Richtlinie zu Testdaten und Testumgebungen

Die Richtlinie zu Testdaten und Testumgebungen (P29) legt umfassende Anforderungen für die sichere, konforme Verwaltung von Testdaten und Nicht-Produktionsumgebungen über den gesamten Softwareentwicklungs- und Testlebenszyklus fest. Ihr primärer Zweck ist der Schutz der Vertraulichkeit, Integrität und operativen Sicherheit sowohl der Testdaten als auch der Umgebungen, um unbefugten Zugriff, Datenabfluss und das Risiko einer Kontamination von Produktionssystemen durch unzureichend gesteuerte Testaktivitäten zu verhindern. Diese Richtlinie hat einen breiten Geltungsbereich und gilt für alle Umgebungen, Daten, Werkzeuge und Prozesse, die für jede Art von Tests verwendet werden – ob funktional, Regression, Performance oder Sicherheit – und unabhängig davon, ob diese On-Premises, in der Cloud oder über Drittanbieterplattformen durchgeführt werden. Sämtliches Personal, einschließlich interner Benutzer, Auftragnehmer oder Lieferanten, unterliegt ihren Bestimmungen. Explizite Kontrollen untersagen die Nutzung von Live-, sensiblen oder regulierten personenbezogenen Daten (z. B. PII oder Karteninhaberdaten), sofern diese nicht anonymisiert, pseudonymisiert oder vom Chief Information Security Officer (CISO) mit klarer Begründung und implementierten kompensierenden Kontrollen ausdrücklich genehmigt wurden. Darüber hinaus ist eine Netzwerk- und Zugriffssegmentierung zwischen Test- und Produktionssystemen verpflichtend und wird durch getrennte Authentifizierung, Netzwerkpartitionierung und restriktive Firewall-Regeln durchgesetzt. Verschlüsselung, synthetische Datengenerierung oder robuste Datenmaskierung sind erforderlich, wann immer realistische Testdaten benötigt werden. Strenge rollenbasierte Zugriffskontrolle (RBAC) regelt den Zugang zu allen Testumgebungen. Zugriffe müssen protokolliert, auditierbar und einer vierteljährlichen Berechtigungsüberprüfung unterzogen werden, mit sofortigem Entzug von Zugriffsrechten nach Projektabschluss. Umgebungen müssen sichere Build-Baselines einhalten, einschließlich gehärteter Betriebssysteme, regelmäßig aktualisierter Software, Endpunktschutz und strikter Beschränkungen der Fernverwaltung. Aktive Überwachung und Ereignisprotokollierung sind entscheidend, um Richtlinienverstöße zu erkennen, z. B. Zugriffe aus nicht autorisierten IP-Bereichen oder die Nutzung nicht genehmigter Zugangsdaten. Backup-Praktiken müssen mit der Datenaufbewahrungsrichtlinie (P15) übereinstimmen und sicherstellen, dass die Aufbewahrung von Testdaten minimiert und ordnungsgemäß von Produktionszyklen getrennt wird. Ausnahmemanagement wird strikt gehandhabt: Anträge auf Abweichungen erfordern eine geschäftliche Begründung, die Angabe von Risikominderungsmaßnahmen und die ausdrückliche Genehmigung durch den CISO sowie – falls relevant – den Datenschutzbeauftragten und die Rechtsabteilung. Jede gewährte Ausnahme wird protokolliert, regelmäßig revalidiert und unterliegt einer verstärkten Überwachung sowie strengeren Kontrollen. Regelmäßige Überprüfungen und Audits durch das Informationssicherheitsteam, mit Input von QA, DevOps und weiteren Interessenträgern, stellen eine dauerhafte Compliance sicher, mit definierten Auslösern für eine außerplanmäßige Richtlinienbewertung nach erheblichen Vorfällen oder regulatorischen Änderungen. Eng verzahnt mit verwandten organisatorischen Richtlinien, einschließlich Änderungsmanagement (P5), Datenklassifizierung (P13), Datenaufbewahrung (P14), kryptografischen Kontrollen (P18), Protokollierungs- und Überwachungsrichtlinie (P22) und Incident-Response (P30), ist diese Richtlinie zudem an führenden Normen und Vorschriften ausgerichtet. Dazu zählen ISO/IEC 27001:2022, Anforderungen an sichere Testumgebungen und Daten (ISO/IEC 27002 Maßnahmen 8.28–8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), EU DSGVO (Artikel 5, 25, 32), EU NIS2, EU DORA und COBIT 2019. Verstöße können Disziplinarmaßnahmen, Vertragsbeendigung oder regulatorische Meldungen nach sich ziehen und unterstreichen die Kritikalität der Richtlinie für Sicherheit und Compliance.