Översikt över Studio-säkerhet

Stödet för Studio Prime nådde livscykelns slut den 31 december 2025. Du hittar mer information i artikeln om livscykelns slut för Studio Prime.

Inledning

Det här dokumentet förtydligar frågor som vi får från Bluebeam Studio-användare om dokument- och systemsäkerhet, åtkomstkontroll samt konsekvenserna av ett infrastrukturfel.

Komma åt Bluebeam Studio

För att kunna delta i Studio-sessioner och -projekt måste du som användare ange ett användarnamn och ett lösenord som är kopplade till ditt Bluebeam ID (BBID). För att lära dig hur du skapar ett BBID kan du läsa den här artikeln.

Om du använder Revu 20 i visningsläge kan du också komma åt Studio, men du måste först bli inbjuden till en Studio-session eller ett Studio-projekt av en licensierad Revu-användare.
I Revu 21 kan användare som inte har någon Bluebeam-prenumerationsplan fortfarande samarbeta i Studio med skrivskyddad åtkomst, men de har begränsad tillgång till markeringsverktyg och -egenskaper. Basics-konton och konton med skrivskyddad åtkomst kan inte heller skapa nya sessioner eller projekt. Mer information finns i Hur man arbetar i Revu 21 utan prenumeration.

Studio-serveranslutningar initieras av Revu-klienter, men systemet skickar inte inkommande anslutningsförfrågningar tillbaka till klienten. För primär kommunikation och överföring av filer, markeringar och andra omfattande data används HTTPS-protokollet, och för kryptering och autentisering används protokollet Transport Layer Security (TLS).

Diagram: Revu-klient till Studio-server

Brandväggskrav

Se Frilista Bluebeam-lösningarna efter domän eller IP-adress för de domäner och portar som används av Revu, Studio och Bluebeam på webben och mobilen. Om du bara behöver komma åt en viss region räcker det med att frilista de domäner som krävs för den regionen tillsammans med eventuella globala tjänster som behövs.

Vi använder följande domäner för att kommunicera med slutanvändare för support, licensiering och Studio-relaterad information. Det kan vara nödvändigt att frilista dessa domäner för att e-postmeddelandena ska komma fram.

US-miljön:

@bluebeam.com

@bluebeamops.com

@bluebeam-support.com

UK-miljön:

@bluebeamstudio.co.uk

AUS-miljön:

@bluebeamstudio.com.au

DE-miljön:

@bluebeamstudio.de

SE-miljön:

@bluebeamstudio.se

Dessa e-postmeddelanden skickas för vår räkning av amazonses.com. Om dina användare inte får meddelandena bör du be administratörerna för din e-postserver att kontrollera SPF-posten (Sender Policy Framework) och se till att amazonses.com också frilistas som betrodd domän.

Autentisering och åtkomstkontroll för slutanvändare

Följande protokoll har införts för säker autentisering och åtkomstkontroll för slutanvändare:

Certifikatkrav

Anslutningar till Studio-miljöer, till exempel studio.bluebeam.com, krypteras med ett PKI-baserat (Public Key Infrastructure) SSL-certifikat utfärdat av Amazon Web Services Certificate Authority (AWS CA).

Du kan se certifikatet genom att gå till https://studio.bluebeam.com och klicka på ikonen med hänglåset som finns vid webbadressens början i adressfältet.

Lösenordskrav och lagring

Alla lösenord måste bestå av mellan 8 och 32 tecken och innehålla minst en versal, en gemen, en siffra och ett specialtecken som !@#$%^&*.

Lösenord hashkodas före lagring med hjälp av en enkelriktad stark hashalgoritm med salt.

Dessutom finns det en algoritm som gör att konton låses under ett femminutersintervall efter fem på varandra följande inloggningsförsök med fel lösenord. Inloggningsfel loggas och vårt driftteam får en varning om antalet överstiger en förinställd nivå.

Ingen personligt identifierbar information (PII) lagras i systemet förutom användarnas e-postadresser i autentiseringssyfte.

Data- och systemsäkerhet

De åtgärder som beskrivs nedan har vidtagits för att hantera frågor kring data- och systemsäkerhet.

Infrastruktur och datalagring

Bluebeam Studio finns på Amazon Elastic Compute Cloud(EC2) som hanteras av Amazon Web Services (AWS).

Studio-infrastrukturen består av applikationsservrar som betjänar Revu-klienter på Windows, macOS och iOS, samt ett backend-behandlingssystem och en datanivå.

Studiodata och Studiofiler lagras i S3 och relationsdatabaser. Faktiska projekt- och sessionsdokument finns på servrar hos Amazon Simple Storage Service (Amazon S3).

Bluebeam Studio har flera isolerade miljöer för datahemvist i USA, Storbritannien, Tyskland, Sverige och Australien. Databasinfrastrukturen och S3-buckets som innehåller kunddata delas inte mellan några miljöer. Alla Bluebeam Studio-miljöer kan nås var som helst i världen.

SLA-avtal för Amazon EC2 och Amazon S3 finns på följande platser:

Dataskydd

Förutom att alla serversäkerhetskopior och utvecklarhårddiskar krypteras, krypteras även alla dokument automatiskt när de laddas upp till en Studio-session eller ett Studio-projekt med Revu enligt nedanstående beskrivning.

