Documente Academic
Documente Profesional
Documente Cultură
Michael Bonrat
Director de producto, SAP AG
Autorizaciones especficas y conceptos de proteccin de datos en ySAP !" Autorizaciones y proteccin de datos con o#$etos de autorizaciones Autorizaciones y proteccin de datos con autorizaciones estructurales Posi#ilidades de e$oras especficas de !"
%unciones generales para la proteccin de datos en el conte&to de ySAP !" Proteccin contra descargas no autorizadas Proteccin contra e$ecuciones no autorizadas de listados referentes a datos aestros !" Proteccin contra usos no autorizados de herra ientas gen'ricas de listados Proteccin contra realizacin de listados a edida no autorizados con Ad(hoc( )uery Proteccin contra accesos directos no autorizados a las ta#las de la #ase de datos
"e*uisitos legales
Mapa de carretera para la definicin e i ple entacin de los conceptos especficos de la e presa so#re seguridad y el concepto de proteccin de datos
+alor
+alor
,on este o#$eto de autorizacin, un usuario puede tener el siguiente perfil de autorizacin ...
= = = = = = =
0-6 * R, M DE01 1 * *
A *ue tipo de datos !e "n e#$lea!o % se puede acceder? ,o o se accede a los datos? A *ue e pleados pode os acceder a sus datos ?
Ma+ter Data Ma+ter Data - .he/"eo e0ten!i!o A+$irante+, can!i!ato+ Ma+ter Data - .he/"eo !el n2#ero !e $er+onal Reali3aci4n !e li+ta!o+ Plani5icaci4n !el $er+onal
666 7 !o+ i#$ortante+ o89eto+ !e a"tori3acione+ !e la+ Ba+e+ $ara +er "+a!o+ en :R; Manteni#iento !e ta8la+ =ia herra#ienta+ e+t>n!ar tale+ co#o SM30% Te#Se; Accione+ en (89eto+=Te#Se
S'TAB<'D)S S'TMS'A.T
Crea de personal:
0B11
Crea de personal:
0B11
En el e+t>n!ar, e+te ca#$o +e rellena con lo+ =alore+ !e lo+ ca#$o+ Crea de personal @ ,entro de costes6 En la acti=i!a! !e a!a$taci4n al "+"ario Set up organizational key +e $"e!en !e5inir "na+ reAla+ $ro$ia+ $ara el ca#$o6 .a#ino Path%; Ge+ti4n !e $er+onal A!#ini+traci4n !e $er+onal Dato+ orAani3ati=o+ A+iAnaci4n orAani3ati=a E.reaci4n !e la cla=e orAani3ati=a%
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /D
El ca#$o Interpretacin del nmero de personal asignado @ la+ o$cione+ E,.1<)R e )*.1<)R controla el ni=el !e in5oti$o, +i !i+$one !e acce+o al $ro$io n2#ero !e $er+onal, +"$erior o in5erior co#o +e !e5ine en P'(RG)*% la a"tori3aci4n !e8e e+tar !i+$oni8le66
A$arte !el e+cenario !e+crito arri8a acce+o +i#$li5ica!o a $roAra#a+ e+$ecB5ico+%, ta#8iFn +e $"e!en !e5inir otro+ e+cenario+ con el ca#$o Grado de simplificacin del chequeo de autorizaciones $or e9e#$lo en el acce+o !e +4lo lect"ra incl"+o $ara "n +ecretario $artic"lar, /"e no e+ re+$on+a8le !e "n e#$lea!o e+$ecB5ico, e+ !ecir, "n che/"eo ai+la!o, +e$ara!o !e "na a+iAnaci4n orAani3ati=a @ "na a"tori3aci4n !e in5oti$o
Proteccin de datos para objetos de estin Or-anizati,a0 1ormacin y estin de Acontecimientos2 222 (P%O # 3l acceso a o#$etos de Gestin /rganizatiAa, de %or acin y Gestin de Aconteci ientos y Desarrollo de Personal se controla con el o#$eto de autorizacin P$ani(icaci)n de pers na$ (P*OG) . 3ste o#$eto che*uea los siguientes ca pos:
