BIMcollab est certifié ISO-27001 depuis novembre 2022.

BIMcollab est certifié PCI-DSS. Par conséquent, la norme PCI-DSS (Payment Card Industry Data Security Standard) pour la protection des données de l’industrie des cartes de paiement s’applique.

Les réglementations et la gouvernance en matière de sécurité des pays concernés par le service cloud et la résidence des données sont appliquées.

Les rapports d’audit SOC 2 pour SSAE 16 ne sont pas disponibles.

Des revues et évaluations indépendantes sont prévues au moins une fois par an.

Le client/l’entreprise se réserve le droit d’auditer la conformité de la sécurité des systèmes et processus du service cloud.

BIMcollab utilise les datacenters Tier 3++ d’Interconnect, certifiés ISO9001, ISO14001, ISAE 3000 et reporting SOC 2 type 2. Ils offrent un très haut niveau d’infrastructure réseau et une alimentation économe en énergie. Cela garantit une évaluation indépendante des principes de qualité : « sécurité » et « disponibilité » du centre de données et des services cloud.
​

La résidence des données du service cloud est restreinte de manière appropriée.

Toutes les données sont stockées aux Pays-Bas, sauf en cas d’installation on-premise.

Toutes les données du client sont effacées de manière sécurisée du service cloud à la résiliation du service ou sur demande.

Nous avons des politiques et procédures pour l’élimination sécurisée et la suppression complète des données de tous les supports de stockage. Cela garantit que les données ne sont pas récupérables par des moyens d’investigation.

Nous avons des politiques pour les procédures et contrôles visant à protéger la confidentialité et la disponibilité des clés de chiffrement.
​

Les engagements de disponibilité du service, y compris notre capacité à récupérer après des interruptions, sont détaillés dans notre Software Level Agreement.
​

Les données de production ne sont pas répliquées ni utilisées dans des environnements non productifs.

Toutes les données des clients/entreprises stockées ou traitées sur les services cloud appartiennent au client/à l’entreprise.

La politique d’utilisation des données concernant les données clients du service cloud est clairement définie afin d’empêcher toute utilisation non autorisée des données clients.

Les BCF manager ne traitent pas de données personnelles. L’obtention du consentement exprès des personnes concernées (c’est-à-dire la déclaration de collecte d’informations personnelles) et le respect de tous les aspects de la loi sur la confidentialité des données personnelles (PDPO), y compris la garantie de sécurité des données, la durée de conservation limitée à la période nécessaire, etc., ne s’appliquent pas.

BIMcollab Zoom collecte et traite votre adresse e-mail et votre nom, dans le but de fournir et d’améliorer les fonctionnalités du logiciel, l’expérience utilisateur et les services associés. Vos données peuvent également être utilisées pour le dépannage, l’assistance technique et la communication concernant les mises à jour logicielles ou les modifications des conditions d’utilisation. Nous nous engageons à protéger votre vie privée et à garantir que vos données sont traitées conformément aux lois applicables sur la protection des données.

Lisez notre déclaration de confidentialité complète.
​

Un plan de continuité d’activité est en place.
​

Les conditions d’utilisation fournies par le client ne sont pas prises en compte. BIMcollab propose ses propres conditions d’utilisation. Seuls les clients/utilisateurs finaux qui acceptent la Politique & Conditions sont autorisés à utiliser l’application.
​

Le Service Level Agreement (SLA) fait partie de l’accord commercial et précise la portée de notre service.
​

Cette information est disponible dans notre Service Level Agreement.
​

Tous les serveurs de base de données utilisés par BIMcollab Cloud sont chiffrés au repos. Nous utilisons le chiffrement natif des VM VMware vSphere, pris en charge par des modules TPM, garantissant que les données stockées ne peuvent pas être accessibles sans les clés cryptographiques appropriées. Cela protège les données des clients en cas d’accès non autorisé aux systèmes de stockage sous-jacents.
​

Les services d’utilités et les conditions environnementales de notre centre de données (par exemple, eau, électricité, contrôle de la température et de l’humidité, télécommunications et connectivité Internet) sont sécurisés, surveillés, maintenus et testés à intervalles planifiés pour garantir leur efficacité continue et assurer la protection contre toute interception ou dommage non autorisé. Ils sont conçus avec des systèmes de basculement automatique ou d’autres redondances en cas de perturbations planifiées ou imprévues.
​

Des périmètres de sécurité physique (par exemple, clôtures, murs, barrières, gardiens, portails, surveillance électronique, mécanismes d’authentification physique, accueils et rondes de sécurité) sont mis en place pour protéger les données sensibles et les systèmes d’information.
​

Des politiques et procédures de sécurité de l’information sont en place, comme spécifié dans l’ISO-27001.

Des politiques et procédures sont partiellement établies concernant la sécurité du personnel, y compris la vérification des antécédents, la sensibilisation à la sécurité et la fin de contrat.

Une sauvegarde quotidienne des données clients est effectuée avec une durée de conservation d’au moins 1 mois. La sauvegarde est physiquement protégée et chiffrée.

Nos sauvegardes sont géographiquement séparées de notre environnement de production pour garantir la sécurité des données en cas de sinistre.

