Hana - registro conforme a la ley

En lo que respecta al registro y almacenamiento de logs conforme a la ley, los clientes de SAP pueden estar tranquilos en la pila Abap. Gracias a los documentos de modificación generados automáticamente, una gran parte de los registros que requieren conservación ya se generan allí.

Si a continuación activa el registro de tablas para la personalización, combinado con un concepto de archivo para los registros, podrá sentarse y relajarse. De este modo, se pueden respetar los plazos de conservación, como los del artículo 257 del Código de Comercio alemán (HGB).

En la base de datos Hana, esto es diferente. Como es habitual con las bases de datos, no hay registro por defecto (la única excepción es el control de versiones dentro del entorno de desarrollo). Dado que Hana no funciona como una base de datos pura, sino que asume partes de la capa de aplicación, el registro es esencial aquí. Antes de utilizar una base de datos Hana de forma productiva, se debe crear un concepto de registro e implementarlo técnicamente.

El primer paso es determinar dónde se escribirán los registros. Además de la posibilidad de escribirlos en una tabla Hana (Sys.Audit_Log), también se puede utilizar el SysLog del servidor Unix.

Esto último ofrece la ventaja de que se puede implementar una separación de funciones entre la configuración de los logs y su evaluación/almacenamiento. En particular, aquí se presta el uso de un servidor SysLog central, al que se reenvían los logs y desde donde se archivan.

El siguiente paso es definir qué debe registrarse. Para cumplir con los requisitos legales, esto debería ser al menos: una administración de usuarios (creación/modificación/eliminación de usuarios y grupos de usuarios), una asignación de autorizaciones (asignación/retirada de funciones y privilegios), cambios en la configuración de los cifrados (datos persistentes, claves raíz, redo logs), una configuración del sistema (cambios en los parámetros del sistema), una configuración de interfaces, cambios en los esquemas y en los certificados (creación, modificación, eliminación).

Si se opera un ERP SAP o S/4 Hana en la base de datos Hana, también puede ser útil registrar cualquier acceso a sus datos que no se produzca a través del propietario (SAP).

En Hana, además de modificar los accesos, también se pueden registrar los accesos de lectura a los datos. Esto es especialmente útil para datos sensibles según la ley de protección de datos (por ejemplo, datos de empleados) y para datos críticos para la empresa (condiciones, datos de producción).

El registro se implementa técnicamente con Hana AuditLog. Aquí se pueden definir varias políticas, a las que se asignan acciones de registro en cada caso. Estas deben configurarse de acuerdo con las especificaciones.

Debe tenerse en cuenta que no sólo los sistemas productivos están sujetos a la obligación de registro, sino también los sistemas de desarrollo en algunos casos. Una vez configurado el AuditLog de acuerdo con las especificaciones, la autorización para cambiar la configuración (System Privilege Audit Admin) sólo debe utilizarse, si es posible, de acuerdo con el principio de control dual.

Si los logs se almacenan en la Hana DB, la autorización para borrar los logs (Privilegio del Sistema Operador de Auditoría) tampoco debe estar asignada.

Además, el Hana AuditLog debe integrarse en el concepto global específico de la empresa para el registro, en el que se regulan temas como las especificaciones de configuración, las responsabilidades, los ciclos de evaluación y los periodos de conservación.

Esto incluye los requisitos legales y los requisitos específicos de la empresa para el registro, los periodos de conservación de los distintos registros, los conceptos de archivo de los registros, las especificaciones y responsabilidades para la evaluación periódica, así como los requisitos de documentación para la evaluación y los niveles de escalado en caso de hallazgos.

La explotación de las bases de datos Hana plantea, pues, nuevos retos en lo que respecta a las obligaciones de conservación. A diferencia de la pila Abap, se pide a la empresa que configure el registro de acuerdo con las directrices legales e internas.