BIMcollab ist seit November 2022 ISO-27001 zertifiziert.

BIMcollab ist PCI-DSS zertifiziert. Daher ist der Payment Card Industry Data Security Standard (PCI-DSS) zum Schutz von Zahlungsdaten der Payment Card Industry anwendbar.

Sicherheitsvorschriften und Governance der relevanten Länder des Cloud-Dienstes und der Datenresidenz sollen angewendet werden.

SOC 2 Audit-Berichte für SSAE 16 sind nicht verfügbar.

Unabhängige Überprüfungen und Bewertungen sind mindestens jährlich geplant.

Der Kunde/die Firma behält sich das Recht auf Compliance-Audits zur Sicherheit der Systeme und Prozesse des Cloud-Dienstes vor.

BIMcollab nutzt die Tier 3++ Rechenzentren von Interconnect, die auf ISO9001, ISO14001, ISAE 3000 und SOC 2 Typ 2 Berichterstattung zertifiziert sind. Sie bieten einen sehr hohen Standard an Netzwerkinfrastruktur und energieeffizienter Stromversorgung. Dies gewährleistet eine unabhängige Beurteilung der Qualitätsprinzipien: 'Sicherheit' und 'Verfügbarkeit' des Rechenzentrums und der Cloud-Dienste.
​

Die Datenresidenz des Cloud-Dienstes ist angemessen eingeschränkt.

Alle Daten werden in den Niederlanden gespeichert, es sei denn, es wird eine on-premise Installation verwendet.

Alle Daten des Kunden werden bei Beendigung des Dienstes oder auf Anfrage sicher aus dem Cloud-Dienst gelöscht.

Wir haben Richtlinien und Verfahren für die sichere Entsorgung und vollständige Entfernung von Daten aus allen Speichermedien. Dies stellt sicher, dass Daten nicht durch forensische Mittel wiederhergestellt werden können.

Wir haben Richtlinien für Verfahren und Kontrollen zum Schutz der Vertraulichkeit und Verfügbarkeit der Verschlüsselungsschlüssel.
​

Die Verfügbarkeitszusagen des Dienstes, einschließlich unserer Fähigkeit, sich von Ausfällen zu erholen, finden Sie in unserem Software Level Agreement.
​

Produktionsdaten dürfen nicht in Nicht-Produktionsumgebungen repliziert oder verwendet werden.

Alle auf den Cloud-Diensten gespeicherten oder verarbeiteten Kunden-/Firmendaten gehören dem Kunden/der Firma.

Die Datenverwendungsrichtlinie in Bezug auf Kundendaten des Cloud-Dienstes ist klar definiert, um eine unbefugte Nutzung von Kundendaten zu verhindern.

BCF Managers verarbeiten keine personenbezogenen Daten. Die ausdrückliche Zustimmung der betroffenen Personen (d.h. Erklärung zur Erhebung personenbezogener Daten) einzuholen und in allen Aspekten mit der Datenschutzverordnung (PDPO) übereinzustimmen, einschließlich der Sicherstellung der Datensicherheit, der auf den notwendigen Zeitraum beschränkten Aufbewahrungsfrist usw., ist nicht anwendbar.

Die BIMcollab-Desktop-Anwendung sammelt und verarbeitet Ihre E-Mail-Adresse und Ihren Namen, um die Funktionalität der Software, die Benutzererfahrung und die damit verbundenen Dienste bereitzustellen und zu verbessern. Ihre Daten können auch für die Fehlerbehebung, technischen Support und Kommunikation bezüglich Software-Updates oder Änderungen der Nutzungsbedingungen verwendet werden. Wir verpflichten uns, Ihre Privatsphäre zu schützen und sicherzustellen, dass Ihre Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet werden.

Lesen Sie unsere vollständige Datenschutzerklärung.

Ein Business Continuity Plan ist vorhanden.
​

Vom Kunden bereitgestellte Nutzungsbedingungen werden nicht einbezogen. BIMcollab stellt eigene Nutzungsbedingungen bereit. Nur Kunden/Endbenutzer, die die Richtlinien & Bedingungen akzeptieren, dürfen die Anwendung nutzen.
​

Service Level Agreement (SLA) ist Teil der Geschäftsvereinbarung und spezifiziert den Umfang unseres Dienstes.
​

Diese Informationen finden Sie in unserem Service Level Agreement.
​

Alle von BIMcollab Cloud verwendeten Datenbankserver sind im Ruhezustand verschlüsselt. Wir verwenden die native VM-Verschlüsselung von VMware vSphere, die von TPM-Modulen unterstützt wird, um sicherzustellen, dass auf gespeicherte Daten ohne die entsprechenden kryptografischen Schlüssel nicht zugegriffen werden kann. Dies schützt Kundendaten im unwahrscheinlichen Fall eines unbefugten Zugriffs auf die zugrunde liegenden Speichersysteme.

