Política de Dados de Teste e Ambiente de Teste - PME

A P29S – Política de Dados de Teste e Ambiente de Teste é uma política abrangente concebida para abordar a gestão segura de dados de teste e a separação adequada de ambientes de teste, particularmente para pequenas e médias empresas (PME). Esta política foi elaborada para garantir que a organização previne de forma consistente a exposição acidental de dados, a perturbação operacional e falhas de conformidade durante atividades de teste. De forma distintiva, a política tem em conta as realidades das PME ao atribuir a responsabilidade global ao Diretor-Geral (DG), em vez de funções especializadas de TI como SOC ou CISO, tornando-a prática e aplicável quando os recursos são limitados. A política aplica-se a toda a organização: todo o pessoal envolvido em testes de software e de sistemas, incluindo trabalhadores, freelancers, contratados, fornecedores e prestadores de serviços de TI, está sujeito às suas disposições. Os contextos abrangidos incluem testes funcionais ou de segurança manuais e automatizados, atualizações de sistemas, desenvolvimento de websites e aplicações e atividades de testes de integração. Os pilares centrais são a proibição absoluta de dados reais e identificáveis de clientes em ambientes de teste, salvo se anonimizados e aprovados pelo DG; a separação lógica e técnica imposta entre sistemas de teste e de produção; e medidas rigorosas para proteger os dados de teste contra acesso não autorizado ou acidental, reutilização ou divulgação. As funções de gestão estão claramente delimitadas. O Diretor-Geral autoriza todas as exceções, incluindo a utilização de dados reais em testes, e assegura documentação e conformidade completas. Os Proprietários do Projeto coordenam a conceção e validação do processo, assegurando a compreensão da equipa e a resposta a incidentes, enquanto os Desenvolvedores/Prestadores de serviços de TI implementam, mantêm e isolam os ambientes de teste, supervisionam a criação de dados de teste e reforçam os controlos do sistema. Os requisitos de governação proíbem a utilização de quaisquer dados pessoais em testes, salvo se anonimizados e explicitamente aprovados, e apenas após avaliação de riscos documentada, ao mesmo tempo que impõem boas práticas de retenção, armazenamento e eliminação segura para todos os dados de teste. A gestão de acessos é uma característica proeminente da política: o acesso é estritamente limitado, deve ser removido assim que os testes terminem, e as credenciais únicas para ambientes de teste não devem ser reutilizadas noutros contextos. As obrigações de registo de auditoria seguro e de revisão reduzem ainda mais o risco de violações de privacidade ou de segurança decorrentes de informação capturada durante os testes. A política detalha rastos de auditoria obrigatórios, revisões anuais, retenção de exceções e aprovações e verificações de conformidade, tudo supervisionado pelo DG, para suportar a prontidão para auditorias internas e externas. Os fluxos de notificação de incidentes estão incorporados, exigindo escalonamento e resposta imediatos perante qualquer compromisso ou exposição detetados. Adicionalmente, a P29S está explicitamente alinhada com as versões mais recentes da ISO/IEC 27001:2022 e ISO/IEC 27002:2022, artigos relevantes do RGPD, NIST SP 800-53 Rev. 5, UE NIS2, UE DORA e COBIT 2019. A política também faz referência cruzada e depende de outras políticas-chave para PME, incluindo Governação, Política de controlo de acesso, Formação de Sensibilização em Segurança da Informação, Política de Classificação e Tratamento da Informação, Políticas de proteção de dados, Desenvolvimento seguro e Política de Resposta a Incidentes (P30), para fornecer um quadro holístico de segurança e conformidade. Este documento é essencial para PME que procuram manter salvaguardas robustas de testes, simplificar auditorias e assegurar a adesão regulamentar sem funções de TI complexas.