Руководство по обеспечению безопасности - SAP Help Portal
20
PUBLIC (ОБЩЕДОСТУПНО) Версия документа: 2022.2 – 2022-01-11 Руководство по обеспечению безопасности © SAP SE или аффилированная компания SAP, 2021. Все права защищены. THE BEST RUN
-
Upload
khangminh22 -
Category
Documents
-
view
0 -
download
0
Transcript of Руководство по обеспечению безопасности - SAP Help Portal
PUBLIC (ОБЩЕДОСТУПНО)Версия документа: 2022.2 – 2022-01-11
Руководство по обеспечению безопасности
© S
AP S
E ил
и аф
фил
иров
анна
я ко
мпан
ия S
AP, 2
021.
Все
прав
а за
щищ
ены.
THE BEST RUN
Содержание
1 Руководство по обеспечению безопасности SAP Data Warehouse Cloud. . . . . . . . . . . . . . . . 31.1 Безопасность облачной сети и коммуникаций. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41.2 Настройки провайдера идентичности. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.3 Политика паролей. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51.4 Управление пользователями. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
Пользователи приложения. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Пользователи базы данных. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.5 Полномочия и роли. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9Контроль доступа к данным. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.6 Запись аудита в журнал. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101.7 Защита данных и конфиденциальность. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Глоссарий. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Запись персональных данных. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Удаление персональных данных. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.8 Стандарты соответствия. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2PUBLICОБЩЕДОСТУПНО
Руководство по обеспечению безопасностиСодержание
1 Руководство по обеспечению безопасности SAP Data Warehouse Cloud
Руководство по обеспечению безопасности SAP Data Warehouse Cloud является начальной точкой для получения любой информации о безопасной эксплуатации и настройке SAP Data Warehouse Cloud.
Безопасность является важным элементом всего жизненного цикла продуктов SAP, включая разработку, планирование и обеспечение качества. Как и другие продукты SAP, приложение SAP Data Warehouse Cloud отвечает самым высоким стандартам безопасности, которые гарантируют защиту ваших данных от веб-атак и атак в облаке.
Некоторые наиболее важные аспекты обеспечения безопасности представлены ниже в интерактивном изображении:
● Полномочия и роли [страница 9]● Управление пользователями [страница 5]
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
PUBLICОБЩЕДОСТУПНО 3
● Защита данных и конфиденциальность [страница 12]● Настройки провайдера идентичности [страница 4]● Безопасность облачной сети и коммуникаций [страница 4]
SAP предоставляет функции для реализации ваших требований и концепций в области безопасности и защиты данных с системном ландшафте SAP Data Warehouse Cloud. Вашими задачами являются:
● Создание и присвоение пользователям соответствующих ролей. См. Управление ролями и привилегиями.
● Настройка безопасной интеграции данных с системами, с которыми устанавливается соединение для доступа к данным. См. Соединение с источниками.
1.1 Безопасность облачной сети и коммуникаций
SAP Data Warehouse Cloud поддерживает шифрование коммуникации по сетевым каналам связи.
Рекомендуется использовать зашифрованные каналы во всех случаях, когда сеть не защищена другими мерами безопасности от атак, таких как перехват, например, при обращении к сети из общедоступных сетей.
В SAP Data Warehouse Cloud используются следующие сетевые каналы связи:
● Безопасная коммуникация с SAP HANA через клиент с поддержкой JDBC/ODBC.Полный доступ к схеме Open SQL пространства с ограничением: один случай примененияДля каждой схемы Open SQL доступны отдельные пользователи в разделе Управление пространством. Эти пользователи считаются техническими. Для каждой схемы Open SQL существует ровно один пользователь.Для этих технических пользователей поддерживается базовая аутентификация. Незашифрованные соединения с базой данных не принимаются.
● Канал, используемый для моделирования и администрирования через веб-интерфейс SAP Data Warehouse Cloud, а также для аналитики SAP Analytics Cloud (для арендаторов SAP Data Warehouse Cloud, предоставленных до версии 2021.03). Этот канал используется бизнес-пользователями и администраторами, которые выполняют аутентификацию у провайдера идентичности.
