BIMcollab is ISO-27001 gecertificeerd sinds november 2022.

BIMcollab is PCI-DSS gecertificeerd. Daarom is de Payment Card Industry Data Security Standard (PCI-DSS) voor de bescherming van Payment Card Industry-gegevens van toepassing.

Beveiligingsvoorschriften en governance van relevante landen van de cloudservice en gegevensresidentie zullen worden toegepast.

SOC 2 Audit Reports voor SSAE 16 zijn niet beschikbaar.

Er zijn onafhankelijke beoordelingen en evaluaties gepland, ten minste jaarlijks.

De klant/organisatie behoudt zich het recht voor op een nalevingsaudit voor de beveiliging van systemen en processen van de cloudservice.

BIMcollab maakt gebruik van de Tier 3++ datacenters van Interconnect, die gecertificeerd zijn op ISO9001, ISO14001, ISAE 3000, en SOC 2 type 2 rapportage. Ze bieden een zeer hoge standaard van netwerk infrastructuur en energie-efficiënte stroomvoorziening. Dit zorgt voor een onafhankelijk oordeel over de kwaliteitsprincipes: 'beveiliging' en 'beschikbaarheid' van het datacenter en de cloudservices.
​

Gegevensresidentie van de cloudservice is op passende wijze beperkt.

Alle gegevens worden opgeslagen in Nederland, tenzij er gebruik wordt gemaakt van een on-premise installatie.

Alle gegevens van de klant worden veilig gewist van de cloudservice bij beëindiging van de service of op verzoek.

We hebben beleid en procedures voor de veilige verwijdering en volledige verwijdering van gegevens van alle opslagmedia. Dit zorgt ervoor dat gegevens niet door forensische middelen kunnen worden hersteld.

We hebben beleid voor procedures en controles om de vertrouwelijkheid en beschikbaarheid van de encryptiesleutels te beschermen.
​

De beschikbaarheidsverplichtingen van de service, inclusief ons vermogen om te herstellen van storingen, zijn te vinden in onze Software Level Agreement.
​

Productiegegevens mogen niet worden gerepliceerd of gebruikt in niet-productieomgevingen.

Alle gegevens van klanten/organisaties die worden opgeslagen of verwerkt op de cloudservices zijn eigendom van de klant/organisatie.

Het gegevensgebruiksbeleid met betrekking tot klantgegevens van de cloudservice is duidelijk gedefinieerd om ongeoorloofd gebruik van klantgegevens te voorkomen.

BCF Managers verwerken geen persoonsgegevens. Het verkrijgen van de uitdrukkelijke toestemming van de betrokkenen (d.w.z. Verklaring Persoonsgegevensverzameling) en naleving in alle aspecten van de Personal Data Privacy Ordinance (PDPO), inclusief gegevensbeveiligingsgarantie, bewaartermijn beperkt tot de noodzakelijke periode, is niet van toepassing.

De BIMcollab desktop applicatie verzamelt en verwerkt je e-mailadres en naam, voor de doeleinden van het verbeteren van de functionaliteit van de software, gebruikerservaring en gerelateerde diensten. Je gegevens kunnen ook worden gebruikt voor probleemoplossing, technische ondersteuning en communicatie over software-updates of wijzigingen in de gebruiksvoorwaarden. We zijn toegewijd aan het beschermen van je privacy en ervoor te zorgen dat je gegevens worden verwerkt in overeenstemming met de toepasselijke gegevensbeschermingswetten.

Lees onze volledige privacyverklaring.

Er is een Business Continuity Plan aanwezig.
​

Gebruiksvoorwaarden verstrekt door de klant worden niet opgenomen. BIMcollab biedt zijn eigen gebruiksvoorwaarden. Alleen klanten/eindgebruikers die de Beleid & Voorwaarden accepteren, mogen de applicatie gebruiken.
​

Service Level Agreement (SLA) maakt deel uit van de zakelijke overeenkomst en specificeert de reikwijdte van onze service.
​

Deze informatie is te vinden in onze Service Level Agreement.

Alle databaseservers die door BIMcollab Cloud worden gebruikt, zijn versleuteld in rust. We gebruiken VMware vSphere native VM-versleuteling die wordt ondersteund door TPM-modules, waardoor opgeslagen gegevens niet toegankelijk zijn zonder de juiste cryptografische sleutels. Dit beschermt klantgegevens in het onwaarschijnlijke geval van ongeoorloofde toegang tot onderliggende opslagsystemen.

