Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia de segurança
© 2022 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
O Guia de segurança do SAP Data Warehouse Cloud é o ponto inicial para encontrar todas as informações
relacionadas a operação e configuração seguras do SAP Data Warehouse Cloud.
A segurança sempre foi um elemento importante para o ciclo de vida completo de todos os produtos da SAP,
incluindo desenvolvimento de produto, planejamento e garantia de qualidade. Da mesma forma que nos outros
produtos da SAP, o SAP Data Warehouse Cloud foi desenvolvido para atender os padrões mais rígidos de
segurança que garantem a proteção dos seus dados, tanto de ataques da web quanto de ataques na nuvem.
Algumas das áreas de foco de segurança mais importantes estão listadas na seguinte imagem interativa:
A SAP fornece recursos para ajudar você na implementação dos requisitos e conceitos de segurança e
proteção de dados dentro da estrutura de sistemas do SAP Data Warehouse Cloud. Por sua vez, você precisa:
• Criar e atribuir funções adequadas aos seus usuários. Consulte Administração de funções e privilégios.
• Configurar uma integração de dados segura para os sistemas aos quais você se conecta para acessar os
dados. Consulte Integração de dados via conexões.
O SAP Data Warehouse Cloud suporta comunicação criptografada para canais de comunicação em rede.
Recomendamos que você use canais criptografados em todos os casos em que a rede não está protegida
por outras medidas de segurança contra ataques, por exemplo, eavesdropping, quando sua rede é acessada a
partir de redes públicas.
Os seguintes canais de comunicação de rede são usados pelo SAP Data Warehouse Cloud:
• Comunicação segura com o SAP HANA usando um cliente que suporta JDBC/ODBC.
Isso se limita a um caso de uso: acesso total a um esquema SQL aberto da área.
Usuários separados estão disponíveis no Gerenciamento de áreas para cada esquema SQL aberto. Esses
usuários são considerados "usuários técnicos". Há exatamente um usuário para cada esquema SQL
aberto.
A autenticação básica é suportada para esses usuários técnicos. Não são aceitas conexões não
criptografadas ao banco de dados.
• Um canal usado para modelagem e administração por meio da IU da Web do SAP Data Warehouse Cloud
e também para realizar análises usando o SAP Analytics Cloud (para locatários do SAP Data Warehouse
Cloud inicialmente provisionados antes da versão 2021.03). Esse canal é usado por usuários comerciais e
administradores que fazem a autenticação por meio de um provedor de identidade.
• Comunicação segura entre o SAP Data Warehouse Cloud e sua interface de linha de comando, dwc.
A interface de linha de comando, dwc, se comunica com o locatário do SAP Data Warehouse Cloud por
meio de https. As conexões são protegidas usando TLS/SSL e o usuário precisa fornecer uma senha de
uso único para cada comando emitido por meio do dwc.
Um provedor de identidade para o SAP Data Warehouse Cloud e o SAP Analytics Cloud.
O SAP Data Warehouse Cloud e o SAP Analytics Cloud compartilham o mesmo mecanismo de autenticação.
Em seu locatário, clique em Meus produtos, acesse Análise e altere as configurações do provedor de
identidade lá. Após as alterações, também é possível usar esse provedor de identidade para efetuar login no
SAP Data Warehouse Cloud.
Quaisquer tarefas (por exemplo, tarefas de replicação de tabela remota ou de persistência de visão)
programadas antes de você alterar a configuração do IdP podem falhar na inicialização. Para obter mais
informações sobre o problema e como resolvê-lo, consulte a Nota SAP 3089828
Para obter mais informações sobre configurações do provedor de identidade, consulte Ativação de um
provedor de identidade SAML personalizado na documentação de ajuda do SAP Analytics Cloud.
