GDPR и международный опыт защищённой · сотрудников, тренинги, аудиты выполнения требований, контактное

Customer

Аркадий Прокудин, SAP

Июнь 19, 2018

GDPR и международный опыт защищённой обработки персональных данных

2CUSTOMER© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Будущее наступило вчера


Автомотизация и Роботизация


The Global Risk Report 2018


Развитие технологий и регулирование защиты данных

1990

EU Data

Protection

Directive

1995 1998

UK Data

Protection Act

25 May

2018

1998 2004

GDPR

Applies

2007

First camera

phone

2000

Increasing

connectivity2002

Sarbanes-

Oxley Act

(SOX)

Payment Card

Industry / Data

Security Standard

(PCI/DSS)

2004

1994

WWWhttp:

1992

( )

Self-driving car

Drones

2012

AI, Machine Learning, ...

2006

Russia

Federal law №152

Personal Data

2017

Russia Federal Law №187

Critical infrastructure information security

1981

Convention for the Protection

of Individuals with regard to

Automatic

Processing of Personal Data

Strasbourg, 28.I.1981

2000

Indian IT Act

Identity

Vaults

Crowdsourced

security

IoT security

2016

GDPR present

Indian

IT Rules

2011


Безопасность персональных данных в странах БРИКс

IT Act (2000, 2008), Information technologies Act. for Data Protection,

IT rules (2011)

Personal information security specification (PISS) (2017)

National General Administration of Quality Supervision, Inspection and Quarantine of

People’s Republic of China

Standardization Administration of the People’s Republic of China

Федеральный закон №152 (2006), О Защите персональных данных

Приказ ФСТЭК №21 (2013), Об утверждении Состава и содержания

организационных и технических мер по обеспечению безопасности персональных

данных при их обработке в информационных системах персональных данных

Draft of Personal Data Protection Law - PDPL (2015)


Утверждена Постановлением Правительства РК № 827 от 12.12.2017

Задачи программы:

10. Обеспечение информационной безопасности в сфере ИКТ.

Сроки реализации 2018–2022 годы

……. Президент страны обозначил актуальность борьбы с киберпреступностью, религиозным экстремизмом и терроризмом. В Послании

Главы государства сделано поручение Правительству и Комитету национальной безопасности разработать концепцию «Киберщит

Казахстана», целью которой является обеспечение информационной безопасности общества и государства в сфере информатизации и

связи, а также защиты неприкосновенности частной жизни граждан при использовании ими информационно-коммуникационной

инфраструктуры…..

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РЕСПУБЛИКИ КАЗАХСТАН

#407 от 30 июня 2017

Концепции кибербезопасности («Киберщит Казахстана»)

Государственная программа «Цифровой Казахстан»


О GDPR

Полная версия Закона доступна по ссылке https://gdpr-info.eu/

Закон вступает в силу 25 мая 2018 года

GDPR распространяется на организации, находящиеся на территории EC и его за пределами, чья дея-

тельность по обработке персональных данных связана с предложением товаров и услуг (даже на

безвозмездной основе) субъектам данных в ЕС или с мониторингом их поведения на территории ЕС

Максимальный штраф: до 4% годового мирового оборота организации или € 20 миллионов*

(в частности, за нарушение требований к международной передаче данных или основных принципов

обработки, таких, как условия для получения согласия)

Другие нарушения: штраф до 2% годового мирового оборота или € 10 миллионов* .

Документ включает список обстоятельств, принимаемых во внимание при определении размера

штрафа (таких как характер, тяжесть, продолжительность нарушения, наличие умысла и т.п.)

* Из расчета

большей величины

В случае утечки ПД, Контролер обязан уведомить об этом соответствующий компетентный орган:

• в течение 72 часов

• незамедлительно, если утечка данных ведет к высокой степени риска для прав и свобод физических лиц

25

Max

Min

https://gdpr-info.eu/


На кого распространяется GDPR?

ПРИМЕРЫ КАТЕГОРИЙ СУБЪЕКТОВ, ПОПАДАЮЩИХ ПОД ДЕЙСТВИЕ GDPR

GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим

персональные данные резидентов и граждан в ЕС, независимо от местонахождения компании

Филиалы, представительства

российских/СНГ организаций

на территории ЕС

Организация, базирующаяся в России/СНГ, которая

осуществляет продажу товаров и услуг, в том числе жителям

ЕС.

