Sfida
Garantire la compliance del sistema applicativo SAP alla normativa GDPR (regolamento UE n° 2016/679) con particolare riferimento alla protezione dei dati personali dei Clienti attraverso l’implementazione della suite completa di soluzioni SAP per il GDPR.
Soluzione
Il gruppo di lavoro Qintesi ha supportato il Cliente nell’implementazione della soluzione in un progetto complesso articolato in 4 stream.
Stream 1: Implementazione di SAP GRC Access Control per:
- gestire gli accessi e i ruoli autorizzativi nei diversi applicativi in ambito (ERP, BW, ecc…) in modo da assicurare il monitoraggio “preventivo” delle policies definite tramite una messaggistica di “alert” ai process owner in caso di creazione/modifica;
- individuare in “real time” le violazioni della matrice di segregazione delle responsabilità (Matrice SOD).
Stream 2: Implementazione SAP UI Masking per mascherare i dati indipendentemente dalla:
- modalità di accesso (visualizzazione, reporting, accesso diretto alle tabelle, download su MS Excel ecc…);
- ampiezza del profilo di autorizzazione (compresi quindi gli utenti con profili da “super user” ad es. “SAP ALL”).
La verifica ex-post tramite accesso ai log di sistema che riportano l’indicazione di “quali dati personali sono stati oggetto di accesso e da quali utenti” è stata assicurata dall’implementazione della soluzione SAP UI Logging.
Stream 3: Implementazione SAP Test Data Migration Server per:
- semplificare la copia e/o la migrazione dei dati dai sistemi produttivi verso gli ambienti di sviluppo/test;
- ridurre il volume dei dati trattati (limitando il processo alle “porzioni” di dati necessari);
- evitare la propagazione in ambiente di test dei dati personali attraverso una procedura di “scrambling” dei dati critici.
Stream 4: Implementazione SAP Data Service per gestire i processi di data quality in ambienti SAP e non SAP.
L’analisi in tempo reale di log “anomali” provenienti dai sistemi SAP e non SAP e la correlazione di eventi anomali accaduti anche su sistemi differenti al fine di individuare possibili data breach sono stati assicurati tramite l’adozione della soluzione SAP ETD (Enterprise Threat Detection) su piattaforma tecnologica SAP HANA.
Risultati
- Adeguata la sicurezza dei sistemi SAP in ambito Risk & Compliance alla normativa GDPR
- Creata una mappatura completa dei dati personali presenti sui sistemi SAP
- Controllati gli accessi ai dati e revisionato il processo di “provisioning” dei ruoli e dei profili
Le informazioni contenute in questo documento sono di proprietà.
Copyright © 2014 Qintesi S.p.A. Tutti i diritti riservati.