Onze datacenter nutsvoorzieningen en omgevingscondities (bijv. water, stroom, temperatuur- en vochtigheidscontroles, telecommunicatie en internetconnectiviteit) zijn beveiligd, bewaakt, onderhouden en getest op voortdurende effectiviteit op geplande intervallen om bescherming te bieden tegen ongeoorloofde onderschepping of schade, en zijn ontworpen met automatische fail-over of andere redundantie in het geval van geplande of ongeplande verstoringen.
​

Fysieke beveiligingsperimeters (bijv. hekken, muren, barrières, bewakers, poorten, elektronische bewaking, fysieke authenticatiemechanismen, receptiebalies en beveiligingspatrouilles) zijn geïmplementeerd om gevoelige gegevens en informatiesystemen te beschermen.
​

Informatiebeveiligingsbeleid en -procedures zijn opgesteld zoals gespecificeerd in ISO-27001.

Beleid en procedures zijn deels vastgesteld met betrekking tot personeelsbeveiliging, inclusief achtergrondcontrole, beveiligingsbewustzijn en beëindiging.

Er wordt dagelijks een back-up van de klantgegevens gemaakt met een retentieperiode van minimaal 1 maand. De back-up is fysiek beschermd en versleuteld.

Onze back-ups zijn geografisch gescheiden van onze productieomgeving om gegevensveiligheid te waarborgen in geval van een ramp.

Onze back-ups zijn onveranderlijk om te beschermen tegen onopzettelijke en kwaadaardige gegevenswijziging, versleuteling, corruptie en verwijdering. Dit beschermt ook tegen malware, ransomware, virussen en andere aanvallen of gegevensproblemen.

Het beveiligingsincidentresponsplan is gedocumenteerd. Elke beveiligingsinbreuk die de klant treft, wordt zo snel mogelijk gemeld aan de verantwoordelijke persoon van de klant.

Alle verlopen componenten die mogelijk gegevens bevatten, worden professioneel vernietigd.

Een beperkt aantal interne ingenieurs heeft root-toegang tot de servers.

Toegang kan alleen worden verkregen vanaf vooraf goedgekeurde IP-adressen.

Alle communicatie wordt uitgevoerd via versleutelde communicatielijnen.
​

Het systeem ondersteunt geen ADFS-authenticatie. Ondersteuning kan beschikbaar worden gesteld bij gebruik van een on-premise installatie.

Toegangscontroles worden afgedwongen om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de clouddienst en gegevens.

Rolgebaseerde toegangscontroles zijn geïmplementeerd voor scheiding van taken. Voor meer informatie over rollen in de BIMcollab-omgeving, raadpleeg het artikel Rollen binnen de BIMcollab-omgeving.

De productie- en niet-productieomgevingen zijn gescheiden om ongeautoriseerde toegang of wijzigingen aan informatie-assets te voorkomen.

De multi-tenant organisatorisch beheerde (fysieke en virtuele) applicaties, infrastructuursysteem en netwerkcomponenten zijn zodanig ontworpen, ontwikkeld, ingezet en geconfigureerd dat provider- en klantgebruikers (tenant) toegang op de juiste manier is gesegmenteerd van andere tenantgebruikers. Elke tenant heeft zijn eigen instantie van de webapplicatie evenals zijn eigen database.

De beheeromgeving is gescheiden voor ongeautoriseerde toegang door IP en ook tweefactorauthenticatie.

De gegevens en dienst zijn gescheiden van andere gebruikers van de dienst. Alle klanten draaien in hun eigen spaces, volledig gescheiden van elkaar.

Het beheer van de dienst is gescheiden van andere klanten.

Een uniforme boodschap wordt weergegeven wanneer een verkeerde combinatie van gebruiker/wachtwoord wordt ingevoerd.
​

Het systeem biedt een veilige methode voor een gebruiker om zijn eigen wachtwoord te resetten.

Het wachtwoord wordt niet opgeslagen in een eenrichtingsgezouten hash in het systeem.

Het wachtwoord wordt veilig opgeslagen in de database.

Het systeem kan sterke wachtwoorden afdwingen van minimaal 8 tekens lang en met een complexe samenstelling.