● Безопасная коммуникация между SAP Data Warehouse Cloud и интерфейсом командной строки dwc.Интерфейс командной строки dwc обменивается данными с арендатором SAP Data Warehouse Cloud по протоколу https. Соединения защищены через TLS/SSL, и пользователь указывает разовый парольный код для каждой команды, выполняемой в dwc.
1.2 Настройки провайдера идентичности
Один провайдер идентичности для SAP Data Warehouse Cloud и SAP Analytics Cloud.
У SAP Data Warehouse Cloud и SAP Analytics Cloud одинаковый механизм идентификации. В арендаторе выберите Мои продукты, затем Аналитика и измените там настройки провайдера идентичности. После изменения этот провайдер идентичности можно использовать и для входа в SAP Data Warehouse Cloud.
4PUBLICОБЩЕДОСТУПНО
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
ПримечаниеВсе задачи (например, задачи тиражирования дистанционных таблиц или задачи устойчивости ракурсов), запланированные до изменения конфигурации IdP, могут не начаться. Более подробную информацию о проблеме и путях ее решения см. в SAP-ноте 3089828
Подробнее о настройках провайдера идентичности см. в разделе Активация пользовательского провайдера идентичности SAML справочной документации по SAP Analytics Cloud.
Подробнее об использовании вашего арендатора сервиса SAP Cloud Platform Identity Authentication в качестве провайдера идентичности или прокси собственного провайдера идентичности для хостинга бизнес-пользователей см. в разделе Установка доверия и федерации вручную между UAA и сервисом SAP Cloud Platform Identity Authentication документации по SAP Cloud Platform.
1.3 Политика паролей
Пароли пользователей базы данных должны соответствовать определенным правилам. Эти правила определяются в политике паролей.
Требуемая роль для настройки политики паролей: Администратор DW.
Политика паролей настраивается на странице Конфигурация в разделе Безопасность и применяется к пользователю базы данных путем редактирования существующего пользователя или при создании нового пользователя.
Политика паролей базы данных
Параметр конфигурации Дополнительная информация
Срок действия пароля Число дней, в течение которых действителен начальный пароль или любой пароль, установленный администратором для пользователя.
Подробнее об установке срока действия пароля для пользователей базы данных см. в разделе Настройка политики паролей.
1.4 Управление пользователями
Зачастую требуется указание разных политик безопасности для разных типов пользователей.
В SAP Data Warehouse Cloud различают пользователей приложения, которые работают с веб-интерфейсом пользователя (UI) SAP Data Warehouse Cloud, и пользователей базы данных, которые обращаются к соответствующей базе данных SAP HANA.
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
PUBLICОБЩЕДОСТУПНО 5
● Пользователи приложения [страница 6]● Пользователи базы данных [страница 6]
1.4.1 Пользователи приложения
Пользователь приложения – это фактический пользователь SAP Data Warehouse Cloud, который может быть присвоен пространству в качестве участника.
Тип пользователя Описание Дополнительная информация
Пользователь приложения Роль, необходимая для создания пользователя: Администратор DW
Роль, необходимая для присвоения пользователя пространству: Администратор пространства DW
Создается в пользовательском ин
терфейсе по пути Безопасность →
Пользователи.
Пользователь добавляется в пространство как участник.
Каждому пользователю можно присвоить предварительно определенные роли или пользовательские роли.
● Управление пользователями SAP Data Warehouse Cloud
● Управление ролями и привилегиями
1.4.2 Пользователи базы данных
Пользователь базы данных – это технический пользователь SAP Data Warehouse Cloud, который имеет доступ к соответствующей базе данных SAP HANA.
SAP Data Warehouse Cloud предоставляет два типа пользователей базы данных.
6PUBLICОБЩЕДОСТУПНО
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
Пользователь базы данных на уровне пространства
Тип пользователя Описание Дополнительная информация
Пользователь базы данных Требуемая роль для создания: Администратор пространства DW
Создается и редактируется через пользовательский интерфейс по пути Управление пространством → <Имя пространства> → Доступ к базе данных → Пользователи базы данных.
