SAP 데이터 개인정보 보호,
보안 및 리스크 관리

운영 시스템에서 액세스/삭제 권리에 대한 대응

태국의 PDPA, 미국의 주법 중 하나 또는 유럽의 GDPR을 준수하든, 귀하는 환경에서 개인 데이터에 대한 접근 및 삭제 권리에 대한 응답을 제공해야 합니다.

삭제 권한은 세무 감사를 위한 기록 보관과 같은 다른 법적 및 규정 준수 요건을 무효화하지 않습니다. 이제 다른 법적 이유로 데이터가 필요한지 확인하고, 필요하지 않은 경우 시스템에서 민감한 데이터를 제거할 방법을 찾아야 합니다.

SAP는 관계형 데이터베이스로서 민감한 데이터는 본질적으로 비즈니스 트랜잭션과 연결되어 있기 때문에 데이터 제거에 어려움이 있습니다. 따라서 기존의 아카이브 또는 삭제 방식은 트랜잭션과 마스터 데이터를 완전히 제거해야 한다는 것을 의미합니다.

EPI-USE Labs는Data Redact를 통해 레코드에서 PII를 제거하지만 솔루션의 참조 무결성은 그대로 유지하는 대안을 제공합니다. 또한Data Disclose는 PDF 출력에 효과적인 PII 매핑을 제공하여 액세스 권한에 대응할 수 있는 효율적인 프로세스를 제공합니다.

비운영 시스템의 데이터 스크램블

모든 비즈니스는 연례 급여 과세 업데이트, 서비스 팩 업그레이드 또는 새로운 사용자 지정 등 프로세스를 테스트해야 합니다. 운영 환경에서 새로운 프로세스에 문제가 있다는 사실을 발견하고 싶지 않기 때문에 대부분의 기업은 운영 시스템의 복사본을 가져와 테스트 환경을 만듭니다.

테스트 환경의 수는 비즈니스에 따라 다르지만 일반적인 설정은 다음과 같습니다.

• 실제 데이터를 제한적으로 또는 전혀 사용하지 않고 개발
• 운영 환경에서 축소된 데이터 사본으로 품질 테스트
• 운영 환경 데이터베이스의 전체 사본이 있는 사전 운영 환경.

새로운 개인정보 보호법에 따르면 데이터 주체와 관련된 데이터를 사용하려면 정보에 입각한 명시적인 동의를 받아야 합니다. 경험상 대부분의 비즈니스는 테스트 목적으로 데이터를 사용할 때 이러한 동의를 받지 않습니다. 동의 프로세스가 있더라도 데이터 주체의 비동의 응답에 대해 어떻게 해야 하는지 이해하는 데 추가적인 어려움이 있습니다.

Data Secure을 통해 데이터 익명화를 직접 수행하거나, 데이터 동기화 관리자 제품군의 일부인 Client Sync와 연결하여 종료 시 스크램블하는 기능을 제공하는 데이터 익명화를 권장합니다.

데이터 개인정보 보호 및 보안 리스크 이해 및 완화하기

문제를 해결하려면 먼저 문제를 이해해야 합니다. 데이터 개인정보 보호와 보안 모두 비즈니스 프로세스와 IT 자산에 어떤 리스크가 있는지 이해해야 합니다.

비즈니스 프로세스와 보안 리스크를 고려하세요. 예를 들어, 프론트 오피스 또는 HR 직원이 통화 중에 메모를 하나요? 그렇다면 이러한 메모에 대한 보안 프로세스는 어떻게 되어 있나요? 비즈니스 전반에 걸쳐 데이터 보안 모범 사례를 따르고 있나요?

IT 자산과 관련하여 세 가지 주요 고려 사항은 다음과 같습니다:

• 외부 위협: 방화벽이나 VPN 보호와 같은 네트워크 및 인프라 보안
• 내부 위협: 네트워크/SAP 시스템의 데이터에 대한 액세스 리스크
• 규정 준수 위험: PII는 어디에 있으며 어떻게 관리되고 있나요?

종합적인 SAP 데이터 개인정보 보호 진단 서비스는(영문) 비즈니스의 내부 및 규정 준수 위험에 대한 투명성을 제공합니다.

SAP를 위한 비즈니스 중심 GRC 추진

거버넌스, 리스크 및 규정 준수(GRC) 솔루션은 액세스 리스크의 여러 측면을 고려합니다. 당사는 Soterion과 파트너십을 맺고 표준으로 제공되는 규칙(rule set)을 통해 빠르고 효율적으로 GRC 리스크를 분석할 수 있도록 지원합니다 :

• 역할 분리(SoD)
• 개인정보 보호: 민감한 데이터에 액세스하는 사용자
• 관할권 간 데이터 액세스
• 중요한 거래 리스크

이러한 솔루션은 SAP와 클라우드 애플리케이션(예: SAP SuccessFactors)을 통합하여 액세스 리스크에 대한 전체적인 관점을 제공할 수 있습니다.

또한 Soterion은 시스템 라이선스, 파이어파이터 액세스 프로세스 등에 대한 진단(영문 자료)도 제공합니다.

SAP 시스템환경의 공격 표면 최소화

민감한 데이터를 보호하려면 공격할 수 있는 시스템 및 데이터의 지형도인 SAP 시스템환경의 '공격 표면'을 줄이는 것을 고려하세요. 데이터 마스킹 또는 난독화를 사용하면 데이터 주체를 식별할 수 있게 하거나 민감한 데이터 필드를 노출하지 않고도 테스트, 교육, 샌드박스 및 개발 시스템 데이터의 참조 무결성과 기능을 유지할 수 있습니다.

EPI-USE Labs의 Data Sync Manager(DSM) Suite의 일부인 Data Secure는 SAP 데이터를 마스킹하여 민감한 정보를 보호하는 완벽한 데이터 보호 솔루션입니다. 수백 개의 사전 제공된 마스킹 규칙을 통해 데이터가 올바르게 작동하도록 합니다. 새로운 규칙을 처음부터 만들거나, 기존 규칙을 확장하거나, 협업 플랫폼인 Client Central에서 다른 커뮤니티 사용자로부터 콘텐츠를 다운로드할 수 있습니다. 그 결과 실시간 데이터 보호가 가능합니다.

많은 기업이 ERP, CRM, SRM 및 외부 환경에 분산된 데이터를 SAP 환경과 통합했습니다. Data Secure는 여러 시스템에서 통합된 데이터 개체를 일관되게 익명화합니다.

SAP 외부에서 데이터를 스크램블링해야 하나요? 당사의 맞춤형 개발팀은 데이터를 스크램블링하는 솔루션을 구축하여 Data Secure를 SAP 이외의 시스템으로 확장할 수 있습니다.