Meta for Work – Ergänzung zur Datensicherheit
Datum des Inkrafttretens: 13. November 2023
Diese Ergänzung zur Datensicherheit wurde ausdrücklich durch Bezugnahme in die Nutzungsbedingungen von Meta for Work aufgenommen, die unter forwork.meta.com/legal/mfw-terms-of-service/ (die „Bedingungen“) zu finden sind. Begriffe, die in dieser Ergänzung zur Datensicherheit verwendet, aber nicht definiert werden, haben die in den Nutzungsbedingungen festgelegte Bedeutung.
- Hintergrund und Zweck
In diesem Dokument werden die Mindestanforderungen an die Sicherheit beschrieben, die für die Bereitstellung der Dienste durch Meta gelten.
- Management-System für Informationssicherheit
Meta hat ein Management-System für Informationssicherheit (Information Security Management System – ISMS) eingerichtet und pflegt dieses. Das System dient der Umsetzung branchenüblicher Praktiken zur Informationssicherheit, die für die Bereitstellung der Dienste durch Meta gelten. Das ISMS von Meta soll Kundendaten vor unberechtigtem Zugriff sowie vor nicht autorisierter Offenlegung, Verwendung oder Änderung schützen.
- Risikomanagementprozess
Die Sicherheit von Informationen und der Einrichtungen zur Informationsverarbeitung, einschließlich IT-Infrastruktur und physische Einrichtungen, basieren auf einer Risikobewertung. Die Risikobewertung der Dienste wird regelmäßig durchgeführt.
- Organisation der Informationssicherheit
Meta hat einen speziellen Sicherheitsbeauftragten, der die Gesamtverantwortung für die Sicherheit in dieser Organisation trägt. Meta hat spezielles Personal, das für die Überwachung der Sicherheit deiner Kunden-Instanz für die Dienste verantwortlich ist.
- Physische und Umgebungssicherheit
Die Sicherheitsmaßnahmen von Meta umfassen Kontrollen, mit denen auf angemessene Weise sichergestellt werden soll, dass der Zugang zu den physischen Verarbeitungseinrichtungen nur autorisierten Personen vorbehalten ist und dass Umgebungskontrollen eingerichtet werden, um Zerstörungen aufgrund von umgebungsbedingten Gefahren zu erkennen, zu verhindern und zu kontrollieren. Die Kontrollen umfassen:
- Verfahren, die persönliche ID-Karten für das Betreten sämtlicher Räumlichkeiten von Meta für alle Personen erforderlich machen, die an den Diensten arbeiten.
- Protokollierung und Prüfung sämtlicher physischer Zugänge zur Datenverarbeitungseinrichtung durch Mitarbeiter und Auftragnehmer;
- Kameraüberwachungssysteme an kritischen Zugangspunkten zur Datenverarbeitungseinrichtung;
- Systeme, die die Temperatur und Luftfeuchtigkeit für die Computeranlagen überwachen und steuern; und
Stromversorgung und Notstromgeneratoren.
Vorbehaltlich der Nutzungsbedingungen hat Meta branchenübliche Verfahren für die sichere Löschung und Vernichtung von Daten auf elektronischen Medien zu implementieren.
- Personal
Schulungen. Meta hat sicherzustellen, dass alle Mitarbeiter mit Zugriff auf Kundendaten an Sicherheitsschulungen teilnehmen.
Screening und Hintergrundüberprüfungen. Meta verpflichtet sich:
- Meta verpflichtet sich, dem gesamten Personal, das mit deiner Kunden-Instanz für die Dienste arbeitet, persönliche ID-Karten mit Bild und ausgeschriebenem Namen zur Verfügung zu stellen. ID-Karten sind für das Betreten aller Meta-Einrichtungen erforderlich sein.
- ein Verfahren zur Verifizierung der Identität der Mitarbeitenden, die mit deiner Kunden-Instanz für die Dienste arbeiten, vorzuhalten.
ein Verfahren für Hintergrundüberprüfungen von Personen, die mit deiner Kunden-Instanz für die Dienste arbeiten, in Einklang mit den Richtlinien von Meta vorzuhalten, sofern rechtlich zulässig.
