La plataforma global e independiente para la comunidad SAP.

¿Cumple las normas o realiza las pruebas de todos modos?

A pesar de la DIN, la DSGVO y los auditores: la práctica operativa sigue demostrando en muchísimas empresas, sobre todo medianas, que el tema del cumplimiento de la normativa suele acabar al margen de los sistemas productivos.
Peter Höroldt, Libélula
28 de abril de 2020
[shutterstock.com: 234022315, Kamira]
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Pero, ¿qué ocurre con el manejo de datos personales y otros datos críticos para la empresa en sistemas no productivos? Si una gestión estricta de las autorizaciones similar a la de los sistemas productivos no estructura claramente el acceso a los sandboxes y los sistemas de control de calidad, la puerta sigue abierta de par en par a las posibilidades técnicas de fuga involuntaria de datos.

El sistema de autorización

Nuestra experiencia demuestra que tanto los desarrolladores internos como los externos suelen tener un acceso relativamente fácil a los sistemas de control de calidad, normalmente con permisos mucho más amplios de los que obtendrían en un entorno productivo.

Al fin y al cabo, las pruebas deben realizarse con datos reales totalmente completos. Esto se debe a que las existencias de datos reducidas pero lógicamente coherentes sólo permiten la coherencia funcional hasta cierto punto, lo que también cubre todos los casos especiales reales y hace que las declaraciones de rendimiento sean fiables.

Además, sólo pueden conseguirse con un amplio trabajo de configuración y también requieren plazos de exportación/importación relativamente largos.

Copiar y clonar

Por ello, muchas empresas confían en la copia homogénea del sistema o en el clon del sistema. Porque las copias de sistemas nunca han sido tan fáciles, frecuentes y rápidas como ahora. Los sistemas de control de calidad y de pruebas se construyen y/o actualizan con solo pulsar un botón, especialmente en relación con entornos en la nube comparativamente baratos y "fácilmente adquiribles".

En general, esto es positivo. Sin embargo, como resultado, las bases de datos completas, incluidos los datos personales y otros datos críticos para la empresa, son cada vez más accesibles a personas no autorizadas. Si estos sistemas también están bajo el radar de los comisarios de protección de datos y la DSGVO (palabra clave:

derecho a la información, o: "¿en qué sistemas se almacenan cuáles de mis datos personales?"), en caso de duda, pueden encontrarse al mismo tiempo varias infracciones de la legislación vigente y de los requisitos de cumplimiento tanto internos como externos.

Sólo hay unas pocas formas de controlar esto. En primer lugar, la limitación estricta del número de sistemas y la eliminación consecuente de datos personales y otros datos críticos, en nuestra opinión claramente contrarios al objetivo de estos sistemas.

En segundo lugar, la aplicación estricta de conceptos de autorización análogos a los entornos productivos, y la consiguiente restricción de la capacidad de trabajo y la eficacia de desarrolladores, consultores y probadores.

En tercer lugar, la anonimización persistente de los datos garantiza que estos sistemas dejen de ofrecer datos sensibles y críticos para la empresa; en nuestra opinión, es el mejor camino a seguir, siempre que se siga garantizando la "capacidad lógica de funcionamiento" de los datos.

Esto significa que estos sistemas ya no transportan datos reales críticos, pero siguen ofreciendo conjuntos de datos que parecen reales y son lógicamente coherentes. En general, las estructuras de edad deberían seguir siendo similares, las distribuciones regionales, así como otras agrupaciones/segmentaciones.

Los registros de datos financieros, los IBAN o las sumas de comprobación de las tarjetas de crédito deben calcularse tan correctamente como las direcciones de las calles se asignan a códigos postales correctos. Y algunos casos críticos más.

Todas estas dependencias lógicas deben tenerse en cuenta inicialmente a la hora de anonimizar, no sólo dentro de un sistema de la cadena del proceso empresarial, sino en todos los sistemas y bases de datos del proceso empresarial completo. El hecho de que a veces intervengan otras plataformas de aplicaciones además de los sistemas SAP también debería tenerse más que presente.

Plantillas para todos

Lo bueno de esto es que se conocen los modelos de datos de la mayoría de los principales fabricantes de aplicaciones. Así, proveedores como Libelle DataMasking disponen de plantillas maduras que ya cubren gran parte de estos requisitos. Están disponibles desde el primer momento, pueden utilizarse inmediatamente y también pueden ampliarse paso a paso.

De este modo, los "datos críticos en sistemas no productivos" de las obras de construcción pueden regularse de forma comparativamente sencilla y rápida con respecto a los requisitos internos y externos, sin restringir la capacidad de trabajo de asesores y promotores.

https://e3magpmp.greatsolution.dev/partners/libelle-ag/
avatar
Peter Höroldt, Libélula


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.