Beleid inzake testgegevens en testomgevingen

Het Beleid inzake testgegevens en testomgevingen (P29) stelt uitgebreide eisen vast voor het veilige, conforme beheer van testgegevens en niet-productieomgevingen gedurende de levenscycli van systeemontwikkeling en testen. Het primaire doel is het beschermen van de vertrouwelijkheid, integriteit en operationele beveiliging van zowel testgegevens als omgevingen, door ongeautoriseerde toegang, datalekken en het risico op besmetting van productiesystemen als gevolg van onjuist beheerde testactiviteiten te voorkomen. Dit beleid heeft een brede reikwijdte en is van toepassing op alle omgevingen, gegevens, tools en processen die worden gebruikt bij elke vorm van testen, zoals functioneel, regressie-, performance- of beveiligingstesten, en ongeacht of dit on-premises, in de cloud of via platforms van derden wordt uitgevoerd. Al het personeel dat betrokken is, inclusief interne gebruikers, contractanten of leveranciers, valt onder de bepalingen. Expliciete beheersmaatregelen verbieden het gebruik van live, gevoelige of gereguleerde persoonsgegevens (zoals PII of kaarthouderinformatie), tenzij deze zijn geanonimiseerd, gepseudonimiseerd of specifiek zijn goedgekeurd door de Chief Information Security Officer (CISO) met een duidelijke onderbouwing en met compenserende maatregelen. Daarnaast is netwerk- en toegangssegmentatie tussen test- en productiesystemen verplicht, afgedwongen via afzonderlijke authenticatie, netwerkpartitionering en beperkte firewallregels. Encryptie, synthetische gegevensgeneratie of robuuste gegevensmaskering is vereist wanneer realistische testgegevens nodig zijn. Strikte rolgebaseerde toegangscontrole (RBAC) beheerst toegang tot alle testomgevingen. Toegang moet worden gelogd, auditeerbaar zijn en onderworpen zijn aan een kwartaalbeoordeling, met onmiddellijke intrekking van toegangsrechten na afronding van het project. Omgevingen moeten voldoen aan beveiligde build-baselines, waaronder geharde besturingssystemen, regelmatig bijgewerkte software, endpointbescherming en strikte beperkingen op beheer op afstand. Actieve monitoring en eventlogging zijn cruciaal om beleidsinbreuken te detecteren, zoals toegang vanaf ongeautoriseerde IP-bereiken of het gebruik van niet-goedgekeurde inloggegevens. Back-uppraktijken moeten aansluiten op het Gegevensbewaringsbeleid (P15), waarbij de bewaring van testgegevens wordt geminimaliseerd en correct wordt gescheiden van productiecycli. Uitzonderingsbeheer wordt strikt uitgevoerd: verzoeken om afwijkingen vereisen een zakelijke onderbouwing, een indicatie van risicobeperkende beheersmaatregelen en expliciete goedkeuring door de CISO en, indien relevant, de Functionaris voor gegevensbescherming en juridisch adviseur. Elke toegekende uitzondering wordt vastgelegd, periodiek jaarlijks hernieuwd gevalideerd en onderworpen aan verhoogde monitoring en strengere beheersmaatregelen. Regelmatige beoordelingen en audits door het Team Informatiebeveiliging, met input van QA, DevOps en andere belanghebbenden, waarborgen blijvende naleving, met gedefinieerde triggers voor tussentijdse beleidsbeoordeling na significante incidenten of regelgevende wijzigingen. Nauw geïntegreerd met gerelateerde organisatiebeleidslijnen, waaronder Wijzigingsbeheer (P5), Gegevensclassificatie (P13), Gegevensbewaringsbeleid (P14), cryptografie (P18), Logging- en monitoringbeleid (P22) en Incidentresponsbeleid (P30), sluit dit beleid ook aan op toonaangevende normen en regelgeving. Dit omvat ISO/IEC 27001:2022, eisen voor veilige testomgevingen en gegevens (ISO/IEC 27002 Beheersmaatregelen 8.28-8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), EU GDPR (artikelen 5, 25, 32), EU NIS2, EU DORA en COBIT 2019. Overtredingen kunnen leiden tot disciplinaire maatregelen, beëindiging van contracten of regelgevende rapportage, wat het kritieke belang van dit beleid voor beveiliging en naleving onderstreept.