Sunteți pe pagina 1din 57

Autorizaciones en mySAP HR

Michael Bonrat
Director de producto, SAP AG

Traducido por : Angel Garca Garca

Autorizaciones y Proteccin de Datos en mySAP HR

Autorizaciones especficas y conceptos de proteccin de datos en ySAP !" Autorizaciones y proteccin de datos con o#$etos de autorizaciones Autorizaciones y proteccin de datos con autorizaciones estructurales Posi#ilidades de e$oras especficas de !"

%unciones generales para la proteccin de datos en el conte&to de ySAP !" Proteccin contra descargas no autorizadas Proteccin contra e$ecuciones no autorizadas de listados referentes a datos aestros !" Proteccin contra usos no autorizados de herra ientas gen'ricas de listados Proteccin contra realizacin de listados a edida no autorizados con Ad(hoc( )uery Proteccin contra accesos directos no autorizados a las ta#las de la #ase de datos

"e*uisitos legales

Mapa de carretera para la definicin e i ple entacin de los conceptos especficos de la e presa so#re seguridad y el concepto de proteccin de datos

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /2

Concepto de objetos de autorizacin


-suario ...
-suario

... Tiene autorizacin, ... )ue es che*ueada:


Autorizacin /#$eto de autoriz ,a po +alor Transaccin /#$eto de autoriz ,a po +alor

+alor


+alor

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /3

Ejemplo de un objeto de autorizacin (P_OR !"#


-n o#$eto de autorizacin se define por los ca pos contenidos en el o#$eto. -n o#$eto de autorizacin puede tener hasta 01 ca pos. -no de los o#$etos de autorizacin 2s i portantes !" ( HR: Master data (P_ORGIN). 3ste o#$eto che*uea los siguientes ca pos:
INFTY: Infotipo SUBTY: Subtipo AUTHC: Nivel de autorizacin PERSA: rea de personal PERSG: Grupo del empleado (divisin) PERSK: Subgrupo del empleado VDSK1: Clave organizativa(categora)

,on este o#$eto de autorizacin, un usuario puede tener el siguiente perfil de autorizacin ...

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /4

Ejemplo de un per$il de autorizacin de$inido con un objeto de autorizacin HR


3$e plo del grado de detalle *ue puedes usar para el acceso a datos y el odo de acceso 4lectura, escritura, ...5 :
P6/"G78
INFTY SUBTY AUTHC PERSA PERSG PERSK VDSK1

= = = = = = =

0-6 * R, M DE01 1 * *

A *ue tipo de datos !e "n e#$lea!o % se puede acceder? ,o o se accede a los datos? A *ue e pleados pode os acceder a sus datos ?

-n usuario con el perfil recogido arri#a puede


Mostrar 4A-T!, 9 "5 y #uscar con los atch codes 4 A-T!, 9 M5 7nfotipos 1111 to 111: 4incluyendo todos los su#tipos5 478%T;: 1(:< S-BT; 9 =5

3ste usuario tiene acceso a los e pleados


Del 2rea de personal D310, *ue est2 asignada al Grupo de 3 pleados 0 8o hay autorizacin de che*ueo usando los ca pos P3"S> y +DS>

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /5

%os objetos m&s importantes de autorizacin HR

P'(RG)* P'(RG,, P'APP1 P'PER*R P'ABAP P1(G

Ma+ter Data Ma+ter Data - .he/"eo e0ten!i!o A+$irante+, can!i!ato+ Ma+ter Data - .he/"eo !el n2#ero !e $er+onal Reali3aci4n !e li+ta!o+ Plani5icaci4n !el $er+onal

666 7 !o+ i#$ortante+ o89eto+ !e a"tori3acione+ !e la+ Ba+e+ $ara +er "+a!o+ en :R; Manteni#iento !e ta8la+ =ia herra#ienta+ e+t>n!ar tale+ co#o SM30% Te#Se; Accione+ en (89eto+=Te#Se

S'TAB<'D)S S'TMS'A.T

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /&

Proteccin e'tendida para HR master data (P_OR ((#


Si deseas controlar el acceso a !" aster data 2s detallada ente, puedes usar el o#$eto de autorizacin HR: Master Data Extended Check 4P6/"G@@5 . 3ste o#$eto che*uea los siguientes ca pos:
INFTY: Infotipo SUBTY: Subtipo AUTHC: Nivel de autorizacin SACHA: Administrador de libramientos SACHP: Administrador de HR Master Data SACHZ: Administrador de Time Recording SBMOD: Administrador del Grupo (Subdivisiones) 1o+ ca#$o+ SACHA, SACHP, SACHZ @ SBMOD +on ca#$o+ !el in5oti$o Asignacin organizativa 0001%6 .o#o e+te in5oti$o $"e!e tener reAi+tro+ !e$en!iente+ !el tie#$o, e+ $o+i8le /"e "n "+ario tenAa a"tori3aci4n $ara el acce+o +4lo en inter=alo+ !e tie#$o e+$ecB5ico+6

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /?