Если услуги или товары:

• адаптированы на местные языки жителей ЕС

• оплачиваются в местных валютах ЕС

• предоставляются на национальных доменах верхнего

уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»)

Даже если организация не производит никаких операций

непосредственно на территории ЕС.

Организации, созданные за пределами ЕС, если они (в

качестве контролера или процессора) осуществляют

мониторинг поведение жителей ЕС.

Мониторинг может включать:

• использование методов обработки данных для

профилирования отдельных лиц, их поведения или

их отношения к чему-либо (например, для анализа

или прогнозирования личных предпочтений)

• отслеживание резидента ЕС в интернете


На кого распространяется GDPR?

Позиция SAP, что компания должна следовать закону, если:

- контракт заключен с юридическим лицом, но в контактной информации

указаны контактные данные физического лица – гражданина ЕС.

- гражданин ЕС находится физически не на территории ЕС. Например,

работает в российской компании (экспат), при этом мониторинг его действий

не ведется и не он не является покупателем товаров и услуг.

Открытые вопросы

Согласно оригиналу закона:

the offering of goods or services, irrespective of whether a payment of the

data subject is required, to such data subjects in the Union; or

the monitoring of their behaviour as far as their behaviour takes place within

the Union.


Кто участвует в процессе GDPR?

Администрирование Операции Уполномоченный по защите данных

Генеральный директор и

совет директоров

▪ Руководитель по нормоконтролю

▪ Руководитель по управлению

рисками

▪ Руководитель юридического

отдела

▪ Руководитель внутреннего аудита

▪ Руководитель

информационной службы

▪ Руководитель службы

информационной защиты

▪ Владельцы бизнес-

процессов

▪ Прочие специалисты по

защите данных

(руководитель по работе с

данными и т. д.)


К персональным данным относится информация, которая позволяет напрямую идентифицировать субъекта ПД

• Имя,

• Адрес,

• Номер телефона,

• Адрес эл. почты, и т.д.

Информация, которая косвенно позволяет идентифицировать субъекта ПД

• Национальная принадлежность,

• IP адрес

• MAC адрес,

• Номерной знак,

• Номер участника, и т.д.

О Регламенте. EU General Data Protection Regulation Определение персональных данных


Информация, содержащая характеристики/атрибуты, помогающая идентифицировать объекта ПД среди других

• Дата рождения, пол, профессия, компания

• Бизнес единица, менеджер, команда

• История браузера

• Геолокация

Пол женский

Юрист

ХYZ компания

О Регламенте. EU General Data Protection RegulationОпределение персональных данных

День рождения - 1 июля

Имя: Carla Customer

Адрес проживания: Rainbowstreet 1,

39761 Cloud city

Контактные данные

+49 610 9607207

Portal Account: CarCus

Покупки

▪ Бензин АИ 95

▪ Кофе

▪ Круассан

Банковские реквизиты

Allcreditbank

IBAN: DE12500903170648489890

Информация о работе

Marketing specialist

(12.2015 – настоящее время)

Информация о работе

Working student

(04.2011 – 03.2014)

17

Персональные данные: пример


Подготовка к GDPR: Интересные факты

Несмотря на высокий уровень осведомленности, руководство не всегда знает, какие именно персональные данные должны быть защищены:

Большинство опрошенных считают, что ущерб репутации является самым серьезным последствием утечки данных

подробно изучили требования документа

компаний уверены, что их данные

находятся в полной безопасностиреспондентов спокойно относятся к сумме штрафа

за отсутствие требуемых мер по защите данных

признают, что эта сумма может

составить до 4% их годового оборота

считают, что к ПД не относится

дата рождениясчитают, что к ПД не относятся маркетинговые

базы данных адресов электронной почты


физический адрес клиента


почтовый адрес клиента

85%

79%

33%

66%

42%64%

21%32%

Trend Micro провела опрос руководства различных компаний, согласно его результатам:

Ссылка

https://www.osp.ru/cio/2017/07/13052957/


Контролер

Процессор

Надзорные органы

Субъект ПД

Получатель ПД

(Recipient)

Физ. или юр. лицо, орган гос. власти

или иной орган, которому раскрываются

ПД

О Регламенте. EU General Data Protection Regulation Определение терминов

физическое лицо

физ. или юр. лицо, орган гос. власти или иной

орган, который самостоятельно определяет

цели и средства обработки персональных

данных.

