BIMcollab está certificado en ISO-27001 desde noviembre de 2022.

BIMcollab está certificado en PCI-DSS. Por lo tanto, el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI-DSS) para la protección de datos de la Industria de Tarjetas de Pago es aplicable.

Se aplicarán las regulaciones de seguridad y gobernanza de los países relevantes del servicio en la nube y la residencia de datos.

Los informes de auditoría SOC 2 para SSAE 16 no están disponibles.

Hay revisiones y evaluaciones independientes planificadas al menos anualmente.

El cliente/corporación se reserva el derecho de auditoría de cumplimiento para la seguridad de los sistemas y procesos del servicio en la nube.

BIMcollab utiliza los centros de datos Tier 3++ de Interconnect, que están certificados en ISO9001, ISO14001, ISAE 3000, y reportes SOC 2 tipo 2. Ofrecen un estándar muy alto de infraestructura de red y alimentación energética eficiente. Esto asegura un juicio independiente sobre los principios de calidad: 'seguridad' y 'disponibilidad' del centro de datos y servicios en la nube.
​

La residencia de datos del servicio en la nube está restringida adecuadamente.

Todos los datos se almacenan en los Países Bajos, a menos que se utilice una instalación on-premise.

Todos los datos del cliente serán eliminados de manera segura del servicio en la nube al finalizar el servicio o a solicitud.

Tenemos políticas y procedimientos para la eliminación segura y completa de datos de todos los medios de almacenamiento. Esto asegura que los datos no sean recuperables por ningún medio forense.

Tenemos políticas para procedimientos y controles para proteger la confidencialidad y disponibilidad de las claves de cifrado.
​

Los compromisos de disponibilidad del servicio, incluida nuestra capacidad para recuperarnos de interrupciones, se pueden encontrar en nuestro Acuerdo de Nivel de Software.
​

Los datos de producción no se replicarán ni se utilizarán en entornos no productivos.

Todos los datos de clientes/corporaciones almacenados o procesados en los servicios en la nube son propiedad del cliente/corporación.

La política de uso de datos con respecto a los datos del cliente del servicio en la nube está claramente definida para prevenir el uso no autorizado de los datos del cliente.

Los BCF Managers no procesan datos personales. Obtener el consentimiento expreso de los sujetos de datos (es decir, Declaración de Recopilación de Información Personal) y cumplir en todos los aspectos con la Ordenanza de Privacidad de Datos Personales (PDPO), incluida la garantía de seguridad de los datos, el período de retención limitado al período necesario, etc., no es aplicable.

La aplicación de escritorio de BIMcollab recopila y procesa su dirección de correo electrónico y nombre, con el propósito de proporcionar y mejorar la funcionalidad del software, la experiencia del usuario y los servicios relacionados. Sus datos también pueden ser utilizados para la resolución de problemas, soporte técnico y comunicación sobre actualizaciones de software o cambios en los términos de uso. Estamos comprometidos a proteger su privacidad y asegurar que sus datos se procesen de acuerdo con las leyes de protección de datos aplicables.

Lea nuestra declaración de privacidad completa.

El Plan de Continuidad del Negocio está en marcha.
​

Los Términos de Uso proporcionados por el cliente no se incluirán. BIMcollab proporciona sus propios términos de uso. Solo los clientes/usuarios finales que acepten la Política y Términos pueden usar la aplicación.
​

El Acuerdo de Nivel de Servicio (SLA) es parte del Acuerdo Comercial y especifica el alcance de nuestro servicio.
​

Esta información se puede encontrar en nuestro Acuerdo de Nivel de Servicio.
​

Todos los servidores de bases de datos utilizados por BIMcollab Cloud están cifrados en reposo. Utilizamos el cifrado nativo de máquinas virtuales VMware vSphere compatible con módulos TPM, lo que garantiza que no se pueda acceder a los datos almacenados sin las claves criptográficas adecuadas. Esto protege los datos de los clientes en el improbable caso de que se produzca un acceso no autorizado a los sistemas de almacenamiento subyacentes.

Los servicios de utilidades y condiciones ambientales de nuestro centro de datos (por ejemplo, agua, energía, controles de temperatura y humedad, telecomunicaciones y conectividad a internet) están asegurados, monitoreados, mantenidos y probados para su efectividad continua en intervalos planificados para asegurar la protección contra la interceptación o daño no autorizado, y están diseñados con conmutación por error automatizada u otras redundancias en caso de interrupciones planificadas o no planificadas.
​

Se implementan perímetros de seguridad física (por ejemplo, cercas, muros, barreras, guardias, puertas, vigilancia electrónica, mecanismos de autenticación física, recepciones y patrullas de seguridad) para salvaguardar datos sensibles y sistemas de información.
​

Las políticas y procedimientos de seguridad de la información están implementados según lo especificado en ISO-27001.

Las políticas y procedimientos están parcialmente establecidos en cuanto a la seguridad del personal, incluyendo verificación de antecedentes, concienciación sobre seguridad y terminación.

Se realiza una copia de seguridad diaria de los datos del cliente con un período de retención de al menos 1 mes. La copia de seguridad está protegida físicamente y encriptada.

