A BIMcollab possui certificação ISO-27001 desde novembro de 2022.

A BIMcollab é certificada PCI-DSS. Portanto, o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS) para proteção de dados da indústria de cartões de pagamento é aplicável.

As regulamentações de segurança e governança dos países relevantes do serviço em nuvem e da residência dos dados serão aplicadas.

Relatórios de auditoria SOC 2 para SSAE 16 não estão disponíveis.

Revisões e avaliações independentes estão planejadas pelo menos anualmente.

O cliente/corporação reserva o direito de auditoria de conformidade para a segurança dos sistemas e processos do serviço em nuvem.

A BIMcollab utiliza os datacenters Tier 3++ da Interconnect, que possuem certificação em ISO9001, ISO14001, ISAE 3000 e relatório SOC 2 tipo 2. Eles oferecem um padrão muito alto de infraestrutura de rede e fornecimento de energia eficiente. Isso garante uma avaliação independente sobre os princípios de qualidade: ‘segurança’ e ‘disponibilidade’ do data center e dos serviços em nuvem.
​

A residência dos dados do serviço em nuvem é devidamente restrita.

Todos os dados são armazenados nos Países Baixos, exceto quando utilizada uma instalação Local (on-premise).

Todos os dados do cliente serão apagados com segurança do serviço em nuvem ao término do serviço ou mediante solicitação.

Temos políticas e procedimentos para o descarte seguro e remoção completa dos dados de todos os meios de armazenamento. Isso garante que os dados não possam ser recuperados por nenhum meio forense.

Temos políticas para procedimentos e controles para proteger a confidencialidade e disponibilidade das chaves de criptografia.
​

Os compromissos de disponibilidade do serviço, incluindo nossa capacidade de recuperação em caso de falhas, podem ser encontrados em nosso Acordo de Nível de Software.
​

Dados de produção não são replicados ou utilizados em ambientes de não produção.

Todos os dados do cliente/corporação armazenados ou processados nos serviços em nuvem pertencem ao cliente/corporação.

A política de uso de dados em relação aos dados do cliente do serviço em nuvem é claramente definida para evitar o uso não autorizado dos dados do cliente.

Os BCF managers não processam dados pessoais. Portanto, obter o consentimento expresso dos titulares dos dados (ou seja, Declaração de Coleta de Informações Pessoais) e cumprir todos os aspectos da Lei de Privacidade de Dados Pessoais (PDPO), incluindo garantia de segurança dos dados, período de retenção limitado ao necessário, etc., não se aplica.

O BIMcollab Zoom coleta e processa seu endereço de email e nome, com o objetivo de fornecer e aprimorar a funcionalidade do software, a experiência do usuário e serviços relacionados. Seus dados também podem ser usados para resolução de problemas, suporte técnico e comunicação sobre atualizações do software ou mudanças nos termos de uso. Comprometemo-nos a proteger sua privacidade e garantir que seus dados sejam processados de acordo com as leis de proteção de dados aplicáveis.

Leia nossa declaração de privacidade completa.
​

Existe um Plano de Continuidade de Negócios.
​

Termos de uso fornecidos pelo cliente não serão incluídos. A BIMcollab fornece seus próprios termos de uso. Apenas clientes/usuários finais que aceitarem a Política & Termos podem utilizar o aplicativo.
​

O Acordo de Nível de Serviço (SLA) faz parte do Contrato Comercial e especifica o escopo do nosso serviço.
​

Essas informações podem ser encontradas em nosso Acordo de Nível de Serviço.
​

Todos os servidores de base de dados utilizados pelo BIMcollab Cloud são criptografados em repouso. Utilizamos criptografia nativa de VM do VMware vSphere com suporte a módulos TPM, garantindo que os dados armazenados não possam ser acessados sem as chaves criptográficas apropriadas. Isso protege os dados do cliente no improvável caso de acesso não autorizado aos sistemas de armazenamento subjacentes.
​

Os serviços de utilidades e condições ambientais do nosso data center (por exemplo, água, energia, controle de temperatura e umidade, telecomunicações e conectividade com a internet) são protegidos, monitorados, mantidos e testados periodicamente para garantir proteção contra interceptação ou danos não autorizados, e são projetados com failover automatizado ou outras redundâncias em caso de interrupções planejadas ou não planejadas.
​

Perímetros de segurança física (por exemplo, cercas, paredes, barreiras, seguranças, portões, vigilância eletrônica, mecanismos de autenticação física, recepção e rondas de segurança) são implementados para proteger dados sensíveis e sistemas de informação.
​

Políticas e procedimentos de segurança da informação estão em vigor conforme especificado na ISO-27001.

Políticas e procedimentos estão parcialmente estabelecidos em relação à segurança de pessoal, incluindo verificação de antecedentes, conscientização sobre segurança e desligamento.

Há backup diário dos dados do cliente com período de retenção de pelo menos 1 mês. O backup é fisicamente protegido e criptografado.

