共用方式為

Visual Studio App Center 安全性與合規性

  • 發行項

重要

Visual Studio App Center 已排定於 2025 年 3 月 31 日淘汰。 雖然您可以繼續使用 Visual Studio App Center,直到它完全淘汰為止,但有數個建議您考慮移轉至的建議替代方案。

深入瞭解支持時程表和替代方案。

App Center 會仔細處理安全性。 身為第一方 Microsoft Azure 服務,我們負責遵循所有 Microsoft 的內部需求,以安全且可靠的方式運作。

我們想要讓您了解我們遵循的一些原則,以確保App Center安全。 雖然這並非詳盡的安全性概念清單,但它是由客戶對類似資訊的一些要求所塑造。

重要

本檔旨在分享有關我們安全性觀點的資訊。 本文件中沒有任何內容表示或應該採取任何動作,表示 App Center 永遠不會有安全性問題。 本文件中沒有任何內容取代 Microsoft 在線服務條款中的任何資訊。 如果您發現 App Center 的潛在安全性問題,請立即連絡 Microsoft 資訊安全回應中心

數據落地和主權

App Center 幾乎在 美國 中運作。 應用程式、用戶、組織、組建、散發、分析和診斷的所有數據和處理都會發生在 美國 中。 沒有任何選項可在任何其他國家/地區裝載此客戶數據。

在 美國 以外執行之 App Center 的唯一部分是 App Center 測試。 App Center 測試裝置位於丹麥。 使用 App Center 測試所產生的數據會保留在丹麥和 美國 中。

內容傳遞網路 (CDN) 可用來從 App Center 提供一些內容和應用程式版本。 CDN 存在點位於全球各地,但所有源數據都在 美國 中。

注意

由於國家/地區的特定原則和法律,我們無法保證 App Center 適用於所有國家/地區。 對於中國地區的某些使用者,Analytics 和 Diagnostics SDK 數據可能會有顯著的延遲,或無法根據 美國 將其提供給我們的伺服器。

資料安全性

傳輸期間加密

無論是透過因特網或在 Azure 資料中心內,App Center 中的所有網路流量都會 使用 TLS 1.2+ 使用 HTTPS 來保護。

待用加密

App Center 保留的所有數據都會 在待用時加密。 我們使用 Microsoft Azure 數據記憶體產品所提供的加密功能,我們用來建置 App Center。 其中包括 Azure 記憶體Azure SQLAzure Cosmos DB

加密金鑰

我們使用系統提供的密鑰進行待用加密。 App Center 不支援客戶管理的金鑰進行加密。

多租用戶

App Center 是多租用戶系統。 所有客戶數據都會保留在一組數據存放區內。 沒有選項可將客戶的數據保存在個別或隔離的數據存放區中。

程式代碼安全性

App Center 的程式代碼基底是由內部 Microsoft 工具掃描,以找出過期相依性和已知安全性弱點等問題。 找到的任何問題會顯示在安全性儀錶板中,並由工程小組解決。

為了確保服務內的活動是合法的,以及偵測缺口或嘗試的缺口,我們會使用 Azure 的基礎結構來記錄和監視服務的重要層面。 此外,所有部署和系統管理員活動都會安全地記錄,就像操作員存取生產記憶體一樣。

如果識別出可能的入侵或高優先順序安全性弱點,我們有明確的安全性事件回應計劃。 此計劃概述負責方、保護客戶數據所需的步驟,以及如何與 Microsoft 安全性回應中心 (MSRC) 、Microsoft Azure 和 App Center 領導小組成員中的安全性專家互動。 如果我們認為其數據已洩漏或損毀,我們也會通知任何組織擁有者。

一般而言,App Center 遵循 Microsoft 安全性開發生命週期

存取生產系統

Microsoft 員工需要隨時存取 App Center 記憶體的客戶數據。 擁有有權存取客戶數據的員工都必須通過背景檢查,以驗證先前的雇用和犯罪犯罪犯罪。 此外,只有在有即時月臺事件或其他核准的維護活動時,我們才允許存取生產系統。 所有需要存取生產 App Center 系統的人員都必須使用 安全存取工作站,使用 Just-In-Time (JIT) 提高許可權。 所有 JIT 提高許可權要求都必須由另一個小組成員核准,並經過記錄和稽核。

App Center 中的數據會分類為區分您上傳至 App Center) 、組織數據 ( (註冊或管理組織) 時所使用的客戶數據,以及 Microsoft 數據 (服務作業或透過服務作業收集所需的資訊) 。 根據我們控制使用案例、存取限制和保留需求的分類。

所有登入都會使用 Azure Active Directory 多重要素驗證 (MFA / 2FA) 。

商務持續性和災害復原 (BCDR)

App Center 遵循內部 Microsoft 和 Azure 需求,以運作復原系統。 我們會參與規劃面板,定期檢閱我們的商務持續性和災害復原計劃,並視需要更新這些方案。

我們會定期測試災害復原計劃。

外部稽核和測試

App Center 尚未執行外部稽核 (,例如SOC 2或ISO 27001) 或外部滲透測試,因為我們的客戶需要它。

因此,我們受限於多個內部 Microsoft、Azure 和雲端 & AI 部門合規性系統和需求。 這些需求會與您在外部稽核程式中找到的內容大幅重疊。 持續符合 Microsoft 的內部 Azure 需求,表示我們的安全性和商務持續性政策與已完成外部稽核的系統幾乎相同。

GDPR

App Center完全支援GDPR。 我們有 廣泛的文件 說明如何處理數據,以及如何提交數據主體要求。

安全性報告

App Center 可與 Microsoft 資訊安全回應中心 (MSRC) 合作,以解決所有外部回報的安全性疑慮。 如果您發現 App Center 的潛在安全性問題,請立即連絡 MSRC。

另請參閱