Nuestras copias de seguridad están geográficamente separadas de nuestro entorno de producción para garantizar la seguridad de los datos en caso de desastre.

Nuestras copias de seguridad son inmutables para proteger contra modificaciones accidentales y maliciosas de datos, encriptación, corrupción y eliminación. Esto también protege contra malware, ransomware, virus y otros ataques o percances de datos.

El plan de respuesta a incidentes de seguridad está documentado. Cualquier violación de seguridad que afecte al cliente será reportada a la persona responsable del cliente lo antes posible.

Todos los componentes caducados que potencialmente contienen datos son destruidos profesionalmente.

Un número limitado de ingenieros internos tiene acceso root a los servidores.

El acceso solo se puede lograr desde direcciones IP pre-aprobadas.

Todas las comunicaciones se realizan a través de líneas de comunicación encriptadas.
​

El sistema no admite autenticación ADFS. El soporte puede estar disponible al usar una instalación on-premise.

Se aplican controles de acceso para garantizar que solo los usuarios autorizados puedan acceder al servicio en la nube y a los datos.

Se implementan controles de acceso basados en roles para la segregación de funciones. Para más información sobre roles en el entorno BIMcollab, consulte el artículo Roles dentro del entorno BIMcollab.

Los entornos de producción y no producción están separados para prevenir el acceso no autorizado o cambios en los activos de información.

Las aplicaciones, sistemas de infraestructura y componentes de red (físicos y virtuales) de múltiples inquilinos, propiedad o gestionados organizacionalmente, están diseñados, desarrollados, desplegados y configurados de tal manera que el acceso de usuarios del proveedor y del cliente (inquilino) está segmentado adecuadamente de otros usuarios inquilinos. Cada inquilino tiene su propia instancia de la aplicación web así como su propia base de datos.

El entorno de gestión está separado para el acceso no autorizado por IP y también por autenticación de dos factores.

Los datos y el servicio están separados de otros consumidores del servicio. Todos los clientes operan en sus propios espacios, completamente separados entre sí.

La gestión del servicio se mantiene separada de otros clientes.

Se muestra un mensaje uniforme cuando se ingresa una combinación incorrecta de usuario/contraseña.
​

El sistema proporciona un mecanismo seguro para que un usuario restablezca su propia contraseña.

La contraseña no se almacena en un hash salado unidireccional en el sistema.

La contraseña se almacena de manera segura en la base de datos.

El sistema puede imponer contraseñas fuertes de al menos 8 caracteres de longitud y con una composición compleja.

El sistema impone el cambio periódico de la contraseña de las cuentas de usuario.

El sistema previene ataques de fuerza bruta a las contraseñas.

El sistema admite la autenticación de dos factores.

El Espacio BIMcollab está protegido por un firewall que solo permite el tráfico necesario desde una red de confianza.

Los espacios están protegidos por un IDS/IPS de redes no confiables.

El espacio tiene mitigación contra un ataque DDoS.

Los servidores están protegidos por software antivirus con protección en tiempo real y un escaneo completo programado.

La aplicación web está protegida por un Firewall de Aplicaciones Web o es escaneada periódicamente por un escáner de aplicaciones web para asegurarse de que no haya vulnerabilidades conocidas en la aplicación web.

La aplicación solo es accesible por IPv4 o IPv6.

Los puertos TCP/UDP abiertos están limitados al mínimo, y todos los demás están en modo sigiloso.

Se impone la comunicación SSL.

Se implementa un Firewall de Aplicaciones Web (lista blanca) para seguridad adicional.

La transmisión de datos está encriptada. El acceso web está encriptado por TLS 1.2 o superior usando cifrado fuerte con Perfect Forward Secrecy (PFS). La transferencia de archivos está encriptada por SFTP.

Al usar una instalación on-premise y se utiliza el dominio del cliente en el acceso web, el certificado SSL/TLS es proporcionado por el cliente o el certificado es proporcionado por el sistema y está firmado por una CA de confianza en la industria. Esto depende completamente del cliente.

Los datos en tránsito están protegidos entre el dispositivo del usuario final del consumidor y el servicio.

El almacenamiento de datos personales cumple con el GDPR.
​

Los eventos de seguridad de las actividades de la cuenta de usuario se registran y se mantienen durante 3 meses.

Los entornos de red y las instancias virtuales están diseñados y configurados para restringir y monitorear el tráfico entre conexiones de confianza y no confiables.

El registro y la notificación de eventos de seguridad están disponibles a solicitud y activados.
​

Los servidores están configurados y reforzados de acuerdo con una línea base de configuración segura.

Existe un proceso de gestión de amenazas y vulnerabilidades en el que se instalan parches de seguridad en el sistema operativo, aplicaciones e infraestructura de red de manera regular y oportuna.

Se realizan escaneos de vulnerabilidades y pruebas de penetración regularmente. El informe de escaneo y prueba con resultados detallados puede compartirse después de firmar un acuerdo de confidencialidad (NDA).

Los registros de auditoría de seguridad están disponibles para el personal autorizado del cliente en caso de una investigación de seguridad.