Nossos backups são geograficamente separados do nosso ambiente de produção para garantir a segurança dos dados em caso de desastre.

Nossos backups são imutáveis para proteger contra modificações acidentais ou maliciosas, criptografia, corrupção e exclusão de dados. Isso também protege contra malware, ransomware, vírus e outros ataques ou incidentes com dados.

O plano de resposta a incidentes de segurança está documentado. Qualquer violação de segurança que afete o cliente será comunicada ao responsável assim que possível.

Todos os componentes expirados que possam conter dados são destruídos profissionalmente.

Um número limitado de engenheiros internos tem acesso root aos servidores.

O acesso só pode ser realizado a partir de endereços IP pré-aprovados.

Todas as comunicações são realizadas por linhas criptografadas.
​

O sistema não oferece suporte à autenticação ADFS. O suporte pode ser disponibilizado ao utilizar uma instalação Local (on-premise).

Os controles de acesso são aplicados para garantir que apenas usuários autorizados possam acessar o serviço em nuvem e os dados.

Controles de acesso baseados em função são implementados para segregação de funções. Para mais informações sobre funções no ambiente BIMcollab, consulte o artigo Funções dentro do ambiente BIMcollab.

Os ambientes de produção e não produção são separados para evitar acesso ou alterações não autorizadas aos ativos de informação.

As aplicações, sistemas de infraestrutura e componentes de rede multi-inquilino, de propriedade ou gerenciados organizacionalmente (físicos e virtuais), são projetados, desenvolvidos, implantados e configurados de forma que o acesso de usuários do provedor e do cliente (inquilino) seja devidamente segmentado dos demais usuários inquilinos. Cada inquilino possui sua própria instância do aplicativo web, bem como sua própria base de dados.

O ambiente de gerenciamento é separado para acesso não autorizado por IP e também por autenticação em dois fatores.

Os dados e o serviço são separados de outros consumidores do serviço. Todos os clientes operam em seus próprios espaços, completamente separados uns dos outros.

A gestão do serviço é mantida separada dos demais clientes.

Uma mensagem padrão é exibida quando uma combinação incorreta de usuário/senha é inserida.
​

O sistema oferece um mecanismo seguro para que o próprio usuário redefina sua senha.

A senha é armazenada no sistema como hash com salt unidirecional.

A senha é armazenada com segurança na base de dados.

O sistema pode exigir senhas fortes, com pelo menos 8 caracteres e composição complexa.

A obrigatoriedade de troca periódica de senha pode ser gerenciada pelo cliente.

O sistema previne ataques de força bruta a senhas.

O sistema suporta autenticação em dois fatores.

O espaço BIMcollab é protegido por um firewall que permite apenas o tráfego necessário de uma rede confiável.

Os espaços são protegidos por um IDS/IPS contra redes não confiáveis.

O espaço possui mitigação contra ataques DDoS.

Os servidores são protegidos por antivírus com proteção em tempo real e varredura completa agendada.

O aplicativo web é protegido por um Web Application Firewall ou periodicamente verificado por um scanner de aplicativos web para garantir que não existam vulnerabilidades conhecidas.

O aplicativo só é acessível por IPv4 ou IPv6.

As portas TCP/UDP abertas são limitadas ao mínimo, e todas as outras ficam em modo stealth.

A comunicação SSL é obrigatória.

Um Web Application Firewall (lista branca) está em vigor para segurança adicional.

A transmissão de dados é criptografada. O acesso web é criptografado por TLS 1.2 ou superior, usando cifra forte com Perfect Forward Secrecy (PFS). A transferência de arquivos é criptografada por SFTP.

Ao utilizar uma instalação Local (on-premise) e o domínio do cliente for usado no acesso web, o certificado SSL/TLS é fornecido pelo cliente ou pelo sistema, assinado por uma CA confiável do setor. Isso fica totalmente a critério do cliente.

Os dados em trânsito são protegidos entre o dispositivo do usuário final e o serviço.

O armazenamento de dados pessoais está em conformidade com o GDPR.
​

Eventos de segurança das atividades de contas de usuário são registrados e mantidos por 3 meses.

Os ambientes de rede e instâncias virtuais são projetados e configurados para restringir e monitorar o tráfego entre conexões confiáveis e não confiáveis.

O registro e a notificação de eventos de segurança estão disponíveis mediante solicitação e habilitados.
​

Os servidores são configurados e reforçados de acordo com uma linha de base de configuração segura.

Existe um processo de gerenciamento de ameaças e vulnerabilidades, onde patches de segurança são instalados regularmente e de forma oportuna no sistema operacional, aplicativos e infraestrutura de rede.

Varreduras regulares de vulnerabilidades e testes de penetração são realizados. O relatório de varredura e teste com resultados detalhados pode ser compartilhado após a assinatura de um acordo de confidencialidade (NDA).

Os logs de auditoria de segurança estão disponíveis para funcionários autorizados do cliente em caso de investigação de segurança.

