Preparar los sistemas SAP para Europa
El Reglamento General de Protección de Datos, introducido por la Unión Europea, plantea la cuestión, especialmente en comparación con la Ley Federal de Protección de Datos (BDSG), de qué se entiende específicamente por tal.
Muchas de las normas establecidas en el RGPD se basan en la BDSG. Las principales ampliaciones del Reglamento se refieren a la protección de los consumidores, el "derecho al olvido", las obligaciones de rendición de cuentas y la portabilidad de datos.
Las empresas deben activarse aquí
Mientras que las normativas sobre portabilidad de datos o responsabilidad implican ajustes en los procesos internos de las empresas, la protección del consumidor o el derecho de supresión exigen cambios directamente en la protección de datos. En este caso, las empresas deben garantizar que se salvaguardan los derechos de las personas cuyos datos se almacenan.
El gran reto para las empresas es aplicar en la medida necesaria los requisitos individuales del Reglamento de protección de datos. Sobre todo, deben actuar con prontitud para poder aplicar las nuevas normas en el plazo previsto.
En primer lugar, las empresas deben obtener una visión detallada de los procesos utilizados actualmente a nivel interno que implican datos personales.
Estos procesos son el punto de partida de todas las medidas posteriores en el marco del RGPD y, por tanto, uno de los factores esenciales para aplicar con éxito la nueva normativa.
Los procesos pertinentes se basan en una gran cantidad de datos que son necesarios para el tratamiento de datos o se generan en el proceso. Toda empresa debe examinar detalladamente estos datos y evaluar hasta qué punto pueden minimizarse o si son necesarios en absoluto.
Además, la calidad de los datos es un factor extremadamente importante. Cuanto mejor sea la calidad de los datos en cuestión y mejor correspondan a un perfil de datos definido, más fácil será definir medidas con las que puedan aplicarse razonablemente los requisitos del RGPD.
Como preparación para la aplicación del Reglamento General de Protección de Datos de la UE, los departamentos de protección de datos de cada empresa deben elaborar conceptos sobre cómo mantener la seguridad de la información en su propio tratamiento de datos.
Estos conceptos definen tanto el tratamiento de datos personales en el propio entorno informático como también describen directrices y procesos que tienen en cuenta los temas de la protección de datos, la responsabilidad, la portabilidad de datos o también la aplicación de la solicitud de supresión de los interesados.
Mantener la seguridad de la información es especialmente urgente en los sistemas de aplicaciones que no son de producción. Los sistemas de prueba suelen disponer de datos relacionados con la producción por una buena razón. Si se va a trabajar con datos "reales" en sistemas de prueba, es imperativo tomar medidas para garantizar la protección de todos los datos personales.
Especialmente cuando se trata de sistemas de aplicación a los que también acceden procesadores externos que trabajan o viven fuera de la UE. La anonimización o pseudoanonimización de datos, que se aplica a los datos personales, es adecuada para este fin.
Lo más importante: el análisis
Un requisito previo esencial para anonimizar los datos es identificar los procesos que procesan o utilizan datos personales.
Existen herramientas que apoyan estos análisis, como SNP System Scan o SNP Business Process Analysis.
Mientras que el SNP System Scan proporciona una visión global de su sistema SAP, centrándose especialmente en el alcance de las estructuras organizativas o el uso de módulos, el SNP Business Process Analysis (BPA) se utiliza para analizar y visualizar los procesos empresariales y los flujos de trabajo.
BPA es una solución estándar. Se utiliza para analizar e ilustrar flujos de trabajo de sistemas ERP SAP, EBS, JD Edwards o PeopleSoft, entre otros, a partir de datos maestros y de transacciones. SNP BPA contiene un extractor que recoge automáticamente los datos necesarios del sistema SAP y proporciona la información obtenida para su posterior análisis o creación de datos.
Estas evaluaciones también son relevantes en el curso de los proyectos de anonimización. Ayudan a comprender qué variantes del proceso se utilizan en los sistemas de aplicación y cómo les afecta la anonimización.
La comunicación entre sistemas es tan importante como el desarrollo de los procesos empresariales. Las interfaces garantizan el intercambio de información dentro del entorno del sistema y con socios de comunicación externos.
Al anonimizar, no hay que cometer el error de considerar un sistema de aplicación sólo por sí mismo. Hay que analizar claramente qué sistemas se comunican entre sí y qué datos se intercambian entre ellos.
Por ejemplo, si los datos sólo se anonimizan en un sistema ERP y los datos de otro sistema se devuelven de forma no anonimizada a través de una interfaz, la anonimización de determinados datos puede resultar ineficaz.
El SNP Interface Scanner (IFS) proporciona un amplio apoyo en el análisis mediante la comprobación y documentación de interfaces con poco esfuerzo. Los resultados muestran qué tipos de interfaz se utilizan entre qué sistemas y con qué frecuencia.
Se pueden utilizar diversas formas de presentación (tabla, gráfico Visio, etc.) para proporcionar e ilustrar una amplia gama de evaluaciones. Una vez concluida la fase de análisis y concepción, hay que poner en marcha los procesos acordados.
En la fase de concepción, se determina qué datos se anonimizarán y cómo. Para ello se necesita una herramienta que configure dichos parámetros de forma sencilla y reutilizable y que sea capaz de anonimizar datos masivos de forma coherente y con poco tiempo de procesamiento.
Con SNP Data Provisioning & Masking (SNP DPM), estos requisitos pueden cumplirse plenamente. Este producto es un software estándar para el suministro de datos de prueba realistas y seguros.
El software ayuda a acortar de forma decisiva los procesos de desarrollo y cambio, permite escenarios de pruebas y formación más rentables y, al mismo tiempo, protege los datos sensibles de clientes y productos de usos indebidos internos y externos.
SNP DPM proporciona un componente de control central con el que se configuran los escenarios de migración y las reglas de anonimización y seudonimización. Los escenarios se aplican en posteriores migraciones de datos o ejecuciones de anonimización de datos como lógica para la alienación de los datos.
El almacenamiento central de estos conjuntos de reglas tiene la ventaja de que están permanentemente disponibles y son reutilizables. Además, las mismas reglas pueden aplicarse a distintos sistemas de aplicación.
SNP DPM proporciona reglas de anonimización que pueden alienar contactos como socios comerciales, clientes, proveedores, empleados o incluso datos de transacciones como datos financieros o logísticos.
Las normas utilizan mecanismos de sustitución, de mezcla aleatoria, de cifrado o de inicialización, entre muchos otros.
SNP DPM ofrece aún más funcionalidades. Entre otras cosas, puede utilizar la extracción de datos con criterios de selección definidos o extracciones mediante objetos de negocio predefinidos. Estos objetos empresariales predefinidos representan tanto objetos de datos maestros, por ejemplo, clientes, como procesos empresariales, por ejemplo, un pedido de cliente.
De este modo, contienen las tablas pertinentes, teniendo en cuenta las dependencias necesarias entre ellas, para proporcionar de forma coherente los datos dependientes de los documentos seleccionados.
El tiempo corre
Un año pasa rápido y, antes de que se dé cuenta, será 25 de mayo de 2018. Comience ahora con las actividades preparatorias necesarias para la aplicación del Reglamento General de Protección de Datos de la UE.
Cuanto más detallada esté preparada la aplicación de los puntos clave de la normativa, menos problemas surgirán a la hora de aplicarla realmente, y menor será el riesgo de sanciones elevadas por incumplimiento.