INFOTYP: Infotipo
S'MWB'G.(D P'(.WBE*.: P'APP1 P'PE02 P'PE01 P'P.1, P'P.R P'.ERT)G P'T.(DE P'.ATS,T
.4!iAo+ !e 5"nci4n $er#iti!o+ $ara el e+critorio !el !irector Acti=i!a!e+ 5"era !el ciclo !e WorH8ench A+$irante+ A"tori3aci4n $ara la reAla !e c>lc"lo !el $er+onal A"tori3aci4n $ara lo+ e+/"e#a+ !e c>lc"lo !el $er+onal AAr"$acione+ ReAi+tro !e control !e li8ra#iento+ )n5or#e+ .4!iAo !e la tran+acci4n P'.ATS,T
2001,encontrarlo+ TechED Vienna , WR13D3W1, Michael Bonrat /13 SAP o AG c4#o "+e Mantenimiento de
Ien e+ta li+ta 5altan alA"no+ o89eto+ !e a"tori3aci4n internacionale+ o e+$ecB5ico+ !el $aB+6 Para con+eA"ir la li+ta co#$leta los Objetos de Autorizacin TR; S<21% @ =i+"alice la cla+e !e o89eto :R 6
8J. 1 1 1 1
P+ 01 01 01 01
ino(3 ino(3
Stat+ 1 1 1 1
Profundidad Profundidad
Signo Per.
%M
8J 1 1 1 1
P+ 01 01 01 01
ino(3 ino(3
Stat+ 12 12 12 12
Profundidad Profundidad
Signo Per.
%M
y...
/-1:110 0.0.1B( ... /-0:011 Pos0 Pers0 PosB PersB /-B:B11 PosG PersG PosH PersH /-G:G11 PosI PersI Pos: Pers:
de ,-et . O,-ect ID: M,u2l es el o#$eto inicial de la autorizacin estructural? 4M,u2l es el tipo e 7D del o#$eto inicial?5 de ,-et y M)d#$ de (#nci)n: M,u2l es el o#$eto inicial de la autorizacin estructural? 4M)u' dulo %M sola encontrar el o#$eto inicial?5 de e/a$#aci)n: M)u' o#$etos estar2n en el perfil? M)u' tipo de acceso da el perfil?
+ip
/ S P
Ca!in
Manteni!ient : P$a0 :
R:'GET'MA*AGER' ASS)G*ME*T
Perfil estructural gen'rico para esos usuarios: Perfil: Directi=o 8J 1 P+ 01 /T /7D Mant. ,a ino(3 F Mdulo de %uncin ( , (JSJP N8o hay o#$eto inicial definido en el perfilO
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /20
R:'GET'(RG' ASS)G*ME*T
A2&C
<S2 A2&C
P2
<S2
A2&C
P2
"esultado: -suarios con grandes perfiles asignados al al acena iento de las Aistas en SAP(Me ory
Asignacin Manual
ORGIN:
3ste ca po controla el uso del o#$eto de autorizacin P6P3"8"
3ste ca po controla si en la Ad inistracin de Personal ta #i'n la estructura organizatiAa 4y los perfiles estructurales5 de#eran procesarse en el che*ueo de autorizaciones
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /24
Posibilidades de mejora
Si se desean definir perfiles de autorizacin 2s especficos *ue los posi#les con los o#$etos de autorizacin est2ndar o el est2ndar de la autorizacin estructural, se pueden usar los siguientes incre entos o e$oras:
Definir un o#$eto de autorizacin especfico de cliente 4a edida5 4P6888885 y actiAar el che*ueo de autorizaciones con este o#$eto:
1a #e9ora !el conce$to !e a"tori3aci4n con "n o89eto !e5ini!o !e cliente +e reco#ien!a +i +e !e+ea che/"ear con ca#$o+ /"e no +e che/"ean en el o89eto e+t>n!ar Para e+te re/"i+ito +e !e8e re=i+ar la+ $o+i8ili!a!e+ !e a!a$tar a #e!i!a el ca#$o VDSO1 en el o89eto P'(RG)*%
NAsegKrese de *ue los 7nfoSets de sus usuarios son consistentes con sus respectiAos perfilesO
Cuestiones especiales de autorizaciones acerca de aplicaciones HR espec.$icas(4#8 Autoser,icio del empleado AutoserAicio del 3 pleado:
Para la creacin y anteni iento de usuarios 3SS e plee la transaccin especial !"6-S3".