Nos sauvegardes sont immuables pour se protéger contre toute modification, chiffrement, corruption ou suppression accidentelle ou malveillante des données. Cela protège également contre les logiciels malveillants, ransomwares, virus et autres attaques ou incidents de données.

Le plan de réponse aux incidents de sécurité est documenté. Toute violation de sécurité affectant un client sera signalée à la personne responsable chez le client dès que possible.

Tous les composants expirés pouvant contenir des données sont détruits de manière professionnelle.

Un nombre limité d’ingénieurs internes ont un accès root aux serveurs.

L’accès n’est possible qu’à partir d’adresses IP pré-approuvées.

Toutes les communications sont effectuées via des lignes de communication chiffrées.
​

Le système ne prend pas en charge l’authentification ADFS. Un support peut être proposé lors de l’utilisation d’une installation on-premise.

Des contrôles d’accès sont appliqués pour garantir que seuls les utilisateurs autorisés peuvent accéder au service cloud et aux données.

Des contrôles d’accès basés sur les rôles sont mis en place pour la séparation des tâches. Pour plus d’informations sur les rôles dans l’environnement BIMcollab, consultez l’article Rôles dans l’environnement BIMcollab.

Les environnements de production et non production sont séparés pour éviter tout accès ou modification non autorisé des actifs d’information.

Les applications, systèmes d’infrastructure et composants réseau multi-locataires, détenus ou gérés par l’organisation (physiques et virtuels), sont conçus, développés, déployés et configurés de sorte que l’accès des utilisateurs du fournisseur et du client (locataire) soit correctement segmenté des autres utilisateurs locataires. Chaque locataire dispose de sa propre instance de l’application web ainsi que de sa propre base de données.

L’environnement de gestion est séparé pour empêcher tout accès non autorisé par IP et également par authentification à deux facteurs.

Les données et le service sont séparés des autres utilisateurs du service. Tous les clients disposent de leurs propres espaces, totalement séparés les uns des autres.

La gestion du service est séparée de celle des autres clients.

Un message uniforme s’affiche lorsqu’une mauvaise combinaison utilisateur/mot de passe est saisie.
​

Le système propose un mécanisme sécurisé permettant à l’utilisateur de réinitialiser son propre mot de passe.

Le mot de passe est stocké dans le système sous forme de hash salé à sens unique.

Le mot de passe est stocké de manière sécurisée dans la base de données.

Le système peut imposer des mots de passe forts d’au moins 8 caractères et avec une composition complexe.

L’application de changements périodiques de mot de passe peut être gérée par le client.

Le système empêche les attaques par force brute sur les mots de passe.

Le système prend en charge l’authentification à deux facteurs.

L’espace BIMcollab est protégé par un pare-feu qui n’autorise que le trafic nécessaire provenant d’un réseau de confiance.

Les espaces sont protégés par un IDS/IPS contre les réseaux non fiables.

L’espace dispose de mesures de protection contre les attaques DDoS.

Les serveurs sont protégés par un antivirus avec protection en temps réel et une analyse complète planifiée.

L’application web est protégée par un pare-feu applicatif web ou scannée périodiquement par un scanner d’application web pour s’assurer qu’il n’existe aucune vulnérabilité connue.

L’application n’est accessible que via IPv4 ou IPv6.

Les ports TCP/UDP ouverts sont limités au strict minimum, tous les autres étant en mode furtif.

La communication SSL est imposée.

Un pare-feu applicatif web (liste blanche) est en place pour une sécurité supplémentaire.

La transmission des données est chiffrée. L’accès web est chiffré par TLS 1.2 ou supérieur avec des algorithmes robustes et Perfect Forward Secrecy (PFS). Le transfert de fichiers est chiffré par SFTP.

Lors de l’utilisation d’une installation on-premise et si le domaine client est utilisé pour l’accès web, le certificat SSL/TLS est fourni par le client ou par le système, signé par une autorité de certification reconnue. Cela dépend entièrement du client.

Les données en transit sont protégées entre le terminal de l’utilisateur et le service.

Le stockage des données personnelles est conforme au RGPD.
​

Les événements de sécurité liés aux activités des comptes utilisateurs sont enregistrés et conservés pendant 3 mois.

Les environnements réseau et les instances virtuelles sont conçus et configurés pour restreindre et surveiller le trafic entre les connexions de confiance et non fiables.

La journalisation et la notification des événements de sécurité sont disponibles sur demande et activées.
​

Les serveurs sont configurés et renforcés selon une base de configuration sécurisée.

Un processus de gestion des menaces et des vulnérabilités est en place, avec installation régulière et rapide des correctifs de sécurité sur les systèmes d’exploitation, applications et infrastructures réseau.

Des analyses de vulnérabilité et des tests de pénétration sont réalisés régulièrement. Le rapport d’analyse et de test avec les résultats détaillés peut être partagé après signature d’un accord de confidentialité (NDA).

Les journaux d’audit de sécurité sont accessibles au personnel autorisé du client en cas d’enquête de sécurité.