Proteccin de datos de aspirantes (P_APP%#


3l acceso a los datos !" de aspirantes se controla con el o#$eto de autorizacin HR: Aspirantes. 3ste o#$eto che*uea los siguientes ca pos:
INFTY: Infotipo SUBTY: Subtipo AUTHC: Nivel de autorizacin PERSA: rea de personal APGRP: Grupo de aspirantes APTYP: Rango o intervalo de aspirantes VDSK1: Clave organizativa RESRF: Director de personal responsable de las solicitudes En contra+te con lo+ o89eto+ P'(RG)* @ P'(RG,, el che/"eo con e+ta a"tori3aci4n no puede !e+acti=ar+e6

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /C

El campo de autorizacin )DS*+ Cla,e or-anizati,a


E+te ca#$o $er#ite i#$le#entar $er5ile+ !e a"tori3aci4n 8a+a!o+ en o89eto+ !e a"tori3aci4n !e "n #o!o #>+ co#$le9o6 Se $"e!en !e5inir reAla+ co#$le9a+, /"e rellenan e+te ca#$o con lo+ Aalores co #inados de los ca pos en el infotipo 1110 !e lo+ reAi+tro+ !e t"+ e#$lea!o+ @ che/"ear !e n"e=o e+te =alor con t"+ $er5ile+ !e a"tori3aci4n6 ,laAe organizatiAa: 0B111111110111 ,laAe organizatiAa: 0B111111110B11

Crea de personal:

0B11

,entro de costes: 1111110111

Crea de personal:

0B11

,entro de costes: 1111110B11

En el e+t>n!ar, e+te ca#$o +e rellena con lo+ =alore+ !e lo+ ca#$o+ Crea de personal @ ,entro de costes6 En la acti=i!a! !e a!a$taci4n al "+"ario Set up organizational key +e $"e!en !e5inir "na+ reAla+ $ro$ia+ $ara el ca#$o6 .a#ino Path%; Ge+ti4n !e $er+onal A!#ini+traci4n !e $er+onal Dato+ orAani3ati=o+ A+iAnaci4n orAani3ati=a E.reaci4n !e la cla=e orAani3ati=a%
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /D

Autorizacin para el acceso a los propios datos maestros (P_PER"R#


Si un usuario de#e alcanzar acceso a sus propios datos, otro perfil co o en el acceso general a los datos aestros, puedes controlar esto con el o#$eto de autorizacin HR: Dat s !aestr s Che"#e de$ n%!er de pers na$ 4P6P3"8"5. 3ste o#$eto che*uea los siguientes ca pos:
AUTHC: PSIGN: INFTY: SUBTY:

Nivel de autorizacin Interpretacin del nmero de personal asignado Infotipo Subtipo

El ca#$o Interpretacin del nmero de personal asignado @ la+ o$cione+ E,.1<)R e )*.1<)R controla el ni=el !e in5oti$o, +i !i+$one !e acce+o al $ro$io n2#ero !e $er+onal, +"$erior o in5erior co#o +e !e5ine en P'(RG)*% la a"tori3aci4n !e8e e+tar !i+$oni8le66

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /10

Acceso simpli$icado para la ejecucin de pro-ramas espec.$icos (P_A/AP#


Si algunos listados especficos, no crticos 4lista de tel'fonos, lista de direcciones internas, ...5 de#en estar disponi#les ta #i'n para los usuarios *ue nor al ente no tienen acceso a los datos !", se pueden definir tales perfiles con el o#$eto de autorizacin HR: Rep rtin& (P_A'AP). 3ste o#$eto che*uea los siguientes ca pos:
REPID: Nombre de programa ABAP COARS: Grado de simplificacin del chequeo de autorizacones

A$arte !el e+cenario !e+crito arri8a acce+o +i#$li5ica!o a $roAra#a+ e+$ecB5ico+%, ta#8iFn +e $"e!en !e5inir otro+ e+cenario+ con el ca#$o Grado de simplificacin del chequeo de autorizaciones $or e9e#$lo en el acce+o !e +4lo lect"ra incl"+o $ara "n +ecretario $artic"lar, /"e no e+ re+$on+a8le !e "n e#$lea!o e+$ecB5ico, e+ !ecir, "n che/"eo ai+la!o, +e$ara!o !e "na a+iAnaci4n orAani3ati=a @ "na a"tori3aci4n !e in5oti$o

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /11

Proteccin de datos para objetos de estin Or-anizati,a0 1ormacin y estin de Acontecimientos2 222 (P%O # 3l acceso a o#$etos de Gestin /rganizatiAa, de %or acin y Gestin de Aconteci ientos y Desarrollo de Personal se controla con el o#$eto de autorizacin P$ani(icaci)n de pers na$ (P*OG) . 3ste o#$eto che*uea los siguientes ca pos:

PLVAR: OTYPE: SUBTYP: ISTAT:

Versin del plan Tipo de objecto Subtipo Status de la planificacin

INFOTYP: Infotipo

PPFCODE: Cdigo de funcin

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /12

Objetos de autorizacin HR adicionales3

S'MWB'G.(D P'(.WBE*.: P'APP1 P'PE02 P'PE01 P'P.1, P'P.R P'.ERT)G P'T.(DE P'.ATS,T

.4!iAo+ !e 5"nci4n $er#iti!o+ $ara el e+critorio !el !irector Acti=i!a!e+ 5"era !el ciclo !e WorH8ench A+$irante+ A"tori3aci4n $ara la reAla !e c>lc"lo !el $er+onal A"tori3aci4n $ara lo+ e+/"e#a+ !e c>lc"lo !el $er+onal AAr"$acione+ ReAi+tro !e control !e li8ra#iento+ )n5or#e+ .4!iAo !e la tran+acci4n P'.ATS,T

2001,encontrarlo+ TechED Vienna , WR13D3W1, Michael Bonrat /13 SAP o AG c4#o "+e Mantenimiento de

Ien e+ta li+ta 5altan alA"no+ o89eto+ !e a"tori3aci4n internacionale+ o e+$ecB5ico+ !el $aB+6 Para con+eA"ir la li+ta co#$leta los Objetos de Autorizacin TR; S<21% @ =i+"alice la cla+e !e o89eto :R 6

Concepto de autorizacin estructural


3l usuario ...
-suario

... Tiene un perfil estructural, F*ue se che*uea


Autorizacin estructural

Transaccin Perfil estructural D ,a posE D +alorE

Perfil estructural D,a posE D+alorE

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /14

Ejemplos de per$iles estructurales (+#


3$e plo 0: Perfiles para directores de personal, )uien necesita acceso co pleto a las -nidades /rganizatiAas, Posiciones y Personas )uien es responsa#le de los e pleados por ra a de la estructura organizatiAa /-1:110 /-0:011 Pos0 Pers0 PosB PersB /-B:B11 PosG PersG PosH PersH /-G:G11 PosI PersI Pos: Pers:

Perfil All All'(<1 All'(<2 All'(<3

8J. 1 1 1 1

P+ 01 01 01 01

/T /7D Maint. ,a ,a ( ( ( ( 001 100 200 300 , , , ,

ino(3 ino(3

Stat+ 1 1 1 1

Profundidad Profundidad

Signo Per.

