Polityka danych testowych i środowiska testowego

Polityka danych testowych i środowiska testowego (P29) określa kompleksowe wymagania dotyczące bezpiecznego, zgodnego zarządzania danymi testowymi i środowiskami nieprodukcyjnymi w całym cyklu życia rozwoju i testowania oprogramowania. Jej głównym celem jest ochrona poufności, integralności i dostępności (CIA) oraz bezpieczeństwa operacyjnego zarówno danych testowych, jak i środowisk, a także zapobieganie nieuprawnionemu dostępowi, wyciekom danych oraz ryzyku kontaminacji systemów produkcyjnych wskutek niewłaściwie zarządzanych działań testowych. Polityka ma szeroki zakres i obejmuje wszystkie środowiska, dane, narzędzia i procesy wykorzystywane w dowolnym rodzaju testów — funkcjonalnych, regresyjnych, wydajnościowych lub testach bezpieczeństwa — oraz niezależnie od tego, czy są realizowane w infrastrukturze lokalnej, w chmurze obliczeniowej, czy za pośrednictwem platform stron trzecich. Cały personel zaangażowany w testowanie, w tym użytkownicy wewnętrzni, wykonawcy lub zewnętrzni dostawcy, podlega jej postanowieniom. Jawne środki kontrolne zabraniają użycia danych produkcyjnych, wrażliwych lub danych regulowanych, w tym danych osobowych, chyba że zostaną zanonimizowane, pseudonimizowane lub zostaną wyraźnie zatwierdzone przez Dyrektora ds. bezpieczeństwa informacji (CISO) wraz z jednoznacznym uzasadnieniem i zastosowaniem kontroli kompensacyjnych. Dodatkowo segmentacja sieci oraz rozdzielenie dostępu między systemami testowymi i produkcyjnymi są obowiązkowe i egzekwowane poprzez odrębne uwierzytelnianie, partycjonowanie sieci oraz ograniczone reguły zapory sieciowej. Szyfrowanie, generowanie danych syntetycznych lub solidne maskowanie danych są wymagane zawsze, gdy potrzebne są realistyczne dane testowe. Rygorystyczna kontrola dostępu oparta na rolach (RBAC) reguluje dostęp do wszystkich środowisk testowych. Dostęp musi być rejestrowany, audytowalny i podlegać kwartalnym przeglądom dostępu, z natychmiastowym cofnięciem uprawnień dostępu po zakończeniu projektu. Środowiska muszą spełniać bazowy zestaw środków kontrolnych bezpiecznego budowania, w tym utwardzanie urządzeń, regularnie aktualizowane oprogramowanie, ochronę punktów końcowych oraz daleko idące ograniczenia administracji zdalnej. Aktywne monitorowanie oraz rejestrowanie zdarzeń są kluczowe do wykrywania naruszeń polityki, takich jak dostęp z nieautoryzowanych zakresów IP lub użycie niezatwierdzonych poświadczeń. Praktyki kopii zapasowych muszą być zgodne z Polityką retencji danych, zapewniając minimalizację retencji danych testowych oraz właściwe rozdzielenie od cykli produkcyjnych. Zarządzanie wyjątkami jest prowadzone rygorystycznie: wnioski o odstępstwa wymagają uzasadnienia biznesowego, wskazania środków kontroli ograniczających ryzyko oraz wyraźnej akceptacji przez Dyrektora ds. bezpieczeństwa informacji (CISO) oraz — jeśli dotyczy — Inspektora Ochrony Danych i doradcy prawnego. Każde przyznane odstępstwo jest rejestrowane, okresowo poddawane corocznej ponownej walidacji oraz objęte wzmożonym monitorowaniem i surowszymi środkami kontrolnymi. Regularne przeglądy i audyty prowadzone przez zespół ds. bezpieczeństwa informacji, z udziałem QA, DevOps i innych interesariuszy, zapewniają stałą zgodność, wraz z określonymi wyzwalaczami przeglądu polityki po istotnych incydentach lub zmianach regulacyjnych. Ściśle zintegrowana z powiązanymi politykami organizacyjnymi, w tym zarządzaniem zmianami (P5), Klasyfikacją danych (P13), Polityką retencji danych (P14), Kryptografią (P18), Polityką rejestrowania i monitorowania (P22) oraz Reagowaniem na incydenty (P30), polityka ta jest również zgodna z wiodącymi normami i regulacjami. Obejmują one ISO/IEC 27001:2022, wymagania dotyczące bezpiecznych środowisk testowych i danych (ISO/IEC 27002, środki kontrolne 8.28–8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), EU GDPR (artykuły 5, 25, 32), EU NIS2, EU DORA oraz COBIT 2019. Naruszenia mogą skutkować środkami dyscyplinarnymi, rozwiązaniem umowy lub obowiązkami sprawozdawczymi, co podkreśla krytyczność tej polityki dla bezpieczeństwa i zgodności.