Hvorfor stiller NHN krav om syntetiske virksomheter i test?

En nødvendig modernisering av testpraksis

Kravet om syntetiske virksomheter er en del av en nødvendig modernisering av testmiljøene i helsesektoren. Mange aktører har over tid brukt produksjonsnære data og virksomheter i test, noe som gir økt risiko og uforutsigbarhet.

Overgangen innebærer endringer for mange, blant annet knyttet til:

• omstrukturering av testløp

• oppdatering av API- og sikkerhetskonfigurasjoner

• endringer i virksomhets- og organisasjonsstrukturer

Dette kan være særlig krevende for store aktører med komplekse verdikjeder, som regionale helseforetak og større kommuner.

Tryggere testmiljøer

Normen stiller strenge krav til konfidensialitet, sporbarhet, tilgangsstyring og håndtering av sikkerhetsbrudd. Bruk av produksjonsdata i test er i direkte konflikt med disse prinsippene.

Syntetiske virksomheter fjerner risiko for:

• lekkasje av reell virksomhetsinformasjon

• sammenblanding av test- og produksjonsidentiteter

• at testmiljø uforvarende kaller produksjonstjenester

Klart skille mellom test og produksjon

Med syntetiske virksomheter etableres entydige datadomener:

Mindre risiko for feil mellom test og produksjon

Kun syntetiske virksomheter sikrer at testdata aldri skal kunne kobles tilbake til reelle identiteter eller virksomheter, og gir:

• null eksponering av produksjonsdata i test

• null risiko for spredning av reelle virksomhetssertifikater

• full sporbarhet gjennom definerte syntetiske strukturer

• enklere og strengere tilgangsstyring

Manglende skille mellom test og produksjon kan skape:

• feil i virksomhetsautentisering

• manuelle unntak og whitelister

• ustabile integrasjonskjeder

• feil validering i autentisering, autorisering og fagsystemer