%M

(JSJP (JSJP (JSJP (JSJP

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /15

Ejemplos de per$iles estructurales (4#


3$e plo B: Perfiles para ad inistradores de for acin, )uien crea nueAos grupos de aconteci ientos )uien crea nueAos tipos de aconteci ientos )uien crea nueAos aconteci ientos 3G1:110 3G0:011 3T0 30 3TB 3B 3GB:B11 3TG 3G 3TH 3H 3GG:G11 3TI 3I 3T: 3:

Perfil All All'EG1 All'EG2 All'EG3

8J 1 1 1 1

P+ 01 01 01 01

/T /7D Maint. ,a ,a 1 1 1 1 001 100 200 300 , , , ,

ino(3 ino(3

Stat+ 12 12 12 12

Profundidad Profundidad

Signo Per.

%M

1JDJE 1JDJE 1JDJE 1JDJE

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /1&

De$inicin de las autorizaciones estructurales (+#


Para la definicin de las autorizaciones estructurales se usan los siguientes ca pos:
8o #re del ca po: 4Perfil de autorizacin5: 48K ero de secuencia5: +ersin del plan: Tipo de o#$eto: /#$eto 7D: Manteni iento: ,a ino de eAaluacin: +ector de estatus: Profundidad: Signo: Plazo: Mdulo de funcin: Significado: .la=e !el $er5il *2#ero !e lBnea !e la !e5inici4n !el $er5il Para /"F =er+i4n !el $lan e+ =>li!o el $er5il Ti$o !e o89eto !el o89eto inicial (89etoJ)D !el o89eto inicial Manteni#iento o acce+o !e +4lo lect"ra .a#ino !e e=al"aci4n /"e !e8e "+ar+e E+tat"+ !e la $lani5icaci4n $ara leer Pro5"n!i!a! !e lect"ra Direcci4n !e lect"ra de arriba a abajo o de abajo a arriba% Restriccin relativa al periodo de validez de la estructura M4!"lo !e 5"nci4n $ara la !e5inici4n !in>#ica !el o89eto inicial

y...

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /1?

De$inicin de las autorizaciones estructurales (4#


... Los siguientes ca pos son los 2s i portantes:
+ip

/-1:110 0.0.1B( ... /-0:011 Pos0 Pers0 PosB PersB /-B:B11 PosG PersG PosH PersH /-G:G11 PosI PersI Pos: Pers:

de ,-et . O,-ect ID: M,u2l es el o#$eto inicial de la autorizacin estructural? 4M,u2l es el tipo e 7D del o#$eto inicial?5 de ,-et y M)d#$ de (#nci)n: M,u2l es el o#$eto inicial de la autorizacin estructural? 4M)u' dulo %M sola encontrar el o#$eto inicial?5 de e/a$#aci)n: M)u' o#$etos estar2n en el perfil? M)u' tipo de acceso da el perfil?

+ip

/ S P

Ca!in

Manteni!ient : P$a0 :

MPor *u' periodo de Aalidez de la estructura da acceso el perfil?


SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /1C

De$inicin -en5rica de las autorizaciones estructurales (+#


Perfil para directiAos *ue est2n asignados a posiciones de directiAos:
/-1:110 /-0:011 Pos0 Pers0 PosB PersB 9 DirectiAo /-B:B11 PosG PersG PosH PersH 9 DirectiAo /-G:G11 PosI PersI Pos: Pers: 9 DirectiAo

Perfil estructural gen'rico para esos usuarios:


Perfil Directi=o 8J 1 P+ 01 /T /7D Mant. ,a ino(3 F Mdulo de funcin ( , (JSJP N8o hay o#$eto inicial definido en el perfilO
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /1D

R:'GET'MA*AGER' ASS)G*ME*T

De$inicin -en5rica de las autorizaciones estructurales (4#


Perfil para e pleados *ue tienen posicin en una unidad organizatiAa:
/-1:110 /-0:011 Pos0 Pers0 PosB PersB 9 3 pleado /-B:B11 PosG PersG PosH PersH 9 3 pleado /-G:G11 PosI PersI Pos: Pers: 9 3 pleado

Perfil estructural gen'rico para esos usuarios: Perfil: Directi=o 8J 1 P+ 01 /T /7D Mant. ,a ino(3 F Mdulo de %uncin ( , (JSJP N8o hay o#$eto inicial definido en el perfilO
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /20

R:'GET'(RG' ASS)G*ME*T

De$inicin -en5rica de las autorizaciones estructurales (6#


Lgica e pleada por los dos inicial: dulos est2ndar para la #Ks*ueda del o#$eto M4!"lo !e 5"nci4n "!6G3T6/"G
6ASS7G8M38T: (0 (2 A012 K :at <S1 A2&C P1 S1 (1 A003 S2 (2

Mdulo de funcin "!6G3T6MA8AG3" 6ASS7G8M38T: (0 A012 K :at S1 <S1 P1 (1 A003 S2

A2&C

<S2 A2&C

P2

<S2

A2&C

P2

NSe pueden definir

dulos propios, *ue pueden usar otros tipos de relacin o de o#$etoO

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /21

Autorizaciones estructurales y ejecucin


El che/"eo !e a"tori3acione+ $ara "+"ario+ con Aran!e+ $er5ile+ !e a"tori3aci4n $"e!e oca+ionar $ro8le#a+ !e e9ec"ci4n6 Para e=itar e+to +e !e8e;
*o "+ar Lca#ino+ !e e=al"aci4n a8ierto+M <+ar ca#ino+ !e e=al"aci4n e+$ecB5ico+ $or ti$o !e o89eto

