Ingangsdatum: 13 november 2023
Dit Addendum betreffende gegevensbeveiliging is uitdrukkelijk door middel van verwijzing opgenomen in de Servicevoorwaarden van Meta for Work op forwork.meta.com/legal/mfw-terms-of-service/ (de 'Voorwaarden'). Termen met een hoofdletter die in dit Addendum betreffende gegevensbeveiliging worden gebruikt, maar niet zijn gedefinieerd, hebben de betekenis zoals gegeven in de Voorwaarden.
In dit document worden de minimale veiligheidsvereisten beschreven die van toepassing zijn op de verstrekking van de Services aan jou door Meta.
Meta heeft een Information Security Management System (ISMS) opgericht en zal dit onderhouden. Het systeem is ontworpen om praktijken op brancheniveau op het gebied van informatiebeveiliging uit te voeren die van toepassing zijn op het aanbieden van de Services. Het ISMS van Meta is ontworpen om te beschermen tegen onbevoegde toegang, openbaarmaking, gebruik, verlies of wijziging van Klantgegevens.
De beveiliging van gegevens en faciliteiten waar gegevens worden verwerkt, waaronder IT-infrastructuur en fysieke faciliteiten, wordt gebaseerd op een risicobeoordeling. Er wordt regelmatig een risicobeoordeling van de Services uitgevoerd.
Meta heeft een speciale beveiligingsfunctionaris aangesteld die de eindverantwoordelijkheid draagt voor de beveiliging binnen de organisatie. Meta heeft personeel aangewezen dat verantwoordelijk is voor het toezicht op de beveiliging van je Klantenversie voor de Services.
De beveiligingsmaatregelen van Meta omvatten opties die zijn ontworpen om redelijke verzekering te bieden dat de toegang tot fysieke verwerkingsfaciliteiten is beperkt tot bevoegde personen en dat er omgevingscontroles zijn opgericht om vernietiging als gevolg van milieugevaren te detecteren, voorkomen en beheersen. Deze controles omvatten:
elektriciteitstoevoer en reservegeneratoren.
Meta implementeert in de branche gebruikelijke standaardprocedures voor beveiligde verwijdering en afvoer van gegevens op elektronische media, onderworpen aan de Voorwaarden.
. Meta waarborgt dat alle medewerkers die toegang hebben tot Klantgegevens een veiligheidstraining doorlopen.
Screening en antecedentenonderzoeken. Meta zal:
beschikken over een proces om, indien wettelijk toegestaan, achtergrondcontroles uit te voeren, op personeel dat bijvoorbeeld met jouw Klantversie werkt voor de Services in overeenstemming met het Meta-beleid.
Schending van de beveiliging door personeel. Meta stelt sancties in voor onbevoegde of ontoelaatbare toegang tot Klantgegevens door personeel van Meta, waaronder, indien wettelijk toegestaan, straffen die zo ver gaan als ontslag.
Meta voert regelmatige beveiligings- en kwetsbaarheidstests uit om te beoordelen of de belangrijkste controles op de juiste wijze worden uitgevoerd en effectief zijn.
Wachtwoordbeheer voor gebruikers. Meta beschikt over een vastgesteld proces voor Wachtwoordbeheer voor gebruikers, dat is ontworpen om te verzekeren dat wachtwoorden persoonlijk zijn en niet toegankelijk voor onbevoegde personen, waaronder ten minste:
bewustmaking en training van gebruikers.
Beheer van de toegang van gebruikers. Meta voert onverwijld een proces in voor de wijziging en/of intrekking van toegangsrechten en gebruikers-ID's. Meta beschikt 24 uur per dag, 7 dagen per week over procedures voor rapportage en de intrekking van aanmeldgegevens die mogelijk in verkeerde handen zijn (wachtwoorden, tokens, enz). Indien gepast implementeert Meta passende beveiligingslogboeken, met inbegrip van gebruikers-ID en tijdstempel. De klok wordt gesynchroniseerd met de NTP.
De volgende minimale gebeurtenissen in het kader van het beheer van de toegang van gebruikers worden gelogd:
lees- en schrijfactiviteiten.
Netwerkbeveiliging. Meta maakt gebruik van technologie die overeenkomt met de branchenormen voor netwerkscheiding. Voor netwerktoegang op afstand is een versleutelde communicatie vereist met behulp van beveiligde protocollen en het gebruik van verificatie op meerdere manieren.
Bescherming van gegevens tijdens de overdracht. Meta legt het gebruik op van passende protocollen die zijn ontworpen om de vertrouwelijkheid van gegevens tijdens de overdracht over openbare netwerken te beschermen.
Meta voert een kwetsbaarheidsbeheerprogramma voor de Services in en onderhoudt dit. Dit programma omvat de definitie van rollen en verantwoordelijkheden, specifieke verantwoordelijkheid voor de monitoring van kwetsbaarheden, een risicobeoordeling van de kwetsbaarheden en de uitrol van patches.
Meta stelt een plan op en onderhoudt dit voor de reactie op beveiligingsincidenten voor het monitoren, opsporen en afhandelen van mogelijke beveiligingsincidenten die van invloed zijn op de Services. Het plan voor de reactie op beveiligingsincidenten bevat ten minste de definitie van rollen en verantwoordelijkheden en beoordelingen achteraf, waaronder een analyse van de hoofdoorzaak en herstelplannen.
Meta monitort de Services op eventuele beveiligingsinbreuken en kwaadwillende activiteiten. Het monitoringsproces en de opsporingstechnieken worden ontworpen om de opsporing van beveiligingsincidenten mogelijk te maken die van invloed zijn op de Services overeenkomstig de relevante dreigingen en doorlopende informatie over dreigingen.
Meta onderhoudt een bedrijfscontinuïteitsplan voor de reactie op noodgevallen of andere kritieke situaties die de Services kunnen beschadigen. Meta beoordeelt het bedrijfscontinuïteitsplan ten minste één keer per jaar.