При создании этого пользователя можно присваивать и комбинировать различные привилегии:
● Запись в схему Open SQLСоздает схему Open SQL, и пользователь получает роль public.Пользователь базы данных является владельцем и имеет привилегии на чтение и запись для этой схемы.Возможный сценарий использования: подключение внешних инструментов и извлечение данных.Регистрационные данные этого пользователя отображаются в UI при создании схемы и не сохраняются в SAP Data Warehouse Cloud. Сброс пароля возможен в пользовательском интерфейсе для редактирования пользователя базы данных.
● Чтение в схеме пространстваПользователь может считывать экспонированные данные.Возможный сценарий использования: подключение внешних инструментов и передача данных.Также можно разрешить пользователю предоставлять привилегию select другим пользователям.
● Для получения дополнительной информации об общей роли см. Предопределенные роли базы данных (каталога).
● Доступ к базе данных○ Создание пользователя
базы данных○ Контейнер SAP HANA Cloud
Deployment Infrastructure (HDI)
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
PUBLICОБЩЕДОСТУПНО 7
Тип пользователя Описание Дополнительная информация
Подключение к контейнеру HDI (прием или экспонирование для контейнера HDI).
Пользователь базы данных на уровне арендатора (расширенные возможности)
Тип пользователя Описание Дополнительная информация
Пользователь анализа базы данных
Доступ для чтения к соответствующей базе данных SAP HANA
Требуемая роль для создания: Администратор DW
Создается и редактируется в пользовательском интерфейсе по пути Конфигурация→ Доступ к базе данных → Пользователь анализа базы данных.
Позволяет подключаться к базе данных SAP HANA Cloud для анализа, диагностики и решения проблем с базой данных.
Можно настроить автоматический срок действия, по истечении которого пользователь деактивируется.
Может считывать все данные пространства, ракурсы мониторинга SAP HANA, трассировки, воспроизводить проблемы и использовать explain plan.
● Анализ и диагностика ошибок базы данных
● Пользователь анализа базы данных
8PUBLICОБЩЕДОСТУПНО
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
Тип пользователя Описание Дополнительная информация
Администратор группы пользователей базы данных
Доступ для чтения и записи к соответствующей базе данных SAP HANA
Требуемая роль для создания: Администратор DW
Создается и редактируется в пользовательском интерфейсе по пути Конфигурация→ Доступ к базе данных → Группа пользователей базы данных.
Изолированные среды, предоставляющие дополнительные возможности для работы с базой данных SAP HANA Cloud без ущерба для безопасности. Администратор группы автоматически создается при создании группы пользователей.
Он осуществляет создание других пользователей SQL и схем, выполнение DDL, DML и использование SQL с дополнительными возможностями.
Запуск возможен через проводник базы данных SAP HANA.
Создание групп пользователей базы данных
1.5 Полномочия и роли
SAP Data Warehouse Cloud использует концепцию пространств для управления данными.
Полномочия на уровне данных
Управление полномочиями осуществляется через концепцию пространств, то есть артефакты, такие как таблицы, ракурсы или журналы, а также данные определенного пространства доступны только пользователям, присвоенным этому пространству. При этом пользователи, присвоенные определенному пространству, имеют доступ ко всем артефактам и данным этого пространства.
Пространства разделяют данные по областям ответственности и полномочий. Такой комбинированный характер хранения данных и ответственности за данные необходимо учитывать при создании полномочий.
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
PUBLICОБЩЕДОСТУПНО 9
Полномочия и роли на уровне приложения
Полномочия на уровне приложения для бизнес-пользователей и администраторов настраиваются по пути Безопасность Роли и присваиваются пользователям по пути БезопасностьПользователи . Роли определяют, к каким разделам UI разрешен доступ и какие действия разрешены пользователю в SAP Data Warehouse Cloud.
