Politika dwar id-Dejta tat-Test u l-Ambjent tat-Test

Il-Politika dwar id-Dejta tat-Test u l-Ambjent tat-Test (P29) tistabbilixxi rekwiżiti komprensivi għall-ġestjoni sigura u konformi tad-dejta tat-test u tal-ambjenti mhux ta’ produzzjoni matul iċ-ċiklu tal-ħajja tal-iżvilupp u l-ittestjar tas-softwer. L-għan primarju tagħha huwa li tipproteġi l-kunfidenzjalità, l-integrità, id-disponibbiltà u s-sigurtà operazzjonali kemm tad-dejta tat-test kif ukoll tal-ambjenti, billi tipprevjeni aċċess mhux awtorizzat, data leakage, u r-riskju ta’ kontaminazzjoni tas-sistemi ta’ produzzjoni minħabba attivitajiet ta’ ttestjar immaniġġjati ħażin. Din il-politika għandha kamp wiesa’, u tapplika għall-ambjenti, id-dejta, l-għodod u l-proċessi kollha użati fi kwalunkwe tip ta’ ttestjar, kemm jekk funzjonali, regression, prestazzjoni, jew sigurtà, u kemm jekk jitwettaq fuq il-post, fil-cloud, jew permezz ta’ pjattaformi ta’ partijiet terzi. Il-persunal kollu involut, inklużi utenti interni, kuntratturi, jew fornituri terzi, huwa soġġett għad-dispożizzjonijiet tagħha. Kontrolli espliċiti jipprojbixxu l-użu ta’ dejta live, sensittiva, jew dejta rregolata (bħal PII jew informazzjoni tal-cardholder) sakemm ma tkunx anonimizzata, pseudonymized, jew approvata speċifikament mill-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) b’ġustifikazzjoni ċara u kontrolli kumpensatorji fis-seħħ. Barra minn hekk, is-segmentazzjoni u l-iżolament tan-netwerk u s-segregazzjoni tal-aċċess bejn is-sistemi tat-test u l-ambjent ta’ produzzjoni huma obbligatorji, infurzati permezz ta’ awtentikazzjoni separata, partizzjoni tan-netwerk, u regoli tal-firewall ristretti. Iċċifrar, ġenerazzjoni ta’ dejta sintetika, jew masking robust tad-dejta huma meħtieġa kull meta tkun meħtieġa dejta tat-test realistika. Kontrolli rigorużi ta’ kontroll ta’ aċċess ibbażat fuq ir-rwoli (RBAC) jirregolaw id-dħul għall-ambjenti kollha tat-test. L-aċċess irid ikun illoggjat, awditabbli, u soġġett għal rieżamijiet perjodiċi tal-aċċess kull tliet xhur, b’revoka immedjata tal-aċċess wara t-tlestija tal-proġett. L-ambjenti jridu jaderixxu ma’ linji bażi ta’ build siguri, inklużi tisħiħ tal-apparat, sistemi operattivi hardened, softwer aġġornat regolarment, protezzjoni tal-endpoint, u restrizzjonijiet tekniċi qawwija fuq l-amministrazzjoni remota. Monitoraġġ attiv u audit logging huma kruċjali biex jinstabu ksur tal-politika, bħal aċċess minn firxiet ta’ IP mhux awtorizzati jew użu ta’ kredenzjali mhux approvati. Il-prattiki ta’ backup iridu jallinjaw mal-Backup and Restore Policy (P15), u jiżguraw li ż-żamma tal-logs u ż-żamma tad-dejta tat-test tkun minimizzata u segregata kif xieraq miċ-ċikli tal-produzzjoni. Il-ġestjoni tal-eċċezzjonijiet tiġi mmaniġġjata b’mod strett: talbiet għal devjazzjonijiet jeħtieġu ġustifikazzjoni tan-negozju, indikazzjoni ta’ kontrolli għall-mitigazzjoni tar-riskju, u approvazzjoni espliċita mill-CISO u, jekk rilevanti, mill-Uffiċjal Legali u ta’ Konformità. Kull eċċezzjoni mogħtija tiġi rreġistrata, revalidata kull sena, u soġġetta għal monitoraġġ imsaħħaħ u kontrolli aktar stretti. Reviżjonijiet u awditi regolari mit-Tim tas-Sigurtà tal-Informazzjoni, b’input minn QA, DevOps, u partijiet interessati oħra, jiżguraw konformità persistenti, b’attivaturi definiti għal valutazzjoni interim tal-politika wara inċidenti sinifikanti jew bidliet regolatorji. Integrata mill-qrib ma’ politiki organizzattivi relatati, inklużi Change Management (P5), Data Classification (P13), Data Retention (P14), Cryptographic Controls (P18), Logging and Monitoring (P22), u Incident Response (P30), din il-politika tallinja wkoll ma’ standards u regolamenti ewlenin. Dawn jinkludu ISO/IEC 27001:2022, rekwiżiti għal ambjenti tat-test u dejta siguri (ISO/IEC 27002 Controls 8.28-8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), EU GDPR (Articles 5, 25, 32), EU NIS2, EU DORA, u COBIT 2019. Ksur jista’ jwassal għal azzjonijiet dixxiplinarji, terminazzjoni tal-kuntratt, jew obbligi ta’ rappurtar regolatorju, u jenfasizza l-kritikalità tal-politika għas-sigurtà u l-konformità.