El Reglamento que rige las medidas de seguridad relativas a ficheros automatizados que contengan datos de carácter personal, aprobado por Real Decreto 994/1999 de 11 de junio y publicado en el BOE de 25 de junio de 1999, exige en su CAPITULO IV (Medidas de nivel alto), Articulo 24, el registro de todos los accesos a datos clasificados como de nivel alto.

El módulo de Recursos Humanos de SAP para España almacena una serie de datos de nivel alto como, por ejemplo, el grado de minusvalía del empleado y otros datos personales. Por ello es necesario implantar un mecanismo que registre el acceso a estos datos, que cumpla con los requisitos indicados en el artículo 24 del citado reglamento:

1. "De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, eltipo de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido
3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsible de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.
4. El período mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes."

El plazo de tiempo para la implantación de las medidas mencionadas es de 2 años a partir de la entrada en vigor del citado reglamento para los datos de nivel alto, es decir que este plazo caduca el 25 de junio de 2001.

SAP entrega la funcionalidad de acceso a datos protegidos a través del support package HR SP ES18.1. Se ruega consultar la nota 115907 en la que se indica la fecha de disponibilidad de este HR SP en concreto.

El registro de los accesos a datos de alta protección se realiza a través de un juego de tablas. Las entradas correspondientes pueden verse a través de un programa de evaluación.

Cada acceso se graba en la tabla "Protocolo de acceso a datos protegidos" (T5EL1). Esta tabla registra los siguientes datos relativos al acceso:

• Mandante
• Usuario de sistema
• Número de acceso registrado
• Identificador del fichero lógico accedido
• Fecha del acceso
• Hora del acceso

En la tabla "Ficheros lógicos de datos protegidos" (T5EL2) se encuentran los identificadores de ficheros lógicos con su correspondiente texto explicativo, por ejemplo, identificador '0001' 'Grado de minusvalía del empleado'. Los campos de esta tabla son:

• Mandante
• Identificador de fichero lógico
• Texto descriptivo del identificador

La tabla "Ultimo registro de acceso a datos protegidos por usuario" (T5EL3) contiene el número del último acceso registrado para un usuario. Esta tabla permite una actualización rápida de la tabla T5EL1 y debe su existencia exclusivamente a razones técnicas. No contiene datos directamente relacionados con la grabación de registros de datos de alta protección.

Finalmente, la tabla "Campos protegidos en TemSe" (T5EL4) permite indicar los campos de estructuras o tablas que se consideran datos de alta protección y que desencadenarán un registro en la tabla T5EL1 en caso de ser accedidos. El acceso únicamente se registra en aquellos programas que han sido especialmente modificados a tal efecto. La tabla T5EL4 contiene los datos siguientes:

• Mandante
• Nombre de la estructura protegida
• Nombre del campo protegido
• Fecha final de validez
• Fecha inicial de validez
• Nombre del campo de la estructura indicada en el campo "Nombre de la estructura", del cual se puede extraer el número de personal del empleado observado, p.ej. PERN (de la estructura P0061)
• Nombre del campo indicado en el campo "Nombre del campo", del cual se puede extraer el número de documento del empleado observado
• Identificador de fichero lógico

La evaluación de los registros generados por usuario y en un intervalo de tiempo dado se obtiene a través del programa "Evaluación del protocolo de acceso a datos protegidos" (RPULORE0).

Básicamente se listan los datos almacenados en la tabla "Protocolo de acceso a datos protegidos" (T5EL1) combinados con el texto explicativo para cada identificador de fichero lógico indicado en la tabla "Ficheros lógicos de datos protegidos" (T5EL2).

Adicionalmente este programa ofrece borrar el contenido de la tabla T5EL1 datos para los cuales ha caducado la obligación de conservalos (actualmente una vez pasados dos años).

Por último este programa debe ser utilizado en caso de problemas de sincronización entras las tablas T5EL1 y T5EL3 marcando la opción de reorganización. Si no hay necesidad de reorganizar estas tablas, el programa lo indicará con el correspondiente mensaje.

Encontrará información adicional completa y actual en la nota de consultoría número 394999.