Política de datos de prueba y entornos de prueba

La Política de datos de prueba y entornos de prueba (P29) establece requisitos integrales para la gestión segura y conforme de los datos de prueba y los entornos no productivos a lo largo del ciclo de vida del desarrollo y las pruebas de software. Su propósito principal es proteger la confidencialidad, la integridad y la seguridad operativa tanto de los datos de prueba como de los entornos, evitando el acceso no autorizado, la fuga de datos y el riesgo de contaminar los sistemas de producción debido a actividades de prueba gestionadas de forma inadecuada. Esta política tiene un alcance amplio y se aplica a todos los entornos, datos, herramientas y procesos utilizados en cualquier tipo de prueba, ya sea funcional, de regresión, de rendimiento o de seguridad, y tanto si se realiza en las instalaciones, en la nube o mediante plataformas de terceros. Todo el personal implicado, incluidos usuarios internos, contratistas o proveedores terceros, está sujeto a sus disposiciones. Los controles explícitos prohíben el uso de datos en vivo, sensibles o regulados (como PII o información de titulares de tarjeta) salvo que estén anonimizados, seudonimizados o aprobados específicamente por el Director de Seguridad de la Información (CISO) con una justificación clara y controles compensatorios implementados. Además, la segmentación de red y la segregación de accesos entre los sistemas de prueba y de producción es obligatoria, aplicada mediante autenticación separada, particionamiento de red y políticas de reglas de cortafuegos restringidas. El cifrado, la generación de datos sintéticos o un enmascaramiento de datos robusto son obligatorios siempre que se necesiten datos de prueba realistas. Un control de acceso basado en roles (RBAC) riguroso gobierna el acceso a todos los entornos de prueba. El acceso debe registrarse, ser auditable y estar sujeto a revisión trimestral, con revocación inmediata de acceso tras la finalización del proyecto. Los entornos deben adherirse a líneas base de compilación segura, incluidos sistemas operativos bastionados, software actualizado regularmente, protección de endpoints y restricciones estrictas sobre la administración remota. La monitorización activa y el registro de auditoría son cruciales para detectar incumplimientos de la política, como accesos desde rangos de IP no autorizados o el uso de credenciales no aprobadas. Las prácticas de respaldo deben alinearse con la Política de copia de seguridad y restauración (P15), garantizando que la conservación de los datos de prueba se minimice y se segregue adecuadamente de los ciclos de producción. La gestión de excepciones se gestiona de forma estricta: las solicitudes de desviación requieren justificación empresarial, indicación de controles de mitigación de riesgos y aprobación explícita del Director de Seguridad de la Información (CISO) y, si procede, del Delegado de Protección de Datos y del Responsable Jurídico. Cada excepción concedida se registra, se revalida periódicamente y está sujeta a una monitorización reforzada y controles más estrictos. Las revisiones y auditorías periódicas por parte del Equipo de seguridad de la información, con aportaciones de QA, DevOps y otras partes interesadas, garantizan el cumplimiento continuo, con desencadenantes definidos para una evaluación intermedia de la política tras incidentes significativos o cambios normativos. En estrecha integración con políticas organizativas relacionadas, incluidas Gestión de cambios (P5), Clasificación de datos (P13), Política de conservación de datos (P14), Controles criptográficos (P18), Política de registro y monitorización (P22) y Política de respuesta a incidentes (P30), esta política también se alinea con normas y regulaciones líderes. Entre ellas se incluyen ISO/IEC 27001:2022, requisitos para entornos y datos de prueba seguros (Controles ISO/IEC 27002 8.28-8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), RGPD de la UE (artículos 5, 25, 32), NIS2 de la UE, DORA de la UE y COBIT 2019. Las infracciones pueden dar lugar a medidas disciplinarias, rescisión contractual u obligaciones de notificación reglamentarias, lo que subraya la criticidad de la política para la seguridad y el cumplimiento.