BIMcollab est certifié ISO-27001 depuis novembre 2022.

BIMcollab est certifié PCI-DSS. Par conséquent, la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) pour la protection des données de l'industrie des cartes de paiement est applicable.

Les réglementations de sécurité et la gouvernance des pays concernés par le service cloud et la résidence des données doivent être appliquées.

Les rapports d'audit SOC 2 pour SSAE 16 ne sont pas disponibles.

Des révisions et évaluations indépendantes sont prévues au moins une fois par an.

Le client/société se réserve le droit d'audit de conformité pour la sécurité des systèmes et processus du service cloud.

BIMcollab utilise les centres de données Tier 3++ d'Interconnect, qui sont certifiés sur ISO9001, ISO14001, ISAE 3000, et rapport SOC 2 type 2. Ils offrent un très haut standard d'infrastructure réseau et d'alimentation économe en énergie. Cela garantit un jugement indépendant sur les principes de qualité : 'sécurité' et 'disponibilité' du centre de données et des services cloud.
​

La résidence des données du service cloud est restreinte de manière appropriée.

Toutes les données sont stockées aux Pays-Bas sauf en cas d'utilisation d'une installation sur site.

Toutes les données du client doivent être effacées de manière sécurisée du service cloud à la fin du service ou sur demande.

Nous avons des politiques et procédures pour l'élimination sécurisée et la suppression complète des données de tous les supports de stockage. Cela garantit que les données ne sont pas récupérables par des moyens d'investigation.

Nous avons des politiques pour les procédures et contrôles visant à protéger la confidentialité et la disponibilité des clés de chiffrement.
​

Les engagements de disponibilité du service, y compris notre capacité à récupérer après des pannes, peuvent être trouvés dans notre Accord de Niveau de Service.
​

Les données de production ne doivent pas être répliquées ou utilisées dans des environnements non productifs.

Toutes les données des clients/sociétés stockées ou traitées sur les services cloud appartiennent au client/société.

La politique d'utilisation des données concernant les données des clients du service cloud est clairement définie pour prévenir toute utilisation non autorisée des données des clients.

Les BCF Managers ne traitent pas les données personnelles. Obtenir le consentement exprès des personnes concernées (c'est-à-dire la Déclaration de Collecte d'Informations Personnelles) et se conformer à tous les aspects de l'Ordonnance sur la Confidentialité des Données Personnelles (PDPO), y compris l'assurance de la sécurité des données, la période de rétention limitée à la période nécessaire, etc., n'est pas applicable.

L'application bureau BIMcollab collecte et traite votre adresse e-mail et votre nom, dans le but de fournir et d'améliorer la fonctionnalité du logiciel, l'expérience utilisateur et les services associés. Vos données peuvent également être utilisées pour le dépannage, le support technique et la communication concernant les mises à jour logicielles ou les modifications des conditions d'utilisation. Nous nous engageons à protéger votre vie privée et à garantir que vos données sont traitées conformément aux lois applicables sur la protection des données.

Lisez notre déclaration de confidentialité complète.

Un Plan de Continuité des Activités est en place.
​

Les conditions d'utilisation fournies par le client ne doivent pas être incluses. BIMcollab fournit ses propres conditions d'utilisation. Seuls les clients/utilisateurs finaux qui acceptent la Politique & Conditions sont autorisés à utiliser l'application.
​

L'Accord de Niveau de Service (SLA) fait partie de l'Accord Commercial et spécifie la portée de notre service.
​

Cette information peut être trouvée dans notre Accord de Niveau de Service.
​

Tous les serveurs de bases de données utilisés par BIMcollab Cloud sont chiffrés au repos. Nous utilisons le chiffrement VM natif VMware vSphere pris en charge par les modules TPM, garantissant ainsi que les données stockées ne sont pas accessibles sans les clés cryptographiques appropriées. Cela protège les données des clients dans le cas improbable d'un accès non autorisé aux systèmes de stockage sous-jacents.

