SAP HCM & 급여
SAP 시스템 환경 & 테스트 데이터 관리
지원 및 교육
SAP 프라이버시 및 보안
SAP HCM & 급여
SAP 시스템 환경 & 테스트 데이터 관리
SAP 데이터 개인정보 보호 및 보안
SAP 관리형 서비스
회사
문의하기
문의하기 살펴보기
KO
FR DE EN ES IT KO
Play video
이 비디오에는 한국어 자막이 있습니다.
2025-653-3
민감 데이터 노출
리스크 최소화
2025-654-3
데이터 보안을
효과적으로 관리
2025-655-3
글로벌 개인정보
보호 법규 준수
2025-656-2
데이터 식별,
컨설팅 및 워크숍
2025-657-2
데이터 프라이버시 &
리스크 진단 분석

왜 SAP 내 민감 데이터를 이해하는 것이 중요한가?

SAP 시스템에는 고객, 협력업체, 임직원과 관련된 방대한 민감 데이터가 저장되어 있습니다. 데이터 프라이버시를 다룰 때 SAP 데이터 모델을 함께 고려하는 것은 매우 중요합니다. 하나의 필드를 수정하면 해당 값이 시스템 전반의 여러 위치에 반영되기 때문입니다. 당사의 경험에 따르면, 하나의 개인식별정보 값이 시스템 전체에서 최대 100회까지 반복되어 존재할 수 있습니다. 이처럼 깊고 복잡하게 연결된 데이터 구조에서는 데이터 프라이버시 규정을 준수하기 위해 시스템 전반에서 값을 일관되게 변경해야 합니다. 또한, SAP를 장기간 사용해 온 많은 비즈니스 사용자들은 데이터 저장과 처리를 지원하는 커스텀 테이블을 포함해 다양한 커스터마이징 기능을 구축해 왔으며, 이로 인해 민감 데이터의 관리 대상 범위는 더욱 확대됩니다.

SAP 데이터 모델에 대한 수십 년간의 도메인 경험을 바탕으로, EPI-USE Labs는 오브젝트와 시스템 전반에 걸쳐 민감 데이터를 일관되게 관리할 수 있도록 지원합니다.

Play video

PII 데이터 및 글로벌 데이터 프라이버시 규정

SAP에서 제공하는 표준 데이터 모델 외에도, 모든 고객사는 프로세스와 데이터 저장 구조를 커스터마이징하면서 PII를 커스텀 테이블에 복제해 저장하고 있습니다. 그러나 대부분 PII 데이터 맵을 유지하지 않고 있습니다. 이러한 테이블은 효율성을 위해 구축되었지만, 새로운 개인정보 보호 법규는 SAP 전반에 걸쳐 PII가 어디에 저장되어 있는지 정확히 파악하기 어렵다는 점에서 큰 과제를 제시합니다.

글로벌 데이터 프라이버시 규정에는 다음이 포함됩니다:

  • 유럽 GDPR (General Data Protection Regulation)
  • 북아메리카 CCPA (캘리포니아), CPA (콜로라도), CTDPA (코네티컷), CDPA (몬타나, 인디아나), ICDPA (아이오와), TIPA (테네시), TDPSA (텍사스), UCPA (유타), VCDPA (버지니아)
  • 남아프리카 POPIA
  • 태국 PDPA
  • 브라질 LGPD
  • 대한민국 PIPA
  • 일본 APPI
  • 뉴질랜드 NZPA
  • 캐나다 PIPEDA

이러한 규정에는 모두 ‘접근권(right to access)’과 ‘삭제/정정권(right to deletion / correction)’이 포함되어 있습니다. 이를 준수하기 위해서는 IT 전반에 걸쳐 존재하는 PII를 이해하고 매핑해야 합니다.

포괄적인 SAP 데이터 프라이버시 진단 서비스

당사는 고객사의 Personally Identifiable Information(PII)을 이해하고 식별할 수 있도록 지원하며, 접근 권한 리스크를 평가해 드립니다.
당사의 포괄적인 서비스는 다음을 포함합니다:

Sphere_KR_2026

GATHER: 데이터 탐색 (Data Discovery)

SAP 데이터 관리 전문 SAP 개발 파트너로서, 당사는 오브젝트 간 및 시스템 간 통합 관계를 상세히 정의한 자체 Business Object Definitions을 개발했습니다. 이러한 정밀한 테이블 매핑을 기반으로, 모든 표준 SAP PII 필드에 대한 필드 레벨 통합 맵(field-level integration map)을 구축했습니다.

