto. Tuttavia, agli utenti finali non dovrebbe essere rilasciata o mostrata questa funzionalità. Questo comporta spesso una abitudine all’utilizzo, anche per finalità legittime difficile da scardinare.
- Rimuovi la transazione SP01 da tutte le utenze ed assegnala solo a chi realmente potrebbe averne bisogno.
- Rilascia ed avvisa gli utenti di utilizzare la transazione SP02 in sostituzione della SP01, vedi anche come costruire un ruolo di base SAP
- Se alcuni utenti devono vedere lo spool di altre persone puoi rilasciare la transazione SP01 in modo che sia possibile vedere lo spool di più persone (questi ultimi potranno anche classificare le informazioni sensibile e non sensibili, vedi nota OSS Note 158487 - How can one user view the spool requests of other users