Politika testnih podataka i testnog okruženja

Politika testnih podataka i testnog okruženja (P29) utvrđuje sveobuhvatne zahtjeve za sigurno, usklađeno upravljanje testnim podacima i neprodukcijskim okruženjima tijekom životnog ciklusa razvoja i testiranja softvera. Njezina je primarna svrha zaštititi povjerljivost, cjelovitost i operativnu sigurnost testnih podataka i okruženja, sprječavajući neovlašteni pristup, povredu podataka i rizik kontaminacije produkcijskih sustava zbog neadekvatno upravljanih aktivnosti testiranja. Ova politika ima širok opseg te se primjenjuje na sva okruženja, podatke, alate i procese koji se koriste u bilo kojoj vrsti testiranja, bilo funkcionalnom, regresijskom, izvedbenom ili sigurnosnom, i bez obzira provodi li se u vlastitim prostorijama, u oblaku ili putem platformi trećih strana. Svo osoblje uključeno u aktivnosti, uključujući interne korisnike, izvođače ili dobavljače, podliježe njezinim odredbama. Izričite kontrole zabranjuju uporabu produkcijskih, osjetljivih ili reguliranih osobnih podataka (kao što su PII ili podaci o karticama) osim ako su anonimizirani, pseudonimizirani ili posebno odobreni od strane glavnog službenika za informacijsku sigurnost (CISO) uz jasno obrazloženje i kompenzacijske kontrole. Dodatno, segmentacija mreže i razdvajanje pristupa između testnih i produkcijskih sustava obvezni su, uz provedbu putem odvojene autentifikacije, particioniranja mreže i ograničenih pravila vatrozida. Šifriranje, generiranje sintetičkih podataka ili robusno maskiranje podataka obvezni su kada su potrebni realistični testni podaci. Stroge kontrole pristupa na temelju uloga (RBAC) upravljaju pristupom svim testnim okruženjima. Pristup mora biti evidentiran, revizibilan i podložan tromjesečnim pregledima pristupa, uz trenutačno ukidanje pristupa nakon završetka projekta. Okruženja moraju slijediti polazne osnove sigurne izgradnje, uključujući otvrdnjavanje operacijskih sustava, redovito ažurirani softver, zaštitu krajnjih točaka i stroga ograničenja daljinske administracije. Automatizirani nadzor i revizijsko bilježenje ključni su za otkrivanje kršenja politike, kao što su pristup iz neovlaštenih IP raspona ili uporaba neodobrenih vjerodajnica. Prakse sigurnosnog kopiranja moraju biti usklađene s Politikom sigurnosnog kopiranja i vraćanja (P15), osiguravajući da je zadržavanje testnih podataka minimizirano i pravilno odvojeno od produkcijskih ciklusa. Upravljanje iznimkama provodi se strogo: zahtjevi za odstupanja moraju sadržavati poslovno obrazloženje, naznaku kontrole za ublažavanje rizika te izričito odobrenje od strane glavnog službenika za informacijsku sigurnost (CISO) i, ako je relevantno, službenika za zaštitu podataka i pravnog savjetnika. Svaka odobrena iznimka evidentira se, periodično se provodi godišnja ponovna validacija te podliježe pojačanom praćenju i strožim kontrolama. Redoviti pregledi i revizije od strane tima za informacijsku sigurnost, uz doprinos QA, DevOps-a i drugih dionika, osiguravaju trajnu usklađenost, uz definirane okidače za izvanrednu procjenu politike nakon značajnih incidenata ili regulatornih promjena. Tijesno integrirana s povezanim organizacijskim politikama, uključujući upravljanje promjenama (P5), klasifikaciju podataka (P13), Politiku zadržavanja podataka (P14), kriptografske kontrole (P18), Politiku bilježenja i praćenja (P22) i Politiku odgovora na incidente (P30), ova je politika također usklađena s vodećim standardima i propisima. To uključuje ISO/IEC 27001:2022, zahtjeve za sigurna testna okruženja i podatke (ISO/IEC 27002 kontrole 8.28–8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), EU GDPR (članci 5, 25, 32), EU NIS2, EU DORA i COBIT 2019. Kršenja mogu rezultirati disciplinskim mjerama, raskidom ugovora ili regulatornim izvješćivanjem, naglašavajući kritičnost politike za sigurnost i usklađenost.