Verletzung der Sicherheit durch Mitarbeiter. Meta richtet Sanktionen für den unberechtigten oder unzulässigen Zugriff auf Kundendaten durch Mitarbeitende von Meta ein, wie u. a. Strafen bis einschließlich der Kündigung, sofern rechtlich zulässig.
- Sicherheitstests
Meta hat regelmäßig Sicherheits- und Schwachstellentests durchzuführen, um zu beurteilen, ob die wichtigsten Kontrollen ordnungsgemäß implementiert und wirksam sind.
- Zugriffskontrollen
Nutzerpasswort-Management. Meta hat einen etablierten Prozess für das Nutzerpasswort-Management vorzuhalten, um sicherzustellen, dass Passwörter persönlich und für nicht autorisierte Personen unzugänglich sind. Dies umfasst mindestens Folgendes:
- Bereitstellung von Passwörtern, einschließlich Verifizierung der Identität des Nutzers, bevor ein neues, ein Ersatz- oder vorübergehendes Passwort vergeben wird.
- Verschlüsselung sämtlicher Passwörter beim Speichern auf Computersystemen oder während der Übermittlung über das Netzwerk.
- Änderung aller Standardpasswörter von Drittanbietern.
- Starke Passwörter im Verhältnis zu ihrer beabsichtigten Verwendung.
Sensibilisierung und Schulung von Nutzern.
Nutzerzugriffsmanagement. Meta implementiert unverzüglich ein Verfahren zum Ändern und/oder Widerrufen von Zugriffsrechten und Nutzer-IDs. Meta hat Verfahren vorzuhalten, mit denen kompromittierte Zugangsdaten (Passwörter, Tokens usw.) rund um die Uhr gemeldet werden können. Meta hat geeignete Sicherheitsprotokolle zu implementieren, wie u. a. Nutzer-ID und Zeitstempel. Die Uhr ist mit NTP zu synchronisieren.
Es werden mindestens folgende Ereignisse im Nutzerzugriffsmanagement protokolliert:
- Änderungen der Autorisierung;
- Fehlgeschlagene und erfolgreiche Authentifizierungs- und Zugriffsversuche; und
Lese- und Schreibvorgänge.
- Kommunikationssicherheit
Netzwerksicherheit. Meta wird Technologien einsetzen, die den Branchenstandards für die Trennung von Netzwerken entsprechen. Der Fernzugriff auf Netzwerke muss eine verschlüsselte Kommunikation unter Einsatz sicherer Protokolle sowie die Verwendung der Multi-Faktor-Authentifizierung erfordern.
Schutz der Daten bei der Übermittlung. Meta wird die Nutzung geeigneter Protokolle zum Schutz der Vertraulichkeit der Daten bei der Übermittlung über öffentliche Netzwerke durchsetzen.
- Operative Sicherheit
Meta richtet für die Dienste ein Management-Programm für Schwachstellen ein und pflegt es. Dies umfasst auch die Festlegung von Rollen und Verantwortlichkeiten, die feste Zuordnung der Überwachung von Schwachstellen, die Risikobewertung von Schwachstellen und die Bereitstellung von Patches.
- Management von Sicherheitsvorfällen
Meta hat einen Reaktionsplan für Sicherheitsvorfälle einzurichten und zu pflegen, mit dem mögliche Sicherheitsvorfälle, die die Dienste betreffen, überwacht, erkannt und gehandhabt werden können. Der Reaktionsplan für Sicherheitsvorfälle hat mindestens die Festlegung von Rollen und Verantwortlichkeiten, Kommunikations- und Post-Mortem-Überprüfungen, einschließlich Ursachenanalysen und Sanierungsplänen, zu enthalten.
Meta überwacht die Dienste im Hinblick auf etwaige Sicherheitsverstöße und böswillige Aktivitäten. Der Überwachungsprozess und die Erkennungstechniken sind so zu gestalten, dass sie das Aufdecken von Sicherheitsvorfällen, die die Dienste betreffen, gemäß den relevanten Bedrohungen und der laufenden Bedrohungsaufklärung ermöglichen.
- Unternehmenskontinuität
Meta hat einen Unternehmenskontinuitätsplan vorzuhalten, damit es auf Notfälle oder andere kritische Situationen reagieren kann, die den Diensten schaden könnten. Meta hat seinen Unternehmenskontinuitätsplan mindestens einmal pro Jahr formal zu überprüfen.