Segurança e conformidade da Central de Aplicativos do Visual Studio
Importante
O Visual Studio App Center está programado para ser desativado em 31 de março de 2025. Embora você possa continuar a usar o Visual Studio App Center até que ele seja totalmente desativado, há várias alternativas recomendadas para as quais você pode considerar a migração.
A Central de Aplicativos leva a segurança a sério. Como um serviço do Microsoft Azure de primeira parte, somos responsáveis por seguir todos os requisitos internos da Microsoft para operar de maneira segura e confiável.
Queremos dar uma ideia de alguns dos princípios que seguimos para manter o App Center seguro. Embora não se destine a ser uma lista exaustiva de conceitos de segurança, ela é moldada por uma série de solicitações de clientes para obter informações semelhantes.
Importante
Esta documentação destina-se a compartilhar informações sobre nossa postura de segurança. Nada nesta documentação implica ou deve ser levado a significar que o App Center nunca terá um problema de segurança. Nada nesta documentação substitui qualquer informação nos Termos de Serviço Online da Microsoft. Se você estiver ciente de um possível problema de segurança com o App Center, entre em contato com o Centro de Resposta de Segurança da Microsoft imediatamente.
Residência e soberania de dados
O App Center opera quase inteiramente no Estados Unidos. Todos os dados e processamento para Aplicativos, Usuários, Organizações, Build, Distribuição, Análise e Diagnóstico ocorrem no Estados Unidos. Não há nenhuma opção disponível para hospedar esses dados do cliente em qualquer outro país/região.
A única parte do App Center que é executada fora do Estados Unidos é o Teste do App Center. Os dispositivos de teste do App Center estão localizados na Dinamarca. Os dados gerados usando o Teste do App Center são mantidos na Dinamarca e no Estados Unidos.
As CDN (redes de distribuição de conteúdo) são usadas para atender a alguns conteúdos e versões de aplicativos do App Center. Os pontos de presença da CDN estão localizados em todo o mundo, mas todos os dados de origem estão no Estados Unidos.
Observação
Devido a políticas e leis específicas do país, não podemos garantir que o App Center funcione em todos os países/regiões. Para alguns usuários na região da China, os dados do SDK de Análise e Diagnóstico podem sofrer atrasos significativos ou não chegar aos nossos servidores com base no Estados Unidos.
Segurança de dados
Criptografia durante o trânsito
Todo o tráfego de rede no App Center, seja pela Internet ou dentro de um data center do Azure, é protegido com HTTPS usando o TLS 1.2+.
Criptografia em repouso
Todos os dados mantidos pelo App Center são criptografados em repouso. Usamos os recursos de criptografia fornecidos pelos produtos de armazenamento de dados do Microsoft Azure que usamos para criar o App Center. Eles incluem Armazenamento do Azure, SQL do Azure e Azure Cosmos DB.
Chaves de criptografia
Usamos chaves fornecidas pelo sistema para criptografia em repouso. O App Center não dá suporte a chaves gerenciadas pelo cliente para criptografia.
Multilocação
O App Center é um sistema multilocatário. Todos os dados do cliente são mantidos em um conjunto de armazenamentos de dados. Não há nenhuma opção para manter os dados de um cliente em um conjunto separado ou isolado de armazenamentos de dados.
Segurança do código
A base de código do App Center é verificada por ferramentas internas da Microsoft em busca de problemas como dependências desatualizadas e vulnerabilidades de segurança conhecidas. Todos os problemas encontrados são mostrados em uma dashboard de segurança e abordados pela equipe de engenharia.
Para garantir que as atividades dentro do serviço sejam legítimas, bem como para detectar violações ou tentativas de violações, usamos a infraestrutura do Azure para registrar e monitorar os principais aspectos do serviço. Além disso, todas as atividades de implantação e administrador são registradas com segurança, assim como o acesso do operador ao armazenamento de produção.
Caso uma possível intrusão ou vulnerabilidade de segurança de alta prioridade tenha sido identificada, temos um plano claro de resposta a incidentes de segurança. Este plano descreve as partes responsáveis, as etapas necessárias para proteger os dados do cliente e como se envolver com especialistas em segurança no MSRC ( Centro de Resposta de Segurança da Microsoft ), no Microsoft Azure e membros da equipe de liderança do App Center. Também notificaremos os proprietários da organização se acreditarmos que seus dados foram divulgados ou corrompidos.
Em geral, o App Center segue o Ciclo de Vida de Desenvolvimento de Segurança da Microsoft.
Acesso a sistemas de produção
De tempos em tempos, os funcionários da Microsoft precisam ter acesso aos dados do cliente armazenados no App Center. Todos os funcionários que têm acesso aos dados do cliente devem passar por uma marcar de antecedentes, que verifica condenações anteriores por emprego e criminal. Além disso, permitimos o acesso a sistemas de produção somente quando há um incidente de site ativo ou outra atividade de manutenção aprovada. Todos os funcionários que exigem acesso aos sistemas do App Center de produção são necessários para usar uma Estação de Trabalho de Acesso Seguro, usando a elevação JIT (just-in-time). Todas as solicitações de elevação JIT devem ser aprovadas por outro membro da equipe e são registradas e auditadas.
Os dados no App Center são classificados para distinguir entre dados do cliente (o que você carrega no App Center), dados organizacionais (informações usadas ao se inscrever ou administrar sua organização) e dados da Microsoft (informações necessárias ou coletadas por meio da operação do serviço). Com base na classificação, controlamos cenários de uso, restrições de acesso e requisitos de retenção.
Todos os logons usam a autenticação multifator do Azure Active Directory (MFA/2FA).
BCDR (continuidade dos negócios e recuperação de desastres)
O App Center segue os requisitos internos da Microsoft e do Azure para operar um sistema resiliente. Participamos de conselhos de planejamento, revisamos regularmente nossos planos para continuidade dos negócios e recuperação de desastres com equipes internas apropriadas da Microsoft e atualizamos esses planos conforme necessário.
Testamos nossos planos de recuperação de desastre regularmente.
Auditoria externa e teste
O App Center não tem buscado auditorias externas (como SOC 2 ou ISO 27001) ou testes de penetração externa, pois poucos de nossos clientes exigem isso.
Dito isso, estamos sujeitos a vários sistemas e requisitos internos de conformidade da Divisão de IA da Microsoft, do Azure e do Cloud &. Esses requisitos se sobrepõem significativamente ao que você encontrará em programas de auditoria externos. Manter-se em conformidade com os requisitos internos do Azure da Microsoft significa que nossa postura de segurança e continuidade dos negócios é quase idêntica aos sistemas que concluíram auditorias externas.
GDPR
O App Center dá suporte total ao GDPR. Temos uma ampla documentação para explicar como os dados são tratados e como você pode enviar solicitações de titulares de dados.
Relatórios de segurança
O App Center trabalha com o MSRC ( Centro de Resposta de Segurança da Microsoft ) para resolver todas as preocupações de segurança relatadas externamente. Se você estiver ciente de um possível problema de segurança com o App Center, entre em contato com o MSRC imediatamente.
Confira também
- Central de Confiabilidade da Microsoft
- Portal de Confiança do Serviço
- Painel de Privacidade da Microsoft
- Política de Privacidade da Microsoft
- Centro de resposta de privacidade da Microsoft
- Compromissos de RGPD da Microsoft com clientes de nossos produtos de software corporativo geralmente disponíveis
- Solicitações de Entidade de Dados do Azure para o GDPR