BIMcollab is sinds november 2022 ISO-27001 gecertificeerd.

BIMcollab is PCI-DSS gecertificeerd. Daarom is de Payment Card Industry Data Security Standard (PCI-DSS) voor de bescherming van betaalkaartgegevens van toepassing.

Beveiligingsregels en governance van relevante landen van de cloudservice en dataopslag worden toegepast.

SOC 2 Audit-rapporten voor SSAE 16 zijn niet beschikbaar.

Er zijn onafhankelijke beoordelingen en evaluaties gepland, minimaal jaarlijks.

De klant/organisatie behoudt het recht op een compliance-audit voor de beveiliging van systemen en processen van de cloudservice.

BIMcollab maakt gebruik van de Tier 3++ datacenters van Interconnect, die gecertificeerd zijn op ISO9001, ISO14001, ISAE 3000 en SOC 2 type 2 rapportage. Ze bieden een zeer hoge standaard van netwerk infrastructuur en energiezuinige stroomvoorziening. Dit waarborgt een onafhankelijk oordeel over de kwaliteitsprincipes: ‘beveiliging’ en ‘beschikbaarheid’ van het datacenter en de cloudservices.
​

Dataopslag van de cloudservice is op passende wijze beperkt.

Alle data wordt opgeslagen in Nederland, behalve bij gebruik van een on-premise installatie.

Alle data van de klant wordt veilig verwijderd uit de cloudservice bij beëindiging van de dienst of op verzoek.

We hebben beleid en procedures voor het veilig verwijderen en volledig wissen van data van alle opslagmedia. Dit zorgt ervoor dat data niet kan worden teruggehaald met forensische middelen.

We hebben beleid voor procedures en controles om de vertrouwelijkheid en beschikbaarheid van de encryptiesleutels te beschermen.
​

De beschikbaarheidsverplichtingen van de dienst, inclusief ons vermogen om te herstellen van storingen, zijn te vinden in onze Software Level Agreement.
​

Productiedata wordt niet gekopieerd of gebruikt in niet-productieomgevingen.

Alle klant/organisatie data die wordt opgeslagen of verwerkt op de cloudservices is eigendom van de klant/organisatie.

Het beleid voor het gebruik van klantdata van de cloudservice is duidelijk gedefinieerd om ongeoorloofd gebruik van klantdata te voorkomen.

BCF managers verwerken geen persoonsgegevens. Het verkrijgen van uitdrukkelijke toestemming van de betrokkenen (d.w.z. Personal Information Collection Statement) en volledige naleving van de Personal Data Privacy Ordinance (PDPO), inclusief waarborging van gegevensbeveiliging, bewaartermijn beperkt tot wat noodzakelijk is, etc., is niet van toepassing.

BIMcollab Zoom verzamelt en verwerkt je emailadres en naam, met als doel het leveren en verbeteren van de functionaliteit van de software, de gebruikerservaring en gerelateerde diensten. Je gegevens kunnen ook worden gebruikt voor probleemoplossing, technische ondersteuning en communicatie over software-updates of wijzigingen in de gebruiksvoorwaarden. We zetten ons in om je privacy te beschermen en zorgen ervoor dat je gegevens worden verwerkt in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

Lees onze volledige privacyverklaring.
​

Er is een Business Continuity Plan aanwezig.
​

Gebruiksvoorwaarden die door de klant worden aangeleverd, worden niet meegenomen. BIMcollab hanteert eigen gebruiksvoorwaarden. Alleen klanten/eindgebruikers die de Policy & Terms accepteren, mogen de applicatie gebruiken.
​

Service Level Agreement (SLA) maakt deel uit van de Business Agreement en specificeert de reikwijdte van onze dienstverlening.
​

Deze informatie is te vinden in onze Service Level Agreement.
​

Alle database-servers die door BIMcollab Cloud worden gebruikt, zijn versleuteld in rust. We gebruiken VMware vSphere native VM-encryptie ondersteund door TPM-modules, waardoor opgeslagen data niet toegankelijk is zonder de juiste cryptografische sleutels. Dit beschermt klantdata in het onwaarschijnlijke geval van ongeautoriseerde toegang tot onderliggende opslagsystemen.
​

