Datahosting, beveiliging en privacy van 360° Reality Capture data van klanten

Bij OpenSpace zijn we trots op onze proactieve benadering ten aanzien van beveiliging en privacy, vooral gezien de hoeveelheid klantgegevens die ons is toevertrouwd. We hebben ondertussen meer dan 1 miljard vierkante meter aan bouwplaatsen vastgelegd in 91 landen en zes continenten, en dat aantal groeit exponentieel. We delen dan ook graag details over ons informatiebeveiligings- en privacybeleid en de stappen die we nemen om de vastgelegde gegevens van onze klanten te beschermen.

Beveiliging

De kernprincipes van het beveiligingsprogramma van OpenSpace zijn het beschermen van klantgegevens en het behouden van het vertrouwen van de klant. OpenSpace gebruikt een diepgaande verdedigingsaanpak om beveiligingslagen in onze hele organisatie te implementeren. We definiëren voortdurend nieuwe beveiligingscontroles en verfijnen bestaande. Ons beveiligingsprogramma wordt niet alleen gestuurd door nalevings- en regelgevingsvereisten, maar ook door best practices uit de branche, zoals de OWASP Top 10, CIS Benchmarks, ISO 27001 en dreigingsinformatie.

Kwetsbaarheid

Het OpenSpace Security-team beheert een meerlagige benadering van het scannen op kwetsbaarheden, met behulp van een verscheidenheid aan door de industrie erkende tools om een uitgebreide dekking van onze technologie te garanderen. We voeren regelmatig kwetsbaarheidsscans uit op onze platforms. Kwetsbaarheidsscans op netwerk- en applicatieniveau zorgen ervoor dat we de nieuwste kwetsbaarheden detecteren en erop kunnen reageren. Statische code-analyse beoordeelt automatisch de meest recente code om potentiële beveiligingsfouten in een vroeg stadium te detecteren. Regelmatig scannen helpt OpenSpace om beveiligingsbedreigingen voor te blijven.

We schakelen door de branche erkende derde partijen in om jaarlijkse penetratietesten uit te voeren. Penetratietests worden uitgevoerd tegen de applicatie- en netwerklagen van onze OpenSpace-technologie, en penetratietesters krijgen interne toegang tot de OpenSpace-netwerken om evaluatie te maximaliseren.

Privacy

OpenSpace werkt hard om de privacy van de gegevens die u ons toevertrouwt te verzekeren. Gegevens die u opslaat op het OpenSpace-platform zijn van jou. We hebben ons beveiligingsprogramma ingevoerd om jouw gegevens te beschermen en gebruiken ze alleen zoals toegestaan in onze Servicevoorwaarden, Privacybeleid en Hoofdserviceovereenkomsten. We delen jouw gegevens nooit met klanten en verkopen ze nooit.

OpenSpace biedt oplossingen wereldwijd, dus we hebben controles geïmplementeerd om ervoor te zorgen dat we voldoen aan privacyprogramma’s uit verschillende landen. Dat betekent dat OpenSpace stappen onderneemt om persoonlijk identificeerbare informatie (PII) te beschermen door middel van controles zoals de-identificatie, codering en strikte toegangscontrole. OpenSpace is jouw gegevensverwerker en gegevensverwerkingsovereenkomsten (DPA’s) zijn beschikbaar voor klanten die moeten voldoen aan de AVG, CCPA, PIPEDA en andere wereldwijde kaders waarvoor mogelijk afzonderlijke DPA-overeenkomsten vereist zijn.

Gegevens blijven geografisch gelokaliseerd in het land dat is gespecificeerd in jouw overeenkomst met ons. We dragen jouw gegevens nooit over buiten de geografische privacyregio zonder jouw schriftelijke toestemming.

OpenSpace’s inzet voor beveiliging: SOC 2

OpenSpace heeft een strenge externe audit ondergaan om deze prestigieuze status onder SaaS-organisaties te verkrijgen. Het rapport over naleving is beschikbaar voor (potentiële) klanten waarmee we een geheimhoudingsverklaring (NDA) hebben afgesloten.

Wat is een SOC 2-rapport?

SOC staat voor Systeem & Organisatiecontroles en de normen worden uiteengezet door de AICPA. De AICPA heeft SOC 2 ontwikkeld als een uitgebreide evaluatie van de controles, processen en beleidslijnen van een bedrijf als het gaat om informatiebeveiliging, privacy, vertrouwelijkheid, risicobeheer, wijzigingsbeheer en meer.

