Proteção de dados sensíveis no SAP através da Gestão de Direitos Digitais (DRM)

Muitos aplicativos SAP contêm dados sensíveis e confidenciais. Exemplos incluem dados pessoais, dados relacionados a produtos com informações sobre propriedade intelectual e muitos outros tipos de dados.

Dentro dos sistemas SAP, o acesso a essas informações é protegido por controles de autorização. Somente os usuários atribuídos a funções apropriadas podem acessar aplicativos nos quais essas informações são exibidas.

No entanto, geralmente não há proteção adicional uma vez que essas informações saem do sistema SAP, por exemplo, após serem baixadas como um documento em formato Microsoft Office, PDF ou outros formatos. Sem um aplicativo adicional, tais documentos podem ser copiados, reenviados, impressos, modificados, etc.

Este artigo fornece uma visão geral de como proteger essas informações aplicando Gerenciamento de Direitos Digitais (DRM). O procedimento geral consiste em criptografar o documento a ser protegido. A criptografia é realizada por um servidor DRM dedicado. As informações sobre os usuários que podem realizar quais ações neste documento (como exibir, editar, reenviar, imprimir, etc.) devem ser fornecidas ao servidor DRM. O servidor DRM então criptografa o documento. Quando o destinatário do documento deseja acessá-lo, ele deve primeiro se conectar ao servidor DRM para receber a chave de descriptografia.

Na próxima seção, descreverei este cenário em detalhes. Ainda estamos em uma fase de avaliação e ainda não implementamos este cenário. Uma seção separada descreve a viabilidade, opções e limitações de uma solução integrada de DRM dentro dos sistemas SAP. Finalmente, fornecerei informações sobre como se envolver participando da Iniciativa de Engajamento do Cliente da SAP.

Cenário

Esta seção descreve mais detalhadamente como poderia ser a integração de uma solução de DRM nos sistemas SAP. O cenário mostra a integração de um servidor de aplicativos SAP NetWeaver ABAP. No entanto, a ideia geral é habilitar a integração de outras tecnologias SAP também. Por esse motivo, a funcionalidade de DRM será um componente separado com uma interface aberta e independente da tecnologia. Um enfoque semelhante foi escolhido com sucesso, por exemplo, para a interface de verificação de vírus da SAP.

Este artigo fala sobre a funcionalidade de DRM em geral, sem especificar uma solução de DRM em particular. O produto mais comum para documentos relacionados a negócios nesse campo é o Microsoft Rights Management Services (MS RMS), que lida principalmente com arquivos do MS Office. Na SAP, realizamos primeiros testes de conceito com o MS RMS, como por exemplo SAP Product Lifecycle Management . No entanto, o conceito geral nos permite usar qualquer solução de DRM, como por exemplo o Adobe LiveCycle.

Figura 1: Componentes de um cenário de DRM para documentos originados de um Servidor SAP AS ABAP

A Figura 1 mostra o cenário. Os documentos com dados sensíveis são criados em um servidor de aplicativos SAP NetWeaver ABAP por um criador de documentos humano ou um processo automático na etapa 1. A configuração dentro do servidor SAP AS ABAP determinou que este documento precisa ser protegido por DRM. As informações sobre o proprietário do documento (que pode ser o criador do documento ou outro usuário), bem como os usuários e suas permissões para este documento, são enviadas para a funcionalidade de DRM da SAP na etapa 2. Aqui, o DRM mapeia o usuário SAP com o usuário de domínio. Para isso, informações suficientes do usuário devem ser fornecidas, como o endereço de e-mail ou o nome SNC.

Na etapa 3, a funcionalidade de DRM da SAP fornece todas as informações necessárias ao servidor de DRM: as informações do usuário de domínio para o proprietário do documento e os usuários permitidos, os direitos de DRM que serão atribuídos a esses usuários e o próprio documento. O servidor de DRM criptografa o documento e o envia de volta para a funcionalidade de DRM da SAP na etapa 4. A partir daqui, o documento criptografado é reenviado ao servidor de aplicativos SAP NetWeaver ABAP na etapa 5.

O aplicativo então disponibiliza o documento criptografado para o destinatário do documento, por exemplo, enviando-o como um anexo de e-mail ou disponibilizando-o para download. O acesso a este documento é mostrado na etapa 6.

Ao tentar acessar este documento criptografado pela primeira vez, o destinatário precisa de uma conexão com o servidor de DRM (etapa 7). Essa conexão é necessária para receber a chave de descriptografia. O servidor de DRM identifica o usuário e o que ele deseja fazer com o documento. Somente se isso corresponder às informações disponíveis no documento, a chave de descriptografia é fornecida (etapa 8). Agora o destinatário pode acessar o documento. Como as informações de descriptografia adequadas são armazenadas no dispositivo do destinatário, o mesmo documento pode ser acessado novamente sem mais chamadas ao servidor de DRM até