Sicurezza e conformità di Visual Studio App Center

Importante

Visual Studio App Center è previsto per il ritiro il 31 marzo 2025. Anche se è possibile continuare a usare Visual Studio App Center fino a quando non viene completamente ritirato, esistono diverse alternative consigliate che è possibile considerare la migrazione a.

Altre informazioni sulle sequenze temporali di supporto e sulle alternative.

App Center prende seriamente la sicurezza. Come servizio Microsoft Azure di prima parte, siamo responsabili di seguire tutti i requisiti interni di Microsoft per il funzionamento in modo sicuro e affidabile.

Vogliamo dare un'idea di alcuni dei principi che seguiamo per proteggere App Center. Anche se non è destinato a essere un elenco completo dei concetti di sicurezza, viene modellato da una serie di richieste da parte dei clienti per informazioni simili.

Importante

Questa documentazione è destinata a condividere informazioni sulla nostra posizione di sicurezza. Nulla in questa documentazione implica o deve essere preso per significare che App Center non avrà mai un problema di sicurezza. Niente in questa documentazione sostituisce tutte le informazioni nelle condizioni del servizio online di Microsoft. Se si è consapevoli di un potenziale problema di sicurezza con App Center, contattare immediatamente il Centro risposta sicurezza Microsoft .

Residenza e sovranità dei dati

App Center opera quasi interamente nella Stati Uniti. Tutti i dati e l'elaborazione per app, utenti, organizzazioni, compilazione, distribuzione, analisi e diagnostica si verificano nei Stati Uniti. Non è disponibile alcuna opzione per ospitare i dati dei clienti in qualsiasi altro paese/area geografica.

L'unica parte di App Center che viene eseguita all'esterno del Stati Uniti è App Center Test. I dispositivi di test di App Center si trovano in Danimarca. I dati generati tramite test di App Center vengono mantenuti in Danimarca e nei Stati Uniti.

Le reti di distribuzione dei contenuti (RETE CDN) vengono usate per servire alcuni contenuti e versioni dell'app da App Center. I punti di presenza della rete CDN si trovano in tutto il mondo, ma tutti i dati di origine si trovano nella Stati Uniti.

Nota

A causa di criteri e leggi specifici del paese, non è possibile garantire che Il Centro app funzioni in tutti i paesi/aree geografiche. Per alcuni utenti nell'area cinese, i dati di Analytics e Diagnostics SDK potrebbero riscontrare ritardi significativi o non renderli ai server basati sull'Stati Uniti.

Sicurezza dei dati

Crittografia durante il transito

Tutto il traffico di rete in App Center, sia tramite Internet che all'interno di un data center di Azure, è protetto con HTTPS usando TLS 1.2+.

Crittografia di dati inattivi

Tutti i dati conservati da App Center vengono crittografati inattivi. Vengono usate le funzionalità di crittografia fornite dai prodotti di archiviazione dati di Microsoft Azure usati per creare App Center. Questi includono Archiviazione di Azure, Azure SQL e Azure Cosmos DB.

Chiavi di crittografia

Vengono usate chiavi fornite dal sistema per la crittografia inattivi. App Center non supporta le chiavi gestite dal cliente per la crittografia.

Multi-tenancy

App Center è un sistema multi-tenant. Tutti i dati dei clienti vengono mantenuti all'interno di un set di archivi dati. Non è possibile conservare i dati di un cliente in un set separato o isolato di archivi dati.

Sicurezza del codice

La code base di App Center viene analizzata dagli strumenti Microsoft interni per problemi quali dipendenze non aggiornate e vulnerabilità di sicurezza note. Tutti i problemi rilevati vengono visualizzati in un dashboard di sicurezza e risolti dal team di progettazione.

Per garantire che le attività all'interno del servizio siano legittime, nonché per rilevare violazioni o tentativi di violazione, viene usata l'infrastruttura di Azure per registrare e monitorare gli aspetti chiave del servizio. Inoltre, tutte le attività di distribuzione e amministratore vengono registrate in modo sicuro, come è l'accesso operatore all'archiviazione di produzione.