Физ. или юр. лицо, орган гос.

власти или иной орган,

который непосредственно

обрабатывает ПД от имени

Контролера

Отв. за защиту ПД (DPO)Эксперт а области GDPR, в его обязанности

(ст. 37 Регламента) входит обучение

сотрудников, тренинги, аудиты выполнения

требований, контактное лицо для

регулирующих органов, поддержка записей о

активностях в отношении обработки ПД,

взаимодействие с физ. лицами относительно

их ПД.


До наступления ответственности, 25 мая 2018 года, отсутствуют прецеденты по искам, связанным с несоблюдением норм GDPR.

В силу неоднозначности трактовки некоторых положений GDPR, решения по искам, до появления установившихся практик и опыта судебных разбирательств, будет сильно зависеть от судей/аудиторов.

Компания SAP рекомендует в этой связи:

1) Составить дорожную карту комплексной реакции на нормы GDPR, что покажет осведомленность, наличие плана, желание строго соответствовать нормам GDPR

2) Приступить в исполнению наиболее приоритетных задач дорожной карты, что покажет наличие реальных действий/проекта в рамках реализации дорожной карты.

Аудит

Как SAP помогает соблюдать требования

GDPR?


Какие персональные данные граждан ЕС используются?

Как в настоящий момент организован процесс обработки персональных данных?

В каких системах и процессах используются персональные данные граждан ЕС?

Каким образом происходит передача данных между системами?

Кто имеет доступ к персональным данным?

На какие вопросы должна ответить компания прежде всего?


Общая карта решений SAP для соответствия GDPR*

Enterprise Threat Detection, Code Vulnerability

Analysis & Fortify

Data Services/Information Steward/Celonis/Power Designer/MDG

Связывание и профилирование данных в SAP и не SAP ландшафтах

Управление точностью и

согласованностью личных данных

Information Lifecycle Mgt

Access Control, GigyaProcess Control

Open Text

UI Masking/Logging, TDMS

e.g. Art. 4 (1), Art. 9, Art. 20 e.g. Art. 17, Art. 89

e.g. Art. 33; Art. 34

e.g. Art. 4 (5), Art. 32 e.g. Art. 4, 5, 6, 7, 8, 9, 10, 11, 12, 24; Art. 26; Art 27; Art. 28; Art. 30, Art 33, Art 34, Art. 35, Art. 39, Art. 42… +more

Поддержка SAP/non-SAP ландшафтов

Поддержка SAP ландшафтов

Управление процедурами удаления и архивирования в соответствие с законом, OpenText также рассматривает активные неструктурированные и бумажные данные

ETD на HANA: расширенная аналитика угроз / мониторинг нарушений в режиме реального времени.

CVA & Fortify: обеспечение непрерывности бизнес, предотвращение нарушений доступа к данным путем идентификации уязвимостей безопасности в пользовательском коде

Управление законным и блокировка незаконного доступа к персональным данным для активных бизнес-систем (в т.ч. непродуктивных), контрактных процессоров, регистрации сотрудников

Соблюдение GDPR: цифровое управление проверяющим органам для контроля и автоматизированного мониторинга для ландшафтов SAP и не SAP

* Карта решений для конкретной компании может быть отлична, включать только несколько компонентов.

Конфиденциальность данныхВлияниеОценка

Активные данные

Блокировка, удержание(завершение цели)

Удаление (хранение в соответствии с законом)

Сбор данных




Analysis & Fortify







Open Text



e.g. Art. 33; Art. 34


















Analysis & Fortify







Open Text



e.g. Art. 33; Art. 34


















Analysis & Fortify







Open Text



e.g. Art. 33; Art. 34
















Перечень решений SAP для соответствия GDPR (1/2)

