Politica privind datele de test și mediul de testare

Politica privind datele de test și mediul de testare (P29) stabilește cerințe cuprinzătoare pentru gestionarea securizată și conformă a datelor de test și a mediilor non-producție pe parcursul ciclului de viață al dezvoltării și testării software. Scopul său principal este de a proteja confidențialitatea, integritatea și securitatea operațională atât a datelor de test, cât și a mediilor, prevenind accesul neautorizat, scurgerile de date și riscul de contaminare a sistemelor din mediul de producție din cauza activităților de testare gestionate necorespunzător. Această politică are un domeniu de aplicare larg, aplicându-se tuturor mediilor, datelor, instrumentelor și proceselor utilizate în orice tip de testare, fie funcțională, de regresie, de performanță sau de securitate, și indiferent dacă este efectuată la sediu, în cloud sau prin platforme terțe. Întregul personal implicat, inclusiv utilizatori interni, contractanți sau furnizori terți, este supus prevederilor sale. Controalele explicite interzic utilizarea datelor live, sensibile sau reglementate cu caracter personal (de exemplu, PII sau informații ale deținătorilor de carduri) dacă nu sunt anonimizate, pseudonimizate sau aprobate în mod specific de Ofițerul-șef pentru securitatea informațiilor (CISO), cu justificare clară și controale compensatorii implementate. În plus, segmentarea rețelei și segregarea accesului între sistemele de testare și cele din mediul de producție este obligatorie, aplicată prin autentificare separată, partiționarea rețelei și politici restrictive de reguli de firewall. Criptarea, generarea de date sintetice sau mascarea robustă a datelor sunt necesare ori de câte ori sunt necesare date de test realiste. Controale riguroase de control al accesului bazat pe roluri (RBAC) guvernează accesul la toate mediile de testare. Accesul trebuie să fie jurnalizat, auditabil și supus revizuirii trimestriale, cu revocarea accesului imediată după finalizarea proiectului. Mediile trebuie să respecte baze de referință de build securizat, inclusiv hardeningul sistemelor de operare, software actualizat regulat, protecția punctelor terminale și restricții stricte privind administrarea la distanță. Monitorizarea activă și jurnalizarea de audit sunt esențiale pentru a detecta încălcări ale politicii, cum ar fi accesul din intervale IP neautorizate sau utilizarea de credențiale neaprobate. Practicile de backup trebuie să se alinieze cu Politica de backup și restaurare (P15), asigurând că păstrarea datelor de test este minimizată și segregată corespunzător de ciclurile de producție. Gestionarea excepțiilor este tratată strict: solicitările de abateri necesită justificare de afaceri, indicarea controalelor de atenuare a riscurilor și aprobare explicită de către CISO și, dacă este relevant, de către Responsabilul cu protecția datelor și Consilierul juridic. Fiecare excepție acordată este înregistrată, revalidată periodic și supusă unei monitorizări intensificate și unor controale mai stricte. Revizuiri și audituri regulate de către echipa de securitate a informațiilor, cu contribuții din partea QA, DevOps și a altor părți interesate, asigură conformitate persistentă, cu declanșatoare definite pentru evaluarea intermediară a politicii după incidente semnificative sau modificări de reglementare. Strâns integrată cu politici organizaționale conexe, inclusiv managementul schimbărilor (P5), clasificarea datelor (P13), păstrarea datelor (P14), controale criptografice (P18), Politica de jurnalizare și monitorizare (P22) și Politica de răspuns la incidente (P30), această politică se aliniază și cu standarde și reglementări de referință. Acestea includ ISO/IEC 27001:2022, cerințe pentru medii și date de test securizate (ISO/IEC 27002, controale 8.28-8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), EU GDPR (articolele 5, 25, 32), EU NIS2, EU DORA și COBIT 2019. Încălcările pot conduce la măsuri disciplinare, încetarea contractului sau raportare către autorități, subliniind caracterul critic al politicii pentru securitate și conformitate.