Addendum betreffende gegevensbeveiliging van Meta for Work
Ingangsdatum: 13 november 2023
Dit Addendum betreffende gegevensbeveiliging is uitdrukkelijk door middel van verwijzing opgenomen in de Servicevoorwaarden van Meta for Work op forwork.meta.com/legal/mfw-terms-of-service/ (de 'Voorwaarden'). Termen met een hoofdletter die in dit Addendum betreffende gegevensbeveiliging worden gebruikt, maar niet zijn gedefinieerd, hebben de betekenis zoals gegeven in de Voorwaarden.
- Achtergrond en doel
In dit document worden de minimale veiligheidsvereisten beschreven die van toepassing zijn op de verstrekking van de Services aan jou door Meta.
- Information Security Management System
Meta heeft een Information Security Management System (ISMS) opgericht en zal dit onderhouden. Het systeem is ontworpen om praktijken op brancheniveau op het gebied van informatiebeveiliging uit te voeren die van toepassing zijn op het aanbieden van de Services. Het ISMS van Meta is ontworpen om te beschermen tegen onbevoegde toegang, openbaarmaking, gebruik, verlies of wijziging van Klantgegevens.
- Risicobeheersproces
De beveiliging van gegevens en faciliteiten waar gegevens worden verwerkt, waaronder IT-infrastructuur en fysieke faciliteiten, wordt gebaseerd op een risicobeoordeling. Er wordt regelmatig een risicobeoordeling van de Services uitgevoerd.
- Organisatie van de veiligheid van gegevens
Meta heeft een speciale beveiligingsfunctionaris aangesteld die de eindverantwoordelijkheid draagt voor de beveiliging binnen de organisatie. Meta heeft personeel aangewezen dat verantwoordelijk is voor het toezicht op de beveiliging van je Klantenversie voor de Services.
- Fysieke beveiliging en beveiliging tegen het milieu
De beveiligingsmaatregelen van Meta omvatten opties die zijn ontworpen om redelijke verzekering te bieden dat de toegang tot fysieke verwerkingsfaciliteiten is beperkt tot bevoegde personen en dat er omgevingscontroles zijn opgericht om vernietiging als gevolg van milieugevaren te detecteren, voorkomen en beheersen. Deze controles omvatten:
- protocollen die persoonlijke identiteitskaarten vereisen voor toegang tot alle Meta-faciliteiten voor al het personeel dat werkt met de Services.
- loggen en controleren van alle fysieke toegang tot de gegevensverwerkingsfaciliteit door medewerkers en opdrachtnemers;
- cameratoezichtsystemen op belangrijke toegangspunten van de gegevensverwerkingsfaciliteit;
- systemen die de temperatuur en vochtigheid voor de computerapparatuur monitoren en controleren; en
elektriciteitstoevoer en reservegeneratoren.
Meta implementeert in de branche gebruikelijke standaardprocedures voor beveiligde verwijdering en afvoer van gegevens op elektronische media, onderworpen aan de Voorwaarden.
- Personeelstraining
. Meta waarborgt dat alle medewerkers die toegang hebben tot Klantgegevens een veiligheidstraining doorlopen.
Screening en antecedentenonderzoeken. Meta zal:
- Meta verstrekt persoonlijke identiteitskaarten met foto en geschreven naam aan al het personeel dat werkzaam is met jouw Klantenversie voor de Services. Identiteitskaarten zijn verplicht voor toegang tot alle Meta-faciliteiten.
- beschikken over een proces om de identiteit te controleren van personeel dat werkzaam is met jouw Klantenversie voor de Services.
beschikken over een proces om, indien wettelijk toegestaan, achtergrondcontroles uit te voeren, op personeel dat bijvoorbeeld met jouw Klantversie werkt voor de Services in overeenstemming met het Meta-beleid.
Schending van de beveiliging door personeel. Meta stelt sancties in voor onbevoegde of ontoelaatbare toegang tot Klantgegevens door personeel van Meta, waaronder, indien wettelijk toegestaan, straffen die zo ver gaan als ontslag.
