355a de seguridad de SAP Intelligent RPA
48
Manual de seguridad PUBLIC (PÚBLICO) Versión del documento: 1.0.0 – 2022-05-30 Guía de seguridad de SAP Intelligent RPA © 2022 SAP SE o una empresa filial de SAP. Reservados todos los derechos. THE BEST RUN
Transcript of 355a de seguridad de SAP Intelligent RPA
Manual de seguridadPUBLIC (PÚBLICO)Versión del documento: 1.0.0 – 2022-05-30
Guía de seguridad de SAP Intelligent RPA
© 2
022
SAP
SE o
una
em
pres
a filial d
e SA
P. R
eser
vado
s to
dos
los
dere
chos
.
THE BEST RUN
Contenido
1 Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
2 Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
3 Infraestructura técnica del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.1 Diseño local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83.2 Diseño de Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83.3 Autenticación en Cloud Factory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.4 Almacenamiento en Cloud Factory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.5 Configuración y orquestación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103.6 Registro de agente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.7 Ejecución local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123.8 Notificadores y desencadenadores de API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.9 Supervisión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4 Aspectos de seguridad de los datos, flujo de datos y procesos. . . . . . . . . . . . . . . . . . . . . . . . . 174.1 Desarrollo de un proyecto de automatización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174.2 Carga y configuración del proyecto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184.3 Ejecución del job. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194.4 Aspectos de seguridad del conector SAP GUI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
5 Autenticación y administración de usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
6 Autorizaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226.1 Roles estándar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
IRPAProjectMember/Delegate y privilegios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23IRPAOfficer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27IRPAAgentUser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28IRPAParticipant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
6.2 Roles obsoletos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
7 Seguridad del almacenamiento de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .317.1 Datos de Desktop Studio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317.2 Datos de Cloud Studio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317.3 Datos de Cloud Factory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317.4 Datos de Desktop Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Directorio de trabajo de Desktop Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Almacenamiento de tokens de autenticación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Acceso al sistema de ficheros. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAContenido
Registro en masa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Variables y credenciales de agente local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
8 Privacidad y protección de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358.1 Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .358.2 Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358.3 Base legal para datos personales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368.4 Grabación en log de acceso de lectura. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368.5 Log de modificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .378.6 Borrado de datos personales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378.7 Decisión automatizada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
9 Grabación en log y rastreo relevante para seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
10 Preguntas más frecuentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4110.1 Seguridad de los datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4110.2 Permisos de agente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4310.3 Seguridad de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4410.4 Exportación de datos de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Guía de seguridad de SAP Intelligent RPAContenido
PUBLICPÚBLICO 3
1 Introducción
La guía de seguridad proporciona un resumen de la información de seguridad válida para SAP Intelligent Robotic Process Automation.
PrecauciónEsta guía no sustituye a las guías de administración o de operaciones disponibles para operaciones productivas.
¿Por qué este documento?
Con el aumento del uso de sistemas distribuidos e Internet para gestionar datos empresariales, las exigencias de seguridad también se han incrementado. Cuando se utiliza un sistema distribuido, debe estar seguro de que sus datos y procesos admiten sus necesidades empresariales sin permitir el acceso no autorizado a información crítica. Los errores de los usuarios, las negligencias o la manipulación intencionada del sistema no deberían provocar una pérdida de información o tiempo de procesamiento. Estas necesidades de seguridad se aplican del mismo modo a SAP Intelligent Robotic Process Automation. Para ayudarle a proteger SAP Intelligent Robotic Process Automation, le facilitamos esta guía de seguridad.
Grupo destino
● Consultores de tecnología● Asesores de seguridad● Administradores del sistema
Este documento no forma parte de las guías de instalación, guías de configuración, manuales de operación técnica o guías de actualización. Estas guías solo son relevantes para ciertas fases del ciclo de vida del software, mientras que las guías de seguridad proporcionan información relevante para todas las fases del ciclo de vida.
Resumen de las secciones principales
La guía de seguridad comprende las siguientes secciones principales:
● Antes de comenzar: Esta sección contiene información sobre por qué es necesaria la seguridad, cómo utilizar este documento y referencias a otras guías de seguridad que conforman la base para esta guía de seguridad.
● Infraestructura técnica del sistema: Esta sección proporciona un resumen de los componentes técnicos y las vías de comunicación que utiliza SAP Intelligent Robotic Process Automation.
4PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAIntroducción
● Aspectos de seguridad de los datos, del flujo de datos y de los procesos: Esta sección ofrece un resumen de aspectos de seguridad implicados a lo largo de los procesos de uso más extendido dentro de SAP Intelligent Robotic Process Automation.
● Gestión y autentificación de usuarios: Esta sección proporciona un resumen de los siguientes aspectos de la gestión y autentificación de usuarios.
● Autorizaciones: Esta sección proporciona un resumen del concepto de autorización que se aplica a SAP Intelligent Robotic Process Automation.
● Seguridad del almacenamiento de datos: Esta sección proporciona un resumen de los datos críticos utilizados por SAP Intelligent Robotic Process Automation y los mecanismos de seguridad que se aplican.
● Protección de datos: En esta sección se proporciona información acerca de cómo SAP Intelligent Robotic Process Automation se protege los datos confidenciales o personales.
● Rastreo y grabación en log relevante de seguridad: Esta sección proporciona un resumen de los ficheros de rastreo y log que contienen información de seguridad, por ejemplo, para poder reproducir actividades si la seguridad está en peligro.
Guía de seguridad de SAP Intelligent RPAIntroducción
PUBLICPÚBLICO 5
2 Antes de empezar
Guías de seguridad fundamentales
SAP Intelligent Robotic Process Automation Fue diseñado para ser integrado en SAP Business Technology Platform y, más exactamente, en Cloud Foundry. Por eso las correspondientes guías de seguridad son aplicables a SAP Intelligent Robotic Process Automation.
Para todo lo relacionado con la autenticación y autorización en Cloud Foundry entorno, consulte la guía de seguridad de SAP Business Technology Platform.
Información adicional
Para obtener más información acerca de temas específicos, consulte los enlaces rápidos tal y como se muestra en la tabla siguiente.
Contenido Dirección
Seguridad https://www.sap.com/community/topics/security.html
Notas SAP relacionadas http://support.sap.com/notes
Plataformas liberadas http://support.sap.com/pam
SAP Solution Manager http://support.sap.com/solutionmanager
6PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAAntes de empezar
3 Infraestructura técnica del sistema
SAP Intelligent Robotic Process Automation tiene una arquitectura híbrida con un componente importante en local dedicado a interacciones con aplicaciones empresariales en local y un componente central desplegado en la nube.
Entre los componentes de software en local se incluye SAP Intelligent Robotic Process Automation Desktop Studio para diseñar escenarios de automatización, así como SAP Intelligent Robotic Process Automation Desktop Agent para ejecutarlos. La parte de la nube está relacionada con la configuración, la organización y la supervisión de los escenarios desplegados. También incluye la definición de proyectos y el diseño de procesos.
Los componentes locales SAP Intelligent Robotic Process Automation Desktop Studio y SAP Intelligent Robotic Process Automation Desktop Agent están en la parte inferior del diagrama. La parte de Cloud se representa en la parte superior del diagrama, definiendo su diseño, configuración, orquestación y funciones de supervisión.
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
PUBLICPÚBLICO 7
El workflow de alto nivel es el siguiente:
1. Crear proyectos de automatización en Desktop Studio o procesos en Cloud Studio.2. Exporte el proyecto desde Desktop Studio, despliéguelo y configúrelo en el SAP Intelligent Robotic Process
Automation Factory.3. Ejecute el proyecto, con lo cual se desplazará al Desktop Agent para su ejecución real.
3.1 Diseño local
Una vez instalado, cualquier desarrollador puede usar Desktop Studio para desarrollar escenarios de escritorio. Al final del proceso de desarrollo, el desarrollador genera un paquete que contiene el código JavaScript correspondiente al proyecto.
Este paquete contiene marcadores de integridad que el agente de escritorio verificará antes de cargar el paquete para su ejecución y así garantizar que el contenido del paquete no se haya modificado.
Una vez que un proyecto esté listo para la ejecución, debe cargarse en Cloud Factory. Cloud Factory es una aplicación de varios arrendatarios de SAP Business Technology Platform Cloud Foundry. Los clientes se suscriben a esta aplicación y la utilizan dentro de los límites de las cuotas de recursos asignadas. Los recursos informáticos se comparten entre los diferentes clientes que utilizan la aplicación, pero nos aseguramos de que no se puedan perder datos de un cliente a otro. Los proyectos desarrollados mediante Desktop Studio se denominan "proyectos de escritorio".
Una vez cargado en Cloud Factory, el paquete se puede configurar directamente para ejecutarlo o utilizarlo en un proceso mediante Cloud Studio.
3.2 Diseño de Cloud
Los usuarios diseñan procesos y tipos de datos con Cloud Studio, que forma parte de Cloud Factory.
En Cloud Studio, los usuarios pueden crear proyectos y desarrollar tipos de datos o procesos dentro de estos proyectos. También pueden importar paquetes de escritorio para que se puedan desencadenar escenarios de escritorio dentro de ejecuciones de proceso.
Cuando termina la creación de un proyecto, se genera un paquete que contiene la información necesaria para la ejecución de los procesos y/o los escenarios. Los paquetes son inalterables y se identifican por un número de versión unívoco.
La interacción con la aplicación Web SAP Intelligent RPA se realiza a través de un navegador Web. Todas las comunicaciones entre el navegador de usuario y el back end utilizan HTTPs (TLS 1.2) en el puerto estándar 443.
Los proyectos desarrollados mediante Cloud Studio se denominan "proyectos en la nube".
8PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
3.3 Autenticación en Cloud Factory
La autenticación en SAP Intelligent RPA Cloud Factory se realiza mediante el protocolo SAML 2.0. Los clientes pueden registrar cualquier proveedor de identidades compatible con SAML 2.0 para gestionar la autenticación. Si el proveedor de identidades SAML 2.0 registrado se encuentra dentro de la red del cliente, las credenciales de usuario se mantendrán siempre dentro de esa red. Para obtener más información, consulte Autorización y gestión de confianza.
Internamente, Cloud Factory utiliza OAuth para garantizar que cualquier solicitud de un servicio se autentifique correctamente. La información de identidad se proporciona a los servicios a través de un token web JSON que contiene información acerca de las autorizaciones del usuario identificado. Cada servicio verifica la validez del token y verifica que el usuario tenga las autorizaciones adecuadas para ejecutar la solicitud.
Los permisos se asocian a usuarios del cockpit de SAP BTP (Business Technology Platform), vinculando roles de aplicación a usuarios individuales o al grupo de usuarios. Para obtener más información, consulte la documentación de SAP BTP.
