Testdagen ODIN 25. September 2013 Petter Størseth og Kristian Berg 2 1
Kort om EVRY EVRY er tuftet på fusjonen av Norges to største IT-selskaper EDB og ErgoGroup. Posten Norge og Telenor er største eiere EVRY er Norges største IT-tjenesteselskap og har over 10 000 ansatte Leverer IT-tjenester til om lag 14 000 kunder i offentlig sektor og privat næringsliv Daglig brukes EVRYs tjenester av mer enn 1 million nordmenn, når man: o mottar en hentelapp fra Posten via SMS blir kredittvurdert eller noen gjør et oppslag i Folkeregisteret passerer en bomring elektronisk sporing av mat skal finne et telefonnummer og ringe noen henter eresepten på et hvilket som helst apotek mottar skatteoppgjøret fra Skatteetaten søker barnehageplass gjør et oppslag i motorvognregisteret bruker nett, kort eller mobile banktjenester elektronisk signatur i nettbanken 3 4 2
Bakgrunn og behov Personell som utfører sine oppgaver i utviklings- og testmiljø har ikke nødvendigvis sikkerhetsklarering for å kunne jobbe med den sensitive informasjonen som ligger i produksjonsdata Global Leveransemodell o Utviklere og testere i Ukraina og India Payment Card Industry Data Security Standard o Beskytte all kortholderinformasjon o Kravsett som finansinstitusjonen må tilfredsstille o Kravsett som må tilfredsstilles av en Service Provider, driftere av systemer som inneholder kortholderinformasjon 5 6 3
Forutsetninger og problemstillinger Our data is not suitable for anonymization because the real information is needed in some of the test databases Begrenset antall leverandører og produkter i markedet o Ingen produkter som dekket alle våre behov Benytte maskerte produksjonsdata til testing o Fremfor generering av fiktive testdata o Gir mer reelle tester og mulighet for å fange opp spesielle sammenhenger i data Statisk datamaskering SDM o Valgt fremfor Dynamisk datamaskering (DDM) siden vi ønsket komplette, maskerte testmiljø. DDM har et begrenset benyttelsesområde, i hovedsak for datavarehus. o Eksport fra produksjonsdatabaser som maskeres før de importeres i testmiljø o Utfordrende med store datamengder (Terrabyte) og ytelse DB2, Oracle og MSSQL o Samt ulike versjoner av disse 7 Forutsetninger og problemstillinger Sub-setting Delmengde o Ønsket å kunne dele opp store databaser i mindre deler o Utføre Sub-setting så tidlig som mulig, helst allerede ved eksport Maskeringsfunksjoner for de fleste former for sensitive data o Fødselsnummer, navn, telefon, epost, adresse og flere Referanseintegritet Deterministisk maskering o Alltid få samme resultat også på tvers av plattformer og databaser Gyldige verdier o Verdier som valideres korrekt av kontrollen i applikasjonene o Testing av hele verdikjeder med forretningslogikk Nye EU-krav o Ta høyde for at det kommer nye EU-krav og enkelt kunne følge disse 8 4
Forutsetninger og problemstillinger Datasikkerhet o Irreversibel maskering opprinnelig verdi skal ikke kunne utredes Personopplysningsloven o Blant annet 13. Informasjonssikkerhet og Kapittel V. Overføring av personopplysninger til utlandet Bankenes konsesjonsvilkår o All innsyn til sensitive opplysninger skal være behovstinget o All innsyn skal loggføres og være tilgjengelig for kunden o Med maskering bortfaller mange krav Simulator o Løsningen for alle eksterne parter som ikke har maskerte data tilgjengelig eller hvor det ikke stemmer overens o Kunne koble mot tredjepart som for eksempel Folkeregisteret 9 10 5
Maskeringsmiljø 11 Eksempler Navn o Umaskert: o Maskert: Tomasz Ignatiuk Signe Imre Hoffmann Adresse, postnummer, sted o Umaskert: Postboks 175 3201 Sandefjord o Maskert: Uelands gate 3153 TOLVSRØD Fødselsnummer o Umaskert: 30067625907 o Maskert: 29117610916 Kontonummer o Umaskert: 24900624405 o Maskert: 24900643388 12 6
7