Para "+"ario+ con Aran!e+ $er5ile+ +e !e8erBa "+ar;


Al#acena#iento !e la =i+ta !e la+ a"tori3acione+ en SAPJ Me#or@ R:BA<S00% A+iAnaci4n a"to#>tica !e lo+ "+"ario+ i#$lica!o+ R:BA<S02% Act"ali3aci4n a"to#>tica !e lo+ "+"ario+ i#$lica!o+ R:BA<S01 an! R:BA<S02%

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /22

7antenimiento e$ecti,o y asi-nacin de los per$iles estructurales


Tarea: Definir perfiles estructurales
Definicin Manual Definicin Gen'rica Tarea: /pti izar e$ecucin de grandes perfiles

"esultado: Perfiles estructurales definidos

Asignacin anual de usuarios

Asignacin con listado "!BA-S1B

Tarea: Asignar perfiles

"esultado: -suarios con grandes perfiles asignados al al acena iento de las Aistas en SAP(Me ory

Asignacin Manual

Al acenar el perfil en la -nidad /rganizatiAa o Posicin y distri#uir 4"!P"/%L15

Tarea: Definir tarea para el funciona iento ordinario de "!BA-S11

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /23

%os principales campos de autorizaciones HR


3ste ca po controla el uso del o#$eto de autorizacin P6/"G78 3ste ca po controla el uso del o#$eto de autorizacin P6/"G@@ 0 1 0 1 0I 1 Plazo de tolerancia para el che*ueo de autorizacin en das de calendario 3ste ca po controla el uso de un o#$eto de autorizacin definido por el cliente

ORGIN:
3ste ca po controla el uso del o#$eto de autorizacin P6P3"8"

ORGXX: PERNR: NNNNN: ADAYS: ORGPD:

3ste ca po controla si en la Ad inistracin de Personal ta #i'n la estructura organizatiAa 4y los perfiles estructurales5 de#eran procesarse en el che*ueo de autorizaciones
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /24

Per$il completo de un usuario HR (concepto de autorizacin en dos partes#


Perfiles Perfiles definidos definidos con con autorizacin autorizacin estructural: estructural: Perfiles Perfiles definidos definidos con con o#$etos o#$etos de de autorizacin autorizacin !": !":

P6/"G78 78%T; /(: ...

Perfil Perfil co co pleto pleto de de usuario usuario 0 0

P6/"G78 78%T; 1(P ...

Perfil Perfil co co pleo pleo te te usuario usuario B B

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /25

Posibilidades de mejora

Si se desean definir perfiles de autorizacin 2s especficos *ue los posi#les con los o#$etos de autorizacin est2ndar o el est2ndar de la autorizacin estructural, se pueden usar los siguientes incre entos o e$oras:
Definir un o#$eto de autorizacin especfico de cliente 4a edida5 4P6888885 y actiAar el che*ueo de autorizaciones con este o#$eto:
1a #e9ora !el conce$to !e a"tori3aci4n con "n o89eto !e5ini!o !e cliente +e reco#ien!a +i +e !e+ea che/"ear con ca#$o+ /"e no +e che/"ean en el o89eto e+t>n!ar Para e+te re/"i+ito +e !e8e re=i+ar la+ $o+i8ili!a!e+ !e a!a$tar a #e!i!a el ca#$o VDSO1 en el o89eto P'(RG)*%

BAd7: Autorizacin 4!"PAD11A-T!6,!3,>5


El "+o !e e+te BA!) +e reco#ien!a +i +e !e+ea i#$le#entar "na l4Aica $ro$ia !e che/"eo !e lo+ !ato+ #ae+tro+ :R6 Para #>+ !etalle+ +o8re la i#$le#entaci4n !e e+te BA!) $or 5a=or, =Fan+e lo+ e9e#$lo+ !e i#$le#entaci4n en la !e5inici4n BA!)%

BAd7: Autorizacin 3structural 4!"BAS116ST"-A-T!5


El "+o !e e+te BA!) +e reco#ien!a +i +e !e+ea i#$le#entar "na l4Aica $ro$ia !e che/"eo !e la a"tori3aci4n e+tr"ct"ral

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /2&

Cuestiones especiales de autorizaciones acerca de aplicaciones HR espec.$icas (+#


AutoserAicio del e pleado: N3 plee la transaccin especial !"6-S3" para asignar papelesQperfiles a usuarios 3SSO +'ase la Gua de 7 ple entacin 3SS H.:, 47SB8 0(PRGIS1(RS(I5 Papel y -suario 4page PR5 ManagerTs DesUtop : NAsegKrese de *ue los usuarios del ManagerTs DesUtop tienen todas las autorizaciones *ue necesitan para las funciones disponi#les en el is oO ,onsulta Ad(hoc y ,onsulta SAP:

NAsegKrese de *ue los 7nfoSets de sus usuarios son consistentes con sus respectiAos perfilesO

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /2?

Cuestiones especiales de autorizaciones acerca de aplicaciones HR espec.$icas(4#8 Autoser,icio del empleado AutoserAicio del 3 pleado:
Para la creacin y anteni iento de usuarios 3SS e plee la transaccin especial !"6-S3".
0. ,opie y adapte el papel SAP6VP6 3 ployee o SAP63SS-S3" B. Seleccione e pleados

G.

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /2C

Cuestiones especiales de autorizaciones acerca de aplicaciones HR espec.$icas(6#8 Autoser,icio del empleado

0. W B.

a5 G. a5 A$uste usuariosQpapel 3SS


#5 ,ree usuario yQo asigne papel 3SS c5 Borre usuarios

#5

c5

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /2D

Cuestiones especiales de autorizaciones acerca de aplicaciones HR espec.$icas(9#8 7ana-er:s Des;top


MTiene el usuario autorizaciones para todas las funciones disponi#les en el 2r#ol?