Des évaluations formelles des risques sont réalisées au moins une fois par an ou à intervalles planifiés (et lors de tout changement des systèmes d’information) pour déterminer la probabilité et l’impact de tous les risques identifiés.

La gestion des vulnérabilités et des correctifs est en place.

Les comptes et identifiants spécifiques à un équipement redondant sont supprimés dès que l’équipement est mis hors service, afin de réduire leur valeur pour un attaquant.

Les nouvelles menaces potentielles, vulnérabilités ou techniques d’exploitation pouvant affecter le service sont évaluées et des mesures correctives sont prises. Toutes les mises à jour de sécurité sont installées dès que possible.

La gravité des menaces et vulnérabilités est évaluée dans le contexte du service et cette information est utilisée pour prioriser la mise en œuvre des mesures correctives. Tous les risques de gravité élevée sont traités immédiatement.

Les vulnérabilités connues au sein du service sont enregistrées et suivies dans nos outils, jusqu’à ce que des mesures correctives appropriées soient déployées via un processus de gestion des changements adapté.
​

Il n’y a pas de numéros de version du logiciel du serveur web ou de l’application dans les en-têtes http.

Il n’y a pas de numéros de version du logiciel sur la page de l’application avant la connexion.

Les adresses IP internes, noms d’hôtes, noms de domaine et autres informations internes ne sont pas visibles par d’autres.

Les pages par défaut sont supprimées ou remplacées.

Toutes les erreurs sont gérées avec des pages personnalisées (404, 500, etc.).

Aucun mode Debug ou description détaillée des erreurs n’est utilisé.

Les pages de démonstration et la documentation sont supprimées du serveur.

Le contenu est uniquement en HTTPS et non mixte.

Nous avons notre propre solution contre le clickjacking.

Les méthodes HTTP sont limitées au minimum (GET, POST).

Le fichier sitemap.xml contient des références à des pages d’assistance telles que les pages 404 ou 500.

Le nom d’utilisateur et le mot de passe ne sont pas enregistrés dans les cookies.

Une protection SameSite (Secure ou Lax) contre les attaques Cross-Site Request Forgery (CSRF) est en place.

Les attributs max age sont pris en charge.

Les attributs de domaine/path sont pris en charge.

Les API (REST) sont protégées pour ne pas divulguer d’informations inutiles.

La signature de code est utilisée pour les applications. Les applications Mac sont signées avec notre certificat, notariées par Apple. Nos applications Windows sont également signées avec notre certificat de confiance.

Les clés cryptographiques, mots de passe et paramètres de sécurité sont enregistrés et protégés dans les applications. Nos applications se connectent à une API externe (BIMcollab), qui nécessite une authentification utilisateur et des paramètres proxy. Nous mémorisons les identifiants utilisateur, uniquement si l’utilisateur le choisit, sous une forme obfusquée dans le système de fichiers/registre pour plus de convivialité.

Des mesures sont prises pour se protéger contre l’ingénierie inverse et la manipulation. La majorité de notre code est compilé (C++), ce qui rend difficile la rétro-ingénierie vers le code d’origine. La partie non compilée (C#, JS) est obfusquée.
​

Les X-Frame-Options ne sont pas utilisées pour prévenir le clickjacking, en plus de l’en-tête CSP “frame-ancestors”. Nous avons notre propre solution contre le clickjacking.

Les formulaires web ne sont pas protégés par des jetons CSRF. Nous avons notre propre solution.

La limitation du taux n’est pas activée sur les formulaires web.

Les suites de chiffrement ne sont pas restreintes.

Les indicateurs Secure ne sont pas pris en charge.

Les composants open source utilisés sont analysés comme fiables selon nos meilleurs moyens : Colophon web BIMcollab et Colophon BIMcollab Zoom.

L’application n’utilise pas le certificate pinning pour toutes les communications réseau.
​

La redirection HTTP vers HTTPS (301) est prise en charge.

Toutes les communications avec les formulaires web se font via HTTPS.

Le fichier robots.txt à la racine du site n’est pas pris en charge (non applicable).

Aucune autre version que TLS 1.2 ou supérieure n’est utilisée.
​

Nous inspectons, prenons en compte et travaillons avec nos partenaires de la chaîne d’approvisionnement cloud pour corriger les erreurs de qualité des données et les risques associés.

Des contrôles sont conçus et mis en œuvre pour atténuer et contenir les risques de sécurité des données grâce à une séparation appropriée des tâches, un accès basé sur les rôles et un accès au strict nécessaire pour tout le personnel.

Le code utilisé et les bibliothèques de code sont à jour et ne contiennent pas de vulnérabilités connues. Ceci est vérifié périodiquement sur la base des reports de build. Pour les composants web, nous exécutons un audit NPM.

L’application web fonctionne toujours via HTTPS.

Aucun certificat auto-signé ou d’autorité de certification non fiable n’est utilisé sur les interfaces externes.

L’Application Programming Interface (API) est conçue, développée, déployée et testée conformément aux standards de l’industrie. Nous suivons les open standards définis par BuildingSmart.

Les anciens navigateurs web sont pris en charge dans une certaine limite raisonnable. Voir nos exigences système.

Notre application web ne contient pas de bandeaux de cookies.