이 맵을 활용하여, 당사는 고객사의 SAP 시스템 내 Data Dictionary를 분석하는 Data Discovery 프로그램을 설계했습니다. 이 프로그램은 민감 데이터 요소에 대해 와일드카드 검색을 수행하고, PII를 포함할 가능성이 있는 테이블 및 필드 목록을 생성합니다. 이후 해당 테이블이 실제로 데이터로 채워져 있는지 검증합니다.

Consult & Identify:

컨설팅 서비스 및 관리형 데이터 프라이버시 워크숍

당사의 데이터 프라이버시 전문가가 고객사의 기능 조직(Functional Team)과 함께 워크숍을 진행하여 다음을 포함한 모든 PII 데이터 유형에 대한 요구사항을 정의합니다:

2025_icons_DS-658

운영 데이터 보존 요건
(데이터 유형별)

예를 들어, 직원이 비활성화되면 은행 정보 및 가족 정보는 즉시 삭제, 연락처 정보는 5년 후 삭제, 10년 후에는 전체 데이터 비식별 처리(redaction)

2025_icons_DS-659

시스템 랜드스케이프
검토 및 데이터 상속

어떤 시스템이 스크램블된 데이터를 수신하게 되는가? 데이터 스크램블링이 이에 어떤 영향을 미치는가?

2025_icons_DS-660

비운영 데이터 스크램블링

데이터 유형별로 어떤 조치를 취해야 하는가?
예외 사항이나 조건은 존재하는가?

2025_icons_DS-661

데이터 치환(Redaction)

데이터 주체가 삭제/비식별 대상이 되었을 때, 운영 시스템에서는 어떤 조치를 취해야 하는가?

2025_icons_DS-662

데이터 검출(Disclosure)

SAP 데이터 중 어떤 정보를 Subject Access Request(SAR) PDF에 포함해야 하는가?

당사의 숙련된 컨설턴트는 전 세계 다양한 산업 분야에서 프로젝트를 수행한 경험을 보유하고 있습니다. 이들은 데이터 프라이버시의 복잡성을 깊이 이해하고 있으며, 축적된 전문 경험을 고객과 공유합니다.

이 서비스에는 별도의 라이선스 비용이 발생하지 않으며, 일반적인 SAP ECC 프로젝트의 경우 약 2주 기간 동안 총 5일이 소요됩니다.

  • 3일 ‒ Data Discovery 및 기술 시스템 분석
  • 1일 ‒ 비즈니스 및 컴플라이언스 팀과의 워크숍
  • 1일 ‒ 결과 문서화 및 발표

워크숍은 대면 진행을 권장하지만, 원격 또는 온사이트 방식 모두 가능합니다.

Analyze:

SAP Data Privacy and Risk Assessment 분석

분석 결과는 SAP Data Privacy and Risk Assessment 상세 보고서로 정리되어 제공됩니다. 해당 보고서는 귀사의 비즈니스 부서, 컴플라이언스 팀, 데이터 보호 책임자(DPO)에게 SAP 환경 내 데이터 프라이버시 및 리스크 수준을 명확하게 전달합니다.

결과는 프로젝트 이해관계자와의 후속 미팅에서 공유되며, 향후 제공 범위에 대한 비용 개요도 함께 안내드립니다.

Report:

Enhanced Discovery Report (선택 추가 서비스)

추가로 2일의 작업 기간을 통해, 전략적 파트너인 Soterion과 함께 Enhanced Discovery Report를 제공해 드립니다. 이 서비스는 SAP 시스템 내 데이터 프라이버시 리스크와 접근 권한 리스크를 함께 분석합니다. Soterion은 SAP를 위한 비즈니스 중심의 Governance, Risk and Compliance (GRC) 솔루션을 구축하여, 리스크에 대한 비즈니스 책임성과 통제 수준을 강화하는 데 중점을 둡니다.

SAP 시스템에서 파일을 추출(export)하여, 로컬 데이터 센터에 호스팅된 Soterion의 임시 인스턴스에 업로드한 후 분석을 수행하고 결과를 제공합니다.
Soterion은 표준 접근 권한 리스크(rule-set)를 기반으로 분석을 진행합니다.