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /30

Cuestiones especiales de autorizaciones acerca de aplicaciones HR espec.$icas (6#8 7ana-er:s Des;top


MTiene el usuario autorizaciones para todos los infotipos disponi#les en el infoset? 4Dependiendo del odo de funcin de la ,onsulta(Ad(hoc podra ser ane$ada por el papel y el generador de perfiles5

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /31

Conceptos de autorizacin en HR8 Resumen


/#$etos de autorizacin !"
P6/"G78 P6/"G@@ P6ABAP P6PL/G ...

Autorizacin estructural

Me$orass
P6/"G78: +DS>0 P68888 BAd7: !"PAD... BAd7: !"BAS...

Los o#$etos de autorizacin !" y la autorizacin estructural per iten incluso i ple entar re*uisitos de autorizacin uy co ple$os de seguridad de datos y autorizacin de accesos. Si se necesita, este est2ndar se puede e$orar de Aarios odificacinO5. odos 4Nsin

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /32

Proteccin contra descar-as o e'portaciones no autorizadas


Se $"e!en $roteAer lo+ !ato+ contra !e+carAa+ o e0$ortacione+ no $er#iti!a+ con el o89eto !e a"tori3aci4n A#t ri0aci)n para acti/idades G1I 4S6G-756

*ota+ intere+ante+ en e+te conte0to;

002C??? 0030?24 011DC00

P*o +e !e8e ol=i!ar en e+te conte0to la $rotecci4n !e !ato+ #e!iante la a+iAnaci4n !e i presoras especficas $ara lo+ !irectore+ $er+onal#ente o salas de i presin especficasQ

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /33

Proteccin contra la ejecucin no autorizada de listados o lo--in- de ejecucin de listados


General#ente "n "+"ario +4lo $"e!e lan3ar li+ta!o+, /"e e+t>n !i+$oni8le+ a tra=F+ !e +" MenK !e $a$el @ el perfil e+$ecB5ico6 )ncl"+o, +i "n "+"ario $"!iera acce!er a la $antalla inicial !e "n li+ta!o, /"e no e+t> !i+$oni8le en +" #en2, no $o!r> e9ec"tar e+e li+ta!o, $or la entrada perdida en su perfil (tro #o!o !e $roteAer !ato+ crBtico+ , $ero /"e a =ece+ !e8e +er acce+i8le% e+ e+cri8ir "n archiAo log +o8re la e9ec"ci4n !e e+to+ li+ta!o+6 E+ta co#$o+ici4n +e enc"entra en el )MG 8a9o; Administracin de personal Herramientas Revisin istados iniciales og% PA!icional#ente +e $"e!en che/"ear $ara ca!a "+"ario !e a$licacione+, /"e la tran+acci4n SAGP or S3GP no e+t> !i+$oni8le a tra=F+ !e +" $er5ilQ

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /34

Proteccin contra la realizacin de listados no permitidos con <erramientas -en5ricas de listados (+#8 Proteccin mediante men=>per$il

Para lo+ li+ta!o+ @ ta#8iFn otra+ 5"ncione+ la+ herra ientas de listado gen'ricas 4,onsulta Ad(hoc, ,onsulta SAP5 +4lo e+t>n !i+$oni8le+ $ara "n "+"ario +i +on $arte !e +" papel @ el enK de papel e+$ecB5ico6 A+B +e $"e!e e=itar el acce+o a e+ta+ herra#ienta+ crean!o "n #en2 !e $a$ele+ +in e+ta+ herra#ienta+6

A!e#>+ !e e+ta $rotecci4n !e acce+o /"e controla el acce+o Aeneral a e+ta+ herra#ienta+ 666

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /35

Proteccin contra la realizacin de listados no permitidos con <erramientas -en5ricas de listados (4#8 Objeto de autorizacin S_?@ERA 666 El acce+o al >rea !e con+"lta+ +e controla a!icional#ente con el o89eto !e a"tori3aci4n S6)-3";6 E+te o89eto controla /"F acti=i!a!e+ $"e!e e9ec"tar "n "+"ario en herra#ienta+ !e con+"lta; .rear/.a#8iar con+"lta+ .rear/.a#8iar )n5oSet+ @ Gr"$o+ !e "+"ario+ P*o +e $"e!e crear codificacin adicional $ara )n5oSet+ con e+te o89eto !e a"tori3aci4nQ%

)ncl"+o +i "n "+"ario h"8iera $o!i!o iniciar "na herra#ienta AenFrica !e li+ta!o+ +in tal entra!a en +" #en2 @ +in lo+ =alore+ correcto+ en el o89eto !e a"tori3aci4n, no $o!rBa !e5inir o iniciar con+"lta+666

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /3&

Proteccin contra la realizacin de listados no permitidos con <erramientas -en5ricas de listados (6#8 !n$oSets y -rupos de usuarios
666, $or/"e el acce+o a in5oti$o+ :R +4lo e+ $o+i8le a tra=F+ !e )n5o+et+ e0$lBcita#ente a+iAna!o+6 *o ol=i!e en e+te conte0to; P1o+ $er5ile+ !e a"tori3aci4n !e5ini!o+ con o#$etos de autorizacin y la autorizacin estructural +on rele=ante+ tanto $ara tra8a9ar con la+ .on+"lta+ A!JhocJR"er@ co#o $ara tra8a9ar con li+ta!o+ $roAra#a!o+ " otra+ a$licacione+Q

8o 7nfoSet X 8o )ueryO

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /3?

