Kan man ha samma metadata i QA och Produktion?


Tekniskt finns det inget hinder för detta men det finns dock allvarliga risker för läckage av persondata och dessutom risk för identitetsstöld:

I QA finns det nämligen test-länder anslutna till eIDAS-connectorn som tillåter att man antar godtyckliga identiteter (personnummer) i en inloggning. Om dessa inloggningar når en produktionstjänst som inte verifierar vilken entityID som är utställare av intyget så kan i värsta fall riktiga personer påverkas.

Av denna anledning tillåter vi inte att samma tjänst används i både QA och produktion. Vi rekommenderar istället att man sätter upp en separat test-version av tjänsten som ansluts till QA-miljön eller i förekommande fall ansluter tjänsten endast till produktionsmiljön.

Vi rekommenderar också att loggning i en produktionstjänst sker mycket restriktivt så att personuppgifter inte riskerar hamna i loggar som evt kan komma på drift.