- Testen van beveiliging
Meta voert regelmatige beveiligings- en kwetsbaarheidstests uit om te beoordelen of de belangrijkste controles op de juiste wijze worden uitgevoerd en effectief zijn.
- Toegangscontrole
Wachtwoordbeheer voor gebruikers. Meta beschikt over een vastgesteld proces voor Wachtwoordbeheer voor gebruikers, dat is ontworpen om te verzekeren dat wachtwoorden persoonlijk zijn en niet toegankelijk voor onbevoegde personen, waaronder ten minste:
- het verstrekken van wachtwoorden, waaronder de verificatie van de identiteit van de gebruiker voorafgaand aan een nieuw, vervangend of tijdelijk wachtwoord;
- versleuteling van alle wachtwoorden wanneer deze zijn opgeslagen in computersystemen of worden overgedragen via het netwerk;
- wijziging van standaardwachtwoorden van leveranciers;
- sterke wachtwoorden met betrekking tot het beoogde gebruik;
bewustmaking en training van gebruikers.
Beheer van de toegang van gebruikers. Meta voert onverwijld een proces in voor de wijziging en/of intrekking van toegangsrechten en gebruikers-ID's. Meta beschikt 24 uur per dag, 7 dagen per week over procedures voor rapportage en de intrekking van aanmeldgegevens die mogelijk in verkeerde handen zijn (wachtwoorden, tokens, enz). Indien gepast implementeert Meta passende beveiligingslogboeken, met inbegrip van gebruikers-ID en tijdstempel. De klok wordt gesynchroniseerd met de NTP.
De volgende minimale gebeurtenissen in het kader van het beheer van de toegang van gebruikers worden gelogd:
- autorisatiewijzigingen;
- mislukte en geslaagde verificatie- en toegangspogingen; en
lees- en schrijfactiviteiten.
- Beveiliging van communicatie
Netwerkbeveiliging. Meta maakt gebruik van technologie die overeenkomt met de branchenormen voor netwerkscheiding. Voor netwerktoegang op afstand is een versleutelde communicatie vereist met behulp van beveiligde protocollen en het gebruik van verificatie op meerdere manieren.
Bescherming van gegevens tijdens de overdracht. Meta legt het gebruik op van passende protocollen die zijn ontworpen om de vertrouwelijkheid van gegevens tijdens de overdracht over openbare netwerken te beschermen.
- Operationele beveiliging
Meta voert een kwetsbaarheidsbeheerprogramma voor de Services in en onderhoudt dit. Dit programma omvat de definitie van rollen en verantwoordelijkheden, specifieke verantwoordelijkheid voor de monitoring van kwetsbaarheden, een risicobeoordeling van de kwetsbaarheden en de uitrol van patches.
- Beheer van beveiligingsincidenten
Meta stelt een plan op en onderhoudt dit voor de reactie op beveiligingsincidenten voor het monitoren, opsporen en afhandelen van mogelijke beveiligingsincidenten die van invloed zijn op de Services. Het plan voor de reactie op beveiligingsincidenten bevat ten minste de definitie van rollen en verantwoordelijkheden en beoordelingen achteraf, waaronder een analyse van de hoofdoorzaak en herstelplannen.
Meta monitort de Services op eventuele beveiligingsinbreuken en kwaadwillende activiteiten. Het monitoringsproces en de opsporingstechnieken worden ontworpen om de opsporing van beveiligingsincidenten mogelijk te maken die van invloed zijn op de Services overeenkomstig de relevante dreigingen en doorlopende informatie over dreigingen.
- Bedrijfscontinuïteit
Meta onderhoudt een bedrijfscontinuïteitsplan voor de reactie op noodgevallen of andere kritieke situaties die de Services kunnen beschadigen. Meta beoordeelt het bedrijfscontinuïteitsplan ten minste één keer per jaar.