De várj csak, a QA-nak mióta kell ellenőriznie hogy a háttérrendszerek hogyan működnek? A QA alapvetően funkciókat ellenőriz hogy azok megfelelően működnek-e (az elvártaknak, a specifikációnak, vagy a józan észnek :D), de baromira nem érdekli hogy hol és hogyan fut a rendszer, az számára egy fekete doboz.
Rendszer mindig van, csak igazából ezt úgy hivjuk hogy system of interest (incose systems engineering világban), vagy ToE (target of evaluation) az ISO/CC világában. Hogy hol húzzuk meg ennek a határát az igazából a fő kérdés, mit vizsgálunk, mit nem, mi van belül, mi van kívül.
A kriptografikusan bizonyítható állapotot nem tudom értelmezni. Mit értesz ez alatt? A kriptográfiai aláírásokat lehet használni, de ez egy eszköz és számomra nem világos hogy mi a cél amit el akarsz érni és ennek mi a hozzáadott értéke?
Az ISO, SOC, PCI részt sem értem, kérlek nevezz meg egy pontos szabványt, mert az hogy ISO az egy szervezet, annak van kismillió szabványa. Konkrétan melyikre gondolsz?