Politica sui dati di test e sugli ambienti di test

La Politica sui dati di test e sugli ambienti di test (P29) definisce requisiti completi per la gestione sicura e conforme dei dati di test e degli ambienti non di produzione lungo l’intero ciclo di vita di sviluppo e test del software. Il suo scopo principale è proteggere riservatezza, integrità e sicurezza operativa sia dei dati di test sia degli ambienti, prevenendo accesso non autorizzato, perdita di dati e il rischio di contaminare i sistemi di produzione a causa di attività di test gestite in modo improprio. Questa politica ha un ambito ampio e si applica a tutti gli ambienti, dati, strumenti e processi utilizzati in qualsiasi tipo di test, inclusi test funzionali, di regressione, di prestazioni o di sicurezza, e sia che vengano eseguiti in locale, nel cloud o tramite piattaforme di terze parti. Tutto il personale coinvolto, inclusi utenti interni, contraenti o fornitori terzi, è soggetto alle sue disposizioni. Controlli espliciti vietano l’uso di dati live, sensibili o regolamentati (ad esempio PII o informazioni del titolare della carta) salvo che siano anonimizzati, pseudonimizzati o specificamente approvati dal Responsabile della sicurezza delle informazioni (CISO) con giustificazione chiara e controlli compensativi in essere. Inoltre, la segmentazione di rete e la segregazione degli accessi tra sistemi di test e sistemi di produzione è obbligatoria, applicata tramite autenticazione separata, partizionamento della rete e politiche di regole del firewall con restrizioni. Cifratura, generazione di dati sintetici o un robusto mascheramento dei dati sono richiesti ogni volta che siano necessari dati di test realistici. Rigorosi controlli di controllo degli accessi basati sui ruoli (RBAC) governano l’accesso a tutti gli ambienti di test. Gli accessi devono essere registrati, auditabili e soggetti a riesame trimestrale, con revoca degli accessi immediata al completamento del progetto. Gli ambienti devono aderire a baseline di build sicure, inclusi hardening dei dispositivi, software aggiornato regolarmente, protezione degli endpoint e restrizioni rigorose sull’amministrazione remota. Monitoraggio attivo e registrazione degli eventi sono cruciali per rilevare violazioni della politica, come accesso da intervalli IP non autorizzati o uso di credenziali non approvate. Le pratiche di backup devono allinearsi alla Backup and Restore Policy (P15), garantendo che la conservazione dei dati di test sia minimizzata e correttamente segregata dai cicli di produzione. La gestione delle eccezioni è gestita in modo rigoroso: le richieste di deviazioni richiedono giustificazione aziendale, indicazione dei controlli di mitigazione del rischio e approvazione esplicita del CISO e, se pertinente, del Data Protection Officer e del consulente legale. Ogni eccezione concessa è registrata, periodicamente riconvalidata e soggetta a monitoraggio rafforzato e controlli più stringenti. Riesami e audit regolari da parte del Team di sicurezza delle informazioni, con contributi da QA, DevOps e altre parti interessate, garantiscono una conformità persistente, con trigger definiti per una valutazione intermedia della politica dopo incidenti significativi o cambiamenti normativi. Strettamente integrata con politiche organizzative correlate, tra cui Gestione delle modifiche (P5), Classificazione dei dati (P13), Politica di conservazione dei dati (P14), Controlli crittografici (P18), Politica di registrazione e monitoraggio (P22) e Politica di risposta agli incidenti (P30), questa politica è anche allineata a norme e regolamenti di riferimento. Tra questi: ISO/IEC 27001:2022, requisiti per ambienti e dati di test sicuri (ISO/IEC 27002 controlli 8.28-8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), GDPR UE (articoli 5, 25, 32), NIS2 UE, DORA UE e COBIT 2019. Le violazioni possono comportare misure disciplinari, risoluzione contrattuale o segnalazione normativa, evidenziando la criticità della politica per sicurezza e conformità.