BIMcollab cuenta con la certificación ISO-27001 desde noviembre de 2022.

BIMcollab está certificado en PCI-DSS. Por lo tanto, se aplica el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI-DSS) para la protección de los datos de la industria de tarjetas de pago.

Se aplican las normativas y la gobernanza de seguridad de los países relevantes para el servicio en la nube y la residencia de los datos.

No se encuentran disponibles los informes de auditoría SOC 2 para SSAE 16.

Se planifican revisiones y evaluaciones independientes al menos una vez al año.

El cliente/la empresa se reserva el derecho de realizar auditorías de cumplimiento para la seguridad de los sistemas y procesos del servicio en la nube.

BIMcollab utiliza los centros de datos Tier 3++ de Interconnect, que cuentan con certificaciones ISO9001, ISO14001, ISAE 3000 y reportes SOC 2 tipo 2. Ofrecen un estándar muy alto de infraestructura de red y eficiencia energética. Esto garantiza una evaluación independiente sobre los principios de calidad: ‘seguridad’ y ‘disponibilidad’ del centro de datos y los servicios en la nube.
​

La residencia de los datos del servicio en la nube está restringida de manera adecuada.

Todos los datos se almacenan en los Países Bajos, salvo cuando se utiliza una instalación on-premise.

Todos los datos del cliente serán eliminados de forma segura del servicio en la nube al finalizar el servicio o a petición del cliente.

Contamos con políticas y procedimientos para la eliminación segura y completa de los datos de todos los medios de almacenamiento. Esto garantiza que los datos no sean recuperables por ningún medio forense.

Disponemos de políticas para los procedimientos y controles que protegen la confidencialidad y disponibilidad de las claves de cifrado.
​

Los compromisos de disponibilidad del servicio, incluyendo nuestra capacidad de recuperación ante interrupciones, se encuentran en nuestro Acuerdo de Nivel de Software.
​

Los datos de producción no se replican ni se utilizan en entornos no productivos.

Todos los datos del cliente/empresa almacenados o procesados en los servicios en la nube son propiedad del cliente/empresa.

La política de uso de datos respecto a los datos del cliente del servicio en la nube está claramente definida para evitar el uso no autorizado de los datos del cliente.

Los BCF manager no procesan datos personales. Por lo tanto, obtener el consentimiento expreso de los titulares de los datos (es decir, Declaración de Recopilación de Información Personal) y cumplir en todos los aspectos con la Ordenanza de Privacidad de Datos Personales (PDPO), incluyendo la garantía de seguridad de los datos, el periodo de retención limitado al tiempo necesario, etc., no es aplicable.

BIMcollab Zoom recopila y procesa su dirección de correo electrónico y nombre, con el fin de proporcionar y mejorar la funcionalidad del software, la experiencia del usuario y los servicios relacionados. Sus datos también pueden ser utilizados para la resolución de problemas, soporte técnico y comunicación sobre actualizaciones del software o cambios en los términos de uso. Nos comprometemos a proteger su privacidad y a garantizar que sus datos se procesen de acuerdo con las leyes de protección de datos aplicables.

Lea nuestra declaración de privacidad completa.
​

Existe un Plan de Continuidad del Negocio.
​

No se incluirán los términos de uso proporcionados por el cliente. BIMcollab proporciona sus propios términos de uso. Solo los clientes/usuarios finales que acepten la Política y Términos pueden utilizar la aplicación.
​

El Acuerdo de Nivel de Servicio (SLA) forma parte del Acuerdo Comercial y especifica el alcance de nuestro servicio.
​

Esta información se encuentra en nuestro Acuerdo de Nivel de Servicio.
​

Todos los servidores de base de datos utilizados por BIMcollab Cloud están cifrados en reposo. Utilizamos el cifrado nativo de VM de VMware vSphere, compatible con módulos TPM, lo que garantiza que los datos almacenados no puedan ser accedidos sin las claves criptográficas adecuadas. Esto protege los datos del cliente en el improbable caso de acceso no autorizado a los sistemas de almacenamiento subyacentes.
​

Los servicios de utilidades y las condiciones ambientales de nuestro centro de datos (por ejemplo, agua, energía, controles de temperatura y humedad, telecomunicaciones y conectividad a internet) están asegurados, monitorizados, mantenidos y probados periódicamente para garantizar su eficacia continua y proteger contra la interceptación no autorizada o daños, y están diseñados con conmutación automática por error u otras redundancias en caso de interrupciones planificadas o no planificadas.
​

Se implementan perímetros de seguridad física (por ejemplo, cercas, muros, barreras, guardias, portones, vigilancia electrónica, mecanismos de autenticación física, recepciones y patrullas de seguridad) para proteger los datos sensibles y los sistemas de información.
​

Existen políticas y procedimientos de seguridad de la información según lo especificado en ISO-27001.

Las políticas y procedimientos están parcialmente establecidos en cuanto a la seguridad del personal, incluyendo verificación de antecedentes, concienciación en seguridad y finalización de la relación laboral.

