Sicherheit und Compliance in Visual Studio App Center
Wichtig
Visual Studio App Center wird am 31. März 2025 eingestellt. Sie können Visual Studio App Center zwar weiterhin verwenden, bis es vollständig eingestellt ist, es gibt jedoch mehrere empfohlene Alternativen, zu denen Sie eine Migration in Betracht ziehen können.
App Center nimmt Sicherheit ernst. Als Microsoft Azure-Dienst von Erstanbietern sind wir dafür verantwortlich, alle internen Anforderungen von Microsoft zu erfüllen, um sicher und zuverlässig zu arbeiten.
Wir möchten Ihnen eine Vorstellung von einigen der Prinzipien geben, die wir befolgen, um App Center sicher zu halten. Obwohl es sich nicht um eine vollständige Liste von Sicherheitskonzepten handelt, wird sie von einer Reihe von Kundenanfragen nach ähnlichen Informationen geprägt.
Wichtig
Diese Dokumentation dient dazu, Informationen über unsere Sicherheitshaltung zu teilen. Nichts in dieser Dokumentation bedeutet oder sollte angenommen werden, dass App Center nie ein Sicherheitsproblem hat. Nichts in dieser Dokumentation ersetzt informationen in den Onlinedienstbedingungen von Microsoft. Wenn Sie auf ein potenzielles Sicherheitsproblem mit App Center aufmerksam werden, wenden Sie sich sofort an das Microsoft Security Response Center .
Datenresidenz und -souveränität
App Center funktioniert fast vollständig im USA. Alle Daten und Verarbeitungen für Apps, Benutzer, Organisationen, Build, Verteilung, Analysen und Diagnosen erfolgen im USA. Es gibt keine Option zum Hosten dieser Kundendaten in einem anderen Land/einer anderen Region.
Der einzige Teil von App Center, der außerhalb der USA ausgeführt wird, ist App Center-Test. App Center-Testgeräte befinden sich in Dänemark. Daten, die mit App Center Test generiert werden, werden in Dänemark und im USA gespeichert.
Content Delivery Networks (CDN) werden verwendet, um einige Inhalte und App-Releases aus App Center zu liefern. CDN-Anwesenheitspunkte befinden sich auf der ganzen Welt, aber alle Quelldaten befinden sich im USA.
Hinweis
Aufgrund landesspezifischer Richtlinien und Gesetze können wir nicht garantieren, dass App Center in allen Ländern/Regionen funktioniert. Für einige Benutzer in der Region China können Daten des Analyse- und Diagnose-SDK zu erheblichen Verzögerungen kommen oder nicht auf unseren Servern im USA.
Datensicherheit
Verschlüsselung während der Übertragung
Der gesamte Netzwerkdatenverkehr in App Center, ob über das Internet oder innerhalb eines Azure-Rechenzentrums, wird mithilfe von TLS 1.2 und höher mit HTTPS gesichert.
Verschlüsselung ruhender Daten
Alle im App Center gespeicherten Daten werden im Ruhezustand verschlüsselt. Wir verwenden die Verschlüsselungsfeatures, die von den Microsoft Azure-Datenspeicherprodukten bereitgestellt werden, die wir zum Erstellen von App Center verwenden. Dazu gehören Azure Storage, Azure SQL und Azure Cosmos DB.
Verschlüsselungsschlüssel
Wir verwenden vom System bereitgestellte Schlüssel für die Verschlüsselung ruhender Daten. App Center unterstützt keine kundenseitig verwalteten Schlüssel für die Verschlüsselung.
Mehrinstanzenfähigkeit
App Center ist ein mehrinstanzenfähiges System. Alle Kundendaten werden in einem Satz von Datenspeichern gespeichert. Es gibt keine Option, die Daten eines Kunden in einem separaten oder isolierten Satz von Datenspeichern zu speichern.
Codesicherheit
Die Codebasis von App Center wird von internen Microsoft-Tools auf Probleme wie veraltete Abhängigkeiten und bekannte Sicherheitsrisiken überprüft. Alle gefundenen Probleme werden in einer Sicherheits-Dashboard angezeigt und vom Entwicklungsteam behoben.
Um sicherzustellen, dass Aktivitäten innerhalb des Diensts legitim sind, und um Sicherheitsverletzungen oder versuchte Sicherheitsverletzungen zu erkennen, verwenden wir die Infrastruktur von Azure, um wichtige Aspekte des Diensts zu protokollieren und zu überwachen. Darüber hinaus werden alle Bereitstellungs- und Administratoraktivitäten sicher protokolliert, ebenso wie der Operatorzugriff auf den Produktionsspeicher.