NotaSAP Intelligent RPA Cloud Factory nunca accede directamente al proveedor de identidades y tampoco puede confeccionar una lista de los usuarios.
3.4 Almacenamiento en Cloud Factory
Multitenancy
SAP Intelligent RPA Cloud Factory es una aplicación de varios inquilinos. Esto significa que todos los clientes comparten los mismos componentes de aplicación, las mismas bases de datos y la misma red.
Se utilizan dos tipos de bases de datos:
● Bases de datos relacionales● Archivos de objetos
Para asegurarse de que los clientes se aislen correctamente entre ellos, se aplican unas normas estrictas:
● En una base de datos relacional, los datos de cliente se aislan en esquemas separados● En un archivo de objetos, los datos de cliente se aislan en diferentes vías de acceso o colecciones
La elección de una vía de acceso o un esquema se implementa mediante nuestro framework de desarrollo para evitar errores.
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
PUBLICPÚBLICO 9
Aprovisionamiento de almacenamiento
Los servicios de SAP BTP Cloud Foundry proporcionan las bases de datos y las credenciales necesarias para acceder a estas bases de datos las proporciona la infraestructura de forma automática, sin que tengan que verlas o manipular los administradores.
Las bases de datos no están conectadas a Internet y solo los administradores de operaciones en la nube pueden acceder a estas bases de datos. La lista de administradores autorizados se revisa regularmente.
Cifrado de datos
El almacenamiento físico utilizado por las bases de datos está cifrado. Sin embargo, se realiza cifrado adicional a nivel de aplicación para los datos que pueden ser confidenciales: capturas de aplicación y capturas de pantalla, entradas y salidas de job, variables de Desktop Studio del tipo Credencial y variables de entorno de Cloud Studio.
Estos datos se cifran con cifrado simétrico AES256. Las claves utilizadas para el cifrado son específicas del cliente. Estos datos se descifran a petición. Si son necesarios para la ejecución de una automatización, los valores se descifran en la nube. Después se transfieren al agente a través del socket web seguro (y, por lo tanto, se vuelven a cifrar durante la transferencia), y se accede a ellos en el agente.
Las claves de cifrado específicas de cliente se almacenan con el SAP Credential Store proporcionado por SAP BTP.
3.5 Configuración y orquestación
Un paquete debe estar asociado a un entorno para ejecutar sus procesos o escenarios. El entorno enlaza el paquete con las variables de entorno y los agentes de escritorio (para la ejecución de escenarios).
Las variables de entorno pueden ser de varios tipos:
● Puede tratarse de mera información textual (como un URL de sistema) que representa diferentes opciones que utilizarán los procesos o los escenarios.
● Pueden ser credenciales que se requerirán durante la ejecución para conectarse a sistemas concretos
Los valores de estas variables están guardados en el entorno. Las variables de nube simples se almacenan directamente, pero las variables de credenciales se almacenan con el cifrado AES 256.
Los entornos están asociados a grupos de agentes de escritorio. Los grupos de agentes definen criterios de coincidencia para los agentes (actualmente basados en el inicio de sesión del usuario o el nombre del equipo). Para ejecutar jobs en ese entorno solamente pueden utilizarse estos agentes.
Los escenarios pueden ejecutarse de dos modos:
● Asistido: el usuario de Windows iniciará la ejecución manualmente desde su PC. Para poder hacerlo, primero deben desplegarse los paquetes necesarios en el agente. El despliegue del paquete se configura dentro del entorno definiendo intervalos de tiempo cuando un paquete concreto debe estar disponible en los agentes del entorno.
10PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
● No asistido: la ejecución se desencadena desde la nube, utilizando una programación o una API que puede llamarse desde aplicaciones o sistemas externos. Consulte la sección dedicada a la autenticación para obtener más detalles sobre el mecanismo de autorización necesario en este caso. La ejecución no asistida significa que los proyectos se pueden enviar a un PC y ejecutarse sin notificarlo al usuario de Windows o que este usuario controle lo que se hace, lo que puede causar problemas de seguridad si no está previsto. Por este motivo el modo debe estar activado explícitamente en el agente de escritorio y se puede desactivar en cualquier momento.
3.6 Registro de agente
Proceso de registro
Antes de poder entregar y ejecutar un paquete en un agente de escritorio es preciso registrarlo en SAP Intelligent RPA Factory:
1. Al iniciar el agente, un usuario con el rol IRPAAgentUser se autentica para Cloud Factory.2. Tras la autenticación, se genera un token web JSON (JWT) que identifica de forma unívoca al agente (es
decir, el equipo utilizado y el usuario de la sesión de Windows) y se envía de vuelta al agente.3. El JWT se almacena de forma segura en el gestor de credenciales de Windows en el equipo del agente. El
algoritmo que se utiliza para codificar a escala local el JWT depende de la versión del sistema Windows (AES256 en Windows 10).
4. Si el agente está desconectado, puede reutilizar el token para volver a establecer la conexión con Cloud Factory.
El JWT es válido para siempre. Sin embargo, puede revocarse en cualquier momento desde Cloud Factory: De ser así, el agente deberá volver a registrarse para poder utilizarlo.
El usuario de SAP Intelligent RPA que hace el registro y el usuario de sesión de Windows pueden ser personas diferentes. Sin embargo, el proceso de registro siempre debe realizarse dentro de la sesión de Windows del usuario de agente y por lo tanto requiere que el usuario de sesión haya dado permiso al usuario de SAP Intelligent RPA para realizar esta operación. En el lado de Cloud Factory, el agente se identificará mediante el inicio de sesión de usuario de Windows y un identificador único de hardware de equipo (actualmente calculado mediante un identificador BIOS único y el ID de dispositivo de volumen de arranque). No es posible registrar un agente determinado desde un ordenador o sesión diferente.
Registro en masa
El proceso de registro, tal como se ha descrito anteriormente, requiere que cada agente se registre individualmente y cada vez un usuario tiene que proporcionar credenciales. Esto está adaptado para despliegues con unos pocos agentes o para desarrollo. El registro en masa proporciona una forma de gestionar grandes despliegues. El proceso es diferente y funciona de la siguiente manera:
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
PUBLICPÚBLICO 11
1. Un usuario de Intelligent RPA Factory crea un "registro" a través de la interfaz de usuario.2. El registro se copia en la red del cliente, por lo que se puede acceder desde cada ubicación de agente.3. Los agentes se pueden configurar para verificar esa ubicación y utilizar el registro para registrarse
automáticamente en Factory.○ El usuario que creó el registro y los usuarios designados como "co-gestores" en el registro tendrán la
autorización GESTIONAR en estos agentes;○ Estos agentes se compartirán automáticamente con el grupo de agentes que se proporcionó en el
registro;4. Los usuarios con la autorización GESTIONAR en el grupo de agentes tendrán la posibilidad de aceptar o
rechazar los agentes registrados.
Para obtener más información sobre el proceso de registro en masa, consulte Registro de agentes en masa.
Archivo de URL de arrendatario
Para poder autenticarse en Cloud Factory, el usuario agente necesita un URL. Este URL se puede proporcionar de forma directa mediante el usuario (primer registro) o leerse de un archivo json que suele estar en C:\ProgramData\SAP\Intelligent RPA\Tenants.
3.7 Ejecución local
Comunicación entre el agente de escritorio y Cloud Factory
Una vez que se ha registrado un agente, este puede comunicarse con SAP Intelligent RPA Cloud Factory. La comunicación entre el agente de escritorio y Cloud Factory es necesaria cuando se inician jobs y al final de su ejecución. Entretanto, solo será necesaria si se requieren valores de variable o si se emiten eventos de supervisión de actividad empresarial.
Protocolo de comunicaciónLas comunicaciones entre el agente y Cloud Factory utilizan el protocolo Secure WebSocket, lo que significa que todas ellas se cifrarán mediante la capa TLS 1.2. WebSockets ofrece una conexión persistente entre Desktop Agent y Cloud Factory que ambas partes utilizan para comenzar a enviar datos en cualquier momento.
Pese a que la ejecución de las tareas la desencadena lógicamente el organizador en el lado de la nube, la comunicación entre un agente y la aplicación en la nube siempre la inicia el agente. Así no es necesario abrir un puerto de entrada de Internet.
NotaAl ejecutarlo detrás de un proxy o de un cortafuegos, asegúrese de que el protocolo seguro WebSockets (wss) se admita correctamente y no se bloquee.
12PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
El JWT almacenado en el gestor de credenciales de Windows se utiliza para autorizar al agente cuando necesita comunicarse con Cloud Factory. La autenticación del agente se realiza al recuperar y comunicar el inicio de sesión actual del usuario de Windows y un identificador de equipo único (basado en el UUID del sistema operativo y el ID del dispositivo de inicio). La autorización solo se proporciona si el inicio de sesión de usuario y el identificador de equipo coinciden con los datos almacenados en el JWT.
Datos intercambiadosUna vez que se establece un canal de comunicación seguro con Cloud Factory, el agente puede intercambiar comandos o eventos con Cloud Factory.
● Los comandos indican las acciones que deben realizar el agente o Cloud Factory. Por ejemplo, Cloud Factory puede pedir al agente que ejecute un escenario determinado, o el agente puede pedir a Factory Cloud que indique el valor de una variable de entorno.
● El agente emite eventos para indicar un cambio de estado. Por ejemplo, el agente indicará a Factory Cloud que se ha iniciado o finalizado una ejecución.
Los datos se pueden intercambiar como resultado de estos comandos y eventos:
● Antes de ejecutar un job, el paquete debe descargarse de Cloud Factory● Cuando se lanza un job desde Cloud Factory, los datos de entrada los proporciona Cloud Factory al agente
de escritorio (salvo cuando la ejecución se lanza a escala local, en modo asistido).● Cuando se ejecuta un job, este puede requerir acceso a los valores de las variables de entorno. Esto lo
controla el proyecto. Las variables de credencial se descodifican en la nube y se envían mediante la conexión wss, que las vuelve a codificar hasta que llegan al agente.
● Cuando se ejecuta un job, el job puede enviar eventos de supervisión de actividad empresarial a Cloud Factory. Esto lo controla el proyecto
● Cuando termina la ejecución de un job, la salida del job se devolverá a Cloud Factory.● Para los proyectos en la nube que utilizan la versión del SDK para Core 1.11 o superior, los traces y logs
primero se guardan cifrados en la estación de trabajo del agente y después se envían a la nube, donde pueden ser visualizados por usuarios autorizados. Para otros proyectos, los logs y traces no están cifrados en la estación de trabajo del agente
No se intercambian otros datos empresariales entre agentes de escritorio y Cloud Factory.
Paquetes
El agente de escritorio recibe los paquetes y los almacena localmente. Cuando se crea un paquete, se calculan e insertan algunos marcadores de integridad. Antes de cargar un paquete, el agente verifica estos marcadores y rechazará la carga de paquetes modificados, garantizando que no se haya alterado el código del paquete desde su creación.