0. ,opie y adapte el papel SAP6VP6 3 ployee o SAP63SS-S3" B. Seleccione e pleados
G.
0. W B.
#5
c5
Autorizacin estructural
Me$orass
P6/"G78: +DS>0 P68888 BAd7: !"PAD... BAd7: !"BAS...
Los o#$etos de autorizacin !" y la autorizacin estructural per iten incluso i ple entar re*uisitos de autorizacin uy co ple$os de seguridad de datos y autorizacin de accesos. Si se necesita, este est2ndar se puede e$orar de Aarios odificacinO5. odos 4Nsin
P*o +e !e8e ol=i!ar en e+te conte0to la $rotecci4n !e !ato+ #e!iante la a+iAnaci4n !e i presoras especficas $ara lo+ !irectore+ $er+onal#ente o salas de i presin especficasQ
Proteccin contra la realizacin de listados no permitidos con <erramientas -en5ricas de listados (+#8 Proteccin mediante men=>per$il
Para lo+ li+ta!o+ @ ta#8iFn otra+ 5"ncione+ la+ herra ientas de listado gen'ricas 4,onsulta Ad(hoc, ,onsulta SAP5 +4lo e+t>n !i+$oni8le+ $ara "n "+"ario +i +on $arte !e +" papel @ el enK de papel e+$ecB5ico6 A+B +e $"e!e e=itar el acce+o a e+ta+ herra#ienta+ crean!o "n #en2 !e $a$ele+ +in e+ta+ herra#ienta+6
A!e#>+ !e e+ta $rotecci4n !e acce+o /"e controla el acce+o Aeneral a e+ta+ herra#ienta+ 666
Proteccin contra la realizacin de listados no permitidos con <erramientas -en5ricas de listados (4#8 Objeto de autorizacin S_?@ERA 666 El acce+o al >rea !e con+"lta+ +e controla a!icional#ente con el o89eto !e a"tori3aci4n S6)-3";6 E+te o89eto controla /"F acti=i!a!e+ $"e!e e9ec"tar "n "+"ario en herra#ienta+ !e con+"lta; .rear/.a#8iar con+"lta+ .rear/.a#8iar )n5oSet+ @ Gr"$o+ !e "+"ario+ P*o +e $"e!e crear codificacin adicional $ara )n5oSet+ con e+te o89eto !e a"tori3aci4nQ%
)ncl"+o +i "n "+"ario h"8iera $o!i!o iniciar "na herra#ienta AenFrica !e li+ta!o+ +in tal entra!a en +" #en2 @ +in lo+ =alore+ correcto+ en el o89eto !e a"tori3aci4n, no $o!rBa !e5inir o iniciar con+"lta+666
Proteccin contra la realizacin de listados no permitidos con <erramientas -en5ricas de listados (6#8 !n$oSets y -rupos de usuarios
666, $or/"e el acce+o a in5oti$o+ :R +4lo e+ $o+i8le a tra=F+ !e )n5o+et+ e0$lBcita#ente a+iAna!o+6 *o ol=i!e en e+te conte0to; P1o+ $er5ile+ !e a"tori3aci4n !e5ini!o+ con o#$etos de autorizacin y la autorizacin estructural +on rele=ante+ tanto $ara tra8a9ar con la+ .on+"lta+ A!JhocJR"er@ co#o $ara tra8a9ar con li+ta!o+ $roAra#a!o+ " otra+ a$licacione+Q
8o 7nfoSet X 8o )ueryO
Proteccin contra la realizacin de listados no permitidos con <erramientas -en5ricas de listados (9#
666, a!e#>+ !e e+ta+ caracterB+tica+ !e +eA"ri!a! /"e conciernen en $ri#era lBnea el !e+arrollo @/o e9ec"ci4n !e con+"lta+ $re!e5ini!a+, e+ ta#8iFn $o+i8le log Ad(hoc( "eporting. Para hacer "n loA !e li+ta!o+ A!J:oc +e !e5ine $ara /"F )n5oSet !e8e e+tar acti=o el loA @ +e o8tienen ca#$o+ !e +elecci4n, ca#$o+ !e re+"lta!o, "+"ario, 5echa, etc66 Se $"e!en li+tar lo+ 5ichero+ loA con el Ar"$o !e "+"ario /SAPR<ER7/SR @ el )n5oSet /SAPR<ER7/R<ER7'1(GG)*G6 Para acti=ar en el )MG; !omponentes de base !onsulta"SA# ogging%
portantes y crticos
ada "%,
Todos
#io de
aestro usuario
/tros