Er zijn verschillende niveaus van SOC 2-audits op basis van de Trust Service Principles waaraan wordt geaudit. De 3 Trust Service Principles die door OpenSpace zijn geselecteerd en die relevant zijn voor de diensten die we aan klanten leveren, zijn:

  • Beveiliging
  • Beschikbaarheid
  • Vertrouwelijkheid

InfoSec en privacywetten zoals GDPR, PIPEDA en CCPA betekenen dat audits als deze steeds belangrijker worden om aan te tonen dat OpenSpace klaar is om veilig met jouw gegevens om te gaan. Bewijs dat controles effectief zijn uitgevoerd, wordt beoordeeld en getest door auditors. De controles en testresultaten zijn beschikbaar in het SOC 2-rapport.

Cyber Essentials

OpenSpace is Cyber Essentials-gecertificeerd door het IASME Consortium Ltd. Deze certificering demonstreert onze voortdurende inzet om onze IT te beveiligen tegen cyberdreigingen met de juiste maatregelen en verdedigingen om klantgegevens te beschermen.

Wat is Cyber Essentials?

Cyber Essentials is een door de overheid gesteunde, onafhankelijk geverifieerde zelfbeoordelingscertificering die bedrijven van elke omvang helpt zichzelf te beschermen tegen een breed scala van de meest voorkomende cyberaanvallen en om ongewenste aandacht van cybercriminelen en anderen te vermijden. Om deze certificering te behalen, hebben we een beoordeling uitgevoerd op vijf gebieden van cyberbeveiliging, waarna een gekwalificeerde beoordelaar de door ons verstrekte informatie heeft geverifieerd:

1. Firewalls
2. Veilige configuratie
3. Beheer van beveiligingsupdates
4. Toegangscontrole van gebruikers
5. Malwarebescherming

Bekijk ons certificaat op: https://registry.blockmarktech.com/organisations/USOTH781107251/.

Hosting van gegevens

OpenSpace omvat negen regio’s over de hele wereld waar lokale bouwers en overheidsorganisaties toegang hebben tot OpenSpace in hun lokale regio.

EMEA-dataservicelocaties bevinden zich in Londen, Frankfurt en het Koninkrijk Saoedi-Arabië. APAC-dataservicelocaties bevinden zich in Sydney en Singapore. Voor China en Japan bevinden de dataservicelocaties zich in een van de AWS-serversteden: Beijing, Hong Kong, Ningxia, Osaka en Tokio. Voor de Verenigde Staten gebruiken we de US AWS West-regio. In Canada bevinden de dataservicelocaties zich in de centrale regio van Canada. Klanten kunnen kiezen op welke locatie hun gegevens worden gehost.

We stoppen hier niet…

Een belangrijk onderdeel van SOC 2-compliance is het voortdurend naleven en verbeteren van beveiligingssystemen en -processen. De normen voor SOC verschuiven naarmate het technische ecosysteem verandert en er zijn voortdurende verbeteringen aan de besturingselementen nodig om up-to-date te blijven. OpenSpace plant jaarlijkse SOC 2 Type II-audits opdat klanten erop kunnen vertrouwen dat hun gegevens bij ons veilig zijn.

Daarnaast heeft OpenSpace ISO 27001 gekozen als basis voor zijn beveiligingsprogramma en streven we naar een ISO-certificering. Als je ooit vragen hebt voor het beveiligingsteam van OpenSpace, kan je rechtstreeks contact met ons opnemen via compliance@openspace.ai.

 

Veelgestelde vragen over beveiliging en privacy

Beveiliging van data

V: Heeft OpenSpace een SOC2-rapport?
A: OpenSpace heeft een SOC2-rapport beschikbaar voor (potentiële) klanten waarmee we een geheimhoudingsovereenkomst (NDA) hebben afgesloten. Het kopen van een OpenSpace-licentie is niet vereist – je kan een geheimhoudingsverklaring verkrijgen via je verkoopvertegenwoordiger of door contact met ons op te nemen via support@openspace.ai.

V: Heeft OpenSpace een ISO 27001-certificering?
A: OpenSpace werkt aan het voltooien van de ISO 27001-certificering en zal op haar website een aankondiging doen wanneer dit is voltooid.

V: Welk beveiligingsframework heeft OpenSpace geïmplementeerd?
A: OpenSpace heeft een beveiligingsframework geïmplementeerd dat voldoet aan ISO 27001/Annex A-controles en FedRAMP Moderate (NIST 800-53).