Onze datacenter nutsvoorzieningen en omgevingscondities (zoals water, stroom, temperatuur- en vochtigheidsregeling, telecommunicatie en internetverbinding) zijn beveiligd, gemonitord, onderhouden en getest op voortdurende effectiviteit op geplande momenten om bescherming te bieden tegen ongeoorloofde onderschepping of schade, en zijn ontworpen met automatische fail-over of andere redundantie bij geplande of ongeplande verstoringen.
​

Fysieke beveiligingsperimeters (zoals hekken, muren, barrières, bewakers, poorten, elektronische bewaking, fysieke authenticatiemechanismen, receptiebalies en beveiligingspatrouilles) zijn geïmplementeerd om gevoelige data en informatiesystemen te beschermen.
​

Informatiebeveiligingsbeleid en -procedures zijn aanwezig zoals gespecificeerd in ISO-27001.

Beleid en procedures zijn deels vastgesteld met betrekking tot personeelsbeveiliging, waaronder achtergrondcontroles, bewustwording van beveiliging en beëindiging van dienstverband.

Er wordt dagelijks een back-up gemaakt van de klantdata met een bewaartermijn van minimaal 1 maand. De back-up is fysiek beschermd en versleuteld.

Onze back-ups zijn geografisch gescheiden van onze productieomgeving om de veiligheid van data te waarborgen in geval van een calamiteit.

Onze back-ups zijn onveranderlijk om te beschermen tegen onbedoelde en kwaadwillige datamodificatie, versleuteling, corruptie en verwijdering. Dit beschermt ook tegen malware, ransomware, virussen en andere aanvallen of dataproblemen.

Het incident response plan voor beveiliging is gedocumenteerd. Elke beveiligingsinbreuk die de klant raakt, wordt zo snel mogelijk gemeld aan de verantwoordelijke persoon bij de klant.

Alle verlopen componenten die mogelijk data bevatten, worden professioneel vernietigd.

Een beperkt aantal interne engineers heeft root-toegang tot de servers.

Toegang is alleen mogelijk vanaf vooraf goedgekeurde IP-adressen.

Alle communicatie verloopt via versleutelde communicatielijnen.
​

Het systeem ondersteunt geen ADFS-authenticatie. Ondersteuning kan beschikbaar worden gemaakt bij gebruik van een on-premise installatie.

Toegangscontroles worden afgedwongen om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de cloudservice en data.

Rolgebaseerde toegangscontroles zijn geïmplementeerd voor scheiding van taken. Voor meer informatie over rollen in de BIMcollab-omgeving, raadpleeg het artikel Rollen binnen de BIMcollab-omgeving.

De productie- en niet-productieomgevingen zijn gescheiden om ongeautoriseerde toegang of wijzigingen aan informatie-assets te voorkomen.

De multi-tenant, organisatorisch beheerde (fysieke en virtuele) applicaties, infrastructuursystemen en netwerkcomponenten zijn zo ontworpen, ontwikkeld, geïmplementeerd en geconfigureerd dat provider- en klantgebruikers (tenant) correct gescheiden zijn van andere tenantgebruikers. Elke tenant heeft zijn eigen instantie van de webapplicatie en zijn eigen database.

De beheeromgeving is afgeschermd voor ongeautoriseerde toegang via IP en ook via twee-factor authenticatie.

De data en dienst zijn gescheiden van andere gebruikers van de dienst. Alle klanten werken in hun eigen spaces, volledig gescheiden van elkaar.

Het beheer van de dienst is gescheiden van andere klanten.

Er wordt een uniforme melding getoond bij een foutieve combinatie van gebruikersnaam/wachtwoord.
​

Het systeem biedt een veilige manier voor een gebruiker om zelf het wachtwoord te resetten.

Het wachtwoord wordt in het systeem opgeslagen als een eenrichtings-salted hash.

Het wachtwoord wordt veilig opgeslagen in de database.

Het systeem kan sterke wachtwoorden afdwingen van minimaal 8 tekens lang en met een complexe samenstelling.

Het afdwingen van periodieke wachtwoordwijzigingen kan door de klant worden beheerd.

