AGLEA SAP Security Blog

SAP GDPR: quali sono i sistemi/strumenti coinvolti?

Scritto da Massimo Manara | May 28, 2019 10:00:00 PM

Non è esiste, al momento, una soluzione unica che permetta di affrontare tutti gli aspetti richiesti dal GDPR.

 

 

SAP propone diversi sistemi, vediamo quali sono ed a cosa servono.

 

Il processo di gestione alla conformità GDPR

La gestione alla conformità del GDPR prevede il coinvolgimento di diverse direzioni aziendali. Le macro fasi principali, dal punto di vista della individuazione e della gestione dei dati personali sono le seguenti:

  • Identificazione dei processi GDPR Relevant
  • Adeguamento della contrattualistica (fornitori, dipendenti, clienti)
  • Identificazione dei dati personali gestiti
  • Individuazione dei dati personali presenti nei vari sistemi aziendali utilizzati (anche i dati personali non trattati elettronicamente devono essere gestiti)
  • Definizione del registro dei trattamenti
  • Data Privacy Impact Analysis (DPIA)
  • Gestione dei trattamenti emersi durante la risk analysis
  • Adeguamento delle policy aziendali (es. Data Breach Policy, definizione di nuovi progetti GDPR compliant)
  • Formazione agli attori coinvolti

 

Dal punto di vista tecnico SAP cosa puoi fare?

SAP ha diversi strumenti che cercano di coprire la maggior parte dei passaggi precedenti.

L'adozione degli strumenti definiti da SAP non comporta l'adeguamento automatico al regolamento.

Ogni azienda deve effettuare una valutazione dei rischi per capire se deve o meno svolgere azioni di mitigazione dei rischi.

 

Nella nota OSS 2590321 - Upgrade recommendations to support GDPR compliance, SAP ha indicato quali sono i software che hanno delle novità o adattamenti per la gestione del GDPR. Per quanto riguarda SAP ERP, dalla Release 6.0 EhP8 SP06. Mentre su S/4HANA On Premise dalla 1709.

 

Quali sono gli strumenti/sistemi SAP per la gestione del GDPR?

Per ognuna delle macro aree sopra sono stati progettati dei sistemi specifici.

  • Individuazione dei dati personali
    • SAP Information Steward
    • SAP Process Mining by Celonis
    • SAP Power Designer
  • Registro dei trattamenti (RoPA - Records of processing activities)
  • Definizione dei controlli e DPIA
    • SAP Process Control e Risk Management, Audit Management
  • Diritto all'oblio e retention dei dati
    • SAP ILM - Information Lifecycle Management
  • Scrambling dei dati in ambiente non produttivo
    • SAP TDMS Test Data Migration Server
  • Masking dei dati SAP
  • Sicurezza dei lanscape SAP e Accountability

 

Tutti gli strumenti sopra sono applicabili esclusivamente ai sistemi SAP. Fanno eccezione sistemi quali Information Steward, IDM, SSO, GRC, che possono essere collegati anche sistemi non SAP.

 

Mentre la parte di mascheramento dati, retention e scrambling, viene svolta solo nei sistemi SAP.

 

Individuazione dei dati personali

Sono sistemi che permettono, ad esempio nel caso dell'Information Stewart, di capire dove un certo dato si trova nei vari database SAP e non SAP.

 

Immaginiamo l'esempio del codice fiscale. La struttura di questa informazione può essere individuata tramite l'uso di espressioni regolari. Lo strumento permette tra le altre cose di individuare se contenuto di un campo in un database può essere assimilabile alla chiave di ricerca inserita, in questo caso un codice fiscale. Guarda qui un video dimostrativo.

 

In quali processi sono presenti i dati personali? Questa è la domanda alla quale può rispondere la soluzione SAP Process Mining by Celonis, guarda qui il video.

 

SAP Data Privacy and Governance

Si tratta di uno strumento totalmente in cloud. Formato dai seguenti moduli:

  • Definizione delle policy e distribuzione tra gli utenti
  • Raccolta di tutti i dati per definire il RoPA (registro dei trattamenti)
  • Definizione della PIA - Privacy Impact Analysis (valido anche per ISO27001, lato security)
  • Controlli mitigativi (In lavorazione da parte di SAP un catalogo di controlli mitigativi già pronti)

 

Uno dei punti chiave dello strumento è che ogni process owner riceva un documento/quiz e risponda a delle domande per definire a seguito il registro dei trattamenti.

 

SAP Information Lifecycle Management

SAP ILM permette di gestire le regole di retention dei dati. Questo sistema sfrutta il meccanismo dell'archiviazione dei dati per esportare i dati da SAP rendendoli poi accessibili o meno ad un gruppo ristretto di utenti. La definizione delle:

  • residence rule, ovvero la durata entro la quale il dato deve restare live nel sistema
  • retention rule, ovvero la durata entro la quale il dato deve essere conservato in archivio prima della sua eventuale distruzione

 

I dati quindi non sono cancellati dal database ma sono di fatto archiviati. Esistono altri sistemi sul mercato per svolgere la medesima operazione ma andando a modificare il dato nel database.

 

SAP TDMS Test Data Migration Server

La protezione dei dati negli ambienti non produttivi avviene utilizzando strumenti che durante la copia dei sistemi vanno a modificare il contenuto dei dati. Questo tramite delle regole di scrambling. Quali sono queste regole? Ad esempio:

  • Random, ovvero sostituisco con dei dati casuali
  • Table conversion, in questo caso ho un "era diventa". Ad esempio il nome Mario Rossi diventa Roberto Bianchi
  • Regole personalizzate da definire tramite scrittura di programmi ABAP ad hoc

 

Come avviene il processo nel TDMS:

  • Stand-Alone Scrambling, in questo caso avviene una copia, come previsto nello "standard SAP" ovvero senza TDMS, e quest'ultimo interviene direttamente nel sistema copiato a seguito per modificare i dati
  • Scrambling During Data Transfer, in questo caso lo scrambling dei dati viene applicato durante la fase di copia dei sistemi.

 

 

Quali sono i punti importati da considerare?

Se sei un IT manager dovresti:

  • Sapere quali sono i dati personali da proteggere, non è solo a carico dell'IT ovviamente questa fase. Ci deve essere un tavolo di lavoro tra vari dipartimenti.
  • Individuarli nei vari sistemi coinvolti. Ovvero la traduzione tecnica dei dati rilevati nella fase precedente e la identificazione nei vari sistemi
  • Analizzare le risultanze della risk analysis per capire se ci sono azioni da svolgere es. attivare la crittografica, anonimizzare i dati
  • Valutare dove definire un registro dei trattamenti? Forse un semplice file excel non è sufficiente per svolgere ed integrare tutti i dati richiesti

 

Solo a seguito di quanto sopra dovresti valutare gli strumenti che potresti avere bisogno per svolgere quanto sopra.