Dies ist wirklich eine Frage für einen IT / Rechtsexperten. Ich werde jedoch einen kurzen Versuch unternehmen.
Es spielt keine Rolle, WIE eine Zugriffskontrollanwendung Informationen oder Daten berührt. Da es für die Zugangskontrolle zuständig ist, unterliegt es den Regeln von Sarbanes-Oxley.