Se realiza una copia de seguridad diaria de los datos del cliente con un periodo de retención de al menos 1 mes. La copia de seguridad está protegida físicamente y cifrada.

Nuestras copias de seguridad están geográficamente separadas de nuestro entorno de producción para garantizar la seguridad de los datos en caso de desastre.

Nuestras copias de seguridad son inmutables para proteger contra modificaciones accidentales o maliciosas, cifrado, corrupción y eliminación de datos. Esto también protege contra malware, ransomware, virus y otros ataques o incidentes de datos.

El plan de respuesta ante incidentes de seguridad está documentado. Cualquier brecha de seguridad que afecte al cliente será reportada a la persona responsable del cliente lo antes posible.

Todos los componentes caducados que puedan contener datos son destruidos profesionalmente.

Un número limitado de ingenieros internos tiene acceso root a los servidores.

El acceso solo puede lograrse desde direcciones IP preaprobadas.

Todas las comunicaciones se realizan a través de líneas cifradas.
​

El sistema no es compatible con la autenticación ADFS. El soporte puede estar disponible cuando se utiliza una instalación on-premise.

Se aplican controles de acceso para garantizar que solo los usuarios autorizados puedan acceder al servicio en la nube y a los datos.

Se implementan controles de acceso basados en roles para la segregación de funciones. Para más información sobre los roles en el entorno de BIMcollab, consulte el artículo Roles dentro del entorno BIMcollab.

Los entornos de producción y no producción están separados para evitar el acceso no autorizado o cambios en los activos de información.

Las aplicaciones, sistemas de infraestructura y componentes de red multiusuario, propiedad u operados por la organización (físicos y virtuales), están diseñados, desarrollados, desplegados y configurados de manera que el acceso de los usuarios del proveedor y del cliente (inquilino) esté adecuadamente segmentado de otros usuarios inquilinos. Cada inquilino tiene su propia instancia de la aplicación web y su propia base de datos.

El entorno de gestión está separado para evitar accesos no autorizados mediante IP y también autenticación de dos factores.

Los datos y el servicio están separados de otros consumidores del servicio. Todos los clientes operan en sus propios Espacios, completamente separados entre sí.

La gestión del servicio se mantiene separada de otros clientes.

Se muestra un mensaje uniforme cuando se introduce una combinación incorrecta de usuario/contraseña.
​

El sistema proporciona un mecanismo seguro para que el usuario restablezca su propia contraseña.

La contraseña se almacena en el sistema mediante un hash salteado unidireccional.

La contraseña se almacena de forma segura en la base de datos.

El sistema puede exigir contraseñas seguras de al menos 8 caracteres y con una composición compleja.

La obligación de cambiar periódicamente la contraseña puede ser gestionada por el cliente.

El sistema previene ataques de fuerza bruta a las contraseñas.

El sistema es compatible con la autenticación de dos factores.

El Espacio de BIMcollab está protegido por un cortafuegos que solo permite el tráfico necesario desde una red de confianza.

Los Espacios están protegidos por un IDS/IPS frente a redes no confiables.

El Espacio cuenta con mitigación contra ataques DDoS.

Los servidores están protegidos por software antivirus con protección en tiempo real y un escaneo completo programado.

La aplicación web está protegida por un cortafuegos de aplicaciones web o es escaneada periódicamente por un escáner de aplicaciones web para asegurar que no existan vulnerabilidades conocidas.

La aplicación solo es accesible por IPv4 o IPv6.

Los puertos TCP/UDP abiertos se limitan al mínimo y todos los demás están en modo sigiloso.

Se exige la comunicación SSL.

Existe un cortafuegos de aplicaciones web (lista blanca) para mayor seguridad.

La transmisión de datos está cifrada. El acceso web está cifrado mediante TLS 1.2 o superior usando cifrados robustos con Perfect Forward Secrecy (PFS). La transferencia de archivos está cifrada mediante SFTP.

Cuando se utiliza una instalación on-premise y el dominio del cliente se usa para el acceso web, el certificado SSL/TLS lo proporciona el cliente o el sistema, firmado por una CA de confianza de la industria. Esto depende completamente del cliente.

Los datos en tránsito están protegidos entre el dispositivo del usuario final y el servicio.

El almacenamiento de datos personales cumple con el RGPD.
​

Los eventos de seguridad de las actividades de las cuentas de usuario se registran y conservan durante 3 meses.

Los entornos de red e instancias virtuales están diseñados y configurados para restringir y monitorizar el tráfico entre conexiones de confianza y no confiables.

El registro y la notificación de eventos de seguridad están disponibles bajo solicitud y activados.
​

Los servidores están configurados y reforzados según una línea base de configuración segura.

Existe un proceso de gestión de amenazas y vulnerabilidades donde los parches de seguridad se instalan en el sistema operativo, aplicaciones e infraestructura de red de manera regular y oportuna.

Se realizan escaneos de vulnerabilidades y pruebas de penetración de forma regular. El informe del escaneo y la prueba con resultados detallados puede compartirse tras la firma de un acuerdo de confidencialidad (NDA).

Los registros de auditoría de seguridad están disponibles para el personal autorizado del cliente en caso de investigación de seguridad.