Kryptering

Kryptering sker med hjälp av ett nyckel-id från AWS Key Management Service (KMS).

Samtliga data krypteras i vila (AES-256-kryptering) och under överföring. Dataöverföringen krypteras under överföring genom TLS1.2* mellan Revu-klienten och Amazon S3. I servermiljön krypteras filer i Amazons S3-tjänst. Säkerhetskopior av databaser lagras på krypterade volymer.

Systemsäkerhet

Vi har säkerställt att alla miljöer fungerar på samma sätt och omfattas av samma nätverksprinciper och begränsningar genom att de byggs med en validerad och testad ”mall”. Efter distributionen finns följande steg och principer på plats för att erbjuda ytterligare säkerhet och konsekvens i hela infrastrukturen:

Styrd administratörsåtkomst

Endast en utvald grupp tekniker har administrativa rättigheter inom Bluebeam Studio-infrastrukturen, och åtkomst till hanteringskonsolen styrs genom multifaktorautentisering (MFA).

Ändringskontroll

Alla systemändringar och -förbättringar dokumenteras och måste testas och godkännas av våra DevOps- och säkerhetsteam innan de implementeras i produktionsmiljön.

Loggar

Program- och systemsäkerhetsloggar sparas i högst 30 dagar.

Sårbarhetsbedömning och -åtgärder

Vi har infört en omfattande process för sårbarhetsbedömning och -åtgärder för att ta itu med eventuella säkerhetsproblem som kan uppstå. Åtgärderna omfattar antivirusskydd på alla servrar, en proaktiv systemkorrigeringsprincip och övervakning av filintegritet (som upptäcker obehöriga ändringar i systemen).

Applikationer med en webbkomponent genomsöks före och efter driftsättning i produktionsmiljön.

Alla produktionssystem genomsöks regelbundet för att upptäcka sårbarheter i infrastrukturen och korrigeras därefter.

Lager av auktoriserade tillgångar

Alla tillägg i och ändringar av produktionstillgångar är begränsade till DevOps-teamet, och följer rutinerna för ändringskontroll. DevOps-teamet använder AWS-verktyg för att underhålla tillgångslagret.

Övervakning av infrastruktur och system

För att säkerställa en stabil drift finns ett omfattande system för övervakning och varningar på plats för följande:

  • Serverinfrastruktur: processor, minne, diskutrymme och drifttid.
  • Applikationer: fel, prestandaförsämring och drifttid.
  • Nätverksprestanda: användning och bandbredd, serverns svarstid, genomströmning och webbförfrågningar.

Systemunderhåll

Regelbundna underhållsuppgifter och akut underhåll utförs i enlighet med vår etablerade process för ändringskontroll .

Katastrofåterställning

Bluebeam Studios strategi för katastrofåterställning bygger på att utnyttja flera AWS-tillgänglighetszoner (Availability Zones). Denna strategi är inriktad på att ha ett mycket tillgängligt och distribuerat system för att minimera risken i samband med störningar och katastrofer.

För att hantera ett infrastrukturfel om det olyckligt nog skulle inträffa har vi infört följande beredskapsåtgärder:

Redundans för infrastruktur

Alla Studio-applikationsservar har full redundans. Om det blir fel på en primär server flyttas all trafik automatiskt över till en sekundär server.

Programservrarna körs i ett kluster bakom en belastningsutjämnare. Studio-databasen använder ”AlwaysOn” för att erbjuda hög tillgänglighet. DNS-redundans tillhandahålls av AWS Route53.

Dessutom är Bluebeam Studio-infrastrukturen distribuerad över flera AZ inom en fler-AZ-arkitektur i AWS-regionen.

Protokoll för säkerhetskopiering

Fullständig säkerhetskopiering av databaserna utförs varje dag. Säkerhetskopiorna lagras åtskilt från produktionsservrarna och deras integritet kontrolleras regelbundet.

PDF-filer lagras i AWS S3, vilket ger mycket hållbar lagring och filversionering.

Bluebeam behåller inte ett obegränsat antal säkerhetskopior där alla tidigare tillstånd av databasen är representerade. I allmänhet innehåller säkerhetskopian bara de senaste 24 timmarna.

SOC2

SOC2-efterlevnad

Bluebeams SOC-rapport (System and Organization Controls) är en oberoende granskningsrapport från tredje part som visar hur Bluebeam uppnår viktiga efterlevnadskontroller och mål. Bluebeam genomgår en årlig SOC 2-revision som utförs av en extern och oberoende tredjepartsbedömare för att verifiera implementeringen och effektiviteten i våra säkerhetskontroller. Vår rapport omfattar SOC 2 Trust Services kriterier för säkerhet och tillgänglighet.

Om du vill ha en kopia av rapporten kan du kontakta din Bluebeam-representant för mer information.Om du inte har någon Bluebeam-representant kan du kontakta oss för ytterligare hjälp.

Instruktioner

Revu 20

Revu 21

Studio

Det här dokumentet förtydligar frågor som vi får från Bluebeam Studio™-användare om dokument- och systemsäkerhet, åtkomstkontroll samt konsekvenserna av ett infrastrukturfel.