Zarządzanie Zmianą i Rozwojem Oprogramowania
Czy mamy wdrożone procedury i procesy dotyczące infrastruktury i oprogramowania w zakresie nabywania, testowania, zabezpieczenia, utrzymywania, wycofania i innych, oparte o najlepsze aktualne praktyki z obszaru bezpieczeństwa informacji oraz wymagania regulatorów?
Tak.
Czy cykl rozwoju oprogramowania i zarządzania odbywa się zgodnie z udokumentowaną procedurą zaakceptowaną przez kierownictwo i narzucającą z góry ścieżkę promowania systemów i aplikacji (przez kolejne środowiska i fazy podczas ich rozwoju)?
Tak.
Czy istnieje segregacja/separacja środowiska produkcyjnego od środowisk rozwojowych, testowych czy akceptacyjnych?
Tak.
Czy do testowania bezpieczeństwa oprogramowania wykorzystuje się rozwiązania takie jak: automatyczny (statyczny) przegląd/analiza kodu, dynamiczna analiza kodu, skanowanie podatności, testy penetracyjne, wzajemny przegląd kodu.
Tak.
Czy zapewniona jest kontrola kodu źródłowego, który jest rozwijany przez Dostawcę lub dla Dostawcy?
Tak. Kod rozwijany jest wewnętrznie.
Czy kod źródłowy i powiązane z nim elementy przechowuje się w centralnej bibliotece źródłowej objętej kontrolą?
Tak.
Czy kod źródłowy i powiązane z nim elementy nie znajduje się w środowisku produkcyjnym?
Tak. Kod źródłowy przechowywany jest w niezależnym środowisku.
Czy regularnie wykonujemy testy penetracyjne? Z jaką częstotliwością?
Tak. Vercom wykonuje testy penetracyjne zgodnie z dokumentem "Proces zarządzania podatnościami Vercom" -przeprowadzamy cykliczne testy penetracyjne posiadanej przez nas aplikacji raz w roku wewnętrznie przez naszego Pentestera oraz przynajmniej raz na dwa lata przez zewnętrzną firmę audytującą (na przemian raz jedne, raz drugie). Plan testów ustala koordynator testów w porozumieniu z dyrektorami projektów oraz CTO. Szczegółowy plan testów ustalany jest każdorazowo na podstawie sugerowanego harmonogramu.
Last updated