Avaliações formais de risco são realizadas pelo menos anualmente ou em intervalos planejados (e em conjunto com quaisquer mudanças nos sistemas de informação) para determinar a probabilidade e o impacto de todos os riscos identificados.

O gerenciamento de vulnerabilidades e patches está em vigor.

Contas e credenciais específicas de equipamentos redundantes são excluídas assim que o equipamento é desativado, para reduzir seu valor para um invasor.

Novas ameaças, vulnerabilidades ou técnicas de exploração que possam afetar o serviço são avaliadas e ações corretivas são tomadas. Todas as atualizações de segurança são instaladas o mais rápido possível.

A gravidade das ameaças e vulnerabilidades é considerada no contexto do serviço e essa informação é usada para priorizar a implementação de medidas de mitigação. Todos os riscos de alta gravidade são tratados imediatamente.

Vulnerabilidades conhecidas dentro do serviço são registradas e acompanhadas em nossas ferramentas, até que as devidas medidas de mitigação sejam implementadas por meio de um processo adequado de gerenciamento de mudanças.
​

Não há números de versão do software do servidor web ou do aplicativo nos cabeçalhos http.

Não há números de versão do software na página do aplicativo antes do login.

Endereços IP internos, nomes de host, nomes de domínio e outras informações internas não ficam visíveis para terceiros.

Páginas padrão foram removidas ou substituídas.

Todo o tratamento de erros é feito com páginas personalizadas (404, 500, etc.).

Não é utilizado modo de depuração nem descrições detalhadas de erros.

Páginas de demonstração e documentação foram removidas do servidor.

O conteúdo é servido apenas em HTTPS, sem mistura de protocolos.

Temos nossa própria solução contra clickjacking.

Os métodos HTTP são restritos ao mínimo (GET, POST).

O arquivo sitemap.xml contém referências a páginas de suporte, como páginas 404 ou 500.

Nome de usuário e senha não são salvos em cookies.

Uma proteção SameSite (Secure ou Lax) contra ataques Cross-Site Request Forgery (CSRF) está implementada.

Atributos de tempo máximo (max age) são suportados.

Atributos de domínio/caminho são suportados.

As APIs (REST) são protegidas para não expor informações desnecessárias.

Assinatura de código é utilizada nos aplicativos. Os aplicativos para Mac são assinados com nosso certificado e autenticados pela Apple. Nossos aplicativos para Windows também são assinados com nosso certificado confiável.

Chaves criptográficas, senhas e configurações de segurança são salvas e protegidas nos aplicativos. Nossas aplicações se conectam a uma API externa (BIMcollab), que exige autenticação do usuário e configurações de proxy. Lembramos as credenciais do usuário, apenas quando selecionado pelo usuário, em formato ofuscado no sistema de arquivos/registro para maior praticidade.

Medidas são tomadas para proteger contra engenharia reversa e manipulação. A maior parte do nosso código é compilado (C++), dificultando a engenharia reversa para o código original. A parte que não é compilada (C#, JS) é ofuscada.
​

X-Frame-Options não são usados para prevenir clickjacking, além do cabeçalho CSP como “frame-ancestors”. Temos nossa própria solução contra clickjacking.

Formulários web não são protegidos com tokens CSRF. Temos nossa própria solução.

Limitação de taxa não está ativada em formulários web.

Cipher Suites não são restritas.

Flags de segurança não são suportadas.

Os componentes de código aberto utilizados são analisados quanto à confiabilidade pelos nossos melhores meios: Colofão web do BIMcollab e Colofão do BIMcollab Zoom.

O aplicativo não utiliza certificate pinning para todas as comunicações de rede.
​

Redirecionamento de HTTP para HTTPS (301) é suportado.

Toda a comunicação com formulários web é realizada via HTTPS.

Arquivo robots.txt na raiz do site não é suportado (não aplicável).

Nenhuma outra versão além do TLS 1.2 ou superior é utilizada.
​

Inspecionamos, monitoramos e trabalhamos com nossos parceiros da cadeia de fornecimento em nuvem para corrigir erros de qualidade de dados e riscos associados.

Controles são projetados e implementados para mitigar e conter riscos de segurança de dados por meio de separação adequada de funções, acesso baseado em funções e acesso com privilégios mínimos para todo o pessoal.

O código utilizado e as bibliotecas de código estão atualizados e não contêm vulnerabilidades conhecidas. Isso é verificado periodicamente com base em relatórios de build. Para componentes web, executamos o NPM audit.

A aplicação web sempre roda via HTTPS.

Não são utilizados certificados autoassinados ou de autoridades certificadoras não confiáveis em interfaces externas.

A Interface de Programação de Aplicações (API) é projetada, desenvolvida, implantada e testada de acordo com os padrões do setor. Seguimos o padrão aberto definido pela BuildingSmart.

Navegadores web antigos são suportados até um limite razoável. Veja nossos requisitos do sistema.

Nossa aplicação web não possui banners de cookies.