¿Una aplicación que administra los controles de acceso a un conjunto de herramientas (Jenkins, Nexus, BitBucket) en un entorno SOX debe considerarse una aplicación SOX?
La aplicación en sí misma solo se ocupa de los datos en tránsito y utiliza la autenticación para restringir adecuadamente cómo se usa la aplicación para administrar la configuración de las herramientas SOX. La aplicación también tiene un registro de solo anexos para fines de auditoría y para crear el estado para que lo vean los administradores (fuente de eventos).
Por último, todas las herramientas que componen un canal de CI / CD están en un entorno SOX para que puedan implementar artefactos en máquinas virtuales en el entorno SOX.