Datenschutz mit zap Audit

Personenbezogene, personenbeziehbare und vertrauliche Daten werden pseudonymisiert

Kurzbeschreibung von zap Audit:

zap Audit ist eine Software für Revisoren und Abschlussprüfer und automatisiert die SAP-bezogene Daten- und Prozessprüfung vom Datenabzug bis zum zap Audit Report in folgenden Schwerpunktbereichen:

  • Einkaufsprozess,
  • Verkaufsprozess,
  • Finanzbuchhaltung,
  • Anlagenbuchhaltung,
  • Zugriffsberechtigungen, inkl.
  • der Funktionstrennungskonflikte.

Der zap Audit Report erlaubt, alle Ergebnisse aus unterschiedlichen Sichtweisen zu analysieren.

Inhalt und Umfang der auszuwertenden Daten:

In zap Audit legen Sie immer einen bestimmten Buchungskreis und ein bestimmtes Geschäftsjahr fest. Die Prüfung der SAP Daten und Prozesse erfolgt über sogenannte zap Audit Indikatoren ("Prüfungsfragestellungen"). Die zap Audit Prüfungsfragestellungen verfolgen dabei immer eines der folgenden Prüfungsziele:

  • Ordnungsmäßigkeit
  • Wirtschaftlichkeit
  • Prozessstandardisierung
  • Zugriffssicherheit.

Der Datenumfang bestimmt sich durch die Prüfungsfragen und die dazu benötigten Daten. zap Audit lädt nur die Daten genau für die Prüfungsfragen für den spezifizierten Buchungskreis und das ausgewählte Geschäftsjahr aus dem SAP herunter. Die zap Audit Datenbank liegt auf der von Ihnen definierten Hardware. Die Firma zapliance hat zu keiner Zeit Zugriff auf Ihre Daten.

Sind personenbezogene und/oder -beziehbare Daten betroffen?

Nein - der Datenumfang sowie die zu pseudonymisierenden Daten sind in zap Audit vordefiniert. Sämtliche personenbezogene und/oder -beziehbare Daten werden standardmäßig durch zap Audit pseudonymisiert. Der Auftraggeber ist verantwortlich, den Datenscope inkl. der zur Pseudonymisierung markierten Datenfelder zu prüfen und im Vorfeld des Datenabzugs in zap Audit zu verifizieren. Die zap Audit Datenbank enthält im vordefinierten Zustand zu keinem Zeitpunkt unverschlüsselte personenbezogene oder -beziehbare Daten.

Was ist Pseudonomisierung ?

Ziel der Pseudonomisierung ist die vertrauliche Behandlung von z.B. personenbezogenen Daten durch Verschlüsselung. Über eine Konfigurationsdatei (XML-Datei) ist standardmäßig festgelegt, welche Felder verschlüsselt werden. Die Daten werden anhand eines öffentlichen Schlüssels verschlüsselt und können nur mittels des privaten Schlüssels theoretisch entschlüsselt werden. Die Entschlüsselung ist in zap Audit technisch nicht möglich.

Wie erfolgt die Pseudonymisierung technisch?

Vor der Speicherung der SAP Daten in der zapliance Datenbank pseudonymisiert die Software auf Basis des vom Auftraggeber generierten „öffentlichen Schlüssels“ des asymmetrischen Schlüsselpaars vollautomatisch alle Spalten, die in der Prüfungsvorbereitung als personenbezogen, personenbeziehbar oder vertraulich definiert sind.

Der „private Schlüssel“ ist nur dem Auftraggeber bekannt. Eingesetzt wird dafür die Software PGP4Win (Kleopatra). Anhand dieser Software kann sich der Auftraggeber ein eigenes Schlüsselpaar erzeugen und zur Verschlüsselung der Daten den öffentlichen Schlüssel in zapliance hochladen.

Mit diesem Schlüssel werden alle Datenfelder gemäß Konfigurationsdatei verschlüsselt und erst dann auf dem Speichermedium abgelegt. Lediglich der Inhaber des zugehörigen privaten Schlüssels hat in diesem Fall Zugriff auf den Schlüssel. Die Entschlüsselung pseudonymisierter Daten ist in zap Audit technisch nicht möglich.

Können aus Ergebnissen in zap Audit Verhaltens- und/oder Leistungskontrollen erfolgen?

Eine Leistungskontrolle ist nicht das Ziel von zap Audit. Die zap Audit Indikatoren haben ausschließlich die folgenden Prüfungsziele:

  • Ordnungsmäßigkeit
  • Wirtschaftlichkeit
  • Prozessstandardisierung
  • Zugriffssicherheit.

Mit zap Audit Ergebnissen ist anhand der zapliance Indikatoren keine direkte Verhaltens- und/oder oder Leistungskontrolle möglich.

Gibt es Exportfunktionen?

zap Audit Ergebnisse können nach Excel exportiert werden. Pseudonymisierte Daten in zap Audit sind und bleiben auch im Export pseudonymisiert.

Gibt es in zap Audit ein Rollen- / Berechtigungskonzept?

Ein Rollen-/Berechtigungskonzept ist in die Anwendung integriert.