%20%D0%BA%20%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D1%8E%20%D0%BF%D0%BE%20%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8E%20%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D0%BC%D0%B8%20.png)
Следует ли считать приложение, которое управляет доступом к набору инструментов (Jenkins, Nexus, BitBucket) в среде SOX, приложением SOX?
Само приложение имеет дело только с данными в пути и использует аутентификацию для надлежащего ограничения того, как приложение используется для управления настройками инструментов SOX. Приложение также имеет журнал только для добавления в целях аудита и для создания состояния для просмотра администраторами (источник событий).
Наконец, все инструменты, составляющие конвейер CI/CD, находятся в среде SOX, поэтому они могут развертывать артефакты на виртуальных машинах в среде SOX.
решение1
Это действительно вопрос для IT/юридического эксперта. Однако я попробую ответить на него очень кратко.
Неважно, КАК приложение контроля доступа взаимодействует с информацией или данными; по самой своей природе оно отвечает за контроль доступа, поэтому оно будет подчиняться правилам Сарбейнса-Оксли.