ОписаниеСтатья

регламентаПродукты

For SAP/non

SAP

landscape

Быстрореализ

уемая

инициатива

Среднесрочная

инициатива

Управление процессом обработки и хранения

персональных данных и документацией, касающейся

GDPR

Art. 9 SAP GRC Process Control/

организационные меры all

Информация, в каких системах и таблицах

используются персональные данные в SAP и не SAP

ландшафте, интеграция и очистка данных

Art. 4 (1), Art. 9,

Art. 20

Data Services, Information

Steward, SAP Process mining all

Блокирование и удаления персональных данных Art. 17, Art. 89 SAP Information lifecycle

management

SAP

Управление просмотром «чувствительных»

персональных данных

Art. 4 (5), Art. 32 UI logging, UI masking SAP

Управление ролями и полномочиями Art. 32 SAP Access Control all

Централизованный контроль доступа к ИС Art. 32 SAP Single Sign On all

Мониторинг ландшафта SAP на предмет уязвимости Art. 33, Art. 34 SAP ETD on HANA all

Управление продуктивными данными в

непродуктивных системах

Art. 4, 6 (4) Test Data Migration Server SAP

Управление учетными данными, пользовательскими

соглашениями, информацией о пользователях

сайтов

Art. 32 Gigya all

*Средний срок проекта - 3-6 месяцев

** Средний срок проекта – от 9 месяцев


Перечень решений SAP для соответствия GDPR (2/2)

Описание Статья регламента Продукты

For SAP/non SAP

landscape

Быстрореализ

уемая

инициатива*

Среднесрочная

инициатива**

Управление полным жизненным циклом

неструктурированной информации, содержащей

персональные данные пользователя

Art. 17, Art. 89 SAP Open Text all

Обеспечение непрерывности бизнеса

предотвращение нарушений доступа к данным,

путем идентификации уязвимостей безопасности

в пользовательском коде

Art. 33, Art. 34 Code Vulnerability

Analysis & Fortify

SAP

Ведение персональных данных пользователей на

корпоративном уровне

Art. 4 (1), Art. 9, Art. 20 SAP MDG интеграция с

любыми

локальными

системами

Анализ бизнес-процессов, связанных с законным

использованием персональных данных и их

движением

Art. 9, Art. 20 SAP Process

Mining by Celonis

all

Документация по использованию персональных

данных в бизнес процессах

Art. 9, Art. 20 SAP Power

Designer

all

*Средний срок проекта - 3-6 месяцев

** Средний срок проекта – от 9 месяцев

Позиции прайс листа


Позиции прайс листа*

Решение Номер в прайс листе Название позиции

SAP Process Control 7017576 SAP Process Control

SAP Access Control 7018256 SAP Access Control*

SAP ETD 7018260 SAP Enterprise Threat Detection

Information Steward+Data Services 7019160 SAP Data Services, enterprise edition

SAP TDMS 7011533 SAP Test Data Migration Server

SAP ILM 7018995 SAP Information Lifecycle Management

SAP Process Mining 7018992 SAP Process Mining by Celonis

UI logging

7019005 logging of SAP GUI for Windows

7019006 logging of Web Client UI

7019007 logging of SAP NetWeaver BW Access

7019008 logging of Web Dynpro ABAP

7019009 logging of RFC/BAPI and Web Service

7019091 logging of SAP Gateway

UI Masking

7019089 field masking for SAPUI5 and SAP Fiori

7019090 field masking for Web Dynpro for ABAP

7018924 field masking for WebClient UI

7019503 field masking for SAP GUI

SAP MDG

7018849 SAP Master Data Governance for SAP S/4HANA, customers option

7018851 SAP Master Data Governance for SAP S/4HANA, custom option

7018848 SAP Master Data Governance for SAP S/4HANA, suppliers option

SAP Open Text 7018804 SAP Extended Enterprise Content Management by OpenText

Code Vulnerability Analysis &

Fortify7019502 SAP NetWeaver Application Server, add-on for code vulnerability analysis

SAP Power Designer 7017652 SAP PowerDesigner EnterpriseArchitect

SAP GigyaВ текущем прайс листе

отсутствует, должен появитьсяHybris Consent, Identity, Profile

Прайс лист актуален на Q1 2018 * Для использования для не SAP систем требуется лицензирование доп.позиций.


