在 SOX 环境中管理对一套工具(Jenkins、Nexus、BitBucket)的访问控制的应用程序是否需要被视为 SOX 应用程序?
该应用程序本身仅处理传输中的数据,并使用身份验证来正确限制应用程序用于管理 SOX 工具设置的方式。该应用程序还有一个仅用于审计目的的附加日志,并用于构建管理员可查看的状态(事件源)。
最后,构成 CI/CD 管道的所有工具都处于 SOX 环境中,以便它们可以将工件部署到 SOX 环境中的 VM。
答案1
这确实是 IT/法律专家的问题。不过,我会简短地回答一下。
访问控制应用程序如何接触信息或数据并不重要;由于它负责控制访问,因此它将受到萨班斯·奥克斯利法案的规则的约束。