%20%E3%82%92%E3%83%84%E3%83%BC%E3%83%AB%E7%AE%A1%E7%90%86%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AB%E9%81%A9%E7%94%A8%E3%81%99%E3%82%8B%20.png)
SOX 環境でツール スイート (Jenkins、Nexus、BitBucket) へのアクセス制御を管理するアプリケーションは、SOX アプリケーションと見なす必要がありますか?
アプリ自体は転送中のデータのみを処理し、認証を使用して、アプリが SOX ツール設定を管理するためにどのように使用されるかを適切に制限します。また、アプリには、監査目的と管理者が表示する状態の構築 (イベント ソーシング) のための追加専用ログもあります。
最後に、CI/CD パイプラインを構成するすべてのツールは SOX 環境にあるため、SOX 環境内の VM に成果物をデプロイできます。
答え1
これは実際には IT/法律の専門家向けの質問です。ただし、簡単に答えてみたいと思います。
アクセス制御アプリケーションが情報やデータにどのように触れるかは問題ではありません。アクセス制御の責任を負っているという性質上、サーベンス・オクスリー法の規則の対象となります。