Het systeem dwingt periodieke wijziging van wachtwoorden van gebruikersaccounts af.

Het systeem voorkomt brute-force wachtwoordaanvallen.

Het systeem ondersteunt tweefactorauthenticatie.

De BIMcollab space wordt beschermd door een firewall die alleen noodzakelijk verkeer van een vertrouwd netwerk toestaat.

Spaces worden beschermd door een IDS/IPS tegen niet-vertrouwde netwerken.

De space heeft maatregelen tegen een DDoS-aanval.

De servers worden beschermd door antivirussoftware met realtime bescherming en een geplande volledige scan.

De webapplicatie wordt beschermd door een Web Application Firewall of periodiek gescand door een webapplicatiescanner om ervoor te zorgen dat er geen bekende kwetsbaarheden in de webapplicatie zijn.

De app is alleen bereikbaar via IPv4 of IPv6.

Open TCP/UDP-poorten zijn tot een minimum beperkt, en alle andere zijn in stealth-modus.

SSL-communicatie wordt afgedwongen.

Een Web Application Firewall (white-listing) is aanwezig voor extra beveiliging.

De overdracht van gegevens is versleuteld. Webtoegang is versleuteld door TLS 1.2 of hoger met een sterke cipher met Perfect Forward Secrecy (PFS). Bestandsoverdracht is versleuteld door SFTP.

Bij gebruik van een on-premise installatie en het klantdomein wordt gebruikt in de webtoegang, wordt het SSL/TLS-certificaat geleverd door de klant of het certificaat wordt geleverd door het systeem dat is ondertekend door een industrieel vertrouwde CA. Dit is geheel aan de klant.

Gegevens in transit worden beschermd tussen het eindgebruikersapparaat van de consument en de dienst.

Opslag van persoonlijke gegevens voldoet aan de AVG.
​

Beveiligingsgebeurtenissen van gebruikersaccountactiviteiten worden gelogd en 3 maanden bewaard.

De netwerkomgevingen en virtuele instanties zijn ontworpen en geconfigureerd om verkeer tussen vertrouwde en niet-vertrouwde verbindingen te beperken en te monitoren.

Logging en melding van beveiligingsgebeurtenissen zijn op aanvraag beschikbaar en ingeschakeld.
​

De servers zijn opgezet en versterkt volgens een veilige configuratiebasislijn.

Er is een proces voor dreigings- en kwetsbaarheidsbeheer waarbij beveiligingspatches regelmatig en tijdig worden geïnstalleerd op het besturingssysteem, applicaties en netwerkstructuur.

Regelmatige kwetsbaarheidsscans en penetratietests worden uitgevoerd. Het scan- en testrapport met gedetailleerde resultaten kan worden gedeeld na ondertekening van een geheimhoudingsverklaring.

Beveiligingsauditlogs zijn beschikbaar voor geautoriseerd personeel van de klant in geval van een beveiligingsonderzoek.

Formele risicoanalyses worden minstens jaarlijks of op geplande intervallen uitgevoerd (en in combinatie met eventuele wijzigingen aan informatiesystemen) om de waarschijnlijkheid en impact van alle geïdentificeerde risico's te bepalen.

Kwetsbaarheids- en patchbeheer is aanwezig.

Accounts en inloggegevens die specifiek zijn voor overbodige apparatuur worden verwijderd zodra de apparatuur buiten gebruik wordt gesteld, om hun waarde voor een aanvaller te verminderen.

Potentiële nieuwe dreigingen, kwetsbaarheden of uitbuitingstechnieken die de dienst kunnen beïnvloeden, worden beoordeeld en er worden corrigerende maatregelen genomen. Alle beveiligingsupdates worden zo snel mogelijk geïnstalleerd.

De ernst van dreigingen en kwetsbaarheden wordt binnen de context van de dienst overwogen en deze informatie wordt gebruikt om de implementatie van mitigaties te prioriteren. Alle risico's met hoge ernst worden onmiddellijk aangepakt.

Bekende kwetsbaarheden binnen de dienst worden gelogd en gevolgd binnen onze tooling, totdat geschikte mitigaties zijn geïmplementeerd via een geschikt wijzigingsbeheerproces.
​

Er zijn geen softwareversienummers van de webserver of applicatie in de http-headers.