Специалисты по решениям GDPR

Портфель решений Решения LoB sales

GRC solutions SAP Process Control

SAP Access Control

SAP ETD

UI logging

UI Masking

Code Vulnerability Analysis & Fortify

Аркадий Прокудин

DDM solutions Information Steward, Data Services

SAP ILM

SAP Process Mining

SAP MDG

SAP Open Text

SAP Power Designer

Андрей Конорев

Hybris SAP Gigya Бари Муртазин

SAP TDMS SAP TDMS SAP consulting

Для получения дополнительной информации для клиентов нефтегазовой отрасли следует обращаться:

BSA, Oil and Gas – Баклунова Екатерина

Сервис MaxAttention


Сервис MaxAttention по соответствию GDPRSAP Security Engagement service package – GDPR Discovery Workshop

EU-GDPR вступит в силу 25 May 2018. Существенные

штрафы при его несоблюдении. Обзор требований EU-GDPR

с привязкой к решениям SAP. Идентификация технических

гэпов в текущем ландшафте SAP и не SAP систем.

Определение технической стратегии и дорожной карты

основанной на потребностях, ландшафтах и процессах в

компании

2-3-дневный очный воркшоп с 2 экспертами от SAP. Обзор

требований GDPR. Общие принципы соответствия

Регламенту. Обзор инструментов, решений и сервисов SAP

для соответствия Регламенту. Определение потребности и

следующих шагов. На выходе: Рекомендации и

техническая дорожная карта для соответствия GDPR.

• Обзор текущей ситуации и статуса готовности к закону.

• Рекомендации по выбранным аспектам безопасности

обработки и хранения персональных данных.

• Создание релевантной для компании технической

дорожной карты.

10 дней + Security Optimization Services (SOS) по желанию.

Бизнес необходимость Подход и объем сервиса

Ценность Трудозатраты


AgendaDay 1 – March 14th 2018

# Time Subject Topic Owner

Introduction and Situation

1 10:00-10:30 Introduction / Objectives / Agenda All

2 10:30-11:00Introduction by Lukoil: Situation, Landscape,

Security and GDPR Policy and StatusAll

3 11:00-12:00 Overview: Security Optimization Service (SOS) Reports SAP

GDPR Introduction

4 12:00-13:00 Introduction into EU General Data Protection Regulation (GDPR) SAP

13:00-14:00 Lunch

5 14:00-15:00Data Privacy within SAP Business Suite:

Procedure model for the inductive approachSAP

6 15:00-16:00Data Privacy within SAP Business Suite:

Technical implementation and GDPR relevant SAP products and featuresSAP

Technical Security

7 16:00-16:30 Logging: Security Audit Log, Read Access Logging and UI Logging SAP

8 16:30-17:00 Buffer for open discussions / Wrap up of Day 1 All


AgendaDay 2 – March 15th 2018

# Time Subject Involved Parties

1 10:00-10:30 Remarks, Questions or topics from day before All

Technical Security

2 10:30-11:00 Configuration settings controls: EWA, SOS, Configuration Validation SAP

3 11:00-12:00 Web Layer / Frontend Security (SSL, SSO, Web Dispatcher) SAP

12:00-13:00 Lunch

4 13:00-14:30 RFC Security (Gateway, UCON, SNC) SAP

5 14:30-15:30 Internal Prep SAP Only

6 15:30-17:00Wrap up Session

Sign-off on Security Roadmap draftAll

INTERNAL

Подвал


Краткое описание возможности решений

Решение Краткое описание

SAP Process Control В соответствие с ст. 9 в GDPR, необходимо вести записи идущих активностей, технических и организационных мер и

контролей. Нужно вести учет документации относительно орг. мер. Текущее состояние многих компаний – раздельные

репозитории документов.

Компании необходимо привлечь ответственного за защиту данных (DPO) для определения того, какие дополнительные меры

необходимо учитывать в отношении GDPR. Разрозненные организации могут создать неэффективный и дорогостоящий подход

к управлению рисками и программой в целом, что может негативно отразиться на выполнении программы GDPR.

Решение SAP Process Control поможет организовать процесс соответствия требованиям GDPR, определить роли, обязанности

и участие в активностях GDPR в рамках всей организации. Функционал решения может значительно ускорить сбор

информации от бизнес-персонала и превратить эти данные в измеримые результаты. Репозиторий Process Control может

использоваться как «единственный источник правды» для данных о GDPR, управлении рисками и данными для соответствия

GDPR.