Связанные сведения
Управление пользователями SAP Data Warehouse CloudУправление ролями и привилегиями
1.5.1 Контроль доступа к данным
Контроли доступа к данным позволяют настраивать безопасность объектов на уровне строк. Когда контроль доступа к данным применяется к ракурсу уровня данных или объекту бизнес-уровня, строки данных, содержащиеся в объекте, фильтруются на основе указанных критериев.
Критерии определяются в таблице или ракурсе, где указываются идентификаторы пользователей SAP Data Warehouse Cloud (в формате, требуемом провайдером идентичности) и присваиваются одному или нескольким критериям.
Подробнее о создании и применении контроля доступа к данным см. в разделе Контроли доступа к данным.
1.6 Запись аудита в журнал
Аудит позволяет отслеживать и записывать отдельные операции, выполняемые в SAP Data Warehouse Cloud, чтобы знать, кто, что и когда сделал или пытался сделать.
Запись в журнал изменений и запись в журнал доступов чтения можно настроить независимо друг от друга. Оба журнала реализуются с использованием одного механизма, поэтому следующий раздел касается, как записи изменений, так и записи доступов чтения.
Запись в журнал аудита данных клиента из пространств
1. Вы можете включить аудит объектов SAP Data Warehouse Cloud на предмет операций чтения и изменения на уровне пространств по пути Управление пространством <Ваше пространство>Редактировать пространство Аудит . Вы можете задать срок хранения в днях. Значение по умолчанию и минимальный срок хранения - 7 дней, а максимальный - 10 000 дней.
10PUBLICОБЩЕДОСТУПНО
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
Если аудит активирован, записи всех связанных объектов SAP Data Warehouse Cloud сохраняются в журнале аудита SAP HANA. Такие журналы не включают объекты схем доступа к базе данных, например схем Open SQL.
ПримечаниеЕсли вы решите активировать журналы аудита, помните, что они могут занимать много ГБ на диске с базой данных арендатора SAP Data Warehouse Cloud, особенно при длинных периодах хранения. При необходимости можно удалить журналы аудита, что позволит освободить пространство на диске.
2. Для отдельных схем базы данных вы можете включить аудит операций чтения и изменения по пути Управление пространством <Ваше пространство> Редактировать пространство Доступ к
данным Пользователь базы данных Редактировать . Срок хранения можно определить для каждой схемы.
ПримечаниеОзеро данных
Обратите внимание, что инструкции, выводимые через процедуру выполнения для озера данных, сейчас не проходят аудит в SAP Data Warehouse Cloud.
В результате для схем пространства создаются политики SAP HANA.
Политики объектов под управлением SAP Data Warehouse Cloud имеют следующие имена:
● DWC_DPP_<имя пространства>_READ;● DWC_DPP_<имя пространства>_CHANGE.
Просмотр журналов аудита
1. Выберите пространство, которое будет содержать журналы:Выберите Система Конфигурация Аудит . Здесь можно активировать сохранение и дальнейший просмотр журналов аудита непосредственно в определенном пространстве. Выберите пространство из раскрывающегося списка. Для этой настройки необходимы полномочия на конфигурацию аудита. Рекомендуется создать специализированное пространство для журналов аудита, чтобы не все пользователи могли просматривать конфиденциальные данные.
2. Чтение журналов аудитаЖурналы аудита сохраняются как внешние данные, например, в виде ракурса. Эти журналы аудита можно выбрать в разделе Построитель данных.○ Данные находятся в ракурсе AUDIT_LOG схемы DWC_AUDIT_READER.○ Журналы аудита пользователя анализа базы данных сохраняются отдельно в ракурсе
ANALYSIS_AUDIT_LOG.○ Чтобы просмотреть политики аудита и число записей журнала аудита, используйте ракурс
AUDIT_LOG_OVERVIEW в схеме DWC_AUDIT_READER.
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
PUBLICОБЩЕДОСТУПНО 11
Удаление журналов аудита
Все пространства, для которых активирован аудит, перечислены в области Удаление журнала аудита.
Для каждой области можно по отдельности удалить все записи журнала аудита, относящиеся к операциям считывания, и записи, относящиеся к операциям изменения. Удаляются все записи, зарегистрированные до указанной даты и времени.