Para obter mais informações sobre como usar seu locatário de serviço SAP Cloud Platform Identity
Authentication como um provedor de identidade ou um proxy para o próprio provedor de identidade a fim
de hospedar os usuários empresariais, consulte Manually Establish Trust and Federation Between UAA and
SAP Cloud Platform Identity Authentication Service na documentação do SAP Cloud Platform.
As senhas dos usuários do banco de dados estão sujeitas a determinadas regras. Essas regras são definidas na
política de senhas.
Normalmente, você precisa especificar políticas de segurança diferentes para tipos diferentes de usuários.
No SAP Data Warehouse Cloud, diferenciamos usuários do aplicativo que podem acessar a interface de
usuário na Web (IU) do SAP Data Warehouse Cloud e usuários do banco de dados que podem acessar o banco
de dados SAP HANA subjacente.
1.4.1 Usuários do aplicativo
O usuário do aplicativo representa um usuário real no SAP Data Warehouse Cloud e pode ser atribuído como
membro a uma área.
Usuário do aplicativo Função necessária para criar o usuário: • Administração de usuários no SAP
Administrador do DW Data Warehouse Cloud
em Segurança → Usuários.
O usuário do banco de dados é um usuário técnico em SAP Data Warehouse Cloud que pode acessar o banco
de dados SAP HANA subjacente.
O SAP Data Warehouse Cloud fornece dois tipos de usuário de banco de dados diferentes.
Usuário do banco de dados Função necessária para criar: Adminis • Para obter mais informações sobre
trador da área do DW a função pública, consulte Funções
predefinidas de banco de dados
Criado e editado pelo administrador
(catálogo).
por meio da interface do usuário em
Gerenciamento de áreas → <Nome da
• Criar usuário do banco de dados
Usuários de análise de banco de dados Função necessária para criar: Adminis Criar um usuário de análise de banco
de dados para investigar problemas de
trador do DW
Acesso de leitura no banco de dados banco de dados.
SAP HANA subjacente Criado e editado por meio da interface
do usuário em Configuração→ Acesso
ao banco de dados → Usuário de análise
de banco de dados .
Administrador de grupo de usuários do Função necessária para criar: Adminis Criação de grupo de usuários do banco
de dados
banco de dados trador do DW
A autorização é gerenciada por meio do conceito de área. Isso significa que artefatos como tabelas, visões ou
histórias, bem como os dados em uma área específica, são visíveis somente para usuários atribuídos a essa
área. Por outro lado, os usuários atribuídos a uma determinada área têm acesso a todos os artefatos e dados
dessa área.
Informações relacionadas
Os controles de acesso aos dados permitem que você aplique segurança no nível da linha aos seus objetos.
Quando um controle de acesso aos dados é aplicado a uma visão de nível de dados ou a um objeto de camada
de negócios, as linhas de dados contidas no objeto são filtradas com base nos critérios especificados.
Seus critérios são definidos em uma tabela ou visão que lista os IDs de usuário do SAP Data Warehouse Cloud
no formato exigido pelo provedor de identidade e atribui esses IDs a um ou mais critérios.
Para obter mais informações sobre criação e aplicação de controle de acesso aos dados, consulte Proteger
dados com controles de acesso a dados.
Os logs de auditoria são registros de ações de leitura ou alteração executadas no banco de dados. Eles
permitem que você veja quem fez o que e quando.
Os administradores podem então obter uma visão geral dos logs de auditoria da área e excluí-los, se
necessário (por exemplo, para liberar espaço em disco). Você analisa logs de auditoria atribuindo as visões
de auditoria a uma área, e depois trabalha com eles em uma visão no Gerador de dados. Para obter mais
informações, consulte Monitorar operações de banco de dados com logs de auditoria.
A proteção de dados está associada a inúmeros requisitos legais e questões de privacidade. Além da
conformidade com as leis gerais de proteção de dados e privacidade, é necessário considerar a conformidade
com a legislação específica do setor nos diferentes países.
