Buscando riesgos asociados con la siembra de QA o Pruebas de entornos con datos de producción.
Además del compromiso del entorno de prueba que lleva a la divulgación de información (que empeora si los datos son PHI), ¿alguien puede aclarar los riesgos adicionales asociados con esta práctica?
Los riesgos consisten esencialmente en que usted tiene mucho menos control sobre un entorno de desarrollo / prueba, más personas tendrán acceso a grandes porciones de los datos, y serán utilizados y pensados de una manera muy diferente. Los datos de prueba a menudo deben enviarse a terceros, a través de océanos u otros lugares donde no tenga control sobre ellos.
Esencialmente, cuente con que sus datos de prueba salgan de la base de datos de una forma u otra a través de capturas de pantalla, correo electrónico, etc. Esto no tiene que ser malicioso y en gran medida no lo es. En su mayor parte, será gente simplemente tratando de hacer su trabajo.
Si los datos son de naturaleza sensible como los registros médicos, debe anonimizar los datos de alguna manera, pero aún así debe reflejar la producción.
Un buen entorno de prueba normalmente debería ser extremadamente cercano (si no es idéntico) al sistema de producción, incluidas todas las medidas de seguridad relevantes.
El mejor enfoque para obtener datos de prueba es normalmente definir casos de prueba que incluyan cada caso posible, pero que a veces puede representar un gran trabajo, y así justificar el desarrollo de algo que tomará datos de producción y ocultará su naturaleza sensible.
Al final, realmente depende de cuán sensibles sean realmente los datos de producción y si puede confiarles a sus empleados. Todas las empresas darán acceso a datos confidenciales a sus empleados, incluidos los empleados que a menudo verán los datos de las tarjetas de crédito, que son bastante sensibles por naturaleza.
Lea otras preguntas en las etiquetas disclosure