Это действительно вопрос для эксперта по ИТ / юриспруденции. Однако я сделаю очень короткий удар.
Неважно, КАК приложение контроля доступа касается информации или данных; по самой природе ответственности за контроль доступа он будет подчиняться правилам Сарбейнса-Оксли.