En V2, los paquetes también se firman con una clave privada que se genera específicamente para el cliente y cuya contraparte pública se envía al agente. De este modo, el agente puede verificar la autenticidad del total de verificación.
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
PUBLICPÚBLICO 13
Ejecución de escenario
Un escenario es un programa JavaScript que se utiliza para automatizar tareas en algunas aplicaciones.
El modo de automatizar aplicaciones depende de la tecnología de la aplicación y se implementa dentro del agente mediante conectores específicos de tecnología. Estos conectores aprovechan la tecnología para ofrecer mecanismos de automatización que sean lo más estables y fiables que sea posible.
La automatización de aplicaciones web no se puede realizar de forma fiable sin acceder a la estructura de las páginas de la aplicación. Es por eso que es obligatorio utilizar una extensión de navegador. Estas extensiones de navegador se utilizan en el momento de la captura para inspeccionar las páginas de aplicación automatizadas y describir de forma unívoca los elementos necesarios para la automatización. Las extensiones de navegador se utilizan en el momento de la ejecución para actuar sobre los elementos capturados.
Un proceso llamado "host nativo" se encarga de mediar en la comunicación entre las extensiones y el agente en el equipo del agente de escritorio. Este proceso se inicia mediante el navegador cuando se carga la extensión y solo está autorizada la comunicación (mediante stdin/stdout) entre la extensión y dicho proceso. El agente de escritorio se comunica con el host nativo mediante la función de Windows wm_copydata. Todas estas comunicaciones solo pueden darse en un mismo equipo.
Las extensiones indicadas como parte de SAP Intelligent RPA se distribuyen mediante los canales de distribución oficiales de cada navegador permitido. Están firmadas para asegurarse de que no se pueda alterar su contenido.
Suplantación de identidad
Los agentes de escritorio, incluso en modo no asistido, se ejecutan en una sesión de Windows y heredan los privilegios del usuario de la sesión. Pueden hacer lo mismo que el usuario.
Para autentificarse en aplicaciones automatizadas, los agentes de escritorio pueden aprovechar las variables de credencial. Las variables de credencial se almacenan de forma segura en Cloud Factory y se transmiten a los agentes también de forma segura. Las variables de credencial son muy útiles para el desarrollo, o en el caso no asistido, cuando el usuario de la sesión es solo un usuario técnico que no tiene permisos en aplicaciones automatizadas.
Las variables de credencial no son prácticas en el caso asistido, en el que cada agente de escritorio lo ejecuta una persona distinta, que debe autenticarse directamente en las aplicaciones automatizadas. En este caso de uso, suele ser más conveniente desplegar certificados en los equipos del agente: dado que Desktop Agent se ejecuta en la sesión de usuario, puede acceder al gestor de credenciales de Windows y utilizar las credenciales o los certificados que se almacenan allí.
14PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
Este planteamiento también puede utilizarse en el caso no asistido. Debería ser preferible porque no requiere que se almacenen credenciales fuera de la red del cliente y facilita la gestión de las credenciales.
Datos de ejecución
Salidas de jobAl terminar la ejecución de un job, el resultado de la ejecución del job (como se define en el código de escenario) se devuelve a la nube, donde se almacena.
Como que las salidas de job pueden contener datos personales o confidenciales, estas se almacenan en la base de datos mediante el cifrado AES 256. Las claves utilizadas para el cifrado son específicas del cliente. Estos datos se conservan un máximo de 30 días en Cloud Factory.
Logs, traces y eventos de supervisión de la actividad empresarialPara proyectos en la nube que utilizan la versión del SDK para Core 1.11 o superior:
● Los logs generados por los paquetes (mediante la actividad "Mensaje de log") se envían a Cloud Factory. Antes de ser enviados, se almacenan en caché localmente, pero se cifran de antemano y solo se descifrarán cuando usuarios autorizados necesiten visualizarlos desde Cloud Studio o descargarlos. El contenido depende del proyecto ejecutado y está totalmente controlado por los desarrolladores del proyecto.
● Los traces también se envían a Cloud Factory y, al igual que los logs, se almacenan cifrados antes de enviarse y solo pueden ser descifrados por usuarios autorizados. Contienen información muy detallada sobre la ejecución de los jobs, incluida la información potencialmente confidencial o personal.
● Los eventos de supervisión de actividades empresariales también están controlados por los desarrolladores de proyectos y se envían a Cloud Factory para que se puedan recopilar y analizar. Al igual que los otros logs, se cifran antes de almacenarse localmente en la caché.
Para otros proyectos:
● Los logs generados por los paquetes (por ejemplo, con la función SDK ctx.log() en proyectos de escritorio) se almacenan sin cifrar en el equipo de Desktop Agent. No se envían a Cloud Factory.
● Los traces también se almacenan sin cifrar en el equipo de Desktop Agent. Dado que contienen información confidencial y no están cifrados, solo deben utilizarse con fines de depuración en entornos de prueba.
● Los eventos de supervisión de actividades empresariales se envían a Cloud Factory, pero se almacenan localmente en caché sin cifrar.
3.8 Notificadores y desencadenadores de API
La ejecución de escenario puede desencadenarse externamente mediante una API y los resultados de ejecución se pueden enviar a otras aplicaciones mediante notificadores.
Al utilizar un desencadenador de API se utilizan dos mecanismos de autentificación diferentes:
● El primer mecanismo permite que una aplicación de cliente se conecte con SAP Intelligent RPA y obtenga un token de autorización. Para ello, una aplicación necesita un ID de cliente y un secreto. Este par de ID de
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
PUBLICPÚBLICO 15
cliente/secreto es común a todas las APIs. Habilita la conexión a un servidor de autorizaciones dedicado a desencadenadores de API, y nunca se utiliza con otros propósitos. Aunque estas credenciales no sean suficientes para dar acceso a ninguna parte sensible de SAP Intelligent RPA, hay que manejarlas de forma segura.
● El segundo mecanismo de autentificación es la cabecera irpa-trigger-token que se genera de forma dinámica al crear el desencadenador de API. Este token es específico de un desencadenador de API. Junto con el ID de cliente y el secreto (contraseña), permite que una aplicación utilice ese desencadenador API para iniciar jobs. También hay que manejar este token de forma segura, y nunca revelarlo fuera del contexto del tiempo de ejecución de la aplicación de cliente.
3.9 Supervisión
La supervisión recopila eventos procedentes de los agentes de escritorio y los presenta al usuario. Estos eventos representan el estado de los agentes, el estado de los jobs que se han ejecutado y los eventos de supervisión de actividades empresariales.
Los eventos de job contienen las salidas de los jobs. Como que las salidas de job pueden contener datos empresariales, estas se almacenan en la base de datos mediante el cifrado AES 256. Las salidas de job pueden ser visualizadas por usuarios que tengan el rol IRPAPersonalDataAccess.
16PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAInfraestructura técnica del sistema
4 Aspectos de seguridad de los datos, flujo de datos y procesos
4.1 Desarrollo de un proyecto de automatización
Este paso se realiza mediante Desktop Studio y Cloud Studio en la identidad del programador.
Los desarrolladores pueden incluir cualquier JavaScript en sus proyectos, y Factory Cloud no puede detectar si una parte de ese código podría causar problemas de confidencialidad, integridad o disponibilidad en los agentes en los que se desplegaría un proyecto. Por lo tanto, es muy importante revisar el código del proyecto detenidamente antes de cargarlo. Después de la carga, SAP Intelligent Robotic Process Automation Desktop Agent se asegura de que el código del proyecto que se está ejecutando en este momento no se ha modificado localmente.
Al ejecutar proyectos de escritorio o proyectos en la nube con el SDK para Core 1.10 o una versión anterior, las llamadas explícitas a la función de grabación en log ctx.log en Desktop Studio y la actividad Log en Cloud Studio deben revisarse cuidadosamente para garantizar que en los logs no se pueda divulgar información personal o confidencial. Para otros proyectos, el riesgo se mitiga con el cifrado local de logs y los mecanismos de control de acceso para ver esos logs, aunque de todas maneras la información personal debe ser gestionada adecuadamente si aparece en los logs.
PrecauciónLos criterios para reconocer aplicaciones, pantallas o campos (en aplicaciones o archivos PDF) pueden basarse en expresiones regulares. Las expresiones regulares pueden utilizarse indebidamente y conducir a un uso exponencial de los recursos informáticos (para obtener más información, consulte el sitio OWASP
).
SAP Intelligent RPA le advertirá sobre algunos patrones de expresión normal peligrosos, pero no podemos garantizar que la detección sea completa. Verifique siempre dos veces las expresiones regulares que se utilizan en los proyectos.
PrecauciónEl proceso de revisión de los proyectos de automatización debe prestar especial atención a cuatro temas: presencia de datos confidenciales o personales, registro, uso de variables o credenciales de agentes locales y corrección del código.
Las variables de agente locales se almacenan en el registro de Windows y se gestionan completamente mediante el código de automatización. Es importante tener en cuenta que el uso indebido de estas variables puede provocar una inestabilidad del sistema operativo. Además, tenga en cuenta que estas variables y sus valores no se eliminarán si el agente está desinstalado. Por lo tanto, es importante no almacenar información personal o confidencial.
Del mismo modo, las credenciales del agente local deben utilizarse con cuidado. Al eliminar el prefijo predeterminado, las credenciales existentes se pueden borrar, lo que puede causar problemas en el ordenador.
Guía de seguridad de SAP Intelligent RPAAspectos de seguridad de los datos, flujo de datos y procesos
PUBLICPÚBLICO 17
Los ficheros de proyecto no deberían contener ningún tipo de información personal o confidencial, como credenciales para conectarse a una aplicación externa. SAP no puede proporcionar mecanismos de cumplimiento de la normativa de protección de datos relativos a datos personales o confidenciales incluidos en un proyecto. Se proporcionan otros mecanismos para poder utilizar credenciales de forma segura para conectarse a las aplicaciones ("variables de credenciales").
Las llamadas explícitas de la función de grabación en log ctx.log(…) en Desktop Studio y la actividad del log en Cloud Studio deberían verificarse con cuidado para garantizar que la información personal o confidencial no pueda revelarse en los logs.
Los ficheros de proyecto consisten básicamente en el código JavaScript, pero no hay restricciones de idioma:
● Siga las mejores prácticas de codificación segura al codificar el proyecto, como la validación de entrada.
● Preste atención a la información grabada en ficheros o de manera más general utilizando algún canal de comunicación. Esta información puede ser visible para el usuario que ejecuta el agente o revelada a un tercero.
● Javascript se puede utilizar para evaluar de forma dinámica las entradas de usuario. Permitir el uso de funciones como eval() es un riesgo que debe evaluarse para su reparación o aceptación.