Se realizan evaluaciones formales de riesgos al menos anualmente o en intervalos planificados (y en conjunto con cualquier cambio en los sistemas de información) para determinar la probabilidad e impacto de todos los riesgos identificados.

Se cuenta con gestión de vulnerabilidades y parches.

Las cuentas y credenciales específicas de equipos redundantes se eliminan tan pronto como el equipo se retira de servicio, para reducir su valor para un atacante.

Se evalúan nuevas amenazas potenciales, vulnerabilidades o técnicas de explotación que podrían afectar el servicio y se toman medidas correctivas. Todas las actualizaciones de seguridad se instalan lo antes posible.

La gravedad de las amenazas y vulnerabilidades se considera dentro del contexto del servicio y esta información se utiliza para priorizar la implementación de mitigaciones. Todos los riesgos de alta gravedad se abordan de inmediato.

Las vulnerabilidades conocidas dentro del servicio se registran y rastrean en nuestras herramientas, hasta que se hayan implementado mitigaciones adecuadas a través de un proceso de gestión de cambios adecuado.
​

No hay números de versión de software del servidor web o aplicación en los encabezados http.

No hay números de versión de software en la página de la aplicación antes de iniciar sesión.

Las direcciones IP internas, nombres de host, nombres de dominio y otra información interna no son visibles para otros.

Las páginas predeterminadas se eliminan o reemplazan.

Todo el manejo de errores se captura con páginas personalizadas. (404, 500, etc.).

No se utiliza modo de depuración ni descripciones de errores elaboradas.

Las páginas de demostración y documentación se eliminan del servidor.

El contenido está solo en HTTPS y no está mezclado.

Tenemos nuestra propia solución contra el clickjacking.

Los métodos HTTP están restringidos al mínimo (GET, POST).

El sitemap.xml contiene referencias a páginas de soporte como páginas 404 o 500.

El nombre de usuario y la contraseña no se guardan en cookies.

Se implementa una protección SameSite (Secure o Lax) contra ataques de falsificación de solicitud entre sitios (CSRF).

Se admiten atributos de edad máxima.

Se admiten atributos de dominio/ruta.

Las API (REST-) están protegidas para no revelar información innecesaria.

Se utiliza firma de código para las aplicaciones. Las aplicaciones de Mac están firmadas con nuestro certificado, notarizadas por Apple. Nuestras aplicaciones de Windows también están firmadas con nuestro certificado de confianza.

Las claves criptográficas, contraseñas y configuraciones de seguridad se guardan y protegen en las aplicaciones. Nuestras aplicaciones se conectan a una API externa (BIMcollab), que requiere autenticación de usuario y configuraciones de proxy. Recordamos las credenciales del usuario, solo cuando el usuario lo selecciona, en formato ofuscado en el sistema de archivos/registro para mayor facilidad de uso.

Se toman medidas para proteger contra la ingeniería inversa y la manipulación. La mayor parte de nuestro código es código compilado (C++), lo que dificulta la ingeniería inversa al código original. La parte que no está compilada (C#, JS) está ofuscada.
​

No se utilizan X-Frame-Options para prevenir el clickjacking, además del encabezado CSP como “frame-ancestors”. Tenemos nuestra propia solución contra el clickjacking.

Los formularios web no están protegidos con tokens CSRF. Tenemos nuestra propia solución.

No se activa la limitación de tasa en los formularios web.

No se restringen los conjuntos de cifrado.

No se admiten banderas seguras.

Los componentes de código abierto utilizados se analizan como confiables por nuestros mejores medios: colofón web de BIMcollab y colofón de la aplicación de escritorio de BIMcollab.

La aplicación no utiliza fijación de certificados para todas las comunicaciones de red.
​

Se admite la redirección de HTTP a HTTPS (301).

Toda la comunicación con formularios web se realiza a través de HTTPS.

El archivo Robots.txt en la raíz del sitio web no es compatible (no aplicable).

No se utilizan otras versiones que no sean TLS versión 1.2 o superior.
​

Inspeccionamos, contabilizamos y trabajamos con nuestros socios de la cadena de suministro en la nube para corregir errores de calidad de datos y riesgos asociados.

Se diseñan e implementan controles para mitigar y contener los riesgos de seguridad de datos mediante la adecuada separación de funciones, acceso basado en roles y acceso de menor privilegio para todo el personal.

El código y las bibliotecas de código utilizados están actualizados y no contienen vulnerabilidades conocidas. Esto se verifica periódicamente en base a informes de compilación. Para los componentes web, ejecutamos NPM audit.

La aplicación web siempre se ejecuta a través de HTTPS.

No se utilizan certificados CA autofirmados o no confiables en interfaces externas.

La Interfaz de Programación de Aplicaciones (API) está diseñada, desarrollada, implementada y probada de acuerdo con los estándares de la industria. Seguimos los estándares abiertos definidos por BuildingSmart.

Los navegadores web más antiguos son compatibles hasta un límite razonable. Vea nuestros requisitos del sistema.

Nuestra aplicación web no contiene banners de cookies.