Unsere Rechenzentrumsdienstleistungen und Umweltbedingungen (z.B. Wasser, Strom, Temperatur- und Feuchtigkeitskontrollen, Telekommunikation und Internetverbindung) sind gesichert, überwacht, gewartet und werden in geplanten Abständen auf kontinuierliche Wirksamkeit getestet, um Schutz vor unbefugtem Abfangen oder Beschädigung zu gewährleisten, und sind mit automatischem Failover oder anderen Redundanzen im Falle geplanter oder ungeplanter Unterbrechungen konzipiert.
​

Physische Sicherheitsperimeter (z.B. Zäune, Wände, Barrieren, Wachen, Tore, elektronische Überwachung, physische Authentifizierungsmechanismen, Empfangstresen und Sicherheitsstreifen) sind implementiert, um sensible Daten und Informationssysteme zu schützen.
​

Informationssicherheitsrichtlinien und -verfahren sind gemäß ISO-27001 festgelegt.

Richtlinien und Verfahren in Bezug auf Personalsicherheit, einschließlich Hintergrundüberprüfung, Sicherheitsbewusstsein und Kündigung, sind teilweise etabliert.

Es gibt ein tägliches Backup der Kundendaten mit einer Aufbewahrungsfrist von mindestens 1 Monat. Das Backup ist physisch geschützt und verschlüsselt.

Unsere Backups sind geografisch von unserer Produktionsumgebung getrennt, um die Datensicherheit im Katastrophenfall zu gewährleisten.

Unsere Backups sind unveränderlich, um gegen versehentliche und böswillige Datenänderungen, Verschlüsselung, Beschädigung und Löschung zu schützen. Dies schützt auch vor Malware, Ransomware, Viren und anderen Angriffen oder Datenpannen.

Der Sicherheitsvorfallreaktionsplan ist dokumentiert. Jede Sicherheitsverletzung, die den Kunden betrifft, wird so schnell wie möglich der verantwortlichen Person des Kunden gemeldet.

Alle abgelaufenen Komponenten, die potenziell Daten enthalten, werden professionell zerstört.

Eine begrenzte Anzahl interner Ingenieure hat Root-Zugriff auf die Server.

Zugriff kann nur von vorab genehmigten IP-Adressen erfolgen.

Alle Kommunikationen erfolgen über verschlüsselte Kommunikationsleitungen.
​

Das System unterstützt keine ADFS-Authentifizierung. Unterstützung kann bei Verwendung einer on-premise Installation bereitgestellt werden.

Zugriffskontrollen werden durchgesetzt, um sicherzustellen, dass nur autorisierte Benutzer auf den Cloud-Dienst und die Daten zugreifen können.

Rollenbasierte Zugriffskontrollen sind zur Trennung von Aufgaben implementiert. Für weitere Informationen zu Rollen in der BIMcollab-Umgebung konsultieren Sie den Artikel Rollen innerhalb der BIMcollab-Umgebung.

Die Produktions- und Nicht-Produktionsumgebungen sind getrennt, um unbefugten Zugriff oder Änderungen an Informationswerten zu verhindern.

Die multi-tenant, organisatorisch besessenen oder verwalteten (physischen und virtuellen) Anwendungen, Infrastruktursysteme und Netzwerkomponenten sind so gestaltet, entwickelt, bereitgestellt und konfiguriert, dass der Zugriff von Anbieter- und Kundenbenutzern (Mieter) angemessen von anderen Mietern segmentiert ist. Jeder Mieter hat seine eigene Instanz der Webanwendung sowie seine eigene Datenbank.

Die Verwaltungsumgebung ist für unbefugten Zugriff durch IP und auch durch Zwei-Faktor-Authentifizierung getrennt.

Die Daten und der Dienst sind von anderen Nutzern des Dienstes getrennt. Alle Kunden arbeiten in ihren eigenen WebRäumen, die vollständig voneinander getrennt sind.

Die Verwaltung des Dienstes ist von anderen Kunden getrennt.

Eine einheitliche Nachricht wird angezeigt, wenn eine falsche Kombination aus Benutzername/Passwort eingegeben wird.
​

Das System bietet einen sicheren Mechanismus, damit ein Benutzer sein eigenes Passwort zurücksetzen kann.

Das Passwort wird nicht in einem einseitig gesalzenen Hash im System gespeichert.

Das Passwort wird sicher in der Datenbank gespeichert.

Das System kann starke Passwörter mit mindestens 8 Zeichen Länge und komplexer Zusammensetzung erzwingen.

Das System erzwingt eine regelmäßige Änderung der Passwörter von Benutzerkonten.

