我们的开发团队有4个环境: 开发,测试,质量保证和生产,并在整个环境中按顺序改变进度。
我们的DBA将“SOX”作为拒绝团队负责人的原因,开发人员和测试人员更新READ ONLY访问Test,QA和Production环境中的数据库对象。因此,我们无法验证部署是否已正确执行。
我可以看到限制对生产数据的访问。数据可能很敏感。但是,我们对数据具有完全读取权限。但我希望能够在生产中看到代码,以验证它应该是生产中的代码,并且没有错误地部署或遗漏部署。即使我们的部署过程是自动化的,仍然需要验证自动化过程是否按预期工作。
Dos SOX法律要求是否真的限制了对非生产环境的访问? SOX是否真的有任何关于是否应该拒绝开发人员只读访问生产数据库对象(代码/架构)的说法,还是这种限制真的是自我施加的?
答案 0 :(得分:2)
根据我的理解,根据我的经验,SOX合规性导致我没有对生产数据库的任何读取权限。这可能是因为信用卡号码在那里,因为在我们的开发环境中,实际数字已被更改和加密,所以我们无论如何都看不到任何东西。
另外,在正确的部署文档中,您应该在QA上模拟进入生产时会发生什么,因此您不应该在QA上做任何事情,因为如果您必须做某事,那么就会出现问题您的部署文档。您应该修复您的文档,以便系统管理员可以在没有开发人员帮助的情况下进行部署。
在一家公司,他们实际上在开发人员基本无法达到的不同网络上进行质量检查,以符合SOX法规。
答案 1 :(得分:0)
我的理解是,让开发人员只读访问QA数据库并不违反Sox。
您可能需要确保授予访问权限以及文档化的正式理由,并通过变更控制系统进行适当批准。
答案 2 :(得分:0)
我建议您查看Stackify之类的工具,以帮助限制访问生产服务器和数据库。他们的系统旨在帮助您管理和排除生产应用程序的故障,同时无法进行任何更改。他们提供审计报告等,以帮助合规。