%20a%20una%20aplicaci%C3%B3n%20de%20gesti%C3%B3n%20de%20herramientas%20.png)
¿Una aplicación que gestiona controles de acceso a un conjunto de herramientas (Jenkins, Nexus, BitBucket) en un entorno SOX debe considerarse una aplicación SOX?
La aplicación en sí solo maneja datos en tránsito y utiliza autenticación para restringir adecuadamente cómo se usa la aplicación para administrar la configuración de las herramientas SOX. La aplicación también tiene un registro de solo anexos para fines de auditoría y para crear el estado para que lo vean los administradores (obtención de eventos).
Por último, todas las herramientas que componen una canalización de CI/CD están en un entorno SOX para que puedan implementar artefactos en máquinas virtuales en el entorno SOX.
Respuesta1
Esta es realmente una pregunta para un experto en TI/legal. Sin embargo, lo intentaré muy brevemente.
No importa CÓMO una aplicación de control de acceso toca información o datos; por la propia naturaleza de ser responsable de controlar el acceso, estará sujeto a las normas de Sarbanes-Oxley.