Les services d'utilité de notre centre de données et les conditions environnementales (par exemple, eau, électricité, contrôle de la température et de l'humidité, télécommunications et connectivité Internet) sont sécurisés, surveillés, maintenus et testés pour une efficacité continue à des intervalles planifiés afin d'assurer une protection contre toute interception ou dommage non autorisé, et conçus avec un basculement automatique ou d'autres redondances en cas de perturbations planifiées ou non planifiées.
​

Des périmètres de sécurité physique (par exemple, clôtures, murs, barrières, gardes, portails, surveillance électronique, mécanismes d'authentification physique, bureaux de réception et patrouilles de sécurité) sont mis en place pour protéger les données sensibles et les systèmes d'information.
​

Les politiques et procédures de sécurité de l'information sont en place comme spécifié dans l'ISO-27001.

Les politiques et procédures sont partiellement établies concernant la sécurité du personnel, y compris la vérification des antécédents, la sensibilisation à la sécurité et la cessation d'emploi.

Il y a une sauvegarde quotidienne des données clients avec une période de rétention d'au moins 1 mois. La sauvegarde est physiquement protégée et chiffrée.

Nos sauvegardes sont géographiquement séparées de notre environnement de production pour assurer la sécurité des données en cas de catastrophe.

Nos sauvegardes sont immuables pour se protéger contre les modifications, le chiffrement, la corruption et la suppression accidentels et malveillants des données. Cela protège également contre les logiciels malveillants, les ransomwares, les virus et autres attaques ou incidents de données.

Le plan de réponse aux incidents de sécurité est documenté. Toute violation de sécurité affectant le client sera signalée à la personne responsable du client dès que possible.

Tous les composants expirés contenant potentiellement des données sont détruits de manière professionnelle.

Un nombre limité d'ingénieurs internes ont un accès root aux serveurs.

L'accès ne peut être obtenu qu'à partir d'adresses IP pré-approuvées.

Toutes les communications sont effectuées sur des lignes de communication chiffrées.
​

Le système ne prend pas en charge l'authentification ADFS. Le support peut être disponible lors de l'utilisation d'une installation sur site.

Les contrôles d'accès sont appliqués pour garantir que seuls les utilisateurs autorisés peuvent accéder au service cloud et aux données.

Des contrôles d'accès basés sur les rôles sont mis en œuvre pour la séparation des tâches. Pour plus d'informations sur les rôles dans l'environnement BIMcollab, consultez l'article Rôles dans l'environnement BIMcollab.

Les environnements de production et non-production sont séparés pour prévenir tout accès ou modification non autorisés des actifs d'information.

Les applications, systèmes d'infrastructure et composants réseau (physiques et virtuels) multi-locataires, appartenant ou gérés par l'organisation, sont conçus, développés, déployés et configurés de manière à ce que l'accès des utilisateurs du fournisseur et du client (locataire) soit correctement segmenté des autres utilisateurs locataires. Chaque locataire dispose de sa propre instance de l'application web ainsi que de sa propre base de données.

L'environnement de gestion est séparé pour un accès non autorisé par IP et également par authentification à deux facteurs.

Les données et le service sont séparés des autres consommateurs du service. Tous les clients fonctionnent dans leurs propres espaces, complètement séparés les uns des autres.

La gestion du service est maintenue séparée des autres clients.

Un message uniforme est affiché lorsqu'une mauvaise combinaison utilisateur/mot de passe est entrée.
​

Le système fournit un mécanisme sécurisé pour qu'un utilisateur réinitialise son propre mot de passe.

Le mot de passe n'est pas stocké dans un hachage salé à sens unique dans le système.

Le mot de passe est stocké en toute sécurité dans la base de données.

Le système peut imposer des mots de passe forts d'au moins 8 caractères de long et avec une composition complexe.

Le système impose un changement périodique du mot de passe des comptes utilisateurs.

Le système empêche les attaques par force brute sur les mots de passe.

