Compartir a través de


Seguridad y cumplimiento de Visual Studio App Center

Importante

Visual Studio App Center está programado para la retirada el 31 de marzo de 2025. Aunque puede seguir usando Visual Studio App Center hasta que se retire por completo, hay varias alternativas recomendadas a las que puede considerar la posibilidad de migrar.

Obtenga más información sobre las escalas de tiempo de soporte técnico y las alternativas.

App Center toma en serio la seguridad. Como servicio de Microsoft Azure de primera entidad, somos responsables de seguir todos los requisitos internos de Microsoft para funcionar de forma segura y confiable.

Queremos darte una idea de algunos de los principios que seguimos para proteger App Center. Aunque no está pensado para ser una lista exhaustiva de conceptos de seguridad, está formado por una serie de solicitudes de los clientes para obtener información similar.

Importante

Esta documentación está pensada para compartir información sobre nuestra postura de seguridad. Nada en esta documentación implica o debe tomarse para significar que App Center nunca tendrá un problema de seguridad. Nada de esta documentación sustituye a ninguna información en los Términos de servicio en línea de Microsoft. Si conoce un posible problema de seguridad con App Center, póngase en contacto inmediatamente con el Centro de respuestas de seguridad de Microsoft .

Residencia y soberanía de datos

App Center funciona casi completamente en el Estados Unidos. Todos los datos y el procesamiento de aplicaciones, usuarios, organizaciones, compilación, distribución, análisis y diagnóstico se producen en el Estados Unidos. No hay ninguna opción disponible para hospedar estos datos de cliente en ningún otro país o región.

La única parte de App Center que se ejecuta fuera del Estados Unidos es App Center Test. Los dispositivos de prueba de App Center se encuentran en Dinamarca. Los datos generados mediante la prueba de App Center se realizan en Dinamarca y en el Estados Unidos.

Las redes de entrega de contenido (CDN) se usan para proporcionar contenido y versiones de aplicaciones de App Center. Los puntos de presencia de la red CDN se encuentran en todo el mundo, pero todos los datos de origen están en la Estados Unidos.

Nota

Debido a directivas y leyes específicas del país, no podemos garantizar que App Center funcione en todos los países o regiones. Para algunos usuarios de la región de China, los datos del SDK de análisis y diagnóstico pueden experimentar un retraso significativo o no hacerlo en nuestros servidores basados en el Estados Unidos.

Seguridad de los datos

Cifrado durante el tránsito

Todo el tráfico de red de App Center, ya sea a través de Internet o dentro de un centro de datos de Azure, está protegido con HTTPS mediante TLS 1.2 y versiones posteriores.

Cifrado en reposo

Todos los datos mantenidos por App Center se cifran en reposo. Usamos las características de cifrado proporcionadas por los productos de almacenamiento de datos de Microsoft Azure que usamos para compilar App Center. Estos incluyen Azure Storage, Azure SQL y Azure Cosmos DB.

Claves de cifrado

Usamos claves proporcionadas por el sistema para el cifrado en reposo. App Center no admite claves administradas por el cliente para el cifrado.

Servicios multiinquilino

App Center es un sistema multiinquilino. Todos los datos del cliente se mantienen dentro de un conjunto de almacenes de datos. No hay ninguna opción para almacenar los datos de un cliente en un conjunto independiente o aislado de almacenes de datos.

Seguridad de código

Las herramientas internas de Microsoft examinan la base de código de App Center para detectar problemas como dependencias obsoletas y vulnerabilidades de seguridad conocidas. Los problemas encontrados se muestran en un panel de seguridad y se abordan por el equipo de ingeniería.

Para asegurarse de que las actividades dentro del servicio son legítimas, así como para detectar infracciones o intentos de vulneración, usamos la infraestructura de Azure para registrar y supervisar aspectos clave del servicio. Además, todas las actividades de implementación y administrador se registran de forma segura, al igual que el acceso del operador al almacenamiento de producción.

En caso de que se haya identificado una posible vulnerabilidad de seguridad de alta prioridad o intrusión, tenemos un plan de respuesta a incidentes de seguridad claro. En este plan se describen las partes responsables, los pasos necesarios para proteger los datos de los clientes y cómo interactuar con expertos en seguridad en el Centro de respuestas de seguridad de Microsoft (MSRC), Microsoft Azure y los miembros del equipo directivo de App Center. También notificamos a los propietarios de la organización si creemos que sus datos se divulgan o dañan.

En general, App Center sigue el ciclo de vida de desarrollo de seguridad de Microsoft.

Acceso a sistemas de producción

De vez en cuando, los empleados de Microsoft necesitan acceder a los datos de los clientes almacenados en App Center. Todos los empleados que tienen acceso a los datos de los clientes deben pasar una comprobación de antecedentes, que comprueba los antecedentes penales y de empleo anteriores. Además, permitimos el acceso a los sistemas de producción solo cuando hay un incidente de sitio activo u otra actividad de mantenimiento aprobada. Todo el personal que requiera acceso a los sistemas de App Center de producción es necesario para usar una estación de trabajo de acceso seguro mediante la elevación Just-In-Time (JIT). Todas las solicitudes de elevación JIT deben ser aprobadas por otro miembro del equipo y se registran y auditan.

Los datos de App Center se clasifican para distinguir entre los datos de los clientes (lo que carga en App Center), los datos de la organización (información usada al registrarse o administrar su organización) y los datos de Microsoft (información necesaria para o recopilar a través del funcionamiento del servicio). En función de la clasificación, controlamos los escenarios de uso, las restricciones de acceso y los requisitos de retención.

Todos los inicios de sesión usan la autenticación multifactor de Azure Active Directory (MFA /2FA).

Continuidad empresarial y recuperación ante desastres (BCDR)

App Center sigue los requisitos internos de Microsoft y Azure para operar un sistema resistente. Participamos en los paneles de planificación, revisamos periódicamente nuestros planes de continuidad empresarial y recuperación ante desastres con los equipos internos adecuados de Microsoft y actualizamos esos planes según sea necesario.

Probamos nuestros planes de recuperación ante desastres de forma periódica.

Auditoría y pruebas externas

App Center no ha perseguido auditorías externas (como SOC 2 o ISO 27001) ni pruebas de penetración externas, como pocos de nuestros clientes lo requieren.

Dicho esto, estamos sujetos a varios sistemas y requisitos internos de Microsoft, Azure y Cloud & división de INTELIGENCIA ARTIFICIAL. Estos requisitos se superponen significativamente con lo que encontrará en programas de auditoría externos. Mantenerse conforme a los requisitos internos de Azure de Microsoft significa que nuestra postura de seguridad y continuidad empresarial es casi idéntica a los sistemas que han completado auditorías externas.

RGPD

App Center es totalmente compatible con el RGPD. Tenemos una amplia documentación para explicar cómo se controlan los datos y cómo puede enviar solicitudes de interesados.

Informes de seguridad

App Center funciona con el Centro de respuestas de seguridad de Microsoft (MSRC) para solucionar todos los problemas de seguridad notificados externamente. Si conoce un posible problema de seguridad con App Center, póngase en contacto con MSRC inmediatamente.

Consulte también