SAP Information Steward Одна из задач компании для соответствия GDPR - понять, где и для каких целей используются персональные данные

физических лиц (в каких системах, таблицах, связи между системами).

GDPR требует от компании полного понимания целей обработки персональных данных. SAP Information Steward покажет какие

данные используются в таблицах SAP и не SAP систем (например, сканирует все таблицы, в которых содержится номер

телефона). Это является отправной точкой в определении, какие персональные данные находятся в ваших таблицах. Однако

не показывает цели нахождения данных в таблицах.

SAP Data Services осуществляет проверку качества данных, интеграцию данных, профилирование, обработку текстовой

информации.

Information Lifecycle

Management

Когда компания имеет информацию по тому, какие персональные данные физ.лиц она использует, где они хранятся и для каких

целей, следующая задача - прописать соответствие таблиц с объектами SAP Information Lifecyle Management. Когда такое

соответствие будет прописано, прописывают соответствие объектов и целей и определяют сроки действия целей. Функционал

SAP ILM позволяет проверять сроки, блокировать и архивировать данные из систем в соответствие с правилами и политиками

хранения персональных данных Компании и требованиями Регламента. Это решение позволит соответствовать GDPR в

отношении права субъекта ПД «на забвение». В случае, если цели обработки исполнены, персональные данные могут быть

удалены автоматически.




UI logging, UI masking GDPR указывает, что определенные категории персональных данных следует считать «чувствительными» и они должны быть

дополнительно защищены.

РешениеSAP UI logging позволяет увидеть, кто и когда просматривал «чувствительные данные». Позволяет настроить плавила

оповещения о подозрительных активностях пользователя (например, один пользователь за день просматривает персональные

данные пользователя до 10 раз, хотя это не относится к его рабочим задачам).

Решение SAP UI masking позволяют маскировать отдельные поля пользовательского интерфейса на основе предварительно

заданных правил, позволяя только определенным группам пользователей видеть конкретную информацию, которую в

противном случае может просматривать большая группа пользователей. Например, администратор HR должен видеть

определенную информацию о сотруднике, такую как имя и адрес, но рядом с этой информацией находится информация о

заработной плате, которую они не должны видеть, в таком случае это может быть маскировано соответствующим образом.

Эта концепция может быть применена к чувствительным персональным данным, определенным в статье 9 регламента GDPR.

SAP Access control Управление доступом и блокировка несанкционированного доступа в бизнес системы. Статья 4 (5), 32.

SAP Access Control позволяет существенно расширить стандартный функционал в области управления: управление учётными

записями и полномочиями пользователей, управление изменениями ролей и полномочий, управление предоставлением

расширенных полномочий (на базе FireFighter), управление разделением полномочий (конфликты SoD), формирование

отчётности в области Авторизации, включая отчёты по лицензированию пользователей.

Например, SAP AC позволяет автоматически проверять полномочия на конфликты либо превышенные полномочия (например,

за счет наращивания полномочий при смене пользователем должностей), чтобы минимизировать несанкционированный доступ

к данным.

SAP AC также позволяет давать пользователям расширенные полномочия на определенный период, при этом логируя все

действия пользователя, уведомляя ответственных о том, что данный сотрудник имеет расширенные права.

SAP MDG Единая система управления основными данными, в том числе персональными данными физических лиц. Обеспечение

корректности и полноты персональных данных, обеспечение доступа к данным только для авторизованных пользователей.

SAP Open Text SAP Extended Enterprise Content Management by OpenText помогает компаниям управлять полным жизненным циклом

неструктурированной информации, содержащей персональные данные пользователя. Например, управление

неструктурированной информацией, содержащей персональные данные, такие как заказы на продажу, счета-фактуры и

кадровые документы (HR).




SAP Gigya Gigya – облачное решение, основной функционал которого:

1) Идентификация. Управление учетными данными пользователей сайтов.

Работает для пользователя как SSO (в рамках одной компании. Пример: одна компания имеет несколько сайтов, пользователю не

нужно заводить множество паролей для каждого сайта).

2) Согласия. На сайтах мы часто ставим галочки, что мы согласны с определенными условиями, например, согласие на обработку

персональных данных. Решение хранит информацию о согласиях (для каждой компании согласие будет свое).

