Los acuerdos de procesamiento de datos para SAP están cambiando. No se deje sorprender.

¿Cumple las condiciones de su contrato de soporte de SAP?

Decidí mirar también algunos de los otros acuerdos de procesamiento de datos de SAP, y encontré un lenguaje similar en sus DPA de soporte y servicios profesionales: "El Cliente no concederá a SAP acceso a los sistemas del Licenciatario ni a información personal (del Cliente o de terceros) a menos que dicho acceso sea esencial para la prestación de los Servicios de SAP. El Cliente no almacenará ningún Dato Personal en entornos que no sean de producción".

Los clientes de SAP han estado recibiendo recientemente correos electrónicos en los que se destacan estos cambios en los términos y condiciones, lo que requiere que los clientes tomen medidas muy pronto.

Cómo llegan los Datos Personales a entornos que no son de producción

En los últimos 20 años, he trabajado con más de 200 clientes de SAP, y sólo recuerdo uno que no hubiera realizado algún tipo de copia del sistema para pruebas en los cinco años anteriores. La norma de facto para actualizar los sistemas de prueba es una copia del sistema, ya sea mediante instantáneas, tecnología de duplicación, copia de seguridad/restauración o técnicas de copia de bases de datos. SAP proporciona incluso documentos de mejores prácticas para la copia de sistemas que muestran a los clientes cómo llevar a cabo estos procedimientos. El resultado final es que todos los datos de producción se encuentran en el sistema de prueba, incluidos los datos personales de empleados, clientes, proveedores y otros socios comerciales. Para las organizaciones con mucha actividad B2C, se trata de una cantidad increíble de datos personales, que pueden incluir información sobre salud y solvencia.

Pero hay otra forma de que los datos lleguen a los sistemas que no son de producción. Muchas personas que trabajan con entornos SAP maduros olvidan cómo se desarrolló el entorno o cómo los grandes proyectos, como las adquisiciones o las nuevas áreas de ventas, aportan datos. LSMW (Legacy System Migration Workbench) y otros mecanismos de carga por lotes automatizan las actividades del usuario de carga de datos, lo que permite cargar hojas de cálculo de datos en cuestión de minutos. Estos procesos u otras interfaces que cargan datos suelen probarse con datos reales al menos una vez antes de ejecutarlos en producción. ¿Los responsables de esos proyectos vuelven después a limpiar los datos reales en los sistemas de prueba?

Arenas Movedizas

Estos cambios en los términos y condiciones de SAP (nube, servicio y soporte) ponen dos documentos de directrices de SAP - guías de mejores prácticas y DPA - en un curso de colisión muy firme. Cualquiera que siga copiando datos reales en sistemas que no sean de producción o que pruebe cargas de datos reales en esos sistemas debe encontrar ahora la forma de eliminar los datos personales.

 Con la gran cantidad de leyes de privacidad de datos, incluido el GDPR, que han salido en los últimos dos años (con más previstas en los próximos dos años), no es sorprendente que SAP haga esta clara distinción y espero que la mayoría de los SI también sigan su ejemplo.

Esto no significa necesariamente el fin de las copias de sistemas, pero sí exige que se tomen más medidas. Yo instaría a las organizaciones a aprovechar esta oportunidad para considerar si realmente necesitan todos los datos de Producción para las pruebas. Nuestras soluciones Client Sync™ y Object Sync™ pueden proporcionar clientes de prueba mucho más ágiles y datos bajo demanda para expertos funcionales, respectivamente. Ambas incluyen ahora integración directa con Data Secure™, por lo que los datos pueden enmascararse con las mismas políticas, y lo que es más, los datos se enmascaran a la salida, por lo que salen del sistema de producción ya enmascarados. Como mínimo, Data Secure™ puede ayudar con el enmascaramiento de los sistemas copiados antes de que se liberen a los usuarios.

Recientemente hemos visto una serie de clientes que sustituyen sus propios programas Z para enmascarar los datos de prueba por nuestra solución "best of breed" en este espacio. Los volúmenes y la complejidad del enmascaramiento sistemático de sus datos han aumentado drásticamente en los últimos años. Esto hace que sea más difícil enmascarar completamente todos los lugares en los que se almacenan los datos (incluidas las tablas de clúster), y ser capaz de ejecutar las actividades con la suficiente rapidez como para no retrasar los proyectos que necesitan los datos de prueba. Data Secure™ se ha diseñado, desarrollado y mejorado con las aportaciones de más de 200 clientes para gestionar mejor esta necesidad.

Más información:
Data Secure | Solución Client Sync para clientes de prueba magros con datos enmascarados previamente | Object Sync para datos de prueba enmascarados bajo demanda | Data Privacy Suite.