Das System verhindert Brute-Force-Passwortangriffe.

Das System unterstützt die Zwei-Faktor-Authentifizierung.

Der BIMcollab WebRaum ist durch eine Firewall geschützt, die nur notwendigen Verkehr aus einem vertrauenswürdigen Netzwerk zulässt.

WebRäume sind durch ein IDS/IPS vor unzuverlässigen Netzwerken geschützt.

Der WebRaum hat Schutzmaßnahmen gegen einen DDoS-Angriff.

Die Server sind durch Antivirensoftware mit Echtzeitschutz und einem geplanten vollständigen Scan geschützt.

Die Webanwendung ist durch eine Web Application Firewall geschützt oder wird regelmäßig von einem Webanwendungsscanner überprüft, um sicherzustellen, dass keine bekannten Schwachstellen in der Webanwendung vorhanden sind.

Die App ist nur über IPv4 oder IPv6 erreichbar.

Offene TCP/UDP-Ports sind auf ein Minimum beschränkt, und alle anderen sind im Stealth-Modus.

SSL-Kommunikation wird erzwungen.

Eine Web Application Firewall (Whitelist) ist für zusätzliche Sicherheit vorhanden.

Die Übertragung von Daten ist verschlüsselt. Der Webzugriff ist durch TLS 1.2 oder höher mit starkem Verschlüsselungsalgorithmus und Perfect Forward Secrecy (PFS) verschlüsselt. Der Dateitransfer ist durch SFTP verschlüsselt.

Bei Verwendung einer on-premise Installation und wenn die Kundendomäne im Webzugang verwendet wird, wird das SSL/TLS-Zertifikat vom Kunden bereitgestellt oder das Zertifikat wird vom System bereitgestellt, das von einer vertrauenswürdigen CA signiert ist. Dies liegt vollständig im Ermessen des Kunden.

Daten in Übertragung sind zwischen dem Endgerät des Verbrauchers und dem Dienst geschützt.

Die Speicherung personenbezogener Daten entspricht der DSGVO.
​

Sicherheitsereignisse von Benutzerkontenaktivitäten werden protokolliert und für 3 Monate aufbewahrt.

Die Netzwerkumgebungen und virtuellen Instanzen sind so gestaltet und konfiguriert, dass der Verkehr zwischen vertrauenswürdigen und unzuverlässigen Verbindungen eingeschränkt und überwacht wird.

Protokollierung und Benachrichtigung von Sicherheitsereignissen sind auf Anfrage verfügbar und aktiviert.
​

Die Server sind gemäß einer sicheren Konfigurationsbasis eingerichtet und gehärtet.

Ein Bedrohungs- und Schwachstellenmanagementprozess ist implementiert, bei dem Sicherheits-Patches regelmäßig und zeitnah auf dem Betriebssystem, den Anwendungen und der Netzwerkinfrastruktur installiert werden.

Regelmäßige Schwachstellenscans und Penetrationstests werden durchgeführt. Der Scan- und Testbericht mit detaillierten Ergebnissen kann nach Unterzeichnung einer NDA-Vereinbarung geteilt werden.

Sicherheitsauditprotokolle stehen autorisiertem Personal des Kunden im Falle einer Sicherheitsuntersuchung zur Verfügung.

Formelle Risikobewertungen werden mindestens jährlich oder in geplanten Intervallen (und in Verbindung mit Änderungen an Informationssystemen) durchgeführt, um die Wahrscheinlichkeit und Auswirkung aller identifizierten Risiken zu bestimmen.

Ein Schwachstellen- und Patch-Management ist implementiert.

Konten und Anmeldeinformationen, die spezifisch für redundante Geräte sind, werden gelöscht, sobald die Geräte außer Betrieb genommen werden, um ihren Wert für einen Angreifer zu reduzieren.

Potenzielle neue Bedrohungen, Schwachstellen oder Ausnutzungstechniken, die den Dienst beeinträchtigen könnten, werden bewertet und Korrekturmaßnahmen ergriffen. Alle Sicherheitsupdates werden so schnell wie möglich installiert.

Die Schwere von Bedrohungen und Schwachstellen wird im Kontext des Dienstes berücksichtigt und diese Informationen werden verwendet, um die Umsetzung von Minderungsmaßnahmen zu priorisieren. Alle Risiken mit hoher Schwere werden sofort behandelt.

Bekannte Schwachstellen innerhalb des Dienstes werden in unseren Tools protokolliert und verfolgt, bis geeignete Minderungsmaßnahmen durch einen geeigneten Änderungsmanagementprozess implementiert wurden.
​

Es gibt keine Software-Versionsnummern des Webservers oder der Anwendung in den HTTP-Headern.

