SOX 환경에서 도구 모음(Jenkins, Nexus, BitBucket)에 대한 액세스 제어를 관리하는 애플리케이션을 SOX 애플리케이션으로 간주해야 합니까?
앱 자체는 전송 중인 데이터만 처리하며 인증을 사용하여 앱이 SOX 도구 설정을 관리하는 데 사용되는 방식을 적절하게 제한합니다. 또한 앱에는 감사 목적과 관리자가 볼 수 있는 상태를 구축하기 위한 추가 전용 로그도 있습니다(이벤트 소싱).
마지막으로 CI/CD 파이프라인을 구성하는 모든 도구는 SOX 환경에 있으므로 SOX 환경의 VM에 아티팩트를 배포할 수 있습니다.
답변1
이것은 실제로 IT/법률 전문가에게 필요한 질문입니다. 그러나 나는 그것에 대해 매우 짧게 설명하겠습니다.
액세스 제어 애플리케이션이 정보나 데이터를 어떻게 다루는지는 중요하지 않습니다. 액세스 제어를 담당하는 특성상 Sarbanes-Oxley 규칙이 적용됩니다.