Adicional ente se puede conectar el Log de auditora de seguridad al Monitor de alerta de la direccin del centro infor 2tico
Las funciones generales, las del area de consultas, las de log Yriting y las de auditora co pletan los conceptos de autorizacin en ySAP !", las cuales nos per iten i ple entar distintas for as para la proteccin de datos.
pautas especficas de la e presa, P/"e #"@ 5rec"ente#ente tienen =irt"al#ente la #i+#a 5"nci4n @ +iAni5ica!o co#o le@ nacional o internacionalQ De8e c"i!ar+e !e tener en #ente lo+ representantes del e pleado, c"an!o +e recoAen lo+ re/"i+ito+ leAale+
ReBuisitos le-ales (4#8 %os t5rminos m&s comunes en los reBuisitos le-ales nacionales 222
... Se reconoce en este conte&to:
Datos personales Datos sensi#les -so legal y fiel Propsito Adecuacin Precisin 7nfor
acin 4de te as de datos5 Seguridad y ,onfidencialidad 4D... ,on los costes apropiados en relacin al riesgoE5 8otificacin Soluciones y penalizaciones... M2s en: Gua para la Proteccin de Datos para /rganizaciones Multinacionales con /peraciones en 3uropa 4#y Maitland Z ,oQ->5
ReBuisitos le-ales(6#8 Sitios Ceb sobre proteccin de datos y reBuisitos le-ales nacionales
Australia: www.privacy.gov.au/ Austria 4D3, 385: www.bka.gv.at/datenschutz/ Belgica 438, 8L, %"5: www.privacy.fgov.be/ ,anada 438, %"5: www.privcom.gc.ca/ Dina arca 4D8, 385: www.datatilsynet.dk/ %inlandia: www.tietosuoja.fi/ %rancia 4%", 38, 3S5: www.cnil.fr/ Ale ania 4D3, 385: www.bfd.bund.de/ Gran Breta[a: www.dataprotection.gov.uk/ Grecia: www.dpa.gr/ !ong >ong 4385: www.pco.org.hk/ !ungra 4385: www.obh.hu/adatved/indexek/index.htm/ 7rlanda: www.dataprivacy.ie/
ReBuisitos le-ales(9#8 Sitios Ceb sobre proteccin de datos y reBuisitos le-ales nacionales
7talia 47T, 385: \apn: !olanda 48L, 385: 8ueAa ]elanda: 8oruega 48/, 385: Portugal: 3spa[a: Suecia 4S+, 385: Suiza 4D, %, 7T, 385: -SAQPuerto seguro: www.garanteprivacy.it/garante/ie/HomePage www.somucho.go.jp/ www.registratiekamer.nl/ www.privacy.org.nz/ www.datatilsynet.no/ www.cnpd.pt/ www.ag-protecciondatos.es/ www.datainspektionen.se/ www.edsb.ch/ www.export.gov/safeharbor/
-tilice ta #i'n las p2ginas Ye# de asociaciones de representacin de e pleados en los diferentes pases. /frecen con frecuencia #uenas plantillas para las pautas de proteccin de datos, *ue ta #i'n son uy Ktiles para la i ple entacin t'cnica
DirectiAa de la -3
Prohi#e la transferencia de datos personales a pases YQo protecciones e*uiAalentes
4,o prende: Precisin de datos, -so apropiado, ,onoci iento o conciencia Derecho de acceso, ...5 personal,
7 pacto de la DirectiAa de la -3
Si plifica las operaciones en 3uropa, no las co plica La ley est2 todaAa eAolucionando y crea incertidu #re Los usuarios de datos internacionales tienen *ue e&a inar sus pr2ctics de negocios a la luz de la legislacin ca #iante
NNNPeroOOO: La DirectiAa de la -3 8/
7legaliza !" glo#al 7 posi#ilita el procesa iento de datos europeos fuera de 3uropa 7 pide el desarrollo de ha#ilidades glo#ales o #ases de datos de incu #encia
Sie pre *ue sigas algunas pautas, *ue puedes encontrar ...