Le système prend en charge l'authentification à deux facteurs.

L'espace BIMcollab est protégé par un pare-feu qui n'autorise que le trafic nécessaire provenant d'un réseau de confiance.

Les espaces sont protégés par un IDS/IPS contre les réseaux non fiables.

L'espace dispose de mesures d'atténuation contre une attaque DDoS.

Les serveurs sont protégés par un logiciel antivirus avec protection en temps réel et une analyse complète programmée.

L'application web est protégée par un pare-feu d'application web ou est périodiquement analysée par un scanner d'application web pour s'assurer qu'il n'y a pas de vulnérabilités connues de l'application web.

L'application n'est accessible que par IPv4 ou IPv6.

Les ports TCP/UDP ouverts sont limités au minimum, et tous les autres sont en mode furtif.

La communication SSL est appliquée.

Un pare-feu d'application web (liste blanche) est en place pour une sécurité supplémentaire.

La transmission des données est chiffrée. L'accès web est chiffré par TLS 1.2 ou supérieur en utilisant un chiffrement fort avec Perfect Forward Secrecy (PFS). Le transfert de fichiers est chiffré par SFTP.

Lors de l'utilisation d'une installation sur site et que le domaine client est utilisé dans l'accès web, le certificat SSL/TLS est fourni par le client ou le certificat est fourni par le système qui est signé par une autorité de certification de confiance de l'industrie. Cela dépend entièrement du client.

Les données en transit sont protégées entre le dispositif de l'utilisateur final du consommateur et le service.

Le stockage des données personnelles est conforme au RGPD.
​

Les événements de sécurité des activités des comptes utilisateurs sont enregistrés et conservés pendant 3 mois.

Les environnements réseau et les instances virtuelles sont conçus et configurés pour restreindre et surveiller le trafic entre les connexions de confiance et non fiables.

La journalisation et la notification des événements de sécurité sont disponibles sur demande et activées.
​

Les serveurs sont configurés et renforcés selon une base de configuration sécurisée.

Un processus de gestion des menaces et des vulnérabilités est en place, où les correctifs de sécurité sont installés sur le système d'exploitation, les applications et l'infrastructure réseau régulièrement et en temps opportun.

Des analyses de vulnérabilité et des tests de pénétration réguliers sont effectués. Le rapport d'analyse et de test avec des résultats détaillés peut être partagé après la signature d'un accord de confidentialité (NDA).

Les journaux d'audit de sécurité sont disponibles pour le personnel autorisé du client en cas d'enquête de sécurité.

Des évaluations formelles des risques sont effectuées au moins une fois par an ou à des intervalles planifiés (et en conjonction avec tout changement aux systèmes d'information) pour déterminer la probabilité et l'impact de tous les risques identifiés.

La gestion des vulnérabilités et des correctifs est en place.

Les comptes et identifiants spécifiques à l'équipement redondant sont supprimés dès que l'équipement est mis hors service, pour réduire leur valeur pour un attaquant.

Les nouvelles menaces potentielles, vulnérabilités ou techniques d'exploitation qui pourraient affecter le service sont évaluées et des mesures correctives sont prises. Toutes les mises à jour de sécurité sont installées dès que possible.

La gravité des menaces et des vulnérabilités est considérée dans le contexte du service et cette information est utilisée pour prioriser la mise en œuvre des atténuations. Tous les risques de haute gravité sont traités immédiatement.

Les vulnérabilités connues au sein du service sont enregistrées et suivies dans nos outils, jusqu'à ce que des atténuations appropriées aient été déployées via un processus de gestion des changements approprié.
​

Il n'y a pas de numéros de version du logiciel du serveur web ou de l'application dans les en-têtes http.

Il n'y a pas de numéros de version du logiciel sur la page de l'application avant la connexion.

Les adresses IP internes, les noms d'hôte, les noms de domaine et d'autres informations internes ne sont pas visibles pour les autres.

Les pages par défaut sont supprimées ou remplacées.