Het systeem voorkomt brute-force aanvallen op wachtwoorden.

Het systeem ondersteunt twee-factor authenticatie.

De BIMcollab space wordt beschermd door een firewall die alleen noodzakelijk verkeer van een vertrouwd netwerk toestaat.

Spaces worden beschermd door een IDS/IPS tegen onbetrouwbare netwerken.

De space heeft maatregelen tegen een DDoS-aanval.

De servers worden beschermd door antivirussoftware met realtime bescherming en een geplande volledige scan.

De webapplicatie wordt beschermd door een Web Application Firewall of periodiek gescand door een webapplicatiescanner om te controleren op bekende kwetsbaarheden.

De app is alleen bereikbaar via IPv4 of IPv6.

Open TCP/UDP-poorten zijn tot een minimum beperkt, alle andere staan in stealth-modus.

SSL-communicatie wordt afgedwongen.

Er is een Web Application Firewall (white-listing) aanwezig voor extra beveiliging.

Overdracht van data is versleuteld. Webtoegang is versleuteld met TLS 1.2 of hoger, met sterke cipher en Perfect Forward Secrecy (PFS). Bestandsuitwisseling is versleuteld via SFTP.

Bij gebruik van een on-premise installatie en als het klantdomein wordt gebruikt voor webtoegang, wordt het SSL/TLS-certificaat geleverd door de klant of door het systeem, ondertekend door een vertrouwde CA. Dit is volledig aan de klant.

Data in transit is beschermd tussen het eindapparaat van de gebruiker en de dienst.

Opslag van persoonsgegevens voldoet aan de AVG.
​

Beveiligingsgebeurtenissen van gebruikersaccountactiviteiten worden gelogd en 3 maanden bewaard.

De netwerkomgevingen en virtuele instanties zijn ontworpen en geconfigureerd om verkeer tussen vertrouwde en onbetrouwbare verbindingen te beperken en te monitoren.

Logging en notificatie van beveiligingsgebeurtenissen zijn op aanvraag beschikbaar en ingeschakeld.
​

De servers zijn opgezet en gehard volgens een veilige configuratiebaseline.

Er is een proces voor dreigings- en kwetsbaarheidsbeheer waarbij beveiligingspatches tijdig worden geïnstalleerd op het besturingssysteem, applicaties en netwerk infrastructuur.

Regelmatige kwetsbaarheidsscans en penetratietests worden uitgevoerd. Het scan- en testrapport met gedetailleerde resultaten kan worden gedeeld na ondertekening van een NDA-overeenkomst.

Beveiligingsauditlogs zijn beschikbaar voor geautoriseerd personeel van de klant bij een beveiligingsonderzoek.

Formele risicoanalyses worden minimaal jaarlijks of op geplande momenten uitgevoerd (en bij wijzigingen aan informatiesystemen) om de kans en impact van alle geïdentificeerde risico’s te bepalen.

Kwetsbaarheids- en patchmanagement is aanwezig.

Accounts en inloggegevens die specifiek zijn voor buiten gebruik gesteld apparatuur worden verwijderd zodra de apparatuur buiten gebruik is, om de waarde voor een aanvaller te minimaliseren.

Potentiële nieuwe dreigingen, kwetsbaarheden of exploitatie-technieken die de dienst kunnen beïnvloeden, worden beoordeeld en er worden corrigerende maatregelen genomen. Alle beveiligingsupdates worden zo snel mogelijk geïnstalleerd.

De ernst van dreigingen en kwetsbaarheden wordt beoordeeld in de context van de dienst en deze informatie wordt gebruikt om de implementatie van maatregelen te prioriteren. Op alle risico’s met hoge ernst wordt direct actie ondernomen.

Bekende kwetsbaarheden binnen de dienst worden gelogd en gevolgd in onze tooling, totdat passende maatregelen zijn genomen via een geschikt changemanagementproces.
​

Er staan geen softwareversienummers van de webserver of applicatie in de http-headers.

Er worden geen softwareversienummers getoond op de applicatiepagina vóór het inloggen.

Interne IP-adressen, hostnamen, domeinnamen en andere interne informatie zijn niet zichtbaar voor anderen.