1. Выберите Система Конфигурация Аудит .2. Выберите пространства и имена политик аудита, для которых требуется удалить все записи
журнала аудита, и нажмите Удалить.3. Выберите дату и время и нажмите Удалить.
Все записи, зарегистрированные до этой даты и времени, будут удалены.Удаление журналов аудита освобождает место на диске, которое отображается на панели Использование диска на странице Управление пространством.
Журналы изменений объектов и настроек среды дизайна
Изменения объектов моделирования (областей, таблиц) и системной конфигурации записываются в области Безопасность Операции .
1.7 Защита данных и конфиденциальность
Защита данных связана с многочисленными законодательными требованиями и вопросами конфиденциальности. Помимо соблюдения общих законов о защите данных и конфиденциальности, необходимо учитывать специфичные для отрасли требования законодательства, действующие в разных странах.
SAP предоставляет функции для обеспечения соответствия законодательным требованиям, включая защиту данных. SAP не дает рекомендаций относительно того, являются ли эти функции лучшим способом выполнения требований, применимых к компании, отрасли, региону или стране. Кроме того, эта информация не должна считаться рекомендацией относительно дополнительных функций, которые могут потребоваться в конкретных ИТ-средах. Решения, связанные с защитой данных, должны приниматься на индивидуальной основе с учетом системного ландшафта и применимых законодательных требований.
ПримечаниеSAP не предоставляет юридические консультации ни в какой форме. Программное обеспечение SAP обеспечивает соответствие требованиям к защите данных благодаря функциям безопасности и специальным функциям защиты данных, таким как упрощенная блокировка и удаление персональных данных. Во многих случаях соблюдение применимых законов о защите данных и конфиденциальности не обеспечивается функциями продукта. Определения и другие термины, используемые в данном документе, не взяты из конкретного юридического источника.
12PUBLICОБЩЕДОСТУПНО
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
ПредупреждениеСтепень защиты данных с помощью технических средств зависит от защищенности системы. Сетевая безопасность, реализация указаний по безопасности, надлежащая запись в журнал изменений системы и правильное использование системы - вот основные технические требования для соблюдения закона о защите данных и других нормативных актов.
Защита и конфиденциальность данных при использовании Витрины данных
В настоящее время Витрина данных не предоставляет технических функций для корректного включения персональных данных в продукты данных. В данный момент SAP требует от вас не использовать персональные данные в своих продуктах или анонимизировать персональные данные перед их передачей третьим лицам.
К персональным данным относится любая информация, касающаяся идентифицированного или идентифицируемого физического лица ("субъекта данных"). Идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано напрямую или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные местоположения, онлайн-идентификатор, или на один или несколько факторов, относящихся к физической, физиологической, генетической, духовной, экономической, культурной или социальной идентичности этого физического лица. Физические лица могут быть идентифицированы напрямую, например по именам, номерам телефонов, адресам электронной почты, почтовым адресам, идентификаторам пользователей, налоговым номерам и номерам социального страхования, или косвенно — посредством комбинации любой другой информации.
1.7.1 Глоссарий
Следующие термины являются общими для продуктов SAP. Не все термины могут быть релевантны для этого продукта SAP.
Термин Определение
Блокирование Метод ограничения доступа к данным, бизнес-назначение которых завершено.
Бизнес-назначение Юридическая, договорная или иным образом обоснованная причина обработки персональных данных в рамках комплексного бизнес-процесса. Персональные данные, используемые для выполнения процесса, указываются в назначении, которое определяется оператором персональных данных. Процесс должен быть определен до указания персональных данных, необходимых для выполнения назначения.
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
PUBLICОБЩЕДОСТУПНО 13
Термин Определение
Согласие Действие субъекта данных, подтверждающее, что использование его персональных данных разрешено для указанного назначения. Функция согласия разрешает хранение записи согласия для определенного назначения и показывает, предоставил ли субъект данных согласие, отозвал его или отказался.
