Visual StudioApp Center安全性和符合性

App Center非常重视安全性。 作为第一Microsoft Azure服务,我们负责遵循 Microsoft 的所有内部要求,以安全可靠的方式运行。

我们希望让你了解为保证安全而遵循的App Center原则。 虽然它不是一个详尽安全概念列表,但它由客户针对类似信息提出的许多请求所形成。

重要

本文档旨在分享有关安全态势的信息。 本文档中没有任何内容表示或不应认为App Center永远不会有安全问题。 本文档中没有任何内容会取代 Microsoft 联机 服务条款 中任何信息。 如果发现问题的潜在安全问题,App Center 立即Microsoft 安全响应中心联系

数据驻留和主权

App Center操作几乎完全在 美国。 应用、用户、组织、生成、分发、分析和诊断的所有数据和处理都发生在美国。 没有任何选项可用于在任何其他国家/地区托管此客户数据。

在测试App Center运行的唯一部分美国测试App Center部分。 App Center测试设备位于丹麦。 使用 App Center 测试生成的数据在丹麦和美国。

内容传送 (CDN) 网络用于提供来自 App Center 的一些内容App Center。 CDN接入点位于世界各地,但所有源数据都位于美国。

备注

由于国家/地区特定的策略和法律,我们无法保证App Center国家/地区都有效。 对于中国地区的某些用户,Analytics 和 Diagnostics SDK 数据可能会遇到严重的延迟,或者无法根据美国。

数据安全性

传输期间加密

所有流量App Center Internet 或 Azure 数据中心内,都使用 TLS 1.2+ 通过 HTTPS 进行保护

静态加密

由 App Center所有 数据都进行加密。 我们使用数据存储产品提供的Microsoft Azure功能,用于构建App Center。 其中包括Azure 存储、Azure SQLCosmos DB

加密密钥

我们使用系统提供的密钥进行静态加密。 App Center不支持客户管理的密钥进行加密。

多租户

App Center是多租户系统。 所有客户数据都保存在一组数据存储中。 不能选择将客户的数据保存在一组独立或独立的数据存储中。

代码安全性

App Center Microsoft 内部工具扫描其代码库,以发现过期依赖项和已知安全漏洞等问题。 发现的任何问题都显示在安全仪表板中,由工程团队解决。

为了确保服务中的活动合法,并检测违规或尝试的违规,我们使用 Azure 的基础结构来记录并监视服务的关键方面。 此外,安全记录所有部署和管理员活动,以及操作员对生产存储的访问权限。

如果发现了可能的入侵或高优先级安全漏洞,我们会制定明确的安全事件响应计划。 此计划概述了负责任的参与方、保护客户数据所需的步骤,以及如何与 Microsoft 安全响应中心 (MSRC ) 、Microsoft Azure以及 App Center 领导团队成员中的安全专家联系。 如果我们认为任何组织所有者的数据被泄露或损坏,我们还会通知其所有者。

通常,App Center遵循Microsoft 安全开发生命周期。

访问生产系统

Microsoft 员工需要不时地访问存储在 App Center。 有权访问客户数据的所有员工必须通过背景检查,以验证以前的雇佣和犯罪犯罪。 此外,我们仅允许在发生实时站点事件或其他已批准的维护活动时访问生产系统。 所有需要访问生产App Center系统的人员都需要使用安全访问工作站,并使用实时 (JIT) 提升。 所有 JIT 提升请求都必须由另一个团队成员批准,并记录并审核。

App Center 中数据进行分类,以区分客户数据 (上传到 App Center) 的内容、注册或管理组织) 时使用的组织数据 (信息,以及 Microsoft 数据 (服务) 操作所需的或收集的信息。 我们根据分类控制使用方案、访问限制和保留要求。

所有登录名Azure Active Directory多重身份验证 ( MFA/2FA) 。

业务连续性和灾难恢复 (BCDR)

App Center符合内部 Microsoft 和 Azure 对运行可复原系统的要求。 我们参与规划板,定期与相应的内部 Microsoft 团队一起查看业务连续性和灾难恢复计划,并在必要时更新这些计划。

我们会定期测试灾难恢复计划。

外部审核和测试

App Center尚未进行外部审核 (如 SOC 2 或 ISO 27001) 或外部渗透测试,因为我们的客户很少需要它。

也就是说,我们受多个内部 Microsoft、Azure 和 Cloud & AI 部门合规性系统和要求。 这些要求与外部审核程序中发现的要求明显重叠。 遵守 Microsoft 的内部 Azure 要求意味着,我们的安全性和业务连续性要求与已完成外部审核的系统几乎完全相同。

GDPR

App Center完全支持 GDPR。 我们 提供大量 文档,介绍如何处理数据以及如何提交数据主体请求。

安全报告

App Center MSRC Microsoft 安全响应中心 (,) 解决所有外部报告的安全问题。 如果发现存在潜在安全问题,请立即App Center MSRC。

另请参阅