Proteccin contra la realizacin de listados no permitidos con <erramientas -en5ricas de listados (9#
666, a!e#>+ !e e+ta+ caracterB+tica+ !e +eA"ri!a! /"e conciernen en $ri#era lBnea el !e+arrollo @/o e9ec"ci4n !e con+"lta+ $re!e5ini!a+, e+ ta#8iFn $o+i8le log Ad(hoc( "eporting. Para hacer "n loA !e li+ta!o+ A!J:oc +e !e5ine $ara /"F )n5oSet !e8e e+tar acti=o el loA @ +e o8tienen ca#$o+ !e +elecci4n, ca#$o+ !e re+"lta!o, "+"ario, 5echa, etc66 Se $"e!en li+tar lo+ 5ichero+ loA con el Ar"$o !e "+"ario /SAPR<ER7/SR @ el )n5oSet /SAPR<ER7/R<ER7'1(GG)*G6 Para acti=ar en el )MG; !omponentes de base !onsulta"SA# ogging%

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /3C

Control de se-uridad continuo con el %o- de Auditor.a de Se-uridad (+#


Da adicional ente al log del siste a la posi#ilidad de una cantidad de aconteci ientos releAantes de seguridad en el siste a. Los siguientes aconteci ientos y clasificaciones se pueden usar para registrar en log :
,lases de aconteci ientos par ser logged:
Di2logo logon "%,Q,P7, logon %uncin de lla

Posi#le clasificacin de aconteci ientos a auditar :


Slo los crticos 7

portantes y crticos

ada "%,

Todos

Transaccin inicial Listado inicial ,a

#io de

aestro usuario

/tros

Adicional ente se puede conectar el Log de auditora de seguridad al Monitor de alerta de la direccin del centro infor 2tico

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /3D

Control de se-uridad continuo con el %o- de Auditor.a de Se-uridad(4#


0. Define las clases y aconteci ientos *ue de#en ser ontorizados con log.

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /40

Control de se-uridad continuo con el %o- de Auditor.a de Se-uridad(6#


B. Definicin especfica de aconteci ientos del filtro log.

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /41

1unciones -enerales para autorizaciones de acceso y proteccin de datos8 Conclusion


%unciones generales de seguridad ,oncepto de papel ,ontrol de la i presora ,ontrol de i presin ,ontrol 7 portQ3&port +ariantes ... %unciones de seguridad en el 2rea de ,onsultas ,oncepto de papel Separacin de DeA.QProd. A.(o#$ect S6)-3"; 7nfoSets, Grupos de usuarios ... 3scritura de log , auditoria( y %unciones de traza Log inicial de listados Log de listados Ad(hoc Auditora de seguridad Traza ...

Las funciones generales, las del area de consultas, las de log Yriting y las de auditora co pletan los conceptos de autorizacin en ySAP !", las cuales nos per iten i ple entar distintas for as para la proteccin de datos.

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /42

ReBuisitos le-ales (+#8 ReBuisitos le-ales espec.$icos de la empresa 222


N... 3l punto de partida en este 2reaO
"e*uisitos especficos de la e presa
El $"nto inicial !e lo+ re/"i+ito+ leAale+ en #"cho+ $aB+e+ +on regulaciones y

pautas especficas de la e presa, P/"e #"@ 5rec"ente#ente tienen =irt"al#ente la #i+#a 5"nci4n @ +iAni5ica!o co#o le@ nacional o internacionalQ De8e c"i!ar+e !e tener en #ente lo+ representantes del e pleado, c"an!o +e recoAen lo+ re/"i+ito+ leAale+

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /43

ReBuisitos le-ales (4#8 %os t5rminos m&s comunes en los reBuisitos le-ales nacionales 222
... Se reconoce en este conte&to:
Datos personales Datos sensi#les -so legal y fiel Propsito Adecuacin Precisin 7nfor

acin 4de te as de datos5 Seguridad y ,onfidencialidad 4D... ,on los costes apropiados en relacin al riesgoE5 8otificacin Soluciones y penalizaciones... M2s en: Gua para la Proteccin de Datos para /rganizaciones Multinacionales con /peraciones en 3uropa 4#y Maitland Z ,oQ->5

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /44

ReBuisitos le-ales(6#8 Sitios Ceb sobre proteccin de datos y reBuisitos le-ales nacionales
Australia: www.privacy.gov.au/ Austria 4D3, 385: www.bka.gv.at/datenschutz/ Belgica 438, 8L, %"5: www.privacy.fgov.be/ ,anada 438, %"5: www.privcom.gc.ca/ Dina arca 4D8, 385: www.datatilsynet.dk/ %inlandia: www.tietosuoja.fi/ %rancia 4%", 38, 3S5: www.cnil.fr/ Ale ania 4D3, 385: www.bfd.bund.de/ Gran Breta[a: www.dataprotection.gov.uk/ Grecia: www.dpa.gr/ !ong >ong 4385: www.pco.org.hk/ !ungra 4385: www.obh.hu/adatved/indexek/index.htm/ 7rlanda: www.dataprivacy.ie/

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /45

ReBuisitos le-ales(9#8 Sitios Ceb sobre proteccin de datos y reBuisitos le-ales nacionales
7talia 47T, 385: \apn: !olanda 48L, 385: 8ueAa ]elanda: 8oruega 48/, 385: Portugal: 3spa[a: Suecia 4S+, 385: Suiza 4D, %, 7T, 385: -SAQPuerto seguro: www.garanteprivacy.it/garante/ie/HomePage www.somucho.go.jp/ www.registratiekamer.nl/ www.privacy.org.nz/ www.datatilsynet.no/ www.cnpd.pt/ www.ag-protecciondatos.es/ www.datainspektionen.se/ www.edsb.ch/ www.export.gov/safeharbor/

-tilice ta #i'n las p2ginas Ye# de asociaciones de representacin de e pleados en los diferentes pases. /frecen con frecuencia #uenas plantillas para las pautas de proteccin de datos, *ue ta #i'n son uy Ktiles para la i ple entacin t'cnica

