Protección de datos sensibles en SAP mediante Gestión de Derechos Digitales (DRM)

Muchas aplicaciones de SAP contienen datos sensibles y confidenciales. Ejemplos incluyen datos personales, datos relacionados con productos con información sobre propiedad intelectual y muchos otros tipos de datos.

Dentro de los sistemas de SAP, el acceso a esta información está protegido por controles de autorización. Solo los usuarios asignados a roles apropiados pueden acceder a aplicaciones en las que se muestra dicha información.

Sin embargo, por lo general no hay una protección adicional una vez que esta información sale del sistema de SAP, por ejemplo, después de descargarla como un documento en formato Microsoft Office, en PDF u otros formatos. Sin una aplicación adicional, dichos documentos pueden ser copiados, reenviados, impresos, modificados, etc.

Este artículo proporciona una visión general de cómo se puede proteger dicha información aplicando la Gestión de Derechos Digitales (DRM). El procedimiento general consiste en cifrar el documento que se va a proteger. El cifrado se realiza por un servidor DRM dedicado. La información sobre los usuarios que pueden realizar qué acciones en este documento (como mostrar, editar, reenviar, imprimir, etc.) debe ser proporcionada al servidor DRM. El servidor DRM luego cifra el documento. Cuando el destinatario del documento quiere acceder a este, primero debe conectarse al servidor DRM para recibir la clave de descifrado.

En la siguiente sección, describiré este escenario en detalle. Todavía estamos en una fase de evaluación y aún no hemos implementado este escenario. Una sección separada describe la viabilidad, opciones y limitaciones de una solución integrada de DRM dentro de los sistemas de SAP. Finalmente, proporcionaré información sobre cómo involucrarse participando en la Iniciativa de Compromiso con el Cliente de SAP.

Escenario

Esta sección describe con más detalle cómo podría ser la integración de una solución de DRM en los sistemas de SAP. El escenario muestra la integración de un sistema SAP NetWeaver Application Server ABAP. Sin embargo, la idea general es habilitar la integración de otras tecnologías de SAP también. Por esta razón, la funcionalidad de DRM será un componente separado con una interfaz abierta e independiente de la tecnología. Se eligió un enfoque similar con éxito, por ejemplo, para la interfaz de escaneo de virus de SAP.

Este artículo habla sobre la funcionalidad de DRM en general, sin especificar una solución de DRM en particular. El producto más común para documentos relacionados con negocios en este campo es Microsoft Rights Management Services (MS RMS), que maneja principalmente archivos de MS Office. En SAP, hemos realizado primeras pruebas de concepto con MS RMS, como por ejemplo SAP Product Lifecycle Management . Sin embargo, el concepto general nos permite utilizar cualquier solución de DRM, como por ejemplo Adobe LiveCycle.

Figura 1: Componentes de un escenario de DRM para documentos originados desde un Servidor SAP AS ABAP

La Figura 1 muestra el escenario. Los documentos con datos sensibles se crean en un sistema SAP NetWeaver Application Server ABAP por un creador de documentos humano o un proceso automático en el paso 1. La configuración dentro del sistema SAP AS ABAP ha determinado que este documento necesita ser protegido por DRM. La información sobre el propietario del documento (puede ser el creador del documento u otro usuario), así como los usuarios y sus permisos para este documento, se envían a la funcionalidad de DRM de SAP en el paso 2. Aquí, DRM mapea al usuario de SAP con el usuario de dominio. Para este propósito, se debe proporcionar suficiente información del usuario, por ejemplo, la dirección de correo electrónico o el nombre SNC.

En el paso 3, la funcionalidad de DRM de SAP proporciona toda la información necesaria al servidor de DRM: la información del usuario de dominio para el propietario del documento y los usuarios permitidos, los derechos de DRM que se asignarán a estos usuarios y el documento en sí. El servidor de DRM cifra el documento y lo envía de vuelta a la funcionalidad de DRM de SAP en el paso 4. Desde aquí, el documento cifrado se reenvía al sistema SAP NetWeaver Application Server ABAP en el paso 5.

La aplicación luego pone el documento cifrado a disposición del destinatario del documento, por ejemplo, enviándolo como un archivo adjunto de correo electrónico o poniéndolo disponible para descargar. El acceso a este documento se muestra en el paso 6.

Al intentar acceder a este documento cifrado por primera vez, el destinatario necesita una conexión al servidor de DRM (paso 7). Esta conexión es necesaria para recibir la clave de descifrado. El servidor de DRM identifica al usuario y lo que quiere hacer con el documento. Solo si esto coincide con la información disponible en el documento, se proporciona la clave de descifrado (paso 8). Ahora el destinatario puede acceder al documento. Como la información de descifrado adecuada se guarda en el dispositivo del destinatario, el mismo documento puede ser accedido nuevamente sin más llamadas al servidor de DRM hasta