Субъект данных Любая информация, касающаяся идентифицированного или идентифицируемого физического лица ("субъекта данных"). Идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано напрямую или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные местоположения, онлайн-идентификатор или на один или несколько факторов, относящихся к физической, физиологической, генетической, духовной, экономической, культурной или социальной идентичности этого физического лица.
Удаление Удаление персональных данных, чтобы они больше не были доступны.
Конец активного использования Определяет окончание активного использования и начало периода активного хранения и периода хранения.
Достижение цели Момент, когда обработка набора персональных данных больше не требуется для первичного бизнес-назначения, например исполнение договора. После достижения цели данные блокируются и доступны только пользователям с особыми полномочиями (например аудиторам).
Проверка достижения цели Способ определения для набора данных момента, когда обработка персональных данных больше не требуется для первичного бизнес-назначения. После достижения цели данные блокируются и доступны только пользователям с особыми полномочиями, например аудиторам.
14PUBLICОБЩЕДОСТУПНО
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
Термин Определение
Персональные данные Любая информация, касающаяся идентифицированного или идентифицируемого физического лица ("субъекта данных"). Идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано напрямую или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные местоположения, онлайн-идентификатор или на один или несколько факторов, относящихся к физической, физиологической, генетической, духовной, экономической, культурной или социальной идентичности этого физического лица.
Назначение Информация, которая указывает причину и цель обработки конкретного набора персональных данных. Как правило, назначение ссылается на соответствующую правовую базу для обработки персональных данных.
Период активного хранения Период времени между концом активного использования и достижением цели для набора данных, в течение которого данные остаются в базе данных и могут использоваться в последующих процессах, связанных с исходным назначением. По истечение самого длинного периода активного хранения данные блокируются или удаляются. Период активного хранения входит в общий период хранения.
Период хранения Период времени между окончанием последней бизнес-операции с определенным объектом (например деловым партнером) и удалением соответствующих данных согласно применимым законам. Период хранения объединяет период активного хранения и период блокирования.
Конфиденциальные персональные данные Категория персональных данных, которая, как правило, включает следующие данные:
● специальные категории персональных данных, такие как данные о расовом или этническом происхождении, политических взглядах, религиозных или философских убеждениях, членстве в профсоюзах, генетические и биометрические данные, данные о состоянии здоровья, сексуальной жизни или сексуальной ориентации;
● персональные данные, связанные с профессиональной тайной;
● персональные данные уголовных или административных правонарушений;
● персональные данные, касающиеся страхования, банковских счетов или кредитных карт.
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
PUBLICОБЩЕДОСТУПНО 15
Термин Определение
Технические и организационные меры (TOM) Некоторые базовые требования, которые касаются защиты данных и конфиденциальности, часто называются техническими и организационными мерами (TOM). Примеры тем, которые относятся к защите данных и конфиденциальности и требуют соответствующих ТОМ:
● Контроль доступа: функции аутентификации● Полномочия: концепция полномочий● Запись доступов чтения в журнал● Контроль передачи данных/безопасность комму
никаций● Управление вводом/запись изменений в журнал● Контроль доступности● Разделение по назначению: зависит от внедренной
организационной модели и применяется в рамках концепции полномочий
1.7.2 Запись персональных данных
Субъекты данных имеют право получать информацию о своих персональных данных, которые обрабатываются.
Существуют различные типы данных, которые могут содержать персональную информацию о лице или пользователе.
● Транзакционные и основные данные могут содержать персональную информацию.Для предоставления записи персональных данных требуется понимание модели данных и соответствующей семантики. Как владелец модели данных клиент несет ответственность за реализацию этой функции. Это можно сделать путем определения подходящих ракурсов, в которых собраны персональные данные соответствующих субъектов данных. Такие ракурсы можно использовать как основу для информационных отчетов, создаваемых с помощью аналитического фронтэнда, например SAP Analytics Cloud.
● При создании моделей данных в SAP Data Warehouse Cloud сохраняется имя пользователя (ответственный за создание или изменение). Эти персональные данные могут быть вызваны из Проводника репозитария SAP Data Warehouse Cloud.
1.7.3 Удаление персональных данных
Обработка персональных данных регулируется применимыми законами, которые требуют удаления таких данных после достижения цели обработки.