Tous les traitements d'erreur sont capturés avec des pages personnalisées. (404, 500, etc.).

Aucun mode de débogage ou description d'erreur élaborée n'est utilisé.

Les pages de démonstration et la documentation sont supprimées du serveur.

Le contenu est uniquement en HTTPS et non mixte.

Nous avons notre propre solution contre le clickjacking.

Les méthodes HTTP sont restreintes au minimum (GET, POST).

Le fichier sitemap.xml contient des références aux pages de support telles que les pages 404 ou 500.

Le nom d'utilisateur et le mot de passe ne sont pas enregistrés dans les cookies.

Une protection SameSite (Secure ou Lax) contre les attaques Cross-Site Request Forgery (CSRF) est en place.

Les attributs de durée maximale sont pris en charge.

Les attributs de domaine/chemin sont pris en charge.

Les API (REST-) sont protégées pour ne pas divulguer d'informations inutiles.

La signature de code est utilisée pour les applications. Les applications Mac sont signées avec notre certificat, notariées par Apple. Nos applications Windows sont également signées avec notre certificat de confiance.

Les clés cryptographiques, mots de passe et paramètres de sécurité sont enregistrés et protégés dans les applications. Nos applications se connectent à une API externe (BIMcollab), qui nécessite une authentification utilisateur et des paramètres de proxy. Nous mémorisons les identifiants utilisateur, uniquement lorsque sélectionné par l'utilisateur, dans un format obfusqué dans le système de fichiers/registre pour plus de convivialité.

Des mesures sont prises pour se protéger contre l'ingénierie inverse et la manipulation. La plupart de notre code est du code compilé (C++), ce qui rend difficile l'ingénierie inverse vers le code original. La partie qui n'est pas compilée (C#, JS) est obfusquée.
​

Les X-Frame-Options ne sont pas utilisées pour prévenir le clickjacking, en plus de l'en-tête CSP comme “frame-ancestors”. Nous avons notre propre solution contre le clickjacking.

Les formulaires web ne sont pas protégés avec des jetons CSRF. Nous avons notre propre solution.

La limitation de débit n'est pas activée sur les formulaires web.

Les suites de chiffrement ne sont pas restreintes.

Les drapeaux sécurisés ne sont pas pris en charge.

Les composants open-source utilisés sont analysés comme fiables par nos meilleurs moyens : colophon web BIMcollab et colophon de l'application bureau BIMcollab.

L'application n'utilise pas de pinning de certificat pour toutes les communications réseau.
​

La redirection HTTP vers HTTPS (301) est prise en charge.

Toutes les communications avec les formulaires web sont effectuées via HTTPS.

Le fichier robots.txt à la racine du site web n'est pas pris en charge (non applicable).

Aucune autre version que la version TLS 1.2 ou supérieure n'est utilisée.
​

Nous inspectons, prenons en compte et travaillons avec nos partenaires de la chaîne d'approvisionnement cloud pour corriger les erreurs de qualité des données et les risques associés.

Des contrôles sont conçus et mis en œuvre pour atténuer et contenir les risques de sécurité des données grâce à une séparation appropriée des tâches, un accès basé sur les rôles et un accès au moindre privilège pour tout le personnel.

Le code utilisé et les bibliothèques de code sont à jour et ne contiennent pas de vulnérabilités connues. Cela est vérifié périodiquement sur la base des rapports de construction. Pour les composants web, nous exécutons un audit NPM.

L'application web fonctionne toujours via HTTPS.

Aucun certificat CA auto-signé ou non fiable n'est utilisé sur les interfaces externes.

L'Interface de Programmation d'Application (API) est conçue, développée, déployée et testée conformément aux normes de l'industrie. Nous suivons les normes ouvertes définies par BuildingSmart.

Les anciens navigateurs web sont pris en charge jusqu'à une limite raisonnable. Voir nos exigences système.

Notre application web ne contient pas de bannières de cookies.