Standaardpagina's zijn verwijderd of vervangen.

Alle foutafhandeling wordt opgevangen met aangepaste pagina's (404, 500, enz.).

Er wordt geen debugmodus of uitgebreide foutomschrijvingen gebruikt.

Demo-pagina's en documentatie zijn van de server verwijderd.

Inhoud is alleen via HTTPS beschikbaar en niet gemengd.

We hebben onze eigen oplossing tegen clickjacking.

HTTP-methoden zijn tot een minimum beperkt (GET, POST).

De sitemap.xml bevat verwijzingen naar ondersteuningspagina's zoals 404- of 500-pagina's.

Gebruikersnaam en wachtwoord worden niet opgeslagen in cookies.

Er is een SameSite (Secure of Lax) bescherming tegen Cross-Site Request Forgery (CSRF)-aanvallen aanwezig.

Max age-attributen worden ondersteund.

Domein/path-attributen worden ondersteund.

(REST-)API's zijn beveiligd zodat er geen onnodige informatie wordt prijsgegeven.

Code signing wordt gebruikt voor de apps. De Mac-applicaties zijn ondertekend met ons certificaat en genotariseerd door Apple. Onze Windows-applicaties zijn ook ondertekend met ons vertrouwde certificaat.

Cryptosleutels, wachtwoorden en beveiligingsinstellingen worden opgeslagen en beschermd in de apps. Onze applicaties connecten met een externe API (BIMcollab), waarvoor gebruikersauthenticatie en proxy-instellingen vereist zijn. We onthouden gebruikersgegevens, alleen als de gebruiker dit kiest, in een verhuld formaat in het bestandssysteem/het register voor gebruiksgemak.

Er zijn maatregelen genomen om reverse engineering en manipulatie tegen te gaan. Het grootste deel van onze code is gecompileerde code (C++), waardoor het lastig is om terug te gaan naar de originele code. Het deel dat niet gecompileerd is (C#, JS), is verhuld.
​

X-Frame-Options worden niet gebruikt om clickjacking te voorkomen, naast de CSP-header als “frame-ancestors”. We hebben onze eigen oplossing tegen clickjacking.

Webformulieren zijn niet beschermd met CSRF-tokens. We hebben onze eigen oplossing.

Rate-limiting is niet geactiveerd op webformulieren.

Cipher Suites zijn niet beperkt.

Secure flags worden niet ondersteund.

Gebruikte open-source componenten worden naar beste kunnen door ons geanalyseerd op betrouwbaarheid: BIMcollab web colofon en BIMcollab Zoom colofon.

De app gebruikt geen certificate pinning voor alle netwerkcommunicatie.
​

HTTP naar HTTPS-omleiding (301) wordt ondersteund.

Alle communicatie met webformulieren verloopt via HTTPS.

Robots.txt-bestand in de root van de website wordt niet ondersteund (niet van toepassing).

Er worden geen andere versies dan TLS versie 1.2 of hoger gebruikt.
​

We controleren, registreren en werken samen met onze cloud supply-chain partners om fouten in de datakwaliteit en bijbehorende risico's te corrigeren.

Beheersmaatregelen zijn ontworpen en geïmplementeerd om risico's voor gegevensbeveiliging te beperken en te beheersen door middel van een juiste scheiding van taken, rolgebaseerde toegang en minimale toegangsrechten voor al het personeel.

De gebruikte code en codelibraries zijn up-to-date en bevatten geen bekende kwetsbaarheden. Dit wordt periodiek gecontroleerd op basis van build reports. Voor webcomponenten voeren we een NPM-audit uit.

De webapplicatie draait altijd via HTTPS.

Er worden geen zelfondertekende of niet-vertrouwde CA-certificaten gebruikt op externe interfaces.

De Application Programming Interface (API) is ontworpen, ontwikkeld, uitgerold en getest volgens de industrienormen. We volgen open standaarden zoals gedefinieerd door BuildingSmart.

Oudere webbrowsers worden ondersteund tot een redelijk niveau. Zie onze systeemvereisten.

Onze webapplicatie bevat geen cookiebanners.