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /4&

ReBuisitos le-ales (D#8 Directi,a de la @E sobre proteccin de datos

DirectiAa de la -3
Prohi#e la transferencia de datos personales a pases YQo protecciones e*uiAalentes
4,o prende: Precisin de datos, -so apropiado, ,onoci iento o conciencia Derecho de acceso, ...5 personal,

7 pacto de la DirectiAa de la -3
Si plifica las operaciones en 3uropa, no las co plica La ley est2 todaAa eAolucionando y crea incertidu #re Los usuarios de datos internacionales tienen *ue e&a inar sus pr2ctics de negocios a la luz de la legislacin ca #iante

NNNPeroOOO: La DirectiAa de la -3 8/
7legaliza !" glo#al 7 posi#ilita el procesa iento de datos europeos fuera de 3uropa 7 pide el desarrollo de ha#ilidades glo#ales o #ases de datos de incu #encia

Sie pre *ue sigas algunas pautas, *ue puedes encontrar ...

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /4?

ReBuisitos le-ales (D#8 Directi,a de proteccin de datos en la @E y cuestiones similares


... 3n las siguientes p2ginas Ye#:
^lti a decisin so#re EPrincipios de Puerto SeguroE e*uiAalentes a la directiAa de proteccin de datos europeos YYY.ita.doc.goA.eco http:QQeuropa.eu.intQco Qinternal6 arUetQenQ ediaQdataprotQneYsQsafehar#or.ht "espuestas a preguntas adicionales relatiAas a las transferencia de datos internacionales est2n disponi#les en las siguientes p2ginas Ye#: Transferencia de datos entre 33-- y \AP_8: ,entro para la inAestigacin social y legal y la priAacidad \apn(33-- y el progra a de progra a de proteccin de datos. 4 http:QQYYY.priAacye&change.orgQ$apanQ$legalQ$priAacylaYs.ht l5 Gua para la PriAacidad y Proteccin de datos en \apn. !acUensacU, 8\: ,SL", 8oAie #re G1, B111. Transferencia de datos entre pases AS3A8 y 8o(AS3A8: Asia Pacific Security 4http:QQYYY.dfat.goA.auQarfQrsho e.ht l5 Transferencia de datos entre pases M3",/S-" y 8o(Mercosur: Actual ente no hay una regulacin general disponi#le. Aun*ue puede e&a inar las p2ginas Ve# de los pases M3",/S-" concretos para una infor acin 2s detallada o to ar co o punto de partida las p2ginas de la -3 o 33--.
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /4C

ReBuisitos le-ales (E#8 ReBuisitos internacionales y $uentes de le-islacin>in$ormacin

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /4D

7apa de carretera para la de$inicin e implementacin del concepto de proteccin de datos para una empresa espec.$ica (+#
M)uien est2 i plicado? e#$lea!o re$re+entante+ !e lo+ e#$lea!o+ e#$lea!or .on+"ltore+ )nterno+/E0terno+% SAP 666 M)u' pautas y re*uisitos legales tienen *ue ser aplicados? Pa"ta+ e+$ecB5ica+ !e la e#$re+a +o8re $rotecci4n !e !ato+ Re/"i+ito+ leAale+ ReAla+ e"ro$ea+ +o8re $rotecci4n !e !ato+ Puntos adicionales: A$licacione+ We8 Pre+"$"e+to $ara +eA"ri!a! @ $rotecci4n !e !ato+ )nter5ace+ Si+te#a !e De+arrollo/ Pro!"cti=o ... 2001, TechED Vienna , WR13D3W1, Michael Bonrat /50 SAP AG /#$etiAo: )ue todos los grupos i plicados de la e presa participen en la discusin so#re seguridad y el concepto de proteccin de datos

/#$etiAo: ,onseguir una pri era Aista de con$unto de los re*uisitos a respetar

/#$etiAo: Tener presente el es*ue a organizatiAo y las necesidades y condiciones especiales

7apa de carretera (4#8 Primera especi$icacin de las necesidades de la empresa8 /asada en los reBuisitos del ne-ocio
Antes de las cuestiones t'cnicas de las autorizaciones 4papeles, perfiles, ...5 se de#en fi$ar las necesidades funcionales del negocio y los datos re*ueridos 4Ncon o sin conte&to de siste aO5:

R"F $a$ele+ +on nece+ario+ $ara lo+ !ato+ :R, /"e $a$ele+ $ara la a!#ini+traci4n @ la a!a$taci4n al cliente

/#$etiAo: ,onseguir una definicin de los papeles del negocio /#$etiAo: ,onseguir una Aista general de los datos a al acenar

SR"F !ato+ !e8en al#acenar+e en el +i+te#aT

SR"F li+ta!o+ +e nece+itanT

/#$etiAo: "ealizar una lista de los listados a definir

N... ; los resultados se de#en docu entar en una pri era Aersin de la gua de proteccin de datosO
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /51

7apa de carretera (6#8 !nicio de la implementacin t5cnica


Despu's de la definicin de las necesidades del negocio se de#en eAaluar y tasar las posi#ilidades i ple entacin t'cnica X Nta #i'n desde un punto de Aista de seguridadO

De5inici4n tFcnica inicial !e $a$ele+

E=al"aci4n e i#$le#entaci4n tFcnica inicial !el al#acena#iento !e !ato+

E=al"aci4n e i#$le#entaci4n tFcnica inicial !e li+ta!o+

/#$etiAo: Definicin t'cnica de DfuncionalE papelesE. 7nfor acin so#re los o#$etos de autorizacin disponi#les para Dperfil de datosE /#$etiAo: ,onseguir una Aisin general so#re los pros y contras de diferentes posi#ilidades: ( 7nfotipo estandar ( 7nfotipo adaptado al cliente... /#$etiAo: ,onseguir una Aisin general so#re las t'cnicas de listado y enfo*ues a e plear