Er zijn geen softwareversienummers op de applicatiepagina vóór inloggen.

Interne IP-adressen, hostnamen, domeinnamen en andere interne informatie zijn niet zichtbaar voor anderen.

Standaardpagina's zijn verwijderd of vervangen.

Alle foutafhandeling wordt opgevangen met aangepaste pagina's. (404, 500, etc.).

Er wordt geen debugmodus of uitgebreide foutomschrijvingen gebruikt.

Demopagina's en documentatie zijn van de server verwijderd.

Inhoud is alleen in HTTPS en niet gemengd.

We hebben onze eigen oplossing tegen clickjacking.

HTTP-methoden zijn beperkt tot een minimum (GET, POST).

De sitemap.xml bevat verwijzingen naar ondersteuningspagina's zoals 404 of 500 pagina's.

Gebruikersnaam en wachtwoord worden niet opgeslagen in cookies.

Een SameSite (Secure of Lax) bescherming tegen Cross-Site Request Forgery (CSRF)-aanvallen is aanwezig.

Max age-attributen worden ondersteund.

Domein/path-attributen worden ondersteund.

(REST-)API's zijn beschermd om geen onnodige informatie prijs te geven.

Code signing wordt gebruikt voor de apps. De Mac-applicaties zijn ondertekend met ons certificaat, genotariseerd door Apple. Onze Windows-applicaties zijn ook ondertekend met ons vertrouwde certificaat.

Cryptosleutels, wachtwoorden en beveiligingsinstellingen worden opgeslagen en beschermd in de apps. Onze applicaties verbinden met een externe API (BIMcollab), die gebruikersauthenticatie en proxy-instellingen vereist. We onthouden gebruikersgegevens alleen wanneer geselecteerd door de gebruiker, in een verhulde vorm in het bestandssysteem/het register voor gebruiksvriendelijkheid.

Er zijn maatregelen genomen om reverse engineering en manipulatie te voorkomen. Het grootste deel van onze code is gecompileerde code (C++), waardoor het moeilijk is om terug te engineeren naar de oorspronkelijke code. Het deel dat niet gecompileerd is (C#, JS), is verhuld.
​

X-Frame-Options worden niet gebruikt om clickjacking te voorkomen, naast CSP-header als "frame-ancestors". We hebben onze eigen oplossing tegen clickjacking.

Webformulieren zijn niet beschermd met CSRF-tokens. We hebben onze eigen oplossing.

Rate-limiting is niet geactiveerd op webformulieren.

Cipher Suites zijn niet beperkt.

Secure flags worden niet ondersteund.

Gebruikte open-source componenten worden geanalyseerd als betrouwbaar met onze beste middelen: BIMcollab web colofon en BIMcollab desktop applicatie colofon.

De app gebruikt geen certificaatpinnen voor alle netwerkcommunicatie.
​

HTTP naar HTTPS omleiding (301) wordt ondersteund.

Alle communicatie met webformulieren wordt uitgevoerd via HTTPS.

Robots.txt-bestand in de root van de website wordt niet ondersteund (niet van toepassing).

Er worden geen andere versies dan TLS versie 1.2 of hoger gebruikt.
​

We inspecteren, houden rekening met en werken samen met onze cloudleveranciers om fouten in de datakwaliteit en bijbehorende risico's te corrigeren.

Controles zijn ontworpen en geïmplementeerd om gegevensbeveiligingsrisico's te beperken en te beheersen door middel van een juiste scheiding van taken, op rollen gebaseerde toegang en toegang met de minste privileges voor al het personeel.

De gebruikte code en codelibraries zijn up-to-date en bevatten geen bekende kwetsbaarheden. Dit wordt periodiek gecontroleerd op basis van build reports. Voor webcomponenten voeren we NPM audit uit.

De webapplicatie draait altijd via HTTPS.

Er worden geen zelfondertekende of niet-vertrouwde CA-certificaten gebruikt op externe interfaces.

De Application Programming Interface (API) is ontworpen, ontwikkeld, geïmplementeerd en getest in overeenstemming met industriestandaarden. We volgen open standaarden gedefinieerd door BuildingSmart.

Oudere webbrowsers worden ondersteund tot een redelijk limiet. Zie onze systeemvereisten.

Onze webapplicatie bevat geen cookiebanners.