Следует ли считать приложение, которое управляет доступом к набору инструментов (Jenkins, Nexus, BitBucket) в среде SOX, приложением SOX?
Само приложение имеет дело только с данными в пути и использует аутентификацию для надлежащего ограничения того, как приложение используется для управления настройками инструментов SOX. Приложение также имеет журнал только для добавления в целях аудита и для создания состояния для просмотра администраторами (источник событий).
Наконец, все инструменты, составляющие конвейер CI/CD, находятся в среде SOX, поэтому они могут развертывать артефакты на виртуальных машинах в среде SOX.
решение1
Это действительно вопрос для IT/юридического эксперта. Однако я попробую ответить на него очень кратко.
Неважно, КАК приложение контроля доступа взаимодействует с информацией или данными; по самой своей природе оно отвечает за контроль доступа, поэтому оно будет подчиняться правилам Сарбейнса-Оксли.