Se realizan evaluaciones formales de riesgos al menos una vez al año o en intervalos planificados (y en conjunto con cualquier cambio en los sistemas de información) para determinar la probabilidad e impacto de todos los riesgos identificados.

Existe gestión de vulnerabilidades y parches.

Las cuentas y credenciales específicas de equipos redundantes se eliminan tan pronto como el equipo se retira de servicio, para reducir su valor para un atacante.

Se evalúan las posibles nuevas amenazas, vulnerabilidades o técnicas de explotación que puedan afectar al servicio y se toman medidas correctivas. Todas las actualizaciones de seguridad se instalan lo antes posible.

La gravedad de las amenazas y vulnerabilidades se considera en el contexto del servicio y esta información se utiliza para priorizar la implementación de medidas de mitigación. Todos los riesgos de alta gravedad se abordan de inmediato.

Las vulnerabilidades conocidas dentro del servicio se registran y rastrean en nuestras herramientas, hasta que se hayan implementado las medidas de mitigación adecuadas a través de un proceso de gestión de cambios adecuado.
​

No hay números de versión del software del servidor web o de la aplicación en las cabeceras http.

No hay números de versión del software en la página de la aplicación antes de iniciar sesión.

Las direcciones IP internas, nombres de host, nombres de dominio y otra información interna no son visibles para otros.

Las páginas predeterminadas se eliminan o se reemplazan.

Todo el manejo de errores se gestiona con páginas personalizadas. (404, 500, etc.).

No se utiliza modo de depuración ni descripciones detalladas de errores.

Las páginas de demostración y la documentación se eliminan del servidor.

El contenido solo está en HTTPS y no está mezclado.

Contamos con nuestra propia solución contra clickjacking.

Los métodos HTTP están restringidos al mínimo (GET, POST).

El archivo sitemap.xml contiene referencias a páginas de soporte como las páginas 404 o 500.

El nombre de usuario y la contraseña no se guardan en cookies.

Se cuenta con protección SameSite (Secure o Lax) contra ataques de Cross-Site Request Forgery (CSRF).

Se admiten atributos de edad máxima (max age).

Se admiten atributos de dominio/ruta.

Las API (REST) están protegidas para no revelar información innecesaria.

Se utiliza firma de código para las aplicaciones. Las aplicaciones para Mac están firmadas con nuestro certificado y validadas por Apple. Nuestras aplicaciones para Windows también están firmadas con nuestro certificado de confianza.

Las claves criptográficas, contraseñas y la configuración de seguridad se guardan y protegen en las aplicaciones. Nuestras aplicaciones se conectan a una API externa (BIMcollab), que requiere autenticación de usuario y configuración de proxy. Recordamos las credenciales del usuario, solo cuando el usuario lo selecciona, en formato ofuscado en el sistema de archivos/registro para mayor comodidad.

Se toman medidas para proteger contra la ingeniería inversa y la manipulación. La mayor parte de nuestro código es código compilado (C++), lo que dificulta la ingeniería inversa al código original. La parte que no está compilada (C#, JS) está ofuscada.
​

No se utilizan X-Frame-Options para prevenir clickjacking, además de la cabecera CSP como “frame-ancestors”. Contamos con nuestra propia solución contra clickjacking.

Los formularios web no están protegidos con tokens CSRF. Contamos con nuestra propia solución.

La limitación de tasa no está activada en los formularios web.

No se restringen los conjuntos de cifrado.

No se admiten las banderas de seguridad (secure flags).

Los componentes de código abierto utilizados se analizan como confiables por nuestros mejores medios: Colofón web de BIMcollab y Colofón de BIMcollab Zoom.

La aplicación no utiliza certificate pinning para todas las comunicaciones de red.
​

Se admite la redirección de HTTP a HTTPS (301).

Toda la comunicación con los formularios web se realiza a través de HTTPS.

El archivo robots.txt en la raíz del sitio web no es compatible (no aplica).

No se utilizan otras versiones que no sean TLS versión 1.2 o superior.
​

Inspeccionamos, controlamos y trabajamos con nuestros socios de la cadena de suministro en la nube para corregir errores de calidad de datos y riesgos asociados.

Los controles están diseñados e implementados para mitigar y contener los riesgos de seguridad de datos mediante la adecuada separación de funciones, acceso basado en roles y acceso de menor privilegio para todo el personal.

El código y las librerías utilizadas están actualizados y no contienen vulnerabilidades conocidas. Esto se verifica periódicamente en base a los informes de compilación. Para los componentes web, ejecutamos NPM audit.

La aplicación web siempre funciona a través de HTTPS.

No se utilizan certificados autofirmados o de autoridades de certificación no confiables en interfaces externas.

La Interfaz de Programación de Aplicaciones (API) está diseñada, desarrollada, implementada y probada de acuerdo con los estándares de la industria. Seguimos los estándares abiertos definidos por BuildingSmart.

Se admiten navegadores web antiguos hasta un límite razonable. Consulta nuestros requisitos del sistema.

Nuestra aplicación web no contiene banners de cookies.