Política de Dados de Teste e de Ambiente de Teste

A Política de Dados de Teste e de Ambiente de Teste (P29) estabelece requisitos abrangentes para a gestão segura e em conformidade de dados de teste e ambientes não produtivos ao longo do ciclo de vida de desenvolvimento e testes de software. O seu objetivo principal é proteger a confidencialidade, a integridade e a segurança operacional tanto dos dados de teste como dos ambientes, prevenindo acesso não autorizado, violação de dados e o risco de contaminação de sistemas de produção devido a atividades de teste geridas de forma inadequada. Esta política tem um âmbito alargado, aplicando-se a todos os ambientes, dados, ferramentas e processos utilizados em qualquer tipo de teste, seja funcional, de regressão, de desempenho ou de segurança, e quer seja realizado nas instalações, na nuvem ou através de plataformas de terceiros. Todo o pessoal envolvido, incluindo utilizadores internos, contratados ou fornecedores, está sujeito às suas disposições. Controlos explícitos proíbem a utilização de dados reais, sensíveis ou dados regulamentados (como PII ou informação de titular de cartão) a menos que sejam anonimizados, pseudonimizados ou especificamente aprovados pelo Diretor de Segurança da Informação (CISO) com justificação clara e controlos compensatórios implementados. Além disso, a segmentação e o isolamento de rede e a segregação de acessos entre sistemas de teste e de produção são obrigatórios, aplicados através de autenticação separada, particionamento de rede e regras de firewall restritas. A cifragem, a geração de dados sintéticos ou um mascaramento de dados robusto são exigidos sempre que sejam necessários dados de teste realistas. Controlos rigorosos de controlo de acesso baseado em funções (RBAC) regem o acesso a todos os ambientes de teste. O acesso deve ser registado, auditável e sujeito a revisões periódicas de acesso trimestrais, com revogação imediata após a conclusão do projeto. Os ambientes devem cumprir linhas de base de controlos de construção segura, incluindo endurecimento de sistemas operativos, software atualizado regularmente, proteção de endpoint e restrições rigorosas à administração remota. A monitorização ativa e o registo de auditoria de eventos são cruciais para detetar violações da política, como acesso a partir de intervalos de IP não autorizados ou utilização de credenciais não aprovadas. As práticas de cópia de segurança devem estar alinhadas com a Política de Backup e Restore (P15), assegurando que a retenção de dados de teste é minimizada e devidamente segregada dos ciclos de produção. A Gestão de Exceções é tratada de forma estrita: pedidos de desvios exigem justificação de negócio, indicação de controlos de mitigação de riscos e aprovação explícita do CISO e, quando relevante, do Encarregado de Proteção de Dados e do Responsável Jurídico. Cada exceção concedida é registada, revalidada periodicamente e sujeita a monitorização e deteção de ameaças reforçadas e a controlos mais rigorosos. Revisões e auditorias regulares pela Equipa de Segurança da Informação, com contributos de QA, DevOps e outras partes interessadas, asseguram conformidade persistente, com desencadeadores definidos para avaliação intercalar da política após incidentes significativos ou alterações regulamentares. Fortemente integrada com políticas organizacionais relacionadas, incluindo Gestão de alterações (P5), Classificação de dados (P13), Política de Retenção de Dados (P14), Controlos criptográficos (P18), Política de Registo e Monitorização (P22) e Resposta a incidentes (P30), esta política também se alinha com normas e regulamentos de referência. Estes incluem ISO/IEC 27001:2022, requisitos para ambientes e dados de teste seguros (ISO/IEC 27002 Controlos 8.28-8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), RGPD da UE (Artigos 5, 25, 32), NIS2 da UE, DORA da UE e COBIT 2019. As violações podem resultar em medidas disciplinares, rescisão contratual ou reporte regulamentar, sublinhando a criticidade da política para segurança e conformidade.