Baza wiedzy Artykuły

Analiza wartości brzegowych dla danych wrażliwych

Redakcja Redakcja Redakcja
28 maja 2025
Dołącz do dyskusji
Analiza wartości brzegowych dla danych wrażliwych
Analiza wartości brzegowych (ang. Boundary Value Analysis, BVA) to technika pozwalająca sprawdzić, jak system zachowuje się na skraju dopuszczalnych zakresów danych. Jak rozsądnie stosować BVA w kontekście danych osobowych, unikając jednocześnie ryzyka naruszenia prywatności? Odpowiadamy.

Analiza wartości brzegowych jest techniką testowania czarnoskrzynkowego, w której skupiamy się na wartościach brzegowych danych wejściowych. W standardowym podejściu sprawdzamy:

  • wartość minimalną z zakresu,
  • wartość tuż poniżej minimum,
  • wartość maksymalną z zakresu,
  • wartość tuż powyżej maksimum,
  • oraz wartość reprezentującą środek zakresu.

W przypadku danych wrażliwych do tego zestawu trzeba dodać jeszcze jeden wymiar: bezpieczeństwo. Nie testujemy oczywiście na rzeczywistych danych, lecz na syntetycznych, aby nie naruszać zasad ochrony prywatności.

Jakie wartości graniczne są ważne przy danych osobowych?

Różne typy danych osobowych mają swoje charakterystyczne punkty graniczne. Poniżej kilka przykładów.

a) Dane identyfikacyjne (PESEL, dowód osobisty)

Numer PESEL ma ściśle określoną strukturę, gdzie:

  • 6 pierwszych cyfr to data urodzenia,
  • kolejne 3 to numer serii z oznaczeniem płci,
  • ostatnia cyfra to suma kontrolna. 

Wartości graniczne dla testów numeru PESEL obejmują:

  • daty na granicach przyjętych okresów (np. 1900-01-01, 2299-12-31),
  • wszystkie możliwe kombinacje dla cyfr płci (parzyste i nieparzyste),
  • przypadki z prawidłową i nieprawidłową sumą kontrolną.
b) Dane finansowe (karty płatnicze, numery kont)

Numery kart płatniczych są generowane według algorytmu Luhna. Wartości graniczne składają się z:

  • minimalnej i maksymalnej długości (zwykle 13-19 cyfr),
  • różnych prefiksów określających typ karty (np. 4 dla Visa, 5 dla Mastercard),
  • granicznych datach ważności (bieżący miesiąc, ostatni akceptowalny przyszły rok),
  • wartości skrajnych dla kodów CVV (000, 999).
c) Dane medyczne

W przypadku wyników badań lub parametrów zdrowotnych, ważne są:

  • granice zakresów referencyjnych,
  • wartości tuż poniżej i powyżej normy,
  • dane ekstremalne, których wystąpienie jest fizjologicznie nierealne.

Testowanie bez użycia rzeczywistych danych

Stosowanie danych syntetycznych jest bezpieczniejsze i daje większą kontrolę nad tym, co testujemy. Ważne jest stosowanie 3 zasad:

  1. Pełna kontrola nad strukturą danych. Generatory pozwalają tworzyć dane zbliżone do rzeczywistych, ale całkowicie sztuczne.
  2. Precyzja w doborze wartości brzegowych. W przeciwieństwie do zanonimizowanych danych, syntetyczne można dostosować dokładnie do scenariuszy testowych.
  3. Realizm i wiarygodność. Dane powinny odzwierciedlać typowe cechy rzeczywistych zbiorów, np. rozkład wartości czy formaty.

Przykłady przypadków testowych

PESEL
  1. Poprawny PESEL z najwcześniejszą dopuszczalną datą urodzenia (np. 00010100932)
  2. Data przed dopuszalnym zakresem (np. 99123100935)
  3. Poprawny PESEL z maksymalną datą (np. 99123100932)
  4. PESEL z datą tuż po maksymalnej (np. 00010100934)
  5. PESEL z niepoprawną sumą kontrolną (np. 90010100931)
  6. PESEL o nieprawidłowej długości (za krótki/za długi)
Numery kart płatniczych
  1. Poprawny numer o minimalnej długości (13 cyfr)
  2. Numer za krótki (12 cyfr)
  3. Poprawny numer o maksymalnej długości (19 cyfr)
  4. Numer za długi (20 cyfr)
  5. Data ważności = bieżący miesiąc/rok (granica dolna)
  6. Data ważności = miesiąc przed bieżącym (poniżej granicy)
  7. Data ważności = maksymalny dozwolony rok (granica górna)
  8. Data ważności = rok po maksymalnym (powyżej granicy)
Dane medyczne
  1. Wartość na dolnej granicy normy (70 mg/dl)
  2. Wartość tuż poniżej dolnej granicy (69 mg/dl)
  3. Wartość na górnej granicy normy (99 mg/dl)
  4. Wartość tuż powyżej górnej granicy (100 mg/dl)
  5. Wartość zerowa (0 mg/dl) - wartość niemożliwa
  6. Wartość ekstremalnie wysoka (1000 mg/dl) - stan zagrażający życiu

Jak generować dane?

Dobrym podejściem jest:

  1. Identyfikacja klas równoważności, czyli zdefiniowanie zakresów danych poprawnych i niepoprawnych.
  2. Wygenerowanie danych dokładnie na granicy i tuż obok niej.
  3. Zautomatyzowanie procesu, gdy liczba przypadków rośnie, warto sięgnąć po narzędzia z możliwością definiowania warunków logicznych i reguł.

Stosując technikę BVA z syntetycznymi danymi testowymi możemy efektywnie weryfikować zachowanie systemu na granicach dopuszczalnych zakresów, unikać ryzyka związanego z wykorzystaniem rzeczywistych danych osobowych oraz zapewnić wysoką jakość testów przy jednoczesnym przestrzeganiu wymagań RODO.

Źródła:
https://www.zaptest.com/boundary-value-analysis
https://en.wikipedia.org/wiki/Boundary-value_analysis
https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/stable-en/02-checklist/05-checklist
https://gphjournal.org/index.php/cse/article/view/21/18
analiza danetestowe wartości-graniczne
10 praktyk optymalizacji testów JMeter
Czytaj następny
10 praktyk optymalizacji testów JMeter

Powiązane szkolenia

Teoria testowania
Dostępne miejsca
ISTQB® Poziom Podstawowy 4.0
25.06.2025
3 dni • 24h • online
Krzysztof Kołodziejczyk

Cena netto

1 999 zł
Teoria testowania
Dostępne miejsca
ISTQB® Poziom Podstawowy 4.0
21.07.2025
3 dni • 24h • online
Krzysztof Kołodziejczyk

Cena netto

1 999 zł
Teoria testowania
Dostępne miejsca
ISTQB® Poziom Podstawowy 4.0
11.08.2025
3 dni • 24h • online
Łukasz Gałuszka

Cena netto

1 999 zł
Teoria testowania
Dostępne miejsca
ISTQB® Poziom Podstawowy 4.0
10.09.2025
3 dni • 24h • online
Łukasz Gałuszka

Cena netto

1 999 zł

Powiązane usługi

Outsourcing

Outsourcing
Testy dostępności

Testy dostępności
Testy wydajności oprogramowania

Testy wydajności

To powinno Cię zainteresować

Pięć filarów dobrego testera
Baza wiedzy Artykuły
Pięć filarów dobrego testera
Jak analizować wymagania z perspektywy testera? Część I
Baza wiedzy Artykuły
Jak analizować wymagania z perspektywy testera? Część I
Privacy-first testing
Baza wiedzy Artykuły
Privacy-first testing