V: Kunnen klanten een penetratietest van het OpenSpace-platform uitvoeren?
A: Nee, omdat dit zou worden opgevat als een aanval door het beveiligingsteam van OpenSpace, wat zou leiden tot een reactie op een incident. OpenSpace voert regelmatig penetratietesten uit met behulp van gekwalificeerde derde partijen. Informatie over deze tests is te vinden in het SOC2-rapport en is ook beschikbaar onder NDA.

V: Ondersteunt OpenSpace Multi-Factor Authentication (MFA), SAML 2.0 of OpenID Connect?
A: Met OpenSpace kunnen klanten toegang verlenen tot hun eigen identiteitsprovider (IdP) die OpenID Connect (OIDC) of SAML 2.0 ondersteunt, zoals Azure Active Directory of Okta. Klanten kunnen hun eigen vereisten voor toegangscontrole implementeren in overeenstemming met hun interne beveiligingsplan.

V: Hoe classificeert OpenSpace klantgegevens?
A: Alle klantgegevens worden als bedrijfseigen en vertrouwelijk beschouwd. Alle persoonlijk identificeerbare informatie wordt dienovereenkomstig behandeld.

V: Hoe worden gebruikers geverifieerd?
A: Klanten kunnen inloggen met een unieke gebruikersnaam en wachtwoord of hun identiteitstoegangsbeheer bundelen met hun eigen identiteitsprovider (IdP).

V: Zal OpenSpace enige integratie met klantsystemen vereisen?
A: OpenSpace vereist geen integratie van derden.

V: Kan OpenSpace rechtstreeks worden geïntegreerd met klantsystemen?
A: Nee, OpenSpace integreert niet rechtstreeks met klantsystemen, behalve voor authenticatie.

V: Waar worden gegevens opgeslagen? Hoe weet ik dat mijn gegevens veilig zijn?
A: Bij OpenSpace nemen we gegevensbeveiliging zeer serieus. We zijn Privacy Shield-gecertificeerd en voldoen zelfs aan het strengste beveiligingsbeleid ter wereld, de AVG van de EU. We behandelen alle informatie die op onze systemen is opgeslagen, ongeacht klant, gebruiker of use case, als even belangrijk en uiterst gevoelig. Alle klantgegevens worden tijdens de overdracht versleuteld met TLS-versleuteling, en in rust versleuteld met de industriestandaard 256-bits AES-versleuteling. Onze gegevens worden opgeslagen met AWS. Lees meer over hun beveiligingsbeleid bij Amazon Security.

Privacy bescherming

V: Heeft OpenSpace een privacybeleid?
A: Het huidige privacybeleid van OpenSpace is beschikbaar op de website op deze URL: https://www.openspace.ai/nl/het-privacybeleid/.

V: Welke gegevens worden door OpenSpace verzameld en met welk doel?
A: Bekijk het huidige privacybeleid.

V: Aan welke privacyregelgeving voldoet OpenSpace?
A: Zoals veel landen gebruikt OpenSpace de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie als basis en minimum voor zijn benadering van privacy. OpenSpace zal met individuele klanten samenwerken om te bepalen hoe het beste kan worden voldaan aan hun specifieke wettelijke vereisten.

V: Wie is de verwerkingsverantwoordelijke?
A: Klanten zijn verantwoordelijk voor het verzamelen en verstrekken van alle informatie over personen. Daarom is de klant de verwerkingsverantwoordelijke voor zijn betrokkenen.

V: Welke rol vervult OpenSpace met betrekking tot privacybescherming?
A: OpenSpace is de gegevensverwerker.

V: Zal OpenSpace een gegevensverwerkingsovereenkomst (DPA) sluiten met een klant?
A: Ja, jouw accountmanager kan een DPA verstrekken. Vul de DPA volledig in voordat je deze naar OpenSpace verzendt. Als je niet zeker weet welke gegevens naar OpenSpace zijn verzonden voor verwerking, neem dan contact op met jouw Account Executive voor meer informatie.

V: Waar worden de gegevens opgeslagen en verwerkt?
A: Gegevens worden opgeslagen en verwerkt in één door de klant geselecteerde regio. Neem contact op met jouw accountmanager om te zien welke regio’s beschikbaar zijn. OpenSpace breidt zich voortdurend uit en voegt nieuwe geografisch omheinde regio’s toe om klantgegevens op te slaan en te verwerken.

V: Wie zijn enkele partners, verkopers en klanten van OpenSpaces?
A: Volgens het beleid maakt OpenSpace de namen van partners, klanten of verkopers niet bekend.