3) Профиль. Возможность логиниться через соц. сети. Поддержка около 35 соц сетей (ФБ, VK, LinkedIn, Instagram и другие). Здесь

же собирается информация из профиля социальных сетей (основная инф-я, лайки и т.п.). Пользователь должен дать на это

предварительное согласие.

Test Data migration

Server

Данные из продуктивных SAP систем используются в непродуктивном ландшафте, где контроль доступа к ним менее строгий. Это

не соответствует требованиям GDPR, т. к. использование персональных данных в непродуктивных системах не имеет цели, а

значит не соответствует законодательству, кроме как их использование в сценариях тестирования для целей GDPR.

Использование решений для шифрования (скремблинга) и анонимизации данных, относящихся к субъектам данных ЕС,

одновременно обеспечивая качество и целостность данных.

SAP TDMS позволяет шифровать и анонимизировать данные с минимальными усилиями и воздействием на тестирование

основных процессов.

Если анонимизация данных не может быть использована, необходимо рассмотреть возможность внедрения более строгого

контроля доступа к тестовым системам (например, с помощью SAP Access Control), чтобы свести к минимуму вероятность

нарушения.

SAP Process Mining by

Celonis

Решение SAP Process Mining by Celonis позволяет проанализировать бизнес-процессы, связанные с законным использованием

персональных данных и их движением. Решение позволяет осуществлять анализ процессов, связанных с требованиями к

информации в рамках GDPR и позволяет компании понять: обрабатываются ли персональные данные в соответствие с

моделями, утвержденными на предприятии, существуют ли недокументированные варианты подпроцессов.




SAP ETD on HANA Расширенная аналитика по угрозам, мониторинг нарушений в системах SAP и не SAP в реальном времени (Art. 33; Art. 34).

Отслеживание и информирование о подозрительных активностях. Обнаружение и анализ угроз в реальном времени, используя

возможности платформы SAP HANA для сбора и анализа большого количества данных журналов из SAP не SAP и сопоставления

для получения полной информации об активностях в системах.

Реагирование на угрозы в режиме реального времени и предотвращение критического ущерба. Обнаружение угроз, относящиеся

к известным атакам SAP систем, используя шаблоны обнаружения атак. Позволяет выполнить проверки криминалистических

угроз, провести расследование атак, обнаружить ранее неизвестные атаки или варианты атак и настроить интеграцию не-SAP-

систем и компонентов инфраструктуры через открытый API.

SAP Single Sign On Предотвращение несанкционированного доступа к бизнес-системам компании имеет решающее значение для обеспечения

безопасности и контроля доступа к ПД. SAP SSO обеспечивают безопасный, удобный пользователю единый логин для всех

бизнес-приложений, как on prem, так и в облаке, SAP и не SAP. SAP single Sign on поддерживает меры безопасности, которые

отвечают корпоративным и регулятивным требованиям.

SAP SSO позволяет аутентифицировать пользователя в домене Windows путем ввода доменного имени/пароля или другим

способом, автоматически получить kerberos ticket для доступа к различным ресурсам (включая системы SAP). Провести

первичную аутентификацию пользователя в системе SAP автоматически с использованием kerberos ticket, получить SAP Logon

ticket для доступа к другим системам SAP (задействованным в том же сценарии), провести вторичную аутентификацию

пользователя в системе/системах SAP автоматически с использованием SAP Logon ticket.

Использование SSO решает, например, такие проблемы как использование слабых паролей, ненадежное хранение паролей.

Одновременно с этим повышает удобство пользователя и снижает нагрузку на службу поддержки.

SAP Power Designer Документация архитектуры данных, включая персональные данные. Документация по использованию персональных данных.

Идентификация и управление изменениями, включая воздействие на персональные данные. SAP Power designer позволяет

разобраться: в каких бизнес процессах используются персональные данные, какие приложения поддерживают эти процессы.

SAP Code Vulnerability

Analysis & Fortify

Обеспечение непрерывности бизнеса предотвращение нарушений доступа к данным, путем идентификации уязвимостей

безопасности в пользовательском коде. Выполнение проверок кода, отчеты и просмотр результатов проверки (включая

документацию), запрос и утверждение исключений.

Documents

GDPR и международный опыт защищённой · сотрудников, тренинги, аудиты выполнения требований, контактное