Politik for testdata og testmiljø

Politik for testdata og testmiljø (P29) fastlægger omfattende krav til sikker og compliant styring af testdata og ikke-produktionsmiljøer gennem hele softwareudviklings- og testlivscyklussen. Dens primære formål er at beskytte fortrolighed, integritet og den operationelle sikkerhed for både testdata og miljøer og at forhindre uautoriseret adgang, datalækage og risikoen for kontaminering af produktionssystemer som følge af utilstrækkeligt styrede testaktiviteter. Denne politik har et bredt omfang og gælder for alle miljøer, data, værktøjer og processer, der anvendes til enhver form for test, herunder funktionel test, regressionstest, ydelsestest eller sikkerhedstest, og uanset om det udføres lokalt, i cloud eller via tredjepartstjenesteudbydere. Alt personale, herunder interne brugere, kontrahenter eller leverandører, er omfattet af bestemmelserne. Udtrykkelige kontroller forbyder brug af live, følsomme eller regulerede personoplysninger (såsom PII eller kortindehaveroplysninger), medmindre de er anonymiseret, pseudonymiseret eller specifikt godkendt af informationssikkerhedschefen (CISO) med klar begrundelse og kompenserende kontroller på plads. Derudover er netværks- og adgangsadskillelse mellem test- og produktionssystemer obligatorisk og håndhæves gennem separat autentifikation, netværkspartitionering og begrænsede firewallregler. Kryptering, syntetisk datagenerering eller robust datamaskering er påkrævet, når realistiske testdata er nødvendige. Streng rollebaseret adgangskontrol (RBAC) styrer adgang til alle testmiljøer. Adgang skal være logget, revisionsbar og underlagt kvartalsvis gennemgang af adgangsrettigheder med øjeblikkelig tilbagekaldelse af adgang efter projektets afslutning. Miljøer skal overholde sikre build-baselines, herunder enhedshærdning af operativsystemer, regelmæssigt opdateret software, endepunktsbeskyttelse og markante restriktioner for fjernadministration. Aktiv overvågning og revisionslogning er afgørende for at opdage politikovertrædelser, såsom adgang fra uautoriserede IP-områder eller brug af ikke-godkendte legitimationsoplysninger. Praksis for sikkerhedskopiering skal være i overensstemmelse med Backup and Restore Policy (P15) og sikre, at opbevaring af testdata minimeres og holdes korrekt adskilt fra produktionscyklusser. Undtagelseshåndtering håndteres strengt: Anmodninger om afvigelser kræver forretningsmæssig begrundelse, angivelse af risikoreducerende kontroller og udtrykkelig godkendelse af informationssikkerhedschefen (CISO) og, hvis relevant, databeskyttelsesansvarlig samt juridisk og compliance. Hver tildelt undtagelse logges, årlig revalidering gennemføres, og den er underlagt øget overvågning og strengere kontroller. Regelmæssige gennemgange og sikkerhedsaudits udført af informationssikkerhedsteamet med input fra QA, DevOps og andre interessenter sikrer vedvarende overholdelse med definerede udløsere for midlertidig politikvurdering efter væsentlige sikkerhedshændelser eller regulatoriske ændringer. Tæt integreret med relaterede organisatoriske politikker, herunder Ændringsstyring (P5), dataklassificering (P13), dataopbevaringspolitik (P14), kryptografiske kontroller (P18), lognings- og overvågningspolitik (P22) og Politik for hændelseshåndtering (P30), er denne politik også i overensstemmelse med førende standarder og reguleringer. Disse omfatter ISO/IEC 27001:2022, krav til sikre testmiljøer og data (ISO/IEC 27002 kontroller 8.28-8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), EU GDPR (artikler 5, 25, 32), EU NIS2, EU DORA og COBIT 2019. Overtrædelser kan medføre disciplinære foranstaltninger, kontraktophør eller regulatorisk rapportering, hvilket understreger politikkens kritiske betydning for sikkerhed og compliance.