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /52

7apa de carretera(9#8 Decisiones rele,antes de se-uridad basadas en in$ormacin procedente de la implementacin t5cnica
La infor acin procedente de una i ple entacin diferente da el fondo o infor acin preAia para nuestras decisiones de seguridad y su i ple entacin .4#o controla#o+ el L$er5il !e acce+o !e !ato+M SR"F conce$to+ $"e!en/!e8en +er "+a!o+%T P!oc"#ento en $rotecci4nJ! !e la A"BaQ% 1i+ta 5i9a !e lo+ in5oti$o+ e#$lea!o+ PA na! PD% @ !e lo+ ti$o+ !e o89eto "+a!o+ P!oc"#ento en $rotecci4nJ! !e la A"BaQ%

/#$etiAo: Definicin t'cnica de Dperfil de acceso a datosE /#$etiAo: 3Aaluar las i plicaciones para el D perfil de acceso a datosE 4ta #i'n perfil funcional5 y adaptar perfiles5 /#$etiAo: 3Aaluar las i plicaciones para D perfil de acceso a datosE 4ta #i'n perfil funcional5 y adaptar perfiles5

)#$le#entaci4n !e +ol"cione+ tFcnica+ $ara li+ta!o+ @ e=al"aci4n !e la+ i#$licacione+ $ara L!ato+

$%a durante la implementacin t&cnica debe espec'(icarse cmo se debe controlar la gu'a en el sistema productivo)
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /53

7apa de carretera (D#8 Fest0 !mplementacin $inal y Auditor.a continua (G#


Despu's de los tests y el control de i ple entacin de la gua en plazos regulares:
E9ec"tar @ anali3ar la+ a"!itorBa+ !el +i+te#a Anali3ar lo+ archi=o+ loA Anali3ar LDie3 +"$eriore+/MDie3 in5eriore+M Anali3ar loAJon+ incorrecto+, inicio incorrecto !e tran+accione+, 666
S1oA+ con a!=ertencia+T, S.a#8io !e

$ara#etro+T
S<+o relaciona!o con el tra8a9oT .he/"ee li+ta!o+ innece+ario+; Me9ore @

8orre !e+!e el #en2 @ $er5il


SRa34nT S"+o in!e8i!o, acce+o+ no

a"tori3a!o+, 5"nci4n $er!i!a en el $er5il, T%

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /54

Autorizaciones y proteccin de datos en mySAP HR8 Conclusin8


,onceptos generales de seguridad y autorizacin seguridad general 4SS/, ...5 PapelesQPerfiles S6G-7, .... 7nfoSets, Grupos de usuarios,

,onceptos de autorizacin ySAP !" /#$etos de autorizacin Autorizacin estructural Me$oras ...

Definicin e i ple entacin de un concepto de proteccin de datos especfico a la e presa Docu entacin Transparencia Auditoria

3 pleando

%unciones generales de seguridad en Los conceptos de autorizacin en

ySAP

ySAP !"

; un concepto especfico de e presa para la proteccin de datos

Puedes i ple entar un concepto de autorizacin y una gua de proteccin de datos, *ue co plete las necesidades legales y especficas de la e presa.
SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /55

Copyri-<t 4HH+ SAP A 2 Fodos los derec<os reser,ados

8o part of this pu#lication ay #e reproduced or trans itted in any for or for any purpose Yithout the e&press per ission of SAP AG. The infor ation contained herein ay #e changed Yithout prior notice. So e softYare products arUeted #y SAP AG and its distri#utors contain proprietary softYare co ponents of other softYare Aendors. Microsoft`, V78D/VS`, 8T`, 3@,3L`, Vord`, PoYerPoint` and S)L SerAer` are registered trade arUs of Microsoft ,orporation. 7BM`, DBB`, /SQB`, DBBQ:111`, Parallel Sysple&`, M+SQ3SA`, "SQ:111`, A7@`, SQGR1`, ASQH11`, /SQGR1`, and /SQH11` are registered trade arUs of 7BM ,orporation. /"A,L3` is a registered trade arU of /"A,L3 ,orporation. 78%/"M7@`(/nLine for SAP and 7nfor i&` Dyna ic SerAerTM are registered trade arUs of 7nfor i& SoftYare 7ncorporated. -87@`, @Q/pen`, /S%Q0`, and Motif` are registered trade arUs of the /pen Group. ,itri&`, the ,itri& logo, 7,A`, Progra 8eigh#orhood`, Meta%ra e`, Vin%ra e`, +ideo%ra e`, MultiVin` and other ,itri& product na es referenced herein are trade arUs of ,itri& Syste s, 7nc. !TML, D!TML, @ML, @!TML are trade arUs or registered trade arUs of VG,`, Vorld Vide Ve# ,onsortiu , Massachusetts 7nstitute of Technology. \A+A` is a registered trade arU of Sun Microsyste s, 7nc. \A+AS,"7PT` is a registered trade arU of Sun Microsyste s, 7nc., used under license for technology inAented and i ple ented #y 8etscape. SAP, SAP Logo, "QB, "7+A, "QG, SAP ArchiAeLinU, SAP Business VorUfloY, Ve#%loY, SAP 3arlyVatch, BAP7, SAPP!7"3, Manage ent ,ocUpit, ySAP.co Logo and ySAP.co are trade arUs or registered trade arUs of SAP AG in Ger any and in seAeral other countries all oAer the Yorld. All other products entioned are trade arUs or registered trade arUs of their respectiAe co panies.

SAP AG 2001, TechED Vienna , WR13D3W1, Michael Bonrat /5&

Por faAor, co plete su sesin de eAaluacin y depostela en el #uzn situado a la salida. Sea a a#le a tire su #asura y no se lleAe los i presos para la pr&i a sesin.

The SAP Tech3d B110 Staff