7apa de carretera para la de$inicin e implementacin del concepto de proteccin de datos para una empresa espec.$ica (+#
M)uien est2 i plicado? e#$lea!o re$re+entante+ !e lo+ e#$lea!o+ e#$lea!or .on+"ltore+ )nterno+/E0terno+% SAP 666 M)u' pautas y re*uisitos legales tienen *ue ser aplicados? Pa"ta+ e+$ecB5ica+ !e la e#$re+a +o8re $rotecci4n !e !ato+ Re/"i+ito+ leAale+ ReAla+ e"ro$ea+ +o8re $rotecci4n !e !ato+ Puntos adicionales: A$licacione+ We8 Pre+"$"e+to $ara +eA"ri!a! @ $rotecci4n !e !ato+ )nter5ace+ Si+te#a !e De+arrollo/ Pro!"cti=o ... 2001, TechED Vienna , WR13D3W1, Michael Bonrat /50 SAP AG /#$etiAo: )ue todos los grupos i plicados de la e presa participen en la discusin so#re seguridad y el concepto de proteccin de datos
/#$etiAo: ,onseguir una pri era Aista de con$unto de los re*uisitos a respetar
7apa de carretera (4#8 Primera especi$icacin de las necesidades de la empresa8 /asada en los reBuisitos del ne-ocio
Antes de las cuestiones t'cnicas de las autorizaciones 4papeles, perfiles, ...5 se de#en fi$ar las necesidades funcionales del negocio y los datos re*ueridos 4Ncon o sin conte&to de siste aO5:
R"F $a$ele+ +on nece+ario+ $ara lo+ !ato+ :R, /"e $a$ele+ $ara la a!#ini+traci4n @ la a!a$taci4n al cliente
/#$etiAo: ,onseguir una definicin de los papeles del negocio /#$etiAo: ,onseguir una Aista general de los datos a al acenar
N... ; los resultados se de#en docu entar en una pri era Aersin de la gua de proteccin de datosO
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /51
/#$etiAo: Definicin t'cnica de DfuncionalE papelesE. 7nfor acin so#re los o#$etos de autorizacin disponi#les para Dperfil de datosE /#$etiAo: ,onseguir una Aisin general so#re los pros y contras de diferentes posi#ilidades: ( 7nfotipo estandar ( 7nfotipo adaptado al cliente... /#$etiAo: ,onseguir una Aisin general so#re las t'cnicas de listado y enfo*ues a e plear
7apa de carretera(9#8 Decisiones rele,antes de se-uridad basadas en in$ormacin procedente de la implementacin t5cnica
La infor acin procedente de una i ple entacin diferente da el fondo o infor acin preAia para nuestras decisiones de seguridad y su i ple entacin .4#o controla#o+ el L$er5il !e acce+o !e !ato+M SR"F conce$to+ $"e!en/!e8en +er "+a!o+%T P!oc"#ento en $rotecci4nJ! !e la A"BaQ% 1i+ta 5i9a !e lo+ in5oti$o+ e#$lea!o+ PA na! PD% @ !e lo+ ti$o+ !e o89eto "+a!o+ P!oc"#ento en $rotecci4nJ! !e la A"BaQ%
/#$etiAo: Definicin t'cnica de Dperfil de acceso a datosE /#$etiAo: 3Aaluar las i plicaciones para el D perfil de acceso a datosE 4ta #i'n perfil funcional5 y adaptar perfiles5 /#$etiAo: 3Aaluar las i plicaciones para D perfil de acceso a datosE 4ta #i'n perfil funcional5 y adaptar perfiles5
