Testēšanas datu un testēšanas vides politika

Testēšanas datu un testēšanas vides politika (P29) nosaka visaptverošas prasības drošai, atbilstošai testēšanas datu un pirmsražošanas vides pārvaldībai visā programmatūras izstrādes un testēšanas dzīves ciklā. Tās galvenais mērķis ir aizsargāt testēšanas datu un vides konfidencialitāti, integritāti un operacionālo drošību, novēršot nesankcionētu piekļuvi, datu noplūdi un ražošanas sistēmu kontaminācijas risku nepietiekami pārvaldītu testēšanas darbību dēļ. Šai politikai ir plaša darbības joma, un tā attiecas uz visām vidēm, datiem, rīkiem un procesiem, kas tiek izmantoti jebkāda veida testēšanā — funkcionālajā, regresijas, veiktspējas vai drošības testēšanā — un neatkarīgi no tā, vai tā tiek veikta uz vietas, mākonī vai izmantojot trešo pušu platformas. Viss personāls, kas ir iesaistīts, tostarp iekšējie lietotāji, līgumslēdzēji vai piegādātāji, ir pakļauts tās prasībām. Skaidri kontroles pasākumi aizliedz izmantot reālus, sensitīvus vai reglamentētus personas datus (piemēram, PII vai karšu turētāju informāciju), ja vien tie nav anonimizēti, pseidonimizēti vai tos nav īpaši apstiprinājis Galvenais informācijas drošības vadītājs (CISO) ar skaidru pamatojumu un kompensējošajām kontrolēm. Turklāt tīkla un piekļuves nodalīšana starp testēšanas un ražošanas sistēmām ir obligāta, un tā tiek īstenota ar atsevišķu autentifikāciju, tīkla segmentēšanu un izolāciju un ierobežotiem ugunsmūra noteikumiem. Šifrēšana, sintētisko datu ģenerēšana vai robusta datu maskēšana ir obligāta, ja ir nepieciešami reālistiski testēšanas dati. Stingra lomu balstīta piekļuves kontrole regulē piekļuvi visām testēšanas vidēm. Piekļuve ir jāžurnālfiksē, jānodrošina auditējamība un jāveic piekļuves tiesību periodiska pārskatīšana reizi ceturksnī, ar tūlītēju piekļuves tiesību atsaukšanu pēc projekta pabeigšanas. Vides ir jāatbilst drošām būvējuma bāzlīnijām, tostarp ierīču cietināšanai, regulāriem programmatūras atjauninājumiem, galapunktu aizsardzībai un stingriem ierobežojumiem attālinātai administrēšanai. Aktīva uzraudzība un audita žurnālu veidošana ir būtiska, lai atklātu politikas pārkāpumus, piemēram, piekļuvi no nesankcionētiem IP diapazoniem vai neapstiprinātu akreditācijas datu izmantošanu. Rezerves kopiju praksei jāatbilst rezerves kopiju sistēmas un rezerves kopiju validācijas prasībām saskaņā ar Backup and Restore Policy (P15), nodrošinot, ka testēšanas datu glabāšana tiek minimizēta un pienācīgi nodalīta no ražošanas cikliem. Izņēmumu pārvaldība tiek īstenota stingri: noviržu pieprasījumiem ir nepieciešams biznesa pamatojums, norāde par riska mazināšanas kontrolmehānismiem un skaidrs apstiprinājums no Galvenā informācijas drošības vadītāja (CISO) un, ja attiecināms, no datu aizsardzības speciālista un juridiskā un atbilstības speciālista. Katrs piešķirtais izņēmums tiek reģistrēts, periodiski tiek veikta ikgadējā atkārtotā validācija un piemērota pastiprināta uzraudzība un stingrākas kontroles. Regulāras pārskatīšanas un auditi, ko veic Informācijas drošības komanda, ar QA, DevOps un citu ieinteresēto pušu iesaisti, nodrošina nepārtrauktu atbilstību, ar definētiem trigeriem starpposma politikas novērtēšanai pēc būtiskiem incidentiem vai normatīvo prasību izmaiņām. Cieši integrēta ar saistītajām organizācijas politikām, tostarp Izmaiņu pārvaldība (P5), Datu klasifikācija (P13), Datu uzglabāšanas politika (P14), Kriptogrāfija (P18), Žurnālfiksēšanas un uzraudzības politika (P22) un Incidentu reaģēšana (P30), šī politika ir saskaņota arī ar vadošajiem standartiem un regulējumiem. Tie ietver ISO/IEC 27001:2022, prasības drošām testēšanas vidēm un datiem (ISO/IEC 27002 kontroles 8.28–8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), ES GDPR (5., 25., 32. pants), ES NIS2, ES DORA un COBIT 2019. Pārkāpumi var izraisīt disciplinārus pasākumus, līguma izbeigšanu vai regulatīvo ziņošanu, uzsverot politikas kritiskumu drošībai un atbilstībai.