이미 GRC 솔루션을 운영 중이든 아니든 관계없이, 사전 구축된 규칙을 통해 현재의 컴플라이언스 수준을 측정할 수 있습니다.

 

개인정보 데이터
접근 권한 리스크

대부분의 GRC 솔루션은 직무 분리(Segregation of Duties, SoD)와 부정 방지에 초점을 맞추고 있습니다. Soterion은 이러한 기능을 수행할 뿐 아니라, 누가 PII 데이터에 접근 권한을 보유하고 있는지 분석할 수 있는 규칙(rule-set)도 구축하고 있습니다.

직무 분리(SoD)

예를 들어, 지급을 등록하고 승인까지 모두 수행할 수 있는 사용자는 누구인가요? Soterion은 시스템 내에서 상충되는 권한(conflicting access)을 동시에 보유한 모든 사용자를 식별합니다.

국가 간 데이터
접근 권한 리스크

미국 사용자가 유럽 직원 및 고객 데이터에 접근할 수 있습니까? 또는 그 반대의 경우는 어떻습니까?
만약 그렇다면, Data Shield를 구축할 경우 영향을 받는 사용자는 누구입니까?

중요 트랜잭션 리스크

누가 테이블 유지 보수에 직접 접근할 수 있습니까? 또는 프로그램을 직접 실행할 수 있습니까? Vendor 및 Customer 마스터 유지 보수 권한이 적절한 담당자에게만 제한되어 있습니까?

이러한 보고서와 추가 분석을 통해, EPI-USE Labs와 Soterion은 귀사의 데이터 프라이버시 리스크 및 접근 권한 리스크 전반에 대한 Benchmark Risk Assessment를 제공합니다.
또한, 식별된 리스크를 어떻게 개선할 수 있는지에 대한 권고 사항도 함께 제시합니다.

고객 성공 사례

JM's journey to a live, compliant GDPR solution

Blog quote

With the EPI-USE Labs’ approach, we can anonymise and redact sensitive data, meaning business transactions may stay in the system without being related to an identifiable individual. Now, when starting projects, we have frameworks for how to do information sensitivity and risk analyses, and from there come the requirements on the IT side, including the sensitivity of data – the complete information security perspective.

Richard Wenell, Head of IT department, JM

Blog line

MAPA: Customized protection for sensitive SAP HCM data

.Blog quote

Thanks to Data Secure, we can anonymize all sensitive SAP HCM data, such as employee-related data, in a very short time. The biggest advantage of Data Disclose is that data integrity is guaranteed; customers’ sensitive data is anonymized but all orders and items sold are still accessible. All test systems stay fully functional, and test orders are still editable.

Malte Podszus, Consultant FI/CO/HR, MAPA GmbH

Blog line

How Endeavor improved their GRC compliance for SAP with Soterion

Blog quote

We have had very good results on our Access Review Management, which is now performed by our line managers with much less effort. With Soterion, we identified that many people had risk-bearing access that they no longer needed. Now, we have reduced our access risk footprint significantly. Our business users expressed their appreciation of having a tool that was much easier for them to work through, understand, and have visibility over the reviews.

Nick Achteberg, Senior Director Technical Services (SAP), Endeavor

Blog line

Rabobank banks on EPI-USE Labs for data regulation compliance

Blog quote

Scrambling data was a time-consuming manual exercise which didn’t give us enough guarantees that sensitive data was securely scrambled. We wanted to be 100% confident that all sensitive data was masked. We needed a product that would remove the manual effort, allow us to schedule jobs and enable us to comply with regulations. That product proved to be Data Secure.

Jan Huizinga, Technical consultant, Rabobank

Blog line

더 알아보기

DSM-demo
진단 예약하기

당사의 SAP 데이터 프라이버시 진단 서비스를 통해 민감 데이터 노출 위험을 최소화하고, 데이터 보안을 효과적으로 관리하며, 글로벌 개인정보 보호 규정을 준수하십시오.

DSM-assessment
Data Privacy Suite 알아보기

당사의 혁신적인 데이터 프라이버시 및 컴플라이언스 솔루션은 SAP® 시스템을 사용하는 기업이 GDPR(General Data Protection Regulation) 및 기타 개인정보 보호 관련 법규를 준수할 수 있도록 지원합니다.

연락하기

민감한 SAP 데이터를 식별하고 매핑하여, 접근 권한 리스크를 벤치마킹하십시오.