今天,我们似乎每一周都会听到一个引人注目的黑客攻击或破坏客户数据的消息。作为客户,我们将信息传播到各种各样的应用程序中,我们相信这不会带来任何负面影响。然而,事实是,我们比以往任何时候都更加脆弱,黑客攻击的风险每天都在向我们表明。我们将情况合理化,认为,“他们必须有人保护我的信息,对吗?”
对-大部分情况下。
产品公司竭尽全力保护消费者数据。由于许多公司在生产中存储敏感的用户数据,这主要是安全措施的重点。但他们中的许多人忽视了在非生产区域保护数据的重要性。其中包括测试、开发和质量保证环境,这些环境通常用于导出生产数据。(点击推特!)拥有特权访问权限的用户或黑客可以进入这些环境并迅速造成严重破坏。
当您与新的QA合作伙伴开始软件测试外包时,您引入了风险。因为此外部合作伙伴可以访问您的所有环境,所以您需要确保它们是值得信赖的,拥有丰富的经验和良好的业绩记录,并能够展示其全套安全措施。
以下是任何合格的QA合作伙伴将采取的五个步骤,以确保您的应用程序和数据的安全。
1.制定严格的物理和逻辑保护
你的伴侣应该积极努力,尽可能降低风险。从纸质记录存储到最简单的数字传输,您的合作伙伴需要为所有内容提供行业标准的解决方案。常见的最佳做法包括:
- 将所有机密文件存放在可上锁的文件柜中,并存放在只有经批准的团队成员才能在需要了解的基础上访问的房间中。
- 使用防火墙、加密和强密码保护所有电子记录。
- 培训员工在离开工作站时锁定电脑,避免在公共区域讨论敏感信息,避免通过电子邮件传输任何可能被视为机密的信息。
- 仅在业务交易需要时获取高度敏感的用户信息(社会安全号码、银行账号、驾照号码)。
- 在销毁或回收任何硬盘驱动器之前,请将其清除干净。
2.确定数据类别并相应地划分优先级
优秀的QA合作伙伴认识到,并非所有的用户数据都是平等的,银行账号、社会安全号码、信用卡详细信息和个人身份号码等高度敏感的信息需要警惕地锁定。所有这些领域都被认为是有限的和结构化的,因为只有少数系统可以修改或更新它们。在这里学习金融领域测试的要点.
在这些区域得到保护后,可以处理非结构化信息,如合同、财务发布和客户通信。
3.了解业务、行业和竞争
当你四处寻找QA供应商时,良好的业绩记录、较高的客户保留率和多年的经验都是质量的良好指标。但你的供应商也必须愿意冒险,投入必要的时间和精力了解您的产品、业务和市场.
他们应该准备好学习并记录机密用户信息在整个组织中的流动情况——从营销和销售到产品和支持。此外,他们应熟悉市场中使用的最佳实践和竞争对手的方法。
4.遵守所有行业法规
为医疗保健或金融行业构建应用程序?您应确保您的合作伙伴为这些域执行以下最佳实践,包括:
- 满足行业合规性标准,如格拉姆-里奇-比利法案(GLBA)和PCI.
- 正确加密静止和传输中的数据,并提供全面备份。
- 执行3-2-1规则——在两种不同类型的介质上制作三份数据副本,其中一份存储在异地。
- 赋予数据控制器控制数据的权力,只允许在经证明需要知道的基础上访问数据。
- 为所有员工配备唯一标识符,如密码、密码、智能卡或其他令牌,只有他们才能使用该标识符访问敏感数据。
5.在所有接入点实施数据保护
目标是确保数据安全,无论数据存储在系统中的何处。制定以下保障措施将有助于减少每个接入点的漏洞。
- 限制下载和外部数据传输。使用安全的文件共享平台,如虚拟保险箱共享数据,而不是闪存驱动器、蓝牙连接或其他面向消费者的云共享服务。
- 保护设备,并培训员工确保其安全。安装并定期更新强大的防病毒软件、internet防火墙和安全套件。限制可以访问存储数据的特定区域的员工数量。
- 强制实施强密码策略并限制自动登录。您的QA合作伙伴应培训其工程师创建强密码并定期重置-不允许重复!网站上的自动登录功能也应该被禁用,只有有限的例外情况。
从事金融和医疗行业的产品公司的风险很高。一个小小的失误可能会导致数据泄露、客户不满、公关噩梦,并对您的声誉造成巨大打击。出于所有这些原因,与在您的特定行业拥有丰富经验和强大安全基础设施的QA合作伙伴合作是值得的。
寻找一种负担得起的安全测试方法?
要求免费,个人报价如下!