Es gibt keine Software-Versionsnummern auf der Anmeldeseite der Anwendung.

Interne IP-Adressen, Hostnamen, Domainnamen und andere interne Informationen sind für andere nicht sichtbar.

Standardseiten werden entfernt oder ersetzt.

Alle Fehlerbehandlungen werden mit benutzerdefinierten Seiten abgefangen. (404, 500, etc.).

Kein Debug-Modus oder ausführliche Fehlerbeschreibungen werden verwendet.

Demo-Seiten und Dokumentationen werden vom Server entfernt.

Inhalte sind nur in HTTPS und nicht gemischt.

Wir haben unsere eigene Lösung gegen Clickjacking.

HTTP-Methoden sind auf ein Minimum beschränkt (GET, POST).

Die sitemap.xml enthält Verweise auf Support-Seiten wie 404- oder 500-Seiten.

Benutzername und Passwort werden nicht in Cookies gespeichert.

Ein SameSite (Secure oder Lax) Schutz gegen Cross-Site Request Forgery (CSRF)-Angriffe ist implementiert.

Max-Age-Attribute werden unterstützt.

Domain/path-Attribute werden unterstützt.

(REST-)APIs sind geschützt, um keine unnötigen Informationen preiszugeben.

Code-Signierung wird für die Apps verwendet. Die Mac-Anwendungen sind mit unserem Zertifikat signiert und von Apple notariell beglaubigt. Unsere Windows-Anwendungen sind ebenfalls mit unserem vertrauenswürdigen Zertifikat signiert.

Kryptoschlüssel, Passwörter und Sicherheitseinstellungen werden in den Apps gespeichert und geschützt. Unsere Anwendungen verbinden sich mit einer externen API (BIMcollab), die eine Benutzerauthentifizierung und Proxy-Einstellungen erfordert. Wir speichern Benutzeranmeldeinformationen nur, wenn sie vom Benutzer ausgewählt werden, in verschleierter Form im Dateisystem/Registry zur Benutzerfreundlichkeit.

Maßnahmen werden ergriffen, um Reverse Engineering und Manipulation zu verhindern. Der Großteil unseres Codes ist kompiliert (C++), was es schwierig macht, ihn in den Originalcode zurückzuentwickeln. Der Teil, der nicht kompiliert ist (C#, JS), ist verschleiert.
​

X-Frame-Options werden nicht verwendet, um Clickjacking zu verhindern, zusätzlich zum CSP-Header als "frame-ancestors". Wir haben unsere eigene Lösung gegen Clickjacking.

Webformulare sind nicht mit CSRF-Tokens geschützt. Wir haben unsere eigene Lösung.

Rate-Limiting ist auf Webformularen nicht aktiviert.

Cipher Suites sind nicht eingeschränkt.

Secure-Flags werden nicht unterstützt.

Verwendete Open-Source-Komponenten werden nach bestem Wissen als vertrauenswürdig analysiert: BIMcollab Web-Kolophon und BIMcollab Desktop-Anwendung Kolophon.

Die App verwendet kein Zertifikat-Pinning für alle Netzwerkkommunikationen.
​

HTTP-zu-HTTPS-Weiterleitung (301) wird unterstützt.

Alle Kommunikation mit Webformularen erfolgt über HTTPS.

Robots.txt-Datei im Website-Root wird nicht unterstützt (nicht anwendbar).

Es werden keine anderen Versionen als TLS Version 1.2 oder höher verwendet.
​

Wir überprüfen, berücksichtigen und arbeiten mit unseren Cloud-Lieferkettenpartnern zusammen, um Datenqualitätsfehler und damit verbundene Risiken zu korrigieren.

Kontrollen sind entworfen und implementiert, um Datenrisiken durch ordnungsgemäße Trennung von Aufgaben, rollenbasierte Zugriffe und minimalen Zugriff für alle Mitarbeiter zu mindern und einzudämmen.

Der verwendete Code und die Code-Bibliotheken sind auf dem neuesten Stand und enthalten keine bekannten Schwachstellen. Dies wird regelmäßig basierend auf Build-Berichten überprüft. Für Webkomponenten führen wir NPM-Audits durch.

Die Webanwendung läuft immer über HTTPS.

Es werden keine selbstsignierten oder nicht vertrauenswürdigen CA-Zertifikate auf externen Schnittstellen verwendet.

Die Application Programming Interface (API) ist gemäß Industriestandards entworfen, entwickelt, bereitgestellt und getestet. Wir folgen den von BuildingSmart definierten offenen Standards.

Ältere Webbrowser werden bis zu einem vernünftigen Limit unterstützt. Siehe unsere Systemanforderungen.

Unsere Webanwendung enthält keine Cookie-Banner.