A SAP fornece recursos e funções específicos para suportar a conformidade relativa a requisitos legais
relevantes, incluindo a proteção de dados. A SAP não oferece consultoria relacionada à escolha desses
recursos e funções como melhor método para suportar os requisitos específico de país, região, setor
ou empresa. Além disso, essas informações não devem ser tomadas como consultoria ou recomendação
referente a recursos adicionais obrigatórios para ambientes de TI específicos. As decisões relacionadas à
proteção de dados devem ser feitas individualmente, considerando a estrutura do sistema envolvida e os
requisitos legais aplicáveis.
Nota
A SAP não oferece consultoria jurídica de nenhum tipo. O software da SAP oferece suporte à conformidade
com a proteção de dados, fornecendo recursos de segurança e funções específicas para proteção de
dados, por exemplo, bloqueio simplificado e exclusão de dados pessoais. Em muitos casos, a conformidade
com as leis de proteção de dados e privacidade aplicáveis não será coberta por um recurso de produto. As
definições e os outros termos usados neste documento não foram tirados de uma fonte jurídica específica.
Atenção
A extensão do suporte à proteção de dados por meios técnicos depende da operação segura do sistema.
Segurança da rede, implementação de notas de segurança, registro em log adequado das alterações do
sistema e utilização adequada do sistema são os requisitos técnicos básicos para a conformidade com a
legislação de privacidade de dados e outras legislações.
Atualmente, o marketplace de dados não fornece os recursos técnicos para incluir dados pessoais em seus
produtos de dados de maneira compatível. No momento, a SAP exige que você não use dados pessoais em
seus produtos nem anonimize dados pessoais antes de transferi-los para terceiros.
Dados pessoais abrangem qualquer informação relativa a uma pessoa física identificada ou identificável
(“titular dos dados”). Uma pessoa física identificável é uma pessoa que pode ser identificada, direta ou
indiretamente, em especial, com o uso de uma referência a um identificador, como nome, número de
Uso de chaves de criptografia específicas do cliente (CSEK) - os Dados armazenados no SAP Data
Warehouse Cloud são criptografados com o CSEK. Se os consumidores baixarem seus produtos de dados
no próprio tenant do SAP Data Warehouse Cloud, eles utilizarão os dados replicados e criptografados com o
CSEK dos próprios consumidores.
1.7.1 Glossário
A seguir uma lista de termos gerais para produtos da SAP. Nem todos os termos são relevantes para este
produto da SAP.
Termo Definição
Exclusão Exclusão de dados pessoais, para que eles não fiquem mais
disponíveis.
Verificação do fim da utilização (EoP) Um método para identificar um conjunto de dados no mo
mento em que o processamento de dados pessoais não é
mais necessário para atender a finalidade do negócio prin
cipal. Depois que o fim da utilização é atingido, os dados
são bloqueados e só podem ser acessados por usuários
com autorizações especiais (por exemplo, auditores fiscais).
Dados pessoais confidenciais Uma categoria de dados pessoais que geralmente inclui o
seguinte tipo de informação:
Medidas técnicas e organizacionais (TOM) Alguns requisitos básicos que auxiliam na proteção e priva
cidade de dados são frequentemente chamados de medidas
técnicas e organizacionais (TOM). Os tópicos a seguir estão
relacionados à proteção e privacidade de dados e exigem
TOMs adequados, por exemplo:
As pessoas em causa têm o direito de receber informações sobre seus dados pessoais em processamento.
Há diferentes tipos de dados que podem conter informações pessoais sobre uma pessoa ou usuário dedicado.
O processamento de dados pessoais está sujeito às leis aplicáveis relativas à exclusão desses dados no fim da
utilização.
Caso não haja uma finalidade legítima que exija o uso de dados pessoais, esses dados devem ser excluídos.
Quando os dados de um conjunto de dados são excluídos, todos os objetos referenciados relacionados a
esse conjunto de dados devem ser excluídos também. Além das leis gerais de proteção de dados, também é
necessário considerar a legislação específica do setor em diferentes países. Após a expiração do período de
retenção mais longo, os dados devem ser excluídos.