Für den Fall, dass ein möglicher Angriff oder ein Sicherheitsrisiko mit hoher Priorität erkannt wurde, verfügen wir über einen klaren Plan zur Reaktion auf Sicherheitsvorfälle. Dieser Plan beschreibt verantwortliche Parteien, die erforderlichen Schritte zum Schützen von Kundendaten und die Zusammenarbeit mit Sicherheitsexperten in Microsoft Security Response Center (MSRC), Microsoft Azure und Mitgliedern des App Center-Führungsteams. Wir benachrichtigen auch alle organization Besitzer, wenn wir der Meinung sind, dass ihre Daten offengelegt oder beschädigt werden.
Im Allgemeinen folgt App Center dem Microsoft Security Development Lifecycle.
Zugriff auf Produktionssysteme
Von Zeit zu Zeit benötigen Microsoft-Mitarbeiter Zugriff auf Kundendaten, die in App Center gespeichert sind. Alle Mitarbeiter, die Zugriff auf Kundendaten haben, müssen eine Hintergrundprüfung bestehen, die frühere Beschäftigung und strafrechtliche Verurteilungen überprüft. Darüber hinaus erlauben wir den Zugriff auf Produktionssysteme nur, wenn ein Live-Standort-Vorfall oder eine andere genehmigte Wartungsaktivität vorliegt. Alle Mitarbeiter, die Zugriff auf App Center-Produktionssysteme benötigen, müssen eine Secure Access-Arbeitsstation verwenden, die JiT-Rechteerweiterung (Just-in-Time) verwendet. Alle JIT-Rechteerweiterungsanforderungen müssen von einem anderen Teammitglied genehmigt und protokolliert und überwacht werden.
Daten in App Center werden klassifiziert, um zwischen Kundendaten (was Sie in App Center hochladen), Organisationsdaten (Informationen, die bei der Registrierung oder Verwaltung Ihrer organization verwendet werden) und Microsoft-Daten (Informationen, die für den Betrieb des Diensts erforderlich sind oder durch diesen erfasst werden) zu unterscheiden. Basierend auf der Klassifizierung steuern wir Nutzungsszenarien, Zugriffsbeschränkungen und Aufbewahrungsanforderungen.
Alle Anmeldungen verwenden Azure Active Directory Multi-Factor Authentication (MFA/2FA).
Business Continuity & Disaster Recovery (BCDR)
App Center folgt internen Microsoft- und Azure-Anforderungen für den Betrieb eines resilienten Systems. Wir nehmen an Planungsboards teil, überprüfen regelmäßig unsere Pläne für Geschäftskontinuität und Notfallwiederherstellung mit entsprechenden internen Microsoft-Teams und aktualisieren diese Pläne bei Bedarf.
Wir testen unsere Notfallwiederherstellungspläne regelmäßig.
Externe Überwachung und Tests
App Center hat keine externen Audits (z. B. SOC 2 oder ISO 27001) oder externe Penetrationstests durchgeführt, wie dies nur wenige unserer Kunden erfordern.
Daher unterliegen wir mehreren internen Microsoft-, Azure- und Cloud-& KI-Compliancesystemen und -Anforderungen. Diese Anforderungen überschneiden sich erheblich mit dem, was Sie in externen Überwachungsprogrammen finden. Die Einhaltung der internen Azure-Anforderungen von Microsoft bedeutet, dass unser Sicherheits- und Geschäftskontinuitäts-Ansatz fast identisch mit Systemen ist, die externe Audits abgeschlossen haben.
DSGVO
App Center unterstützt die DSGVO vollständig. Wir verfügen über eine umfassende Dokumentation , in der erläutert wird, wie mit Daten umgegangen wird und wie Sie Anträge betroffener Personen stellen können.
Sicherheitsberichte
App Center arbeitet mit dem Microsoft Security Response Center (MSRC) zusammen, um alle extern gemeldeten Sicherheitsbedenken zu beheben. Wenn Sie auf ein potenzielles Sicherheitsproblem mit App Center aufmerksam werden, wenden Sie sich sofort an MSRC.
Weitere Informationen
- Microsoft Trust Center
- Service Trust-Portal
- Microsoft-Datenschutzdashboard
- Datenschutzerklärung von Microsoft
- Microsoft Privacy Response Center
- Die DSGVO-Verpflichtungen von Microsoft gegenüber Kunden unserer allgemein verfügbaren Enterprise-Softwareprodukte
- Anforderungen betroffener Azure-Personen für die DSGVO