SAP GDPR: Intervista con MAPA

la storia di successo

Tra i clienti più prestigiosi di EPI-USE Labs c’è MAPA, un'azienda leader nell’industria della contraccezione (BILLY BOY, Fromms e Blausiegel), degli articoli per la casa (SPONTEX)
e della cura del bambino (NUK). Abbiamo intervistato un rappresentante di MAPA sulle sfide che hanno dovuto affrontare per la conformità al GDPR per i loro sistemi SAP,
e perché hanno scelto la nostra suite GDPR.

Quali sfide tecniche e concettuali avete dovuto affrontare per rispondere ai requisiti del regolamento generale europeo sulla protezione dei dati (GDPR)?

MAPA: 

Da un punto di vista tecnico, la nostra principale preoccupazione riguardava il nostro sistema SAP ERP. Per garantire la coerenza dei dati, cerchiamo sempre di evitare la cancellazione dei dati dal sistema. Con le funzioni standard SAP, i record di dati sensibili non possono essere cancellati senza ulteriore elaborazione. Questi dati vengono semplicemente salvati in un'altra posizione mediante archiviazione. Il problema è che può essere ripristinato. Anche la redazione di singoli campi all'interno dei record di dati non e un'opzione.

La soluzione SAP per risolvere la sfida GDPR è stata presentata durante un incontro presso il DSAG (German SAP User Group). Purtroppo ci è sembrata inadeguata, anche a causa dei costi e dello sforzo di implementazione. Alla fine, siamo giunti alla conclusione che con gli strumenti standard SAP non sarebbe stato possibile cancellare i dati dal sistema rispettando la GDPR.

Abbiamo dovuto scoprire in dettaglio quali dati personali sono stati memorizzati e dove sono stati memorizzati all'interno del landscape SAP. Nella relativa documentazione, inizialmente, siamo stati in grado di dimostrare solo quali record di dati dovevano essere potenzialmente redatti: questo documento è stato preparato per la conversione tecnica ed era dettagliato fino ai singoli campi.

Perché avete deciso di investire nella GDPR Compliance Suite di EPI-USE Labs?

MAPA:

Da anni utilizziamo Data Secure per anonimizzare i dati di test nei sistemi di Non-Produzione. Ecco perché ci siamo affidati all'accuratezza tecnica dell'anonimizzazione anche per strutture di dati complessi, come il modulo SAP HCM. Per implementare la normativa sulla privacy dei dati (GDPR), tuttavia, i singoli record di dati devono essere redatti nei sistemi di produzione. L'approccio che EPI-USE Labs ha adottato con la GDPR Compliance Suite ha soddisfatto i nostri bisogni:

Con Data Disclose, vengono fatte ricerche nell'intero sistema SAP e vengono individuati i dati sensibili. L'impronta di una persona viene trovata, recuperata e resa disponibile. Inoltre si possono effettuare ricerche anche in sistemi non SAP attraverso l’integrazione con API.

Quali sono state le tappe nel vostro progetto GDPR - in particolare per l'articolo 15 (diritto di accesso) e l'articolo 17 (diritto di cancellazione)?

MAPA:

La prima tappa è stata la preparazione generale del sistema SAP. Prima dell'installazione dei trasport che ci sono stati forniti, dovevano essere soddisfatti i requisiti tecnici primari. Il nostro sistema non era preparato per l'uso della GDPR Compliance Suite. Grazie alla moderna tecnologia dell’applicazione FIORI di EPI-USE Labs, abbiamo sia preparato il nostro team di sistemisti per il futuro, ed abbiamo importato tutti i pacchetti di supporto necessari. I requisiti tecnici generali per la GDPR Compliance Suite sono NetWeaver 7.0 e Fiori Gateway.

Data Disclose può quindi essere attivato immediatamente. Sulla base del modello fornito, i dati personali sono stati individuati, ponendo le basi per soddisfare i requisiti dell'articolo 15 (diritto di accesso) di GDPR per il sistema SAP. 

Nella seconda fase del progetto viene messo in atto il diritto alla cancellazione ai sensi dell'articolo 17 del GDPR.

EPI-USE Labs offre anche la soluzione adeguata per la redazione dei dati. Nell'ambito della GDPR Compliance Suite per SAP, Data Redact è in grado di oscurare rapidamente e costantemente i dati sensibili senza cancellare interi record di dati.

Ciò significa che i dati non possono più essere collegati a una persona specifica (o persona interessata), ma i rapporti possono essere creati come al solito senza compromettere l'integrità referenziale dei dati.

Prima dell'introduzione di Data Redact, dovevamo definire quali campi dovevano essere resi anonimi nell'area di conflitto tra le politiche di conservazione e l'economia dei dati. È stato inoltre necessario prendere in considerazione estensioni specifiche del cliente per le strutture dati. Lo sforzo richiesto dipende generalmente da quanto la struttura dei dati è tenuta in stretta relazione con lo standard SAP.

Quali sono i vantaggi offerti dalla GDPR Compliance Suite?

MAPA:

Il vantaggio maggiore è che l'integrità dei dati è garantita. In questo modo, gli ordini dei clienti sono ancora tracciabili, poiché solo i dati sensibili dei clienti vengono oscurati, mentre tutti gli ordini e gli articoli venduti possono ancora essere visualizzati. Non è più possibile assegnare solo al cliente. Ciò significa che tutti i sistemi di test rimangono completamente funzionanti e gli ordini di test possono ancora essere processati. Se fosse necessario archiviare intere aree di dati, l'integrità dei dati ne risentirebbe negativamente.

Esiste una strategia futura per l'attuazione estesa dell'articolo 5 della GDPR (principio di minimizzazione dei dati)?

MAPA:

Il trattamento proporzionato dei dati personali ai sensi dell'articolo 5 del GDPR è un altro elemento chiave per il rispetto del regolamento sulla protezione dei dati. Quando abbiamo introdotto Data Secure, abbiamo discusso l'utilizzo della soluzione Client Sync di EPI-USE Labs per copiare selettivamente i dati SAP. Si tratta di un time slice del sistema di produzione su sistemi di test e di formazione per la creazione di dati di test. Questa copia di mandanti selettiva sostituisce la copia di sistema e supporta la conformità all'articolo 5.

Riteniamo inoltre che la legislazione diventerà più severa in futuro. Prevediamo di utilizzare la GDPR Compliance Suite in tutti i settori dell'azienda. L'utilizzo della Suite non dovrebbe rimanere un compito centrale dell'IT, ma essere decentrato per dare ad ogni reparto la possibilità di rintracciare i dati giusti e renderli anonimi.

Regali personalizzati MAPA: personalizzazione di SAP utilizzando DSM e la nostra SAP GDPR Compliance Suite.

MAPA ha un processo di ordinazione su misura per ciucci per bambini. Questo permette alle persone di andare online e scegliere tra diverse immagini e colori, o addirittura di caricare immagini da stampare sul ciuccio, a volte insieme al nome del bambino e / o la data di nascita. Anche se i dati sono memorizzati in SAP, non si tratta di un mandante master standard. Siamo stati in grado di creare rapidamente un nuovo tipo di persona giuridica e collegarlo a un nuovo oggetto commerciale personalizzato per gli "one time orders"(ordine unico), e renderlo disponibile per Data Disclose (parte della nostra suite SAP GDPR Compliance). Siamo stati anche in grado di utilizzare Data Redact per i dati sensibili, inclusi nomi, indirizzi e-mail, date di nascita e altro ancora.

Per saperne di più guarda questo breve video di Paul Hammersley (in inglese)