Muss eine Anwendung, die Zugriffskontrollen für eine Reihe von Tools (Jenkins, Nexus, BitBucket) in einer SOX-Umgebung verwaltet, als SOX-Anwendung betrachtet werden?
Die App selbst verarbeitet nur Daten während der Übertragung und verwendet Authentifizierung, um die Verwendung der App zur Verwaltung der SOX-Tool-Einstellungen angemessen einzuschränken. Die App verfügt außerdem über ein Nur-Anhängen-Protokoll für Prüfzwecke und zum Erstellen des Status für die Anzeige durch Administratoren (Event Sourcing).
Schließlich befinden sich alle Tools, aus denen eine CI/CD-Pipeline besteht, in einer SOX-Umgebung, sodass sie Artefakte auf VMs in der SOX-Umgebung bereitstellen können.
Antwort1
Das ist eigentlich eine Frage für einen IT-/Rechtsexperten. Ich werde mich jedoch ganz kurz damit befassen.
Es spielt keine Rolle, WIE eine Zugriffskontrollanwendung auf Informationen oder Daten zugreift. Da sie naturgemäß für die Zugriffskontrolle zuständig ist, unterliegt sie den Regeln des Sarbanes-Oxley Act.