Nota
Observe que a geração de relatórios em uma camada agregada pode facilitar o processamento dos
dados pessoais quando consideramos a exclusão. O armazenamento agregado de dados históricos sem
referências a pessoas permite que você exclua os dados mais facilmente nas camadas superiores.
Como sistema de armazenamento de dados, o SAP Data Warehouse Cloud é um local de persistência
secundária que recebe dados de um sistema principal. Consequentemente, todas as exclusões efetuadas
por motivos de proteção e privacidade de dados também são feitas no sistema de origem, e a exclusão pode
ser propagada para o SAP Data Warehouse Cloud, por meio de um padrão de exclusão e recarregamento:
Em primeiro lugar, faça a exclusão necessária no sistema de origem, em seguida, exclua todos os dados nas
tabelas correspondentes do SAP Data Warehouse Cloud e replique-os no sistema de origem novamente.
A exclusão dos dados é explicada no Guia de modelagem do SAP Data Warehouse Cloud, em Criação de uma
tabela (etapa 10).
1.7.4 Cookies
Gerenciamento de cookies
Quando você efetua login no SAP Data Warehouse Cloud, os cookies de sessão são armazenados para fins de
autenticação e excluídos quando a sessão é fechada. Cookies persistentes adicionais podem ser usados para
armazenar as escolhas mais recentes para o idioma do conteúdo e o idioma da interface do usuário.
Ao usar o SAP Data Warehouse Cloud, os dados, metadados, logs e backups dos clientes são todos
criptografados em repouso.
Seus dados são criptografados usando Chaves de criptografia específicas do cliente (CSEK). Cada um desses
bancos de dados que armazenam os dados dos clientes é criptografado com uma única CSEK:
• repositório do SAP Data Warehouse Cloud (como artefatos de tempo de projeto de objetos modelados,
usuários e lista de arquivos favoritos)
• Parâmetros de configuração de locatário
• Programações de tarefas recorrentes
• Usuários, funções e atividades
• Marketplace de dados (descrições de produto de dados e outros metadados, amostras publicadas e
logotipos)
Hyperlinks
Alguns links são classificados por um ícone e/ou um texto do tipo mouseover. Esses links oferecem informações adicionais.
Informações sobre ícones:
• Links com o ícone : Você está entrando em um site não hospedado pela SAP. Ao usar esses links você concorda, salvo se expressamente especificado de
outra forma em seus contratos com a SAP, que:
• O conteúdo do site vinculado não é documentação da SAP. Você não pode apresentar quaisquer reclamações sobre produtos contra a SAP com base
nessas informações.
• A SAP não concorda nem discorda do conteúdo no site vinculado, nem garante a disponibilidade e correção do site. A SAP não se responsabiliza por
qualquer dano causado pela utilização de tal conteúdo, a menos que tais danos sejam causados por negligência ou dolo da SAP.
• Links com o ícone: Você está saindo da documentação do produto ou do serviço da SAP e está entrando em um site da Web hospedado pela SAP. Ao usar
esses links você concorda, salvo se expressamente especificado de outra forma em seus contratos com a SAP, que não pode apresentar quaisquer reclamações
sobre produtos contra a SAP com base nessas informações.
Código de exemplo
Todas as codificações de software e/ou fragmentos de código são meros exemplos. Eles não são para uso produtivo. O código de exemplo serve apenas para explicar
e visualizar melhor as regras de sintaxe e de criação de frases. A SAP não garante a precisão e a integralidade do código de exemplo. A SAP não se responsabiliza por
erros ou danos causados pela utilização do código de exemplo, a menos que tais danos tenham sido causados por negligência ou dolo da SAP.
Consulte https://www.sap.com/brazil/about/legal/trademark.html e
veja outros avisos e informações sobre a marca registrada.