Alla ricerca di rischi associati alla semina di QA o agli ambienti di test con i dati di produzione.
Oltre a un compromesso dell'ambiente di test che porta alla divulgazione di informazioni (peggiorato se si tratta di dati PHI), qualcuno può far luce su ulteriori rischi associati a questa pratica?
I rischi sono essenzialmente che hai un controllo molto minore su un ambiente di sviluppo / test, più persone avranno accesso a porzioni più grandi dei dati e saranno usati e pensati in un modo molto diverso. I dati dei test spesso devono essere inviati a terze parti, negli oceani o in altri luoghi in cui non si ha il controllo su di essi.
In sostanza, conta sui dati di test che escono dal database in un modo o nell'altro tramite screenshot, email, ecc. Questo non deve essere malizioso e in gran parte no. Per la maggior parte, saranno le persone a cercare di ottenere il loro lavoro.
Se i dati sono di natura sensibile come le cartelle cliniche, è necessario anonimizzare i dati in qualche modo, ma farlo comunque riflettere la produzione.
Un buon ambiente di test dovrebbe normalmente essere estremamente vicino (se non identico) al sistema di produzione, comprese tutte le misure di sicurezza pertinenti.
L'approccio migliore per ottenere dati di test è normalmente quello di definire casi di test che includano ogni singolo caso possibile, ma che a volte può rappresentare un lavoro enorme e quindi giustificare lo sviluppo di qualcosa che prenderà i dati di produzione e ne nasconderà la natura sensibile.
Alla fine, dipende davvero dalla sensibilità dei dati di produzione e dalla fiducia dei dipendenti. Ogni singola azienda darà accesso ai dati sensibili ai propri dipendenti, inclusi gli impiegati che spesso vedranno i dati delle carte di credito che sono piuttosto sensibili per natura.
Leggi altre domande sui tag disclosure