● Es posible crear un proyecto de forma que la entrada de usuario se use para lanzar comandos del sistema operativo. Requiere una revisión adecuada.
PrecauciónLa versión 2.0 de Cloud Studio ofrece la capacidad de crear automatizaciones y capturar aplicaciones. Hasta ahora, solamente se podía hacer con Desktop Studio. Las capturas de la aplicación incluyen capturas de pantalla y la estructura detallada de las pantallas capturadas (necesaria para declarar los elementos de página), y estas capturas pueden contener información confidencial. Aunque estas capturas se tratan como información confidencial, nuestra recomendación es no utilizar sistemas de producción para la captura, sino sistemas de test o desarrollo, de modo que los datos confidenciales no lleguen a la nube.
NotaLas capturas de pantalla y las capturas se cifran en la nube utilizando una clave AES-256 específica del cliente. Cuando se exportan proyectos o paquetes, las capturas de pantalla y las capturas se descifran antes de almacenarse en el archivo zip que se descargará. Cuando se importa el proyecto o paquete, las capturas de pantalla se cifran en el espacio de cliente de destino.
4.2 Carga y configuración del proyecto
Antes de cargar el proyecto, asegúrese de que su contenido haya sido saneado correctamente tanto en cuanto al contenido como al comportamiento.
Las credenciales solo se deben proporcionar utilizando variables de credenciales o en campos de contraseña de variables de nube en la configuración de despliegue. Ésta es la única forma de garantizar su correcta codificación en la nube.
18PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAAspectos de seguridad de los datos, flujo de datos y procesos
PrecauciónLas variables que contienen información sensible están protegidas en la nube y en tránsito al agente. Sin embargo, no están protegidas en el equipo cliente. Tenga en cuenta siempre que la información contenida en estas variables puede ser divulgada al usuario de la sesión que ejecuta el agente. Si no quiere que la información confidencial sea visible para todos los usuarios, utilice automatizaciones no asistidas en las estaciones de trabajo a las que operará y a las que accederá un número limitado de usuarios autorizados.
4.3 Ejecución del job
Gestión de sesiones
Los agentes ejecutan en una sesión de Windows y heredan los privilegios del usuario de la sesión. Asegúrese de que este usuario sólo tiene los privilegios necesarios para acceder a las aplicaciones automatizadas y al agente. No ejecute un agente en una sesión del administrador. Para utilizar la función de "inicio automático", el usuario de la sesión debe introducir sus credenciales para permitir que el servicio del agente reinicie la sesión. Estas credenciales se almacenan en el almacén de credenciales "Session 0" y nunca se envían a la nube. Las mismas credenciales se utilizan para desbloquear la pantalla cuando la automatización en curso lo solicita. El tiempo de desbloqueo de pantalla se debe limitar al mínimo: los valores predeterminados son 3s para el tiempo de espera de desbloqueo y 10 s para el tiempo de espera de rebloqueo. En algunos casos, estos valores pueden ser demasiado pequeños: se pueden modificar, pero deben mantenerse lo más pequeños posible.
Tenga en cuenta que, en algunos casos, la pantalla no podrá volver a bloquearse, por ejemplo, si una aplicación abierta impide que se vuelva a bloquear la pantalla o si el tiempo de ejecución del nodo falla.
Ejecución ActiveX
Los agentes de automatización de procesos de Intelligent Robotic se implementan utilizando componentes COM. Se recomienda desactivar la ejecución de ActiveX en Internet Explorer para evitar el uso no deseado de esos componentes por parte de sitios web de terceros usando la tecnología ActiveX.
Información confidencial
Los ficheros del proyecto se envían de la aplicación en la nube al agente. Estos ficheros de proyecto no deben contener información personal ni confidencial.
Guía de seguridad de SAP Intelligent RPAAspectos de seguridad de los datos, flujo de datos y procesos
PUBLICPÚBLICO 19
Entradas y salidas
El agente recibe parámetros de entrada para que pueda ejecutar un escenario. Los parámetros de entrada se suministran mediante el mecanismo desencadenante o mediante una instrucción addJob creada por otro escenario. Los parámetros de entrada los define el desarrollador del escenario en función del caso de utilización. Si la transferencia de información entre el agente y la nube representa un problema legal o de seguridad, puede reemplazar esta información por una referencia a un fichero o cualquier otra ubicación que se encuentre dentro de la red del cliente y permitir que el agente lea la información desde esa ubicación. En este caso, la información proporcionada como entrada se limita a la ubicación y no se transfiere información confidencial.
Las salidas las envía el agente al final de su ejecución. Si se produce un error en el job, estas salidas se pueden utilizar para la depuración. Solo serán visibles para los usuarios que tengan el rol IRPAPersonalDataAccess (consulte Autorizaciones [página 22]). Las salidas también son necesarias cuando se utilizan como entrada para otros jobs. Al igual que con las entradas, si la transferencia de información entre el agente y la nube representa un problema legal o de seguridad, puede reemplazar esta información por una referencia a un fichero o cualquier otra ubicación que se encuentre dentro de la red del cliente y permitir que el agente escriba la información en esa ubicación. En este caso, la información proporcionada como salida se limita a la ubicación y no se transfiere información confidencial.
4.4 Aspectos de seguridad del conector SAP GUI
Puede capturar aplicaciones SAP con Desktop Agent con el conector SAP GUI.
SAP GUI para Windows es una aplicación front end que puede utilizar para acceder a las aplicaciones SAP como SAP ERP, SAP Business Suite, etc. Está diseñado para el sistema operativo Windows y proporciona una experiencia de usuario similar a Windows e integración con otras aplicaciones basadas en las interfases OLE o los controles ActiveX.
Para fines de automatización, debe activar y utilizar la API de scripting de SAP GUI. Debe activar el scripting de cliente y de servidor. Hay una biblioteca de JavaScript (SAPScripting.js) disponible para implementar los comportamientos específicos.
El scripting SAP GUI está desactivado por defecto. Puede activarlo para los usuarios seleccionados que necesitan utilizar el conector SAP GUI para la automatización.
Si tiene preguntas sobre la seguridad del scripting SAP GUI, consulte la sección Preguntas y respuestas de seguridad en la Guía de seguridad de scripting SAP GUI.
Información relacionada
Guía de seguridad de scripting SAP GUI
20PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAAspectos de seguridad de los datos, flujo de datos y procesos
5 Autenticación y administración de usuarios
SAP Intelligent Robotic Process Automation no implementa ningún mecanismo de autenticación y gestión de usuarios específico. Se basa completamente en los mecanismos de autenticación y gestión de usuarios proporcionados por SAP Business Technology Platform. Por lo tanto, las recomendaciones y directrices de seguridad para la administración y autenticación de usuarios y como se describe en la Guía de seguridad de SAP Business Technology Platform también se aplican a SAP Intelligent Robotic Process Automation.
PrecauciónEn caso de que un token de desencadenador de API web esté comprometido, debe ser anulado inmediatamente de la interfaz de usuario del desencadenante de API.
Para limitar el impacto de un token en peligro, las distintas aplicaciones de cliente deben utilizar diferentes desencadenadores de API.
PrecauciónPara poder autenticarse en Cloud Factory, el usuario agente necesita un URL. Este URL puede ser proporcionado directamente por el usuario o leerse de un archivo json ubicado en C:\ProgramData\SAP\Intelligent RPA\Tenants. Dado que todos los usuarios del equipo del agente pueden modificar este archivo json, es importante verificar siempre que sea correcto: los usuarios siempre deben comprobar detenidamente que el URL indicado en la ventana de autenticación sea el URL de su arrendatario.
PrecauciónLas claves API se pueden definir a nivel de entorno para permitir que las aplicaciones externas o los sistemas desencadenen automatizaciones o procesos. Incluso si estas claves solo se pueden utilizar para activar capacidades específicas, y no pueden contectarse de ninguna manera a la factory, deben manejarse de forma segura para evitar que cualquier usuario malicioso haga un uso indebido de los desencadenantes. Esta recomendación también es válida para el ID de cliente y secreto que se necesitan para recuperar un token de autenticación y para el propio token.
Para ayudar a mantener seguros sus desencadenadores con conexión a Internet, siga estas mejores prácticas:
● No incruste claves de API, ID de cliente y secreto, ni token de autenticación directamente en el código. En lugar de incrustar estas credenciales en sus aplicaciones, utilice un almacén de contraseñas para recuperarlas, o al menos, almacenarlas en variables de entorno o en archivos fuera del árbol fuente de la aplicación.
● Borre las claves API innecesarias para minimizar la exposición a ataques.● Vaya rotando sus claves API periódicamente. Para ello, simplemente cree una clave API nueva en su
entorno y vuelva a configurar las aplicaciones y los sistemas para que puedan utilizar la clave nueva. Una vez actualizadas todas las aplicaciones de llamada, puede borrar con seguridad la clave anterior.
Guía de seguridad de SAP Intelligent RPAAutenticación y administración de usuarios
PUBLICPÚBLICO 21
6 Autorizaciones
SAP Intelligent Robotic Process Automation utiliza el concepto de autorización proporcionado por SAP Business Technology Platform y Cloud Foundry. Por lo tanto, las recomendaciones y directrices para las autorizaciones tal y como se describe en la Guía de seguridad SAP Business Technology Platform también se aplican a SAP Intelligent Robotic Process Automation.
El concepto de autorización de SAP Business Technology Platform se basa en asignar autorizaciones a usuarios a partir de roles. Los roles vienen definidos por SAP Intelligent Robotic Process Automation y no se pueden modificar.
6.1 Roles estándar
SAP Intelligent Robotic Process Automation utiliza los siguientes roles estándar.
Rol Descripción
IRPAProjectDelegate Este rol se utiliza para supervisar las ejecuciones (utilizar con privilegios de lectura en un conjunto de agentes y/o entornos).
Este rol no puede crear proyectos o entidades, ni registrar un agente.
Los proyectos, los paquetes, los entornos, los grupos de agentes y los agentes registrados deben crearse antes de compartirlos con los derechos correspondientes (por ejemplo, para ver y editar).
IRPAProjectMember Tiene todos los derechos de IRPAProjectDelegate más derechos de creación y registro.
Crea proyectos (directamente o importando paquetes de escritorio) y actúa en los proyectos en función de los privilegios.
Crea paquetes y actúa en ellos en función de los privilegios.
Crea entornos y actúa en ellos en función de los privilegios.
Registra agentes y actúa en ellos en función de los privilegios.
Crea grupos de agentes y actúa en ellos en función de los privilegios.
22PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAAutorizaciones
Rol Descripción
IRPAOfficer Tiene todos los derechos IRPAProjectMember.
Tiene privilegios de GESTIÓN implícitos en todos los objetos (proyectos, paquetes, entornos, agentes y grupos de agentes).
Elimina las referencias a antiguos empleados.
IRPAAgentUser Registra y ejecuta agentes.
IRPAParticipant Lleva a cabo acciones durante una tarea de usuario o una ejecución de proceso.
Document_Information_Extraction_UI_Templates_Admin
Este rol debe asignarse a usuarios que crean automatizaciones mediante las actividades de Document Information Extraction. Sin acceso a esto, el usuario no podrá acceder a la interfaz Document Information Extraction para anotar plantillas.
6.1.1 IRPAProjectMember/Delegate y privilegios
IRPAProjectDelegate
Este rol sirve para supervisar las ejecuciones (para utilizarlas con privilegios de lectura en un conjunto de agentes o entornos).
El rol IRPAProjectDelegate no puede crear proyectos o entidades, ni registrar un agente. Los proyectos, los paquetes, los entornos, los grupos de agentes y los agentes registrados deben crearse antes de compartirlos con los derechos correspondientes (por ejemplo, para ver y editar).
IRPAProjectMember
El rol IRPAProjectMember tiene todos los derechos de IRPAProjectDelegate, además de derechos de creación y de registro.
Los IRPAProjectMembers pueden crear cualquier tipo de objeto, un objeto que sea un proyecto, un paquete, un entorno, un agente o un grupo de agentes. El acceso a estos objetos creados se rige por Privilegios.
Privilegio
Un privilegio es un permiso que se otorga a un usuario o grupo de usuarios concreto para un objeto específico. Los privilegios permiten controlar con precisión quién tiene acceso o puede utilizar proyectos, entornos o agentes específicos.
● LECTURA:El privilegio de LECTURA sobre un objeto permite inspeccionar o utilizar el objeto, pero no modificarlo.
● EDICIÓN:
Guía de seguridad de SAP Intelligent RPAAutorizaciones
PUBLICPÚBLICO 23
El privilegio de EDICIÓN sobre un objeto incluye los permisos del privilegio de LECTURA y otorga la capacidad de modificarlo.
● GESTIÓN:El privilegio de GESTIÓN sobre un objeto incluye los permisos del privilegio de EDICIÓN, y otorga la capacidad de compartir el objeto y gestionar su ciclo de vida (por ejemplo, para "liberar" un paquete se precisa el privilegio de GESTIÓN sobre el paquete).
● VISUALIZAR DATOS DE JOBS:El privilegio VISUALIZAR DATOS DE JOBS permite a los usuarios ver las salidas de los jobs ejecutados en el contexto de ese entorno. Si las salidas de job contienen datos sensibles, puede que sea necesario controlar con exactitud quién tiene acceso a estas salidas.
Nota"Visualizar datos de jobs" requiere otro privilegio (LECTURA, EDICIÓN, GESTIÓN) para el entorno; de lo contrario, el usuario no puede acceder a los jobs.
A continuación se muestra el detalle de las operaciones que permite cada privilegio:
En proyectos
Privilegio Acciones autorizadas
LECTURA Ver el contenido del proyecto y el contenido de sus artefactos.
Copiar un proyecto o copiar artefactos de proyecto.
Ver los privilegios definidos.
EDICIÓN Tener el privilegio de LECTURA.
Renombrar/Modificar la descripción.
Borrar el proyecto.
Modificar/Borrar el contenido.
Hacer un test del proyecto.
Cree un paquete de VISTA PREVIA.
GESTIÓN Tener el privilegio de EDICIÓN.
Compartir el proyecto con equipos o individuos.
En paquetes
Privilegio Acciones autorizadas
LECTURA Visualizar y utilizar un paquete (por ejemplo, dentro de un proyecto).
Utilizar los artefactos públicos del paquete en otros proyectos cuando el usuario utiliza un paquete.
Ver los privilegios definidos.
Desplegar el paquete en un entorno.
24PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAAutorizaciones
Privilegio Acciones autorizadas
EDICIÓN Tener el privilegio de LECTURA.
Renombrar/Modificar la descripción.
GESTIÓN Tener el privilegio de EDICIÓN.
Gestionar el ciclo de vida del paquete: VISTA PREVIA, LIBERADO, OBSOLETO, INHABILITADO.
Compartir el paquete con equipos o individuos.
En entornos
Privilegio Acciones autorizadas
LECTURA Entornos:
● Enumerar los entornos.● Ver los detalles de los entornos.● Visualizar los privilegios de entornos.
Desencadenadores y notificadores:
● Enumerar desencadenadores y notificadores.● Visualizar los detalles de desencadenadores y notifica
dores.● Ejecutar un desencadenador existente.
Paquetes desplegados:
● Enumerar los paquetes desplegados.● Visualizar los detalles de los paquetes desplegados.
Variables:
● Enumerar variables.
Agentes:
● Enumerar agentes.
Jobs (supervisión):
● Enumerar jobs.● Visualizar detalles de jobs.● Descargar BAM CSV.
Guía de seguridad de SAP Intelligent RPAAutorizaciones
PUBLICPÚBLICO 25
Privilegio Acciones autorizadas
EDICIÓN Entornos:
● Modificar y eliminar entornos.
Desencadenadores y notificadores:
● Crear, modificar, activar y borrar desencadenadores.
NotaLa acción Crear también requiere el privilegio de LECTURA para el paquete, si aún no se ha desplegado en el entorno.
● Crear, modificar y borrar notificadores.
Paquetes desplegados:
● Desplegar, modificar, activar y anular el despliegue de paquetes.
NotaLa acción Desplegar también requiere el acceso del privilegio de LECTURA para el paquete, si aún no se ha desplegado en el entorno.
Variables:
● Crear, modificar y borrar variables.
Agentes:
● Añadir/Eliminar agentes y grupos de agentes (siempre que el usuario también tenga el privilegio de GESTIÓN para el agente o el grupo de agentes).
NotaPara poder añadir un agente (o un grupo de agentes), el usuario debe tener el privilegio de GESTIÓN para él o debe estar compartido con el entorno.
Jobs:
● Cancelar jobs.
GESTIÓN Tener el privilegio de EDICIÓN.
Compartir el entorno con equipos o individuos.
VISUALIZAR DATOS DE JOB Visualizar logs de job.
En agentes
Privilegio Acciones autorizadas
LECTURA Visualizar.
Visualizar/Descargar eventos de agente.
26PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAAutorizaciones
Privilegio Acciones autorizadas
GESTIÓN Tener el privilegio de LECTURA.
Desconectar/Eliminar agentes.
Utilice el agente para ejecutar jobs dentro de un entorno.
Compartir el agente con equipos, individuos o entornos.
NotaPara poder compartir un agente con un entorno, el usuario debe contar con el acceso del privilegio de LECTURA para el entorno.
.
Los agentes pueden compartirse directamente con los entornos, de modo que se puedan utilizar dentro de estos. Ello permite que los gestores de agentes controlen adecuadamente en qué contexto se pueden utilizar sus agentes.
En grupos de agentes
Privilegio Acciones autorizadas
LECTURA Visualizar el grupo de agentes.
EDICIÓN Tener el privilegio de LECTURA.
Añadir/Editar/Eliminar nodos de la estructura de grupo, importar un grupo como un archivo CSV, borrar el grupo de agentes.
GESTIÓN Tener el privilegio de EDICIÓN.
Compartir el grupo de agentes con equipos, individuos o entornos.
NotaPara poder compartir un grupo de agentes con un entorno, el usuario debe contar con el acceso del privilegio de LECTURA para el entorno.
Los grupos de agentes especifican colecciones de agentes que luego se pueden utilizar dentro de entornos. La especificación del agente se basa en atributos del agente, como el nombre de inicio de sesión o el nombre del equipo.
6.1.2 IRPAOfficer
IRPAOfficer es el rol de la persona responsable de la aplicación SAP Intelligent Robotic Process Automation a nivel de cliente.
Guía de seguridad de SAP Intelligent RPAAutorizaciones
PUBLICPÚBLICO 27
Los IRPAOfficers tienen privilegios de GESTIÓN implícitos sobre todos los objetos del sistema.
Los IRPAOfficers también pueden llevar a cabo operaciones, como, por ejemplo:
● Establecer las alertas (en Agentes / Alertas)● Visualizar los logs (en Supervisión / Logs) y descargarlos (en Supervisión / Datos)● Verificar el consumo de recursos (en Supervisión / Consumo)● Definir configuraciones (en Configuración);● Eliminar referencias a antiguos empleados dentro de las tablas de aplicación.
NotaEste rol es muy poderoso. Para garantizar una separación adecuada de los intereses, muy pocos usuarios deben disponer de este rol.
6.1.3 IRPAAgentUser
IRPAAgentUser es el rol que se asigna a cualquier usuario que tenga que registrar un agente.
Existen dos casos de uso principales:
● Modo asistido: la persona que desencadena los jobs debe tener este rol.● Modo no asistido: la persona que desencadena el agente debe tener este rol.
Este rol no concede acceso a la aplicación web SAP Intelligent RPA. Los usuarios que solo necesitan registrar un agente (por ejemplo, en un centro de atención al cliente) utilizan este rol. IRPAProjectMembers y IRPAOfficers ya cuentan con esta capacidad.
NotaEstos usuarios no pueden gestionar directamente los agentes registrados por IRPAAgentUsers, puesto que no tienen acceso a la aplicación en la nube de SAP Intelligent RPA. Estos agentes los deberán gestionar IRPAOfficers o IRPASystemManagers.
6.1.4 IRPAParticipant
El rol IRPAParticipant es necesario para los usuarios empresariales que leen sus tareas de usuario IRPA en Mi bandeja de entrada de SAP BTP.
Nuestra IU personalizada necesita este rol para obtener el contenido y las vinculaciones de las tareas de usuario.
Este rol no concede acceso a la aplicación web SAP Intelligent RPA.
28PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAAutorizaciones
6.2 Roles obsoletos
Los siguientes roles se han introducido en versiones anteriores de Intelligent RPA.
Se deben sustituir por el rol IRPAProjectMember y la gestión de privilegios que ofrecen mucho más control sobre el uso de los recursos.
Ahora debería evitar utilizar estos roles porque dan acceso a todos los objetos de un tipo determinado (paquetes, entornos, etc.), independientemente de los privilegios.
Rol Descripción
IRPASupervisor Supervisa todos los jobs y el estado de todos los agentes.
IRPASystemManager Importa paquetes de escritorio.
Tiene privilegios de GESTIÓN sobre todos los paquetes.
Registra agentes o crea grupos de agentes.
Tiene privilegios de GESTIÓN sobre todos los agentes y grupos de agentes.
Crea entornos.
Tiene privilegios de EDICIÓN sobre todos los entornos.
Supervisa todas las ejecuciones de jobs.
Visualiza/descarga todos los logs.
IRPAPersonalDataAccess Proporciona acceso a los detalles del job.
IRPASupervisor es el rol de las personas de TI que deben verificar si los jobs se ejecutan correctamente y que todos los recursos se utilicen como corresponde.
IRPASystemManager es el rol de las personas de TI responsables de preparar los proyectos para tests y producción. Gestionan los paquetes y sus configuraciones, junto con los grupos de agentes y los entornos. Este rol puede seguir siendo útil para gestionar los agentes registrados por IRPAAgentUsers, pero es muy poderoso y se debe utilizar con precaución.
NotaEste rol no es tan poderoso como el rol IRPAOfficer, aunque lo es en gran medida. Para garantizar una separación adecuada de los intereses, asegúrese de que solo se conceda a los usuarios que de verdad lo necesiten.
IRPAPersonalDataAccess concede acceso a TODAS las salidas de job. Por defecto, las salidas de job no se pueden ver porque pueden contener información personal o confidencial. En lugar de utilizar este rol, es preferible proporcionar el privilegio "Visualizar datos de jobs" en entornos seleccionados a usuarios seleccionados
Guía de seguridad de SAP Intelligent RPAAutorizaciones
PUBLICPÚBLICO 29
NotaEl rol IRPAPersonalDataAccess no proporciona acceso a la aplicación de SAP Intelligent Robotic Process Automation. Complementa los demás roles proporcionando permiso de acceso a información personal o confidencial.
30PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAAutorizaciones
7 Seguridad del almacenamiento de datos
Datos de Desktop Studio [página 31]
Datos de Cloud Studio [página 31]
Datos de Cloud Factory [página 31]
Datos de Desktop Agent [página 32]
7.1 Datos de Desktop Studio
Desktop Studio es un entorno de desarrollo ejecutado en el marco de una sesión de Windows. Por lo tanto, tiene la posibilidad de leer, crear, actualizar o borrar cualquier fichero en el sistema de ficheros, siempre que el acceso a su ubicación esté permitido.
7.2 Datos de Cloud Studio
Cloud Studio contiene las definiciones de todos los artefactos que constituyen proyectos. A partir de la versión 2.0, ofrece la capacidad de crear automatizaciones y capturar aplicaciones. Las capturas de pantalla y las capturas de aplicación se cifran en la base de datos de Cloud Studio utilizando una clave AES-256 específica del cliente.
7.3 Datos de Cloud Factory
Además de las credenciales, todos los datos almacenados por Factory (paquetes, configuraciones, entornos, grupos de agentes…) se almacenan en bases de datos o servicios gestionados y operados por SAP Business Technology Platform. El acceso a estos datos se efectúa con los roles de usuario. No se requiere configuración específica más allá de la asignación de roles.
La mayoría de los datos de las bases de datos, como los nombres de objeto y las descripciones, los atributos y sus valores (etiquetas) se almacenan sin cifrar. Estos elementos no deben contener información confidencial. Solo las variables de credenciales procedentes de Desktop Studio, las variables de Cloud Studio (variables "normales" o variables de entorno), las claves API, las salidas de job, los logs y los traces se almacenan cifrados.
Guía de seguridad de SAP Intelligent RPASeguridad del almacenamiento de datos
PUBLICPÚBLICO 31
Las claves de cifrado específicas de cliente se almacenan con el almacén de credenciales de SAPproporcionado por SAP Business Technology Platform. Consulte la ayuda en línea Almacén de credenciales de SAP Business Technology Platform para obtener más información.
7.4 Datos de Desktop Agent
7.4.1 Directorio de trabajo de Desktop Agent
Los agentes de Desktop Agents necesitan "leer y escribir" el acceso (permiso, privilegio) al directorio %localappdata%\SAP\Intelligent RPA\Projects, donde %localappdata% es la variable de entorno Windows estándar que apunta a una carpeta que depende de usuarios y de máquina. Esta carpeta contiene distintos tipos de contenido:
● Los ficheros del proyecto son suministrados a través de las interacciones con la aplicación en la nube. Consisten en los archivos JavaScript desarrollados usando Desktop Studio. Estos ficheros nunca deberían modificarse; la modificación provoca que falle la comprobación de integridad.
● Los logs y rastreos generados por el agente también se almacenan en dicho directorio.● Los ficheros de memoria caché de la métrica de análisis empresarial (BAM) se encuentran en log
\localCache. Estos fichero no se deben modificar manualmente para evitar enviar información imprecisa a la nube.
NotaAl ejecutar proyectos de escritorio o proyectos en la nube con la versión central de SDK 1.10 o posterior:
● Como el agente se ejecuta con los privilegios del usuario de Windows, el usuario puede ver el contenido del proyecto, los logs, los ficheros trace y los archivos BAM almacenados en la memoria caché.
● Los logs, los ficheros trace y los ficheros BAM almacenados en la memoria caché pueden contener datos personales. El acceso a estos ficheros debe ser limitado y hay que borrarlos cuando ya no sean necesarios.
7.4.2 Almacenamiento de tokens de autenticación
Al registrar un agente, se genera un token de autenticación que identifica al agente. Este token depende del usuario de la sesión de Windows y el hardware de la máquina. Éste se almacena en el gestor de credenciales de Windows y, por tanto, solo son accesibles para el usuario que inició sesión.
32PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPASeguridad del almacenamiento de datos
7.4.3 Acceso al sistema de ficheros
Para ejecutar jobs, los agentes pueden necesitar acceder a ficheros ubicados en cualquier lugar del disco. Esa necesidad depende de las acciones efectuadas por el agente.
PrecauciónAsí, hay que revisar los proyectos para garantizar que no son vulnerables ataques transversales a vías de acceso, donde la entrada de un usuario malicioso puede provocar que el agente lea o escriba en ubicaciones imprevistas (incluso si el derecho a leer o escribir en estas ubicaciones siempre esté limitado por los derechos de usuario del agente).
7.4.4 Registro en masa
Los tokens de registro en masa deben almacenarse en un lugar al que se pueda acceder desde los diferentes agentes que necesitan registrarse.
PrecauciónLos registros en masa deberán estar ubicados en un lugar en el que puedan leerse fácilmente, pero no eliminarse ni sustituirse. Solo los administradores que se ocupan del despliegue de agentes de Intelligent RPA deben tener los derechos para modificar o borrar eliminar archivos.
Información relacionada
Registro de agentes en masa
7.4.5 Variables y credenciales de agente local
Variables de agente local - Un conjunto de actividades denominadas "Variables de agente local" permite crear, actualizar, recuperar y eliminar variables locales. Estas variables se almacenan dentro del registro de Windows del equipo local (dentro de una carpeta de registro dedicado).
Credenciales de agente local - Un conjunto de actividades denominado "Credenciales de agente local" permite crear, actualizar y recuperar credenciales locales aprovechando el gestor de credenciales de Windows. Para obtener más información sobre el gestor de credenciales de Windows, visite el sitio web de Microsoft.
Guía de seguridad de SAP Intelligent RPASeguridad del almacenamiento de datos
PUBLICPÚBLICO 33
PrecauciónTenga en cuenta que las credenciales y variables del agente local no se eliminarán si se desinstala el agente. Por tanto, es importante no almacenar información personal o sensible en las variables. También es importante asegurarse de que las credenciales se eliminen en cuanto ya no se necesiten.
34PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPASeguridad del almacenamiento de datos
8 Privacidad y protección de datos
8.1 Introducción
En esta sección se proporciona información acerca de cómo SAP Intelligent Robotic Process Automation cumple con los requisitos de protección de datos.
La protección de datos está asociada a numerosos requisitos legales y cuestiones de privacidad. Además del cumplimiento del reglamento general sobre privacidad de datos, hay que tener en cuenta el cumplimiento de la legislación específica del sector en diferentes países. SAP proporciona características y funciones específicas para ayudar al cumplimiento de los requisitos legales relevantes, incluyendo la protección de datos. En esta sección se describen las características y funciones específicas que ofrece SAP a fin de cumplir con los requisitos legales relevantes y la protección de datos.
SAP no proporciona ninguna indicación de si estas funciones y características son la mejor opción para ayudar a cumplir los requisitos de la empresa, el sector, la región o específicos de país. Es más, esta guía no ofrece ningún consejo o recomendación sobre características adicionales que se puedan necesitar en un entorno concreto, las decisiones relacionadas con la protección de datos deben tomarse según cada caso, teniendo en cuenta la infraestructura de sistema y los requisitos legales aplicables.
NotaEn la mayoría de los casos, la conformidad con la legislación de privacidad y protección de datos correspondiente no se logrará con una sola función de producto. El software de SAP da soporte al cumplimiento de la protección de datos ofreciendo funciones de seguridad y funciones específicas relacionadas con la protección de datos. SAP no proporciona asesoramiento legal de ninguna clase. Las definiciones y otros términos utilizados en este documento no se toman de ninguna fuente legal.
8.2 Glosario
Cláusula Definición
Consentimiento La acción de los sujetos de datos que confirman que el uso de sus datos personales se debe permitir para un fin determinado. La función de consentimiento permite el almacenamiento de un registro de consentimiento relativo a un fin específico y muestra si un sujeto de datos ha concedido, retirado o denegado un consentimiento.
Borrado Destrucción irreversible de datos personales.
Datos personales Cualquier información relativa a un sujeto de datos.
Objetivo La información que indica el motivo y el objetivo para procesar un conjunto específico de datos personales. Por regla general, el objetivo hace referencia a la normativa legal relevante para el procesamiento de datos personales.
Período de retención Período entre el final de la última actividad empresarial que implica un objeto determinado (por ejemplo, un interlocutor comercial) y el borrado de los datos correspondientes, sujeto a las leyes vigentes. El período de retención es una combinación del período de residencia y el plazo de bloqueo.
Guía de seguridad de SAP Intelligent RPAPrivacidad y protección de datos
PUBLICPÚBLICO 35
8.3 Base legal para datos personales
SAP Intelligent Robotic Process Automation Factory utiliza los identificadores de sus usuarios –por lo general, una dirección de correo electrónico– para la autenticación. Estos identificadores se guardan con recursos (proyectos, artefactos de proyecto, paquetes, entornos…) para supervisar quién ha creado dichos recursos y quién fue el último usuario que los modificó. SAP Intelligent Robotic Process Automation Factory también guarda los inicios de sesión de los usuarios de Windows y los nombres del equipo y del dominio relacionados con los agentes registrados.
En ambos casos, el uso de esta información está permitido de conformidad con el contrato de trabajo entre los usuarios y el cliente. Al finalizar el contrato, un administrador debería eliminar de SAP Intelligent RPA Factory las referencias a un usuario, mediante la función Privacidad y protección de datos: Borrado de datos de usuario de SAP Intelligent Robotic Process Automation Factory.
Solo se deben procesar todos los demás datos personales en el contexto de SAP Intelligent Robotic Process Automation si el cliente tiene una base legal para ello. Es responsabilidad del cliente asegurarse de que las actividades de procesamiento de datos desarrolladas y ejecutadas con SAP Intelligent Robotic Process Automation cumplan con las normativas aplicables.
8.4 Grabación en log de acceso de lectura
Puesto que la única información personal que se almacena en la aplicación SAP Intelligent RPA Factory son los identificadores de usuario, no es necesario un registro de acceso de lectura.
PrecauciónLos logs de ejecución de job pueden contener información confidencial o personal, y en el equipo del agente, el usuario de Windows que ejecuta el agente puede leer los logs. Para limitar el riesgo de revelar información personal (confidencial) a personas no autorizadas, verifique que el código de proyecto nunca guarde en log información personal (confidencial). No active la grabación automática de logs ni la entrada de trace técnico en entornos de producción, sin haber implementado las medidas necesarias para controlar el acceso a los logs generados.
PrecauciónLos logs visualizados en la sección de supervisión de Cloud Factory también pueden contener información personal. Esta información puede estar presente en las salidas de job y no es visible por defecto. Para verla, el usuario debe tener la autorización "Ver datos de jobs" en el entorno (preferiblemente), o el rol IRPAPersonalDataAccess.
PrecauciónIntelligent RPA no puede realizar un seguimiento de los datos personales introducidos en formato libre o en capturas de pantalla y capturas. Es responsabilidad del cliente comprobar que no se introduce información personal ahí o hacer un seguimiento adecuado de la misma. Se deben utilizar sistemas de prueba con
36PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAPrivacidad y protección de datos
usuarios ficticios en lugar de sistemas de producción durante el proceso de captura de aplicaciones, cuando las capturas muestran registros que contienen información sobre individuos.
8.5 Log de modificaciones
Para las auditorías o por requisitos legales, las modificaciones realizadas en los datos personales se deben registrar en log para permitir el seguimiento de quién ha realizado las modificaciones y cuándo.
Los únicos datos personales almacenados en la aplicación Factory SAP Intelligent Robotic Process Automation son las direcciones de correo electrónico de los usuarios.
Así, un log de modificación no es aplicable porque los correos electrónicos no se pueden modificar en el sistema.
8.6 Borrado de datos personales
Al tratar datos personales, tenga en cuenta la legislación de los distintos países en los que opera su empresa. Una vez que los datos hayan superado el fin del propósito, tal vez la normativa exija borrar los datos.
Normativas adicionales puede exigirle que conserve los datos una vez terminado el propósito final. Durante este período debe bloquear el acceso a los datos por parte de personas no autorizadas hasta el final del plazo de retención, cuando los datos se borren definitivamente. Como los únicos datos personales almacenados en Factory SAP Intelligent Robotic Process Automation son las direcciones de correo electrónico de los usuarios, en este caso no se aplica un plazo de retención. Los administradores SAP Intelligent RPA deben eliminar los datos personales si se ha alcanzado el objetivo de utilización con la función Borrar datos de usuario en Factory SAP Intelligent RPA.
Duraciones de retención de datos
Tipo de información Duración de retención
Copias de seguridad. 14 días
Entradas y salidas de job. 30 días (44 días, incluidas copias de seguridad)
Archivos de job.
NotaLos archivos de job no incluyen datos empresariales.
24 meses
Todos los datos posteriores al final de la prestación de servicios.
44 días (incluidas copias de seguridad)
Referencias al borrado subsiguiente de SAP Intelligent RPA. 14 días (incluida la retención de copias de seguridad)
Guía de seguridad de SAP Intelligent RPAPrivacidad y protección de datos
PUBLICPÚBLICO 37
PrecauciónAl ejecutar proyectos de escritorio o proyectos en la nube con la versión central de SDK 1.10 o posterior:
● Los archivos de log y trace, así como los archivos BAM almacenados en memoria caché (ubicados en %localappdata%\SAP\Intelligent RPA\Projects\<project>\log) pueden contener datos personales (como mínimo, inicios de sesión y nombres de equipos). El acceso a estos archivos debe ser limitado y deben borrarse cuando ya no sean necesarios.
● Estos archivos tienen una vida útil limitada en los equipos del agente, siempre que el agente se esté ejecutando. Si el agente se detiene, no hay otro mecanismo que pueda limpiar estos archivos del log. Asegúrese de que los archivos de log se borren correctamente si un agente se detiene definitivamente.
8.7 Decisión automatizada
Algunas regulaciones controlan la manera en que la decisión automatizada puede afectar a las personas.
Por ejemplo, el artículo 22 del Reglamento General de Protección de Datos establece que:
1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado; o
c) se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. El artículo 15 establece que: El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
[…]
8. la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
38PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAPrivacidad y protección de datos
Al utilizar Intelligent RPA, es responsabilidad del cliente garantizar que el uso de las automatizaciones cumpla con las normativas aplicables a este respecto.
Guía de seguridad de SAP Intelligent RPAPrivacidad y protección de datos
PUBLICPÚBLICO 39
9 Grabación en log y rastreo relevante para seguridad
Los eventos relevantes para la seguridad surgidos en SAP Intelligent Robotic Process Automation Factory se registran en el servicio de log de auditoría proporcionado por SAP Business Technology Platform.
Los eventos de creación o borrado de paquetes, eventos de configuración de paquetes, eventos de creación, modificación o borrado de entornos se graban en log en este log de auditoría.
Para obtener más información sobre las formas de acceder a esta información, consulte la Guía de log de auditoría.
NotaSi el servicio SAP Audit Log no está disponible, los mensajes de auditoría se almacenarán en la base de datos de SAP Intelligent RPA hasta que puedan enviarse al servicio de registro de auditoría. Si la no disponibilidad del servicio SAP Audit Log dura más de 12 horas, se avisará a los clientes.
40PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAGrabación en log y rastreo relevante para seguridad
10 Preguntas más frecuentes
Seguridad de los datos [página 41]
Permisos de agente [página 43]
Seguridad de red [página 44]
Exportación de datos de cliente [página 45]
10.1 Seguridad de los datos
¿Qué datos se intercambian entre el agente y Factory en tiempo de ejecución?
De los agentes a Cloud Factory:
● Un identificador único de equipo (actualmente calculado mediante un identificador BIOS único y el "ID de dispositivo de volumen de arranque").
● El inicio de sesión del usuario de agente con y sin el nombre de dominio (el inicio de sesión se utiliza en las definiciones de grupo de agentes).
● El nombre del equipo, tal como se utiliza en los grupos de agentes.● La versión del agente e información técnica diversa asociada al agente (por ejemplo, el modo Studio).● Información sobre el estado del agente (ocupado o no) y su modo de ejecución (asistido o no asistido).● Identificadores de diversos objetos de SAP Intelligent RPA como paquetes, entornos, recursos, escenarios
y automatizaciones.● Datos empresariales según lo que establezca y requiera el proyecto:
○ Datos utilizados como entradas a escenarios o automatizaciones○ Salidas de job○ Notificaciones "Supervisión de actividades empresariales"
● Logs y traces cifrados para proyectos en la nube con la versión principal de SDK 1.11 o posterior.
Desde Cloud Factory a los agentes:
● El token web JSON utilizado para autenticar el agente.● La clave pública que corresponde a la clave privada del cliente, generada en Cloud Factory.
NotaEsta clave se utiliza para verificar la integridad de las agrupaciones que contienen el código JavaScript.
Guía de seguridad de SAP Intelligent RPAPreguntas más frecuentes
PUBLICPÚBLICO 41
● Identificadores de diversos objetos de SAP Intelligent RPA como paquetes, entornos, recursos, escenarios y automatizaciones.
● La lista de todos los paquetes utilizables. Para cada paquete:○ Un identificador único, un tipo y una versión.○ Un identificador de entorno único.
Para paquetes V2:○ La lista de las dependencias.○ La firma de la agrupación asociada al paquete.
NotaCada agrupación de dependencias contiene información (nombre de archivo, tipo MIME y tamaño) sobre los paquetes y las agrupaciones que se deben descargar.
● Datos empresariales:○ El contenido de las agrupaciones o los paquetes.○ Datos de entrada utilizados para ejecutar un escenario o una automatización (para casos no
asistidos).○ Los resultados de los jobs desencadenados por un escenario (addJob) cuando son necesarios para
continuar la ejecución.○ Los valores de variables de entorno como se han solicitado a lo largo de un escenario o ejecución de
automatización.
Algunos logs enviados a Cloud Factory supervisan el estado de agentes, jobs, etc. ¿A qué datos de los elementos almacenados en Factory puede acceder SAP? ¿Qué logs, eventos, etc. puede rastrear SAP y en qué circunstancias?
Estos logs pertenecen al cliente y están clasificados como confidenciales. Como se ha mencionado antes, los logs contienen datos empresariales y técnicos (eventos de inicio y parada, distribución de paquetes, etc.).
Los clientes pueden ver toda esta información desde la interfaz de usuario de SAP Intelligent RPA (esto a veces requiere el rol o el privilegio "IRPAPersonalData"). SAP no recopila la información que no sería visible allí y los empleados de SAP no tienen acceso a ella, a menos que sean administradores de la plataforma o ingenieros de soporte y, por lo tanto, tengan acceso a las bases de datos. Este acceso puede ser necesario para la resolución de problemas o las tareas de mantenimiento. Se controla el acceso a los sistemas de producción y las bases de datos, y se revisan regularmente las listas de control de acceso.
Tenga en cuenta que la aplicación cifra los datos empresariales y los administradores o ingenieros de soporte no pueden acceder a ellos en texto claro cuando realizan operaciones de mantenimiento o resolución de problemas.
Además, SAP tiene acceso a los logs técnicos que se generan al ejecutar el software de SAP Intelligent RPA. Estos logs se utilizan para solucionar problemas del producto y analizar errores. No contienen información del cliente.
42PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAPreguntas más frecuentes
10.2 Permisos de agente
¿Qué es el servicio de agente?
En modo no asistido, si por algún motivo se reinicia un equipo que ejecuta un agente, la sesión que ejecuta el agente se puede reabrir automáticamente y el agente se puede reiniciar. Esta capacidad se puede configurar mediante la bandeja de sistema del agente (inicio automático).
Para ello, cuando el agente está instalado en un equipo, también se instala un servicio que se llama SAP Intelligent Desktop Service. Este servicio se ejecuta con la identidad del sistema local, aunque es completamente independiente del agente, que se ejecuta con la identidad del usuario de la sesión.
Para abrir la sesión, el servicio necesita las credenciales del usuario. Estas credenciales deben proporcionarse cuando se selecciona la opción inicio automático (actualmente mediante la utilidad CxCredStore). Se almacenan en el gestor de credenciales de Windows (y nunca se envían a la nube). Cuando se reinicia el equipo, también se reinicia el servicio: puede acceder a estas credenciales, volver a abrir la sesión del usuario e iniciar el agente.
¿Existe un mecanismo para restringir el acceso del agente a los elementos del sistema operativo del escritorio? ¿Existe un mecanismo en el diseño actual que permitiría la inclusión en una lista de elementos autorizados o restricciones de tareas que puede ejecutar Desktop Agent?
El agente aprovecha la seguridad actual otorgada al usuario que ha iniciado la sesión. Por lo tanto, el agente está limitado a los mismos accesos que tiene el usuario. Si el usuario no puede acceder a determinados archivos compartidos porque carece de permisos, el agente estará igualmente limitado.
Para ejecutar jobs, los agentes pueden necesitar acceder a archivos ubicados en cualquier lugar del disco. Esa necesidad depende de las acciones efectuadas por el agente. Así, hay que revisar los proyectos para garantizar que no son vulnerables ataques transversales a vías de acceso, donde la entrada de un usuario malicioso puede provocar que el agente lea o escriba en ubicaciones imprevistas (incluso si el derecho a leer o escribir en estas ubicaciones siempre esté limitado por los derechos de usuario del agente).
El perfil de seguridad del agente se puede reforzar gracias a las mejores prácticas estándar. Por ejemplo, el usuario no debe ejecutarse en una sesión de administrador, debe protegerse de ataques transversales de ruta, borrar registros locales cuando ya no se necesiten, etc.
Guía de seguridad de SAP Intelligent RPAPreguntas más frecuentes
PUBLICPÚBLICO 43
¿Cuál es el mecanismo que garantiza que solamente un agente específico, que se ejecuta dentro del contexto de seguridad de un usuario concreto, adquiera y ejecute jobs? (Es decir, el sistema de usuario permite que varios usuarios inicien sesión. ¿Cuál sería el mecanismo que garantiza que un job creado para abrir todos los archivos de Excel desde el directorio de inicio se ejecutará solo dentro del contexto específico de un usuario?)
Cuando un usuario registra a un agente, se genera un token de autenticación que identifica al agente. Este token depende del usuario de la sesión de Windows y el hardware de la máquina. Éste se almacena en el gestor de credenciales de Windows y, por tanto, solo son accesibles para el usuario que inició sesión. De este modo, se pueden relacionar un agente y el usuario correspondiente en SAP Intelligent Robotic Process Automation Factory.
Los paquetes no se despliegan en todos los agentes disponibles, sino solo en aquellos que se han definido en el entorno de despliegue en SAP Intelligent Robotic Process Automation Factory, ya sea directamente o mediante grupos de agentes. Es aquí donde se puede controlar qué agente o grupo de agentes pueden ejecutar una automatización.
10.3 Seguridad de red
¿Qué protocolos se utilizan?
HTTPS se utiliza para la comunicación entre:
● La aplicación web de SAP Intelligent RPA y el back end cloud de SAP Intelligent RPA.● SAP Intelligent Robotic Process Automation Desktop Agent y SAP Intelligent Robotic Process Automation
Factory Runtime en el momento del registro.
Los WSS (sockets web seguros, basado en TLS 1.2) se utilizan para la comunicación entre SAP Intelligent Robotic Process Automation Desktop Agent y SAP Intelligent Robotic Process Automation Factory Runtime (descarga de proyecto, comandos).
Todas las comunicaciones entre Desktop Agent y SAP Intelligent Robotic Process Automation Factory pasan por el puerto 443. No necesita abrir otro puerto de salida o de entrada.
44PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAPreguntas más frecuentes
¿Es posible utilizar un proxy? ¿Existe alguna configuración específica necesaria?
SAP Intelligent RPA se puede utilizar a través de un proxy. Al ejecutarlo detrás de un proxy o de un cortafuegos, asegúrese de que el protocolo seguro WebSockets (WSS) se admita correctamente y no se bloquee.
¿Es posible añadir a la lista de elementos autorizados las direcciones IP utilizadas por SAP Intelligent Robotic Process Automation Factory?
Es posible limitar aún más las comunicaciones de salida concediendo acceso solo a direcciones IP específicas. Estas direcciones IP dependen del centro de datos y se detallan en la documentación de SAP Business Technology Platform. Encontrará más información en: Regiones.
La lista de direcciones IP permitidas se indica en la columna IP de LB (entrada, para solicitudes entrantes) correspondiente a su centro de datos. Las direcciones *.<data center>.hana.ondemand.com se deben asignar a estas direcciones IP, donde <data center> debe sustituirse por la designación adecuada de su centro de datos (eu10, etc.).
También es necesario permitir la IP utilizada para recuperar el framework de SAP UI5 (utilizado para la interfaz de usuario de la solución en la nube). Este framework se obtiene del dominio sapui5.hana.ondemand.com. Este dominio se almacena en caché en diferentes ubicaciones. Utilice nslookup o una utilidad similar (desde su DMZ) para determinar la dirección IP adecuada.
10.4 Exportación de datos de cliente
Tal como se menciona en los términos y condiciones de los servicios Cloud, los clientes pueden exportar sus datos en cualquier momento durante el plazo de suscripción.
Guía de seguridad de SAP Intelligent RPAPreguntas más frecuentes
PUBLICPÚBLICO 45
El artículo 4.5 también menciona que "el cliente puede exportar y recuperar sus datos de cliente en un formato estándar. La exportación y recuperación pueden estar sujetas a limitaciones técnicas, en cuyo caso SAP y el cliente buscarán un método razonable para permitir al cliente el acceso a los datos de cliente".
SAP Intelligent RPA proporciona medios para exportar proyectos, paquetes y logs directamente desde la interfaz de usuario.
Si los clientes de SAP Intelligent RPA necesitan exportar todos sus datos, pueden solicitar una exportación de datos generando un ticket en el componente CA-ML-IPA.
NotaLos datos exportados no pueden volver a importarse en SAP Intelligent RPA, ni en la misma subcuenta ni en otra.
46PUBLICPÚBLICO
Guía de seguridad de SAP Intelligent RPAPreguntas más frecuentes
Limitaciones de responsabilidad y aspectos legales
HiperenlacesAlgunos enlaces se clasifican con un icono y/o con un texto al pasar el puntero del ratón. Estos enlaces proporcionan información adicional.Acerca de los iconos:
● Enlaces con el icono Está entrando en una página Web que no está alojada por SAP. Al usar este tipo de enlaces, manifiesta su acuerdo (a no ser que se indique expresamente lo contrario en sus contratos con SAP) con lo siguiente:
● El contenido del sitio al que se accede a través del enlace no es documentación SAP. No puede realizar ninguna reclamación de producto contra SAP en base a esta información.
● SAP no manifiesta su acuerdo o desacuerdo con el contenido del sitio al que se accede a través del enlace, ni garantiza su disponibilidad o exactitud. SAP no es responsable de ningún daño causado por el uso de este contenido a menos que los daños se hayan causado por una imprudencia grave o por una conducta fraudulenta dolosa por parte de SAP.
● Enlaces con el icono Está dejando la documentación para este producto o servicio de SAP en concreto y está entrando en un sitio Web alojado por SAP. Al usar este tipo de enlaces, manifiesta su acuerdo (a no ser que se indique expresamente lo contrario en sus contratos con SAP) a no realizar ninguna reclamación de producto contra SAP en base a esta información.
Vídeos alojados en plataformas externasAlgunos vídeos pueden dirigir a plataformas de hospedaje de vídeos de terceros. SAP no puede garantizar la disponibilidad futura de vídeos almacenados en estas plataformas. Además, cualquier anuncio u otro contenido alojado en estas plataformas (p. ej., vídeos sugeridos o la navegación a otros vídeos alojados en el mismo sitio), no se encuentra bajo el control o la responsabilidad de SAP.
Beta y otras funciones experimentalesLas funciones experimentales no forman parte del alcance de la entrega oficial que SAP garantiza para futuras versiones. Esto significa que SAP puede modificar las funciones experimentales en cualquier momento, por cualquier motivo y sin previo aviso. Las funciones experimentales no están previstas para su uso productivo. No podrá mostrar, probar, examinar, evaluar las funciones experimentales o realizar cualquier otro uso de ellas en un entorno operativo en directo o con datos que no estén suficientemente fundamentados.El propósito de las funciones experimentales es obtener de manera anticipada comentarios que permitan a los clientes y partners influir en el producto futuro en consecuencia. Al proporcionar su opinión (p. ej. en la Comunidad SAP), acepta que los derechos de propiedad intelectual de las contribuciones o de las tareas derivadas seguirán siendo propiedad exclusiva de SAP.
Código de ejemploCualquier codificación de software y/o fragmentos de código son ejemplos. No están previstos para su uso productivo. El código de ejemplo tiene el único propósito de explicar y permitir la visualización de las reglas de sintaxis y de redacción SAP no garantiza la exactitud ni la integridad de los códigos de ejemplo. SAP no es responsable de ningún error o daño causado por el uso de código de ejemplo a menos que los daños se hayan causado por una imprudencia grave o por una conducta fraudulenta dolosa por parte de SAP.
Lenguaje sin sesgosSAP apoya una cultura de diversidad e inclusión. Siempre que sea posible, utilizamos un lenguaje imparcial en nuestra documentación para referirnos a personas de todas las culturas, etnias, géneros y habilidades.
Guía de seguridad de SAP Intelligent RPALimitaciones de responsabilidad y aspectos legales
PUBLICPÚBLICO 47
www.sap.com/contactsap
© 2022 SAP SE o una empresa filial de SAP. Reservados todos los derechos.
Queda prohibida la reproducción o transmisión de cualquier parte de esta publicación, en cualquier forma o para cualquier fin, sin el permiso expreso de SAP SE o de una empresa filial de SAP. La información que aquí se incluye puede modificarse sin previo aviso.
Algunos productos de software comercializados por SAP SE y sus distribuidores contienen componentes de software con derechos de autor de otros proveedores de software. Las especificaciones de productos en cada país pueden ser diferentes.
SAP SE o una empresa filial de SAP SE proporcionan estos materiales con fines meramente informativos, sin manifestación ni garantía de ningún tipo. Ni SAP SE ni sus empresas filiales se hacen responsables de los errores u omisiones en relación con los materiales. Las únicas garantías para los productos y servicios de SAP SE o de sus empresas filiales son aquellas especificadas en las cláusulas expresas de garantía que acompañan a dichos productos y servicios, si las hubiera. Nada de lo que se incluye en este documento debe interpretarse como garantía adicional.
SAP y los productos y servicios de SAP mencionados, así como sus respectivos logotipos, son marcas comerciales o marcas registradas de SAP SE (o de una empresa filial de SAP) en Alemania y en otros países. Todos los nombres y servicios de productos son las marcas comerciales de sus respectivas empresas.
Consulte https://www.sap.com/spain/about/legal/trademark.html para obtener información y avisos adicionales sobre marcas comerciales.
THE BEST RUN