Nel caso in cui sia stata identificata una possibile vulnerabilità di sicurezza con priorità elevata o intrusione, è disponibile un piano di risposta chiaro agli eventi imprevisti di sicurezza. Questo piano descrive le parti responsabili, i passaggi necessari per proteggere i dati dei clienti e come interagire con esperti di sicurezza nel Centro sicurezza microsoft (MSRC), Microsoft Azure e membri del team di leadership di App Center. Se si ritiene che i dati vengano divulgati o danneggiati, vengono notificati anche ai proprietari dell'organizzazione.

In generale, App Center segue il ciclo di vita dello sviluppo della sicurezza Microsoft.

Accesso ai sistemi di produzione

Da un momento all'altro, i dipendenti Microsoft devono accedere ai dati dei clienti archiviati all'interno di App Center. Tutti i dipendenti che hanno accesso ai dati dei clienti devono passare un controllo in background, che verifica le precedenti convinzioni lavorative e penali. Inoltre, è possibile accedere ai sistemi di produzione solo quando si verifica un evento imprevisto live del sito o altre attività di manutenzione approvate. Tutti i dipendenti che richiedono l'accesso ai sistemi di App Center di produzione sono necessari per usare una workstation di accesso sicuro, usando l'elevazione JIT (Just-In-Time). Tutte le richieste di elevazione JIT devono essere approvate da un altro membro del team e vengono registrate e controllate.

I dati in App Center vengono classificati per distinguere tra i dati dei clienti (cosa si carica in App Center), i dati dell'organizzazione (informazioni usate durante l'iscrizione o l'amministrazione dell'organizzazione) e i dati Microsoft (informazioni necessarie per o raccolte tramite l'operazione del servizio). In base alla classificazione vengono controllate gli scenari di utilizzo, le restrizioni di accesso e i requisiti di conservazione.

Tutti gli account di accesso usano l'autenticazione a più fattori di Azure Active Directory (MFA/2FA).

Continuità aziendale e ripristino di emergenza (BCDR)

App Center segue i requisiti interni di Microsoft e Azure per il funzionamento di un sistema resiliente. Si partecipa ai consigli di pianificazione, esaminare regolarmente i piani per la continuità aziendale e il ripristino di emergenza con team Microsoft interni appropriati e aggiornare tali piani in base alle esigenze.

Testiamo i piani di ripristino di emergenza regolarmente.

Controllo esterno e test

App Center non ha eseguito controlli esterni (ad esempio SOC 2 o ISO 27001) o test di penetrazione esterni, come alcuni dei nostri clienti lo richiedono.

Con questo detto, siamo soggetti a più sistemi di conformità e requisiti interni di Microsoft, Azure e Cloud & Divisione intelligenza artificiale. Questi requisiti si sovrappongono in modo significativo a ciò che troverai nei programmi di controllo esterni. Mantenere la conformità ai requisiti interni di Azure di Microsoft significa che la nostra posizione di sicurezza e continuità aziendale è quasi identica ai sistemi che hanno completato controlli esterni.

GDPR

App Center supporta completamente il GDPR. Abbiamo una documentazione completa per spiegare come vengono gestiti i dati e come è possibile inviare richieste dell'interessato.

Creazione di report sulla sicurezza

App Center funziona con Microsoft Security Response Center (MSRC) per risolvere tutti i problemi di sicurezza segnalati esternamente. Se si è consapevoli di un potenziale problema di sicurezza con App Center, contattare immediatamente MSRC.

Vedi anche

• Centro protezione Microsoft
• Portale di trust del servizio
• Microsoft Privacy Dashboard
• Informativa sulla privacy di Microsoft
• Centro di risposta sulla privacy Microsoft
• Impegni del GDPR di Microsoft per i clienti dei nostri prodotti software aziendali disponibili a livello generale
• Richieste dell'interessato di Azure per il GDPR