Policy för testdata och testmiljö

Policy för testdata och testmiljö (P29) fastställer omfattande krav för säker och regelefterlevande hantering av testdata och icke-produktionsmiljöer genom hela livscykeln för utveckling och testning av programvara. Det primära syftet är att skydda konfidentialitet, riktighet och operativ säkerhet för både testdata och miljöer, samt att förhindra obehörig åtkomst, dataläckage och risken för kontaminering av produktionssystem på grund av bristfälligt hanterade testaktiviteter. Denna policy har ett brett tillämpningsområde och gäller alla miljöer, data, verktyg och processer som används i någon form av testning, oavsett om det är funktionell testning, regressionstestning, prestandatestning eller säkerhetstestning, och oavsett om den utförs lokalt (på plats), i moln eller via tredjepartstjänsteleverantörer. All personal som deltar, inklusive interna användare, uppdragstagare eller leverantörer, omfattas av kraven. Uttryckliga kontroller förbjuder användning av produktionsdata, känsliga data eller reglerade personuppgifter (t.ex. PII eller kortinnehavaruppgifter) om de inte anonymiseras, pseudonymiseras eller särskilt godkänns av informationssäkerhetschef (CISO) med tydlig motivering och kompenserande kontroller på plats. Dessutom är nätverkssegmentering och åtkomstkontroll mellan test- och produktionssystem obligatorisk, genom separata autentiseringsmekanismer, nätverkspartitionering och begränsade brandväggsregler. Kryptering, syntetisk datagenerering eller robust datamaskning krävs när realistiska testdata behövs. Strikt rollbaserad åtkomstkontroll (RBAC) styr åtkomst till alla testmiljöer. Åtkomst ska vara revisionsloggad, revisionsbar och föremål för kvartalsvisa åtkomstgranskningar, med omedelbar behörighetsindragning efter projektavslut. Miljöer ska följa säkra byggbaslinjer, inklusive enhetshärdning, regelbundet uppdaterad programvara, slutpunktsskydd och kraftiga begränsningar av fjärråtkomst för administration. Aktiv övervakning och revisionsloggning är avgörande för att upptäcka policyöverträdelser, såsom åtkomst från otillåtna IP-intervall eller användning av icke-godkända autentiseringsuppgifter. Säkerhetskopieringspraxis ska vara i linje med Backup and Restore Policy (P15), vilket säkerställer att lagring av testdata minimeras och hålls korrekt separerad från produktionscykler. Hantering av undantag sker strikt: begäran om avvikelser kräver affärsmässig motivering, angivande av riskreducerande kontroller och uttryckligt godkännande av informationssäkerhetschef (CISO) och, vid behov, HR och juridik samt dataskyddsombud. Varje beviljat undantag loggas, årlig revalidering genomförs och undantaget omfattas av förhöjd övervakning och striktare kontroller. Regelbundna granskningar och revisioner av informationssäkerhetsteamet, med input från QA, DevOps och andra intressenter, säkerställer varaktig regelefterlevnad, med definierade utlösare för interimistisk policyöversyn efter betydande incidenter eller regulatoriska förändringar. Tätt integrerad med relaterade organisatoriska policyer, inklusive Ändringshantering (P5), Dataklassificering (P13), Datalagringspolicy (P14), Kryptografi (P18), Loggnings- och övervakningspolicy (P22) och Policy för incidenthantering (P30), är denna policy även anpassad till ledande standarder och regelverk. Dessa inkluderar ISO/IEC 27001:2022, krav för säkra testmiljöer och data (ISO/IEC 27002 kontroller 8.28–8.29), NIST SP 800-53 (SA-11, SC-28, SC-32), EU GDPR (artiklarna 5, 25, 32), EU NIS2, EU DORA och COBIT 2019. Överträdelser kan leda till disciplinära åtgärder, uppsägning av avtal eller regulatorisk rapportering, vilket understryker policyens kritiska betydelse för säkerhet och regelefterlevnad.