Politika testovacích údajov a testovacieho prostredia

Politika testovacích údajov a testovacieho prostredia (P29) stanovuje komplexné požiadavky na bezpečné a súladné riadenie testovacích údajov a neprodukčných prostredí počas životného cyklu vývoja a testovania softvéru. Jej primárnym účelom je chrániť dôvernosť, integritu, dostupnosť a prevádzkovú bezpečnosť testovacích údajov aj prostredí, predchádzať neoprávnenému prístupu, úniku údajov a riziku kontaminácie produkčných systémov v dôsledku nesprávne riadených testovacích aktivít. Táto politika má široký rozsah a vzťahuje sa na všetky prostredia, údaje, nástroje a procesy používané pri akomkoľvek type testovania – funkčnom, regresnom, výkonnostnom alebo bezpečnostnom – a to vo vlastných priestoroch, v cloude alebo prostredníctvom platforiem tretích strán. Všetok personál, vrátane interných používateľov, dodávateľov alebo dodávateľov, podlieha jej ustanoveniam. Výslovné kontroly zakazujú používanie produkčných, citlivých alebo regulovaných osobných údajov (napr. PII alebo údaje držiteľa karty), pokiaľ nie sú anonymizované, pseudonymizované alebo osobitne schválené riaditeľom informačnej bezpečnosti (CISO) s jasným odôvodnením a zavedenými kompenzačnými kontrolami. Okrem toho je povinná sieťová a prístupová segmentácia medzi testovacími a produkčnými systémami, vynucovaná oddelenou autentifikáciou, segmentáciou siete a obmedzenými pravidlami firewallu. Šifrovanie, generovanie syntetických údajov alebo robustné maskovanie údajov sa vyžaduje vždy, keď sú potrebné realistické testovacie údaje. Prísne riadenie prístupu na základe rolí (RBAC) riadi vstup do všetkých testovacích prostredí. Prístup musí byť auditne logovaný, auditovateľný a podliehať štvrťročnej revízii prístupových práv, s okamžitým odoberaním prístupových práv po ukončení projektu. Prostredia musia dodržiavať bezpečné základné zostavy, vrátane hardeningu zariadení, pravidelne aktualizovaného softvéru, ochrany koncových bodov a výrazných obmedzení vzdialenej správy. Automatizované monitorovanie a event logovanie sú kľúčové na detekciu porušení politiky, ako je prístup z neoprávnených rozsahov IP alebo použitie neschválených poverení. Postupy zálohovania musia byť zosúladené s politikou zálohovania a obnovy (P15), pričom sa zabezpečí, že uchovávanie testovacích údajov je minimalizované a riadne oddelené od produkčných cyklov. Riadenie výnimiek sa vykonáva striktne: žiadosti o odchýlky vyžadujú obchodné odôvodnenie, uvedenie zmierňujúcich kontrol a výslovné schválenie CISO a, ak je to relevantné, zodpovednou osobou pre ochranu údajov a právnym poradcom. Každá udelená výnimka sa zaznamená, pravidelne ročne revaliduje a podlieha zvýšenému monitorovaniu a prísnejším kontrolám. Pravidelné preskúmania a audity tímu informačnej bezpečnosti, so vstupom od QA, DevOps a ďalších zainteresovaných strán, zabezpečujú trvalý súlad, s definovanými spúšťačmi pre priebežné posúdenie politiky po významných incidentoch alebo regulačných zmenách. Táto politika je úzko integrovaná so súvisiacimi organizačnými politikami vrátane riadenia zmien (P5), klasifikácie údajov (P13), politiky uchovávania údajov (P14), kryptografie (P18), politiky zaznamenávania a monitorovania (P22) a politiky reakcie na incidenty (P30) a je zosúladená s vedúcimi normami a predpismi. Patria sem ISO/IEC 27001:2022, požiadavky na bezpečné testovacie prostredia a údaje (ISO/IEC 27002, kontroly 8.28–8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), GDPR EÚ (články 5, 25, 32), NIS2 EÚ, DORA EÚ a COBIT 2019. Porušenia môžu viesť k disciplinárnym opatreniam, ukončeniu zmluvy alebo regulačnému oznamovaniu, čo zdôrazňuje kritickosť tejto politiky pre bezpečnosť a súlad.