)#$le#entaci4n !e +ol"cione+ tFcnica+ $ara li+ta!o+ @ e=al"aci4n !e la+ i#$licacione+ $ara L!ato+
$%a durante la implementacin t&cnica debe espec'(icarse cmo se debe controlar la gu'a en el sistema productivo)
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /53
$ara#etro+T
S<+o relaciona!o con el tra8a9oT .he/"ee li+ta!o+ innece+ario+; Me9ore @
,onceptos de autorizacin ySAP !" /#$etos de autorizacin Autorizacin estructural Me$oras ...
Definicin e i ple entacin de un concepto de proteccin de datos especfico a la e presa Docu entacin Transparencia Auditoria
3 pleando
ySAP
ySAP !"
Puedes i ple entar un concepto de autorizacin y una gua de proteccin de datos, *ue co plete las necesidades legales y especficas de la e presa.
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /55
8o part of this pu#lication ay #e reproduced or trans itted in any for or for any purpose Yithout the e&press per ission of SAP AG. The infor ation contained herein ay #e changed Yithout prior notice. So e softYare products arUeted #y SAP AG and its distri#utors contain proprietary softYare co ponents of other softYare Aendors. Microsoft`, V78D/VS`, 8T`, 3@,3L`, Vord`, PoYerPoint` and S)L SerAer` are registered trade arUs of Microsoft ,orporation. 7BM`, DBB`, /SQB`, DBBQ:111`, Parallel Sysple&`, M+SQ3SA`, "SQ:111`, A7@`, SQGR1`, ASQH11`, /SQGR1`, and /SQH11` are registered trade arUs of 7BM ,orporation. /"A,L3` is a registered trade arU of /"A,L3 ,orporation. 78%/"M7@`(/nLine for SAP and 7nfor i&` Dyna ic SerAerTM are registered trade arUs of 7nfor i& SoftYare 7ncorporated. -87@`, @Q/pen`, /S%Q0`, and Motif` are registered trade arUs of the /pen Group. ,itri&`, the ,itri& logo, 7,A`, Progra 8eigh#orhood`, Meta%ra e`, Vin%ra e`, +ideo%ra e`, MultiVin` and other ,itri& product na es referenced herein are trade arUs of ,itri& Syste s, 7nc. !TML, D!TML, @ML, @!TML are trade arUs or registered trade arUs of VG,`, Vorld Vide Ve# ,onsortiu , Massachusetts 7nstitute of Technology. \A+A` is a registered trade arU of Sun Microsyste s, 7nc. \A+AS,"7PT` is a registered trade arU of Sun Microsyste s, 7nc., used under license for technology inAented and i ple ented #y 8etscape. SAP, SAP Logo, "QB, "7+A, "QG, SAP ArchiAeLinU, SAP Business VorUfloY, Ve#%loY, SAP 3arlyVatch, BAP7, SAPP!7"3, Manage ent ,ocUpit, ySAP.co Logo and ySAP.co are trade arUs or registered trade arUs of SAP AG in Ger any and in seAeral other countries all oAer the Yorld. All other products entioned are trade arUs or registered trade arUs of their respectiAe co panies.
Por faAor, co plete su sesin de eAaluacin y depostela en el #uzn situado a la salida. Sea a a#le a tire su #asura y no se lleAe los i presos para la pr&i a sesin.