O BIMcollab é certificado ISO-27001 desde novembro de 2022.

O BIMcollab é certificado PCI-DSS. Portanto, o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS) para proteção de dados da Indústria de Cartões de Pagamento é aplicável.

As regulamentações de segurança e governança dos países relevantes do serviço em nuvem e residência de dados devem ser aplicadas.

Relatórios de Auditoria SOC 2 para SSAE 16 não estão disponíveis.

Revisões e avaliações independentes estão planejadas pelo menos anualmente.

O cliente/corporação deve reservar o direito de auditoria de conformidade para a segurança dos sistemas e processos do serviço em nuvem.

O BIMcollab utiliza os datacenters Tier 3++ da Interconnect, que são certificados em ISO9001, ISO14001, ISAE 3000 e relatórios SOC 2 tipo 2. Eles oferecem um padrão muito alto de infraestrutura de rede e alimentação eficiente em termos de energia. Isso garante um julgamento independente sobre os princípios de qualidade: 'segurança' e 'disponibilidade' do data center e serviços em nuvem.
​

A residência de dados do serviço em nuvem é restrita de forma apropriada.

Todos os dados são armazenados nos Países Baixos, exceto quando se utiliza uma instalação local (on-premise).

Todos os dados do cliente devem ser apagados de forma segura do serviço em nuvem após o término do serviço ou mediante solicitação.

Temos políticas e procedimentos para o descarte seguro e remoção completa de dados de todos os meios de armazenamento. Isso garante que os dados não sejam recuperáveis por nenhum meio forense.

Temos políticas para procedimentos e controles para proteger a confidencialidade e disponibilidade das chaves de criptografia.
​

Os compromissos de disponibilidade do serviço, incluindo nossa capacidade de recuperação de interrupções, podem ser encontrados em nosso Acordo de Nível de Software.
​

Os dados de produção não devem ser replicados ou usados em ambientes não produtivos.

Todos os dados dos clientes/corporações armazenados ou processados nos serviços em nuvem são de propriedade do cliente/corporação.

A política de uso de dados em relação aos dados do cliente do serviço em nuvem é claramente definida para prevenir o uso não autorizado dos dados do cliente.

Os BCF Managers não processam dados pessoais. Obter o consentimento expresso dos titulares dos dados (ou seja, Declaração de Coleta de Informações Pessoais) e cumprir em todos os aspectos com a Ordenança de Privacidade de Dados Pessoais (PDPO), incluindo garantia de segurança de dados, período de retenção limitado ao necessário, etc., não é aplicável.

O aplicativo de desktop BIMcollab coleta e processa seu endereço de email e nome, para fins de fornecer e melhorar a funcionalidade do software, experiência do usuário e serviços relacionados. Seus dados também podem ser usados para solução de problemas, suporte técnico e comunicação sobre atualizações de software ou alterações nos termos de uso. Estamos comprometidos em proteger sua privacidade e garantir que seus dados sejam processados de acordo com as leis de proteção de dados aplicáveis.

Leia nossa declaração de privacidade completa.

Plano de Continuidade de Negócios está em vigor.
​

Os Termos de Uso fornecidos pelo cliente não devem ser incluídos. O BIMcollab fornece seus próprios termos de uso. Apenas clientes/usuários finais que aceitem a Política & Termos estão autorizados a usar o aplicativo.
​

Acordo de Nível de Serviço (SLA) faz parte do Acordo Comercial e especifica o escopo do nosso serviço.
​

Esta informação pode ser encontrada em nosso Acordo de Nível de Serviço.
​

Todos os servidores de Base de dados usados pelo BIMcollab Cloud são criptografados em repouso. Usamos a criptografia nativa de VM do VMware vSphere, suportada por módulos TPM, garantindo que os dados armazenados não possam ser acessados sem as chaves criptográficas apropriadas. Isso protege os dados dos clientes no caso improvável de acesso não autorizado aos sistemas de armazenamento subjacentes.

Nossos serviços de utilidades do data center e condições ambientais (por exemplo, água, energia, controles de temperatura e umidade, telecomunicações e conectividade com a internet) são seguros, monitorados, mantidos e testados para eficácia contínua em intervalos planejados para garantir proteção contra interceptação ou danos não autorizados, e projetados com failover automatizado ou outras redundâncias em caso de interrupções planejadas ou não planejadas.
​

Perímetros de segurança física (por exemplo, cercas, paredes, barreiras, guardas, portões, vigilância eletrônica, mecanismos de autenticação física, recepções e patrulhas de segurança) são implementados para proteger dados sensíveis e sistemas de informação.
​

Políticas e procedimentos de segurança da informação estão em vigor conforme especificado na ISO-27001.

Políticas e procedimentos estão parcialmente estabelecidos em relação à segurança de pessoal, incluindo verificação de antecedentes, conscientização sobre segurança e desligamento.

Há um backup diário dos dados dos clientes com período de retenção de pelo menos 1 mês. O backup é fisicamente protegido e criptografado.

Nossos backups são geograficamente separados do nosso ambiente de produção para garantir a segurança dos dados em caso de desastre.

Nossos backups são imutáveis para proteger contra modificação acidental e maliciosa de dados, criptografia, corrupção e exclusão. Isso também protege contra malware, ransomware, vírus e outros ataques ou incidentes com dados.

O plano de resposta a incidentes de segurança está documentado. Qualquer violação de segurança que afete o cliente será relatada à pessoa responsável pelo cliente o mais rápido possível.

Todos os componentes expirados que potencialmente contêm dados são destruídos profissionalmente.

Um número limitado de engenheiros internos tem acesso root aos servidores.

O acesso só pode ser realizado a partir de endereços IP pré-aprovados.

Todas as comunicações são realizadas por meio de linhas de comunicação criptografadas.
​

O sistema não suporta Autenticação ADFS. O suporte pode ser disponibilizado ao usar uma instalação local (on-premise).

Controles de acesso são aplicados para garantir que apenas usuários autorizados possam acessar o serviço em nuvem e os dados.

Controles de acesso baseados em função são implementados para segregação de funções. Para mais informações sobre funções no ambiente BIMcollab, consulte o artigo Funções dentro do ambiente BIMcollab.

Os ambientes de produção e não-produção são separados para prevenir acesso não autorizado ou alterações nos ativos de informação.

As aplicações, sistema de infraestrutura e componentes de rede organizacionalmente possuídos ou geridos (físicos e virtuais) são projetados, desenvolvidos, implantados e configurados de forma que o acesso do usuário do provedor e do cliente (locatário) seja devidamente segmentado de outros usuários locatários. Cada locatário tem sua própria instância da aplicação web, bem como sua própria base de dados.

O ambiente de gerenciamento é separado para acesso não autorizado por IP e também por autenticação de dois fatores.

Os dados e o serviço são separados de outros consumidores do serviço. Todos os clientes operam em seus próprios espaços, completamente separados uns dos outros.

A gestão do serviço é mantida separada de outros clientes.

Uma mensagem uniforme é exibida quando uma combinação errada de usuário/senha é inserida.
​

O sistema fornece um mecanismo seguro para que o usuário redefina sua própria senha.

A senha não é armazenada em um hash salgado unidirecional no sistema.

A senha é armazenada de forma segura na base de dados.

O sistema pode impor senhas fortes de pelo menos 8 caracteres de comprimento e com uma composição complexa.

O sistema impõe a troca periódica de senha das contas de usuário.

O sistema previne ataques de força bruta a senhas.

O sistema suporta autenticação de dois fatores.

O espaço BIMcollab é protegido por um firewall que permite apenas o tráfego necessário de uma rede confiável.

Os espaços são protegidos por um IDS/IPS de redes não confiáveis.

O espaço tem mitigação contra um ataque DDoS.

Os servidores são protegidos por software antivírus com proteção em tempo real e uma varredura completa agendada.

A aplicação web é protegida por um Firewall de Aplicação Web ou periodicamente escaneada por um scanner de aplicação web para garantir que não haja vulnerabilidades conhecidas na aplicação web.

O aplicativo é acessível apenas por IPv4 ou IPv6.

As portas TCP/UDP abertas são limitadas ao mínimo, e todas as outras estão em modo furtivo.

A comunicação SSL é imposta.

Um Firewall de Aplicação Web (lista branca) está em vigor para segurança adicional.

A transmissão de dados é criptografada. O acesso web é criptografado por TLS 1.2 ou superior usando cifra forte com Perfect Forward Secrecy (PFS). A transferência de arquivos é criptografada por SFTP.

Ao usar uma instalação local (on-premise) e o domínio do cliente é usado no acesso web, o certificado SSL/TLS é fornecido pelo cliente ou o certificado é fornecido pelo sistema, que é assinado por uma CA confiável da indústria. Isso fica totalmente a critério do cliente.

Os dados em trânsito são protegidos entre o dispositivo do usuário final do consumidor e o serviço.

O armazenamento de dados pessoais está em conformidade com o GDPR.
​

Eventos de segurança das atividades da conta de usuário são registrados e mantidos por 3 meses.

Os ambientes de rede e instâncias virtuais são projetados e configurados para restringir e monitorar o tráfego entre conexões confiáveis e não confiáveis.

Registro e notificação de eventos de segurança estão disponíveis mediante solicitação e habilitados.
​

Os servidores estão configurados e protegidos de acordo com uma linha de base de configuração segura.

Um processo de gerenciamento de ameaças e vulnerabilidades está em vigor, onde patches de segurança são instalados no sistema operacional, aplicativos e infraestrutura de rede regularmente e de maneira oportuna.

Varreduras regulares de vulnerabilidade e testes de penetração estão sendo realizados. O relatório de varredura e teste com resultados detalhados pode ser compartilhado após a assinatura de um acordo de NDA.