Если уже нет законной цели, которая диктует использование персональных данных, их необходимо удалить. При удалении данных в наборе данных также должны быть удалены все ссылочные объекты, связанные с набором данных. Кроме того, помимо, общего закона о защите данных, необходимо
16PUBLICОБЩЕДОСТУПНО
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
учитывать специфичные для отрасли законы данной страны. После истечения самого длинного периода хранения данные должны быть удалены.
ПримечаниеОбратите внимание, что отчетность на агрегированном уровне может упростить удаление персональных данных. Агрегированное хранение исторических данных без ссылок на людей позволяет более эффективно удалять данные на предшествующих уровнях.
Как хранилище данных приложение SAP Data Warehouse Cloud является вторичным, получая данные из ведущей системы. Поэтому все удаления в целях защиты данных и конфиденциальности также выполняются в исходной системе и могут распространяться в SAP Data Warehouse Cloud по шаблону удаления и перезагрузки: Сначала удаляются требуемые данные в исходной системе, затем удаляются все данные соответствующих таблиц SAP Data Warehouse Cloud, и повторяется тиражирование из исходной системе.
Удаление данных описано в SAP Data Warehouse Cloud руководстве по моделированию в разделе Создание таблицы (шаг 10).
1.8 Стандарты соответствия
Стандарты соответствия для SAP Data Warehouse Cloud
SAP Data Warehouse Cloud соответствует приведенным ниже стандартам.
● ISO/IEC 27001 Система менеджмента информационной безопасностиПодробнее см. раздел Система управления информационной безопасностью
● ISO/IEC 22301 Система управления непрерывностью бизнесаПодробнее см. раздел Система управления непрерывностью бизнеса .
● SOC 1, тип 2Более подробную информацию см. в разделе Аудиторский отчет 2021 H1 SAP Business Technology Platform SOC 1 (ISAE3402) .
● SOC 2, тип 2Более подробную информацию см. в разделе Аудиторский отчет 2021 H1 SAP Business Technology Platform SOC 2 .
● Сертификация STAR: ISO/IEC 27001: 2013Более подробную информацию см. в разделе Список реестров STAR для SAP Business Technology Platform .
● STAR CSA, версия CCM 3.0.1Более подробную информацию см. в разделе Сертификат STAR CSA SAP Business Technology Platform .
● Европейский кодекс поведения в области защиты данных для поставщиков облачных сервисов ЕС (кодекс EU Cloud CoC) версии 2.11 (v2.11)Более подробную информацию см. в разделе Кодекс EU Cloud CoC SAP Business Technology Platform
.
Руководство по обеспечению безопасностиРуководство по обеспечению безопасности SAP Data Warehouse Cloud
PUBLICОБЩЕДОСТУПНО 17
Важные положения об отказе от ответственности в отношении правовых вопросов
Гиперссылки
Некоторые ссылки обозначаются значком и/или текстом, отображаемым при наведении мыши. Эти ссылки обеспечивают доступ к дополнительной информации.Подробнее о значках:
● Ссылки со значком Вы собираетесь перейти на сайт, размещенный не на сервере SAP. Используя такие ссылки, вы соглашаетесь (если иное не оговорено особо в соглашениях с SAP) со следующим:
● Сайт по ссылке не содержит документацию SAP. Не разрешается подавать рекламации в отношении любых продуктов SAP на основе содержащейся на таком сайте информации.
● SAP не выражает ни согласия, ни несогласия с информацией, содержащейся на сайте по ссылке, а также не гарантирует ее доступность и правильность. SAP не несет ответственности за любой ущерб, вызванный использованием такой информации, за исключением тех случаев, когда такой ущерб вызван намеренными нарушениями или халатностью со стороны компании SAP.
● Ссылки со значком Вы закрываете документацию по определенному продукту или сервису SAP и переходите на веб-сайт, расположенный на сервере SAP. Используя такие ссылки, вы соглашаетесь (если иное не оговорено особо в соглашениях с SAP) с тем, что не разрешается подавать рекламации в отношении любых продуктов SAP на основе содержащейся на таком сайте информации.
Видео-ролики, размещенные на внешних платформах
Некоторые видео-ролики могут указывать на сторонние платформы размещения видео-роликов. SAP не может гарантировать в будущем доступность видео-роликов, сохраненных на этих платформах. Кроме того, любые рекламные объявления или другой контент, размещенные на этих платформах (например, предлагаемые видео-ролики или ссылки на другие видео-ролики, размещенные на одном сайте), не входят в сферу управления или ответственности SAP.
Бета-версии и другие экспериментальные функции
Экспериментальные функции не являются частью официально поставляемого SAP объема, гарантируемого для будущих версий. Это означает, что экспериментальные функции могут быть изменены компанией SAP в любое время и по любой причине без предварительного уведомления. Экспериментальные функции не предназначены для продуктивного использования. Не разрешается демонстрировать, тестировать, проверять, анализировать или иначе использовать экспериментальные функции в фактической операционной среде либо с использованием данных, для которых не выполнено резервное копирование.Экспериментальные функции предназначены для получения обратной связи, которая позволяет нашим клиентам и партнерам влиять на разработку будущих продуктов. Предоставляя обратную связь (например, в SAP Community), вы соглашаетесь с тем, что права на интеллектуальную собственность относительно ваших отзывов и производных работ останутся в исключительной собственностью SAP.
Пример кода
Примером кода является любой код и/или фрагменты кода программного обеспечения. Они не предназначены для продуктивного использования. Этот код предназначен только для пояснения и иллюстрирования синтаксиса и правил составления текста программ. SAP не гарантирует правильность и полноту примеров кода. SAP не несет ответственности за любые ошибки и ущерб, вызванные использованием примеров кода, за исключением тех случаев, когда такой ущерб вызван намеренными нарушениями или халатностью со стороны компании SAP.
Язык, свободный от предрассудков
SAP поддерживает культуру многообразия и инклюзивности. Когда это возможно, в нашей документации мы используем безоценочный язык для обозначения людей из любой культуры или этнической группы, любого пола и уровня способностей.
18PUBLICОБЩЕДОСТУПНО
Руководство по обеспечению безопасностиВажные положения об отказе от ответственности в отношении правовых
вопросов
Руководство по обеспечению безопасностиВажные положения об отказе от ответственности в отношении правовых вопросов
PUBLICОБЩЕДОСТУПНО 19
www.sap.com/contactsap
© SAP SE или аффилированная компания SAP, 2021. Все права защищены.
Полное или частичное воспроизведение или передача в какой-либо форме и в каких-либо целях настоящей публикации без явным образом выраженного разрешения SAP SE или аффилированной компании SAP запрещены. Информация, содержащаяся в настоящей публикации, может быть изменена без предварительного уведомления.
Некоторые программные продукты, предлагаемые на рынке компанией SAP SE и ее дистрибьюторами, содержат компоненты программного обеспечения, исключительными правами в отношении которых обладают иные поставщики программного обеспечения. Возможны различные варианты спецификаций продуктов для разных стран.
Материалы предоставлены компанией SAP SE и ее аффилированной компанией исключительно в информационных целях, без предоставления каких-либо гарантий. Компания SAP или ее аффилированные компании не несут ответственности за ошибки или пропуски в настоящих материалах. Гарантии, если таковые предоставляются, в отношении продуктов и услуг компании SAP или ее аффилированной компании содержатся исключительно в документах, которые прилагаются к соответствующим продуктам и услугам. Ничто, изложенное в настоящем документе, не должно трактоваться как предоставление дополнительных гарантий.
SAP, а также упомянутые здесь продукты и услуги SAP, как и соответствующие логотипы, являются товарными знаками или зарегистрированными товарными знаками SAP SE (или аффилированной компании SAP) на территории Германии и других стран. Все иные названия продуктов и услуг являются товарными знаками соответствующих компаний.
Для получения дополнительной информации и уведомлений о товарных знаках см. https://www.sap.com/cis/about/legal/trademark.html.
THE BEST RUN
