De volgende richtlijnen MOETEN worden toegepast om operationele gegevens te beschermen die voor testdoeleinden worden gebruikt:
Gevoelige gegevens waaronder persoonsgegevens dienen te worden verwijderd of te worden gemaskeerd bij gebruik voor testen.
Informatieklasse 3: testgegevens uit productie anonimiseren of vertrouwelijkheid beveiligen
Informatieklasse 4: testgegevens uit productie anonimiseren of cryptografische maatregelen voor vertrouwelijkheid
Informatieklasse 5: testgegevens uit productie altijd anonimiseren
De toegangsbeveiligingsprocedures die worden toegepast op operationele omgevingen dienen ook te worden toegepast op testomgevingen.
Voor elke keer dat operationele gegevens naar een testomgeving worden gekopieerd, behoort een afzonderlijke autorisatie te worden verkregen.
Operationele gegevens behoren onmiddellijk na voltooiing van het testen uit de testomgeving te worden verwijderd.
Logbestanden van het kopiëren en gebruiken van operationele gegevens dienen te worden bijhouden om in een audittraject te voorzien.
Testgegevens moeten veilig worden opgeslagen (om manipulatie te voorkomen, die anders tot ongeldige resultaten kan leiden) en alleen voor testdoeleinden worden gebruikt.