Logs de auditoria de segurança estão disponíveis para o pessoal autorizado do cliente em caso de investigação de segurança.

Avaliações formais de risco são realizadas pelo menos anualmente ou em intervalos planejados (e em conjunto com quaisquer alterações nos sistemas de informação) para determinar a probabilidade e o impacto de todos os riscos identificados.

Gerenciamento de vulnerabilidades e patches está em vigor.

Contas e credenciais específicas de equipamentos redundantes são deletadas assim que o equipamento é desativado, para reduzir seu valor para um atacante.

Novas ameaças, vulnerabilidades ou técnicas de exploração que possam afetar o serviço são avaliadas e ações corretivas são tomadas. Todas as atualizações de segurança são instaladas o mais rápido possível.

A gravidade das ameaças e vulnerabilidades é considerada dentro do contexto do serviço e essa informação é usada para priorizar a implementação de mitigações. Todos os riscos de alta gravidade são imediatamente tratados.

Vulnerabilidades conhecidas dentro do serviço são registradas e acompanhadas em nossas ferramentas, até que mitigações adequadas tenham sido implantadas através de um processo adequado de gerenciamento de mudanças.
​

Não há números de versão de software do servidor web ou aplicativo nos cabeçalhos http.

Não há números de versão de software na página do aplicativo antes do login.

Endereços IP internos, nomes de host, nomes de domínio e outras informações internas não são visíveis para outros.

Páginas padrão são removidas ou substituídas.

Todo o tratamento de erros é capturado com páginas personalizadas. (404, 500, etc.).

Nenhum modo de depuração ou descrições elaboradas de erros são usados.

Páginas de demonstração e documentação são removidas do servidor.

O conteúdo está apenas em HTTPS e não misturado.

Temos nossa própria solução contra clickjacking.

Os métodos HTTP são restritos ao mínimo (GET, POST).

O sitemap.xml contém referências a páginas de suporte, como páginas 404 ou 500.

Nome de usuário e senha não são salvos em cookies.

Uma proteção SameSite (Secure ou Lax) contra ataques de Cross-Site Request Forgery (CSRF) está em vigor.

Atributos de idade máxima são suportados.

Atributos de domínio/caminho são suportados.

APIs (REST-) são protegidas para não divulgar informações desnecessárias.

Assinatura de código é usada para os aplicativos. As aplicações Mac são assinadas com nosso certificado, notarizadas pela Apple. Nossas aplicações Windows também são assinadas com nosso certificado confiável.

Chaves criptográficas, senhas e configurações de segurança são salvas e protegidas nos aplicativos. Nossas aplicações conectam-se a uma API externa (BIMcollab), que requer autenticação do usuário e configurações de proxy. Lembramos as credenciais do usuário, apenas quando selecionado pelo usuário, em formato ofuscado no sistema de arquivos/registro para facilitar o uso.

Medidas são tomadas para proteger contra engenharia reversa e manipulação. A maior parte do nosso código é compilado (C++), tornando difícil a engenharia reversa para o código original. A parte que não é compilada (C#, JS) é ofuscada.
​

X-Frame-Options não são usados para prevenir clickjacking, além do cabeçalho CSP como “frame-ancestors”. Temos nossa própria solução contra clickjacking.

Formulários web não são protegidos com tokens CSRF. Temos nossa própria solução.

Limitação de taxa não está ativada em formulários web.

Suites de cifra não são restritas.

Flags de segurança não são suportadas.

Componentes de código aberto usados são analisados como confiáveis pelos nossos melhores meios: colofão web do BIMcollab e colofão do aplicativo desktop do BIMcollab.

O aplicativo não usa pinagem de certificado para todas as comunicações de rede.
​

Redirecionamento de HTTP para HTTPS (301) é suportado.

Toda a comunicação com formulários web é realizada através de HTTPS.

Arquivo robots.txt na raiz do site não é suportado (não aplicável).

Nenhuma outra versão além da versão 1.2 do TLS ou superior é usada.
​

Inspecionamos, contabilizamos e trabalhamos com nossos parceiros da cadeia de suprimentos em nuvem para corrigir erros de qualidade de dados e riscos associados.

Controles são projetados e implementados para mitigar e conter riscos de segurança de dados através da devida separação de funções, acesso baseado em função e acesso de menor privilégio para todo o pessoal.

O código usado e as bibliotecas de código estão atualizados e não contêm vulnerabilidades conhecidas. Isso é verificado periodicamente com base em relatórios de build. Para componentes web, executamos auditoria NPM.

A aplicação web sempre é executada através de HTTPS.

Nenhum certificado CA autoassinado ou não confiável é usado em interfaces externas.

A Interface de Programação de Aplicativos (API) é projetada, desenvolvida, implantada e testada de acordo com os padrões da indústria. Seguimos padrões abertos definidos pela BuildingSmart.

Navegadores web mais antigos são suportados até um limite razoável. Veja nossos requisitos do sistema.

Nossa aplicação web não contém banners de cookies.