AGLEA SAP Security Blog

SAP Field Masking

Scritto da Massimo Manara | Dec 23, 2018 11:00:00 PM

Per motivi di policy interne o regolamenti potrebbe essere necessario anonimizzare dei dati gestiti in SAP. Esistono diversi modi per rendere anonimi i dati. I primi elementi su cui concentrarsi sono i seguenti:

  • Quali dati anonimizzare
  • In quali sistemi/ambienti
  • Quali utenti autorizzare
  • Come monitorare la conformità della segregazione posta in essere

A seguito delle valutazioni è possibile capire come procedere e quale strumento utilizzare. Uno degli strumenti che SAP mette a disposizione è il Field Masking (vedi anche video seguente sul sito SAP: https://www.sap.com/assetdetail/2017/01/a4d972a3-a37c-0010-82c7-eda71af511fa.html).

 

Questo prodotto a pagamento è formato da due componenti:

  • SAP UI Masking
  • SAP UI Logging

 

L'UI Masking permette di andare a mascherare, tramite degli asterischi (****), ad esempio, i dati ritenuti sensibili. Questo livello di masking interviene nel process before output (BPO), non sono quindi modificati i dati nelle tabelle SAP.

 

Un esempio mostrato sotto riguarda la transazione PA20 sui dati retributivi

Dati in chiaro:

Dati anonimizzati:

 

Tramite una transazione di reportistica specifica (/UIM/VIEW_FAT) è inoltre possibile vedere chi ha visto cosa (in formato “chiaro” o anonimizzato). Questa funzionalità può essere utilizzata su diverse tecnologie di front end:

  • SAP GUI
  • Web dynpro ABAP
  • CRM Web Client
  • RFC/BAPI Web Service
  • UI5 FIORI

 

Il collegamento ad un SIEM (Security Information and Event Management) diventa fondamentale per poter evidenziare solo gli eventi ritenuti importanti nel caso di attivazione della componente UI Logging.

 

Dal punto di vista della terminologia SAP è fondamentale sottolineare la differenza tra il termine Masking ed il termine Scrambling.

 

  • Il primo, masking, far riferimento al prodotto sopra oppure alla transazione SDMSK (quest'ultima non soggetta ad ulteriore licenza SAP). SAP in questo caso intende il mascheramento dei dati in ambienti produttivi. I dati non sono modificati a livello di database ma solo anonimizzati quando vengono presentati all'utente.
  • Con il termine scrambling SAP intende la modifica dei dati direttamente nel database e quindi in ambienti non produttivi. Vedi prodotto SAP TDMS Test Data Migration Server.

 

Questi componenti possono essere utilizzati in ottica GDPR (approfondisci qui) o per la protezione di determinati dati aziendali (approfondisci qui).

 

Desideri capire o approfondire come impostare un progetto di mascheramento dei dati? Quali sono i punti di attenzione da considerare? Quali sono le soluzioni standard (SAP e non SAP) e quelle a pagamento, pregi e difetti?