Appendice sulla sicurezza dei dati di Meta for Work
Data di entrata in vigore: 13 novembre 2023
La presente Appendice sulla sicurezza dei dati è espressamente richiamata nella sua interezza nelle Condizioni d'uso di Meta for Work, consultabili all'indirizzo forwork.meta.com/legal/mfw-terms-of-service/ (le "Condizioni"). I termini in maiuscolo riportati ma non definiti nella presente Appendice sulla sicurezza dei dati hanno i significati forniti nelle Condizioni.
- Informazioni di base e scopo
Il presente documento illustra i requisiti di sicurezza minimi applicabili alla fornitura dei Servizi da parte di Meta.
- Information Security Management System
Meta ha predisposto e manterrà un Information Security Management System (ISMS) progettato per l'implementazione delle procedure per la sicurezza delle informazioni standard del settore applicabili alla sua fornitura dei Servizi. L'ISMS di Meta è progettato per la protezione da accesso, divulgazione, uso, perdita o alterazione non autorizzati dei Dati del cliente.
- Procedura di gestione dei rischi
La sicurezza delle informazioni e delle relative strutture di trattamento, tra cui l'infrastruttura IT e le strutture fisiche, deve basarsi sulla valutazione dei rischi. Su base regolare, verrà effettuata una valutazione dei rischi dei Servizi.
- Organizzazione della sicurezza delle informazioni
Meta ha un responsabile della sicurezza designato con la responsabilità generale della sicurezza all'interno dell'organizzazione. Meta ha designato il personale responsabile della vigilanza sulla sicurezza dell'istanza del Cliente per i Servizi.
- Sicurezza fisica e ambientale
Le misure di sicurezza di Meta comprendono misure di controllo progettate per fornire una ragionevole garanzia che l'accesso alle strutture fisiche per il trattamento sia limitato esclusivamente alle persone autorizzate e che siano implementate misure di controllo ambientali per rilevare, prevenire e controllare la distruzione dovuta a pericoli ambientali. Le misure di controllo comprendono:
- Protocolli che richiedono documenti di identità personali per l'accesso in tutte le strutture di Meta per tutto il personale che lavora sui Servizi
- Registrazione e verifica di tutti gli accessi fisici alla struttura per il trattamento dei dati da parte di dipendenti e appaltatori
- Sistemi di sorveglianza con telecamere nei punti di ingresso fondamentali alla struttura per il trattamento dei dati
- Sistemi per il monitoraggio e il controllo di temperatura e umidità delle attrezzature informatiche
Generatori per l'alimentazione e il backup
Meta implementerà procedure standard del settore per la cancellazione ed eliminazione sicura dei dati sui supporti elettronici, ai sensi delle Condizioni.
- Formazione
del personale. Meta garantirà che tutti i dipendenti con accesso ai Dati del cliente seguano una formazione sulla sicurezza.
Selezione e verifica dei trascorsi personali. Meta dovrà :
- fornire documenti di identità personali con foto e nome a tutto il personale che lavora con l'istanza del Cliente per i Servizi. I documenti di identità saranno richiesti per accedere a tutte le strutture di Meta;
- implementare un processo per la verifica dell'identità del personale che lavora con l'istanza del Cliente per i Servizi;
predisporre un processo per l'esecuzione di verifiche dei trascorsi personali, laddove ammesso dalla legge, sul personale che lavora con l'istanza del Cliente per i Servizi, in conformità alle normative di Meta.
Violazione della sicurezza da parte del personale. Meta prevederà sanzioni per l'accesso non autorizzato o non consentito ai Dati del cliente da parte del proprio personale, comprese, laddove consentito dalla legge, sanzioni che possono arrivare fino alla cessazione del rapporto di lavoro.
- Test sulla sicurezza
Meta effettuerà regolarmente test sulla sicurezza e sulla vulnerabilità per valutare se le misure di controllo chiave sono state implementate correttamente e sono efficaci.
- Controllo accessi
Gestione delle password degli utenti. Meta dovrà implementare una procedura consolidata per la gestione delle password degli utenti, progettata per garantire che le password siano personali e non accessibili alle persone non autorizzate, che comprenda almeno:
- Provisioning delle password, compresa la verifica dell'identità dell'utente prima di fornire una password nuova, sostitutiva o temporanea
- Crittografia di tutte le password memorizzate nei sistemi informatici o in transito sulla rete
- Modifica delle password predefinite dai fornitori
- Password sicure in relazione all'uso previsto
Sensibilizzazione e formazione degli utenti
Gestione degli accessi degli utenti. Meta implementerà una procedura per la modifica e/o la revoca dei diritti di accesso e degli ID utente senza ritardi ingiustificati. Meta implementerà procedure per la segnalazione e la revoca delle credenziali di accesso compromesse (password, token, ecc.), su base continuativa. Meta implementerà log sulla sicurezza opportuni, compresi userid e marche temporali, laddove applicabile. L'orologio sarà sincronizzato con il protocollo NTP.
Devono essere registrati quantomeno i seguenti eventi di gestione degli accessi degli utenti:
- Modifiche alle autorizzazioni
- Tentativi di autenticazione e accesso non riusciti e andati a buon fine
Operazioni di lettura e scrittura
- Sicurezza delle comunicazioni
Sicurezza delle reti. Meta adotterà tecnologie coerenti con gli standard del settore per la segregazione delle reti. L'accesso remoto alla rete richiederà una comunicazione crittografata tramite l'uso di protocolli sicuri e dell'autenticazione a più fattori.
Protezione dei dati in transito. Meta imporrà l'uso di protocolli opportuni, progettati per la protezione della riservatezza dei dati in transito sulle reti pubbliche.
- Sicurezza delle operazioni
Meta istituirà e manterrà un programma per la gestione delle vulnerabilità per i Servizi che comprenda la definizione di ruoli e responsabilità , l'assegnazione dedicata del monitoraggio delle vulnerabilità , la valutazione dei rischi delle vulnerabilità e l'implementazione di patch.
- Gestione dei problemi di sicurezza
Meta dovrà stabilire e mantenere un piano di risposta ai problemi di sicurezza per il monitoraggio, il rilevamento e la gestione di possibili problemi di sicurezza che interessino i Servizi. Il piano di risposta ai problemi di sicurezza dovrà almeno comprendere la definizione di ruoli e responsabilità , la comunicazione e le analisi a posteriori, compresi l'analisi delle cause e i piani di correzione.
Meta monitorerà i Servizi per rilevare eventuali violazioni di sicurezza e attività fraudolente. La procedura di monitoraggio e le tecniche di rilevamento devono essere progettate per consentire il rilevamento di problemi di sicurezza che interessano i Servizi in base alle minacce pertinenti e alle informazioni continue sulle minacce.
- Continuità aziendale
Meta dovrà mantenere un piano di continuità aziendale per la risposta alle emergenze o ad altre situazioni critiche che potrebbero danneggiare i Servizi. Meta dovrà esaminