Политика за тестови данни и тестова среда

Политика за тестови данни и тестова среда (P29) определя всеобхватни изисквания за сигурно, съвместимо управление на тестови данни и непродукционни среди през целия жизнен цикъл на разработка и тестване на софтуер. Основната ѝ цел е да защити поверителността, цялостността и оперативната сигурност както на тестовите данни, така и на средите, като предотвратява неоторизиран достъп, изтичане на данни и риска от замърсяване на продукционна среда поради неправилно управлявани дейности по тестване. Тази политика има широк обхват и се прилага за всички среди, данни, инструменти и процеси, използвани при всякакъв вид тестване — функционално, регресионно, производителност или сигурност — независимо дали се извършва локално, в облак или чрез платформи на трети страни. Всички участващи лица, включително вътрешни потребители, изпълнители или доставчици, подлежат на нейните изисквания. Изрични контроли забраняват използването на продукционни, чувствителни или регулирани лични данни (напр. PII или информация за картодържатели), освен ако не са анонимизирани, псевдонимизирани или изрично одобрени от директора по информационна сигурност (CISO) с ясна обосновка и компенсиращи контролни мерки. Освен това мрежовата и достъпната сегрегация между тестови и продукционни системи е задължителна и се прилага чрез отделна автентикация, мрежова сегментация и ограничени правила на защитната стена. Шифроване, генериране на синтетични данни или надеждно маскиране на данни са задължителни, когато са необходими реалистични тестови данни. Строги контроли за достъп, базирани на роли, управляват достъпа до всички тестови среди. Достъпът трябва да бъде одитно регистриран, одитируем и да подлежи на тримесечен преглед, с незабавно отнемане на достъп след приключване на проекта. Средите трябва да спазват базови изисквания за сигурно изграждане, включително закаляване на устройства, редовно актуализиран софтуер, защита на крайните точки и строги ограничения за отдалечен достъп за администриране. Автоматизиран мониторинг и регистриране на събития са ключови за откриване на нарушения на политиката, като достъп от неоторизирани IP диапазони или използване на неоторизирани удостоверителни данни. Практиките за резервно копиране трябва да са съгласувани с Политика за съхранение на данни (P15), като се гарантира, че съхранението на тестови данни е минимизирано и правилно сегрегирано от продукционните цикли. Управление на изключенията се прилага строго: исканията за отклонения изискват бизнес обосновка, посочване на контроли за смекчаване на риска и изрично одобрение от директора по информационна сигурност (CISO) и, когато е приложимо, от длъжностното лице по защита на данните и правния съветник. Всяко предоставено изключение се записва, подлежи на годишно повторно валидиране и е предмет на засилен мониторинг и по-строги контроли. Редовни прегледи и одити от екипа по информационна сигурност, с участие на QA, DevOps и други заинтересовани страни, осигуряват устойчиво съответствие, с определени тригери за междинна оценка на политиката след значими инциденти или регулаторни промени. Тясно интегрирана със свързани организационни политики, включително Управление на промените (P5), Класификация на данни (P13), Политика за съхранение на данни (P14), Криптографски контроли (P18), Политика за регистриране и мониторинг (P22) и Политика за реагиране при инциденти (P30), тази политика е също съгласувана с водещи стандарти и регулации. Те включват ISO/IEC 27001:2022, изисквания за сигурни тестови среди и данни (ISO/IEC 27002 контроли 8.28–8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), EU GDPR (членове 5, 25, 32), EU NIS2, EU DORA и COBIT 2019. Нарушенията могат да доведат до дисциплинарни мерки, прекратяване на договор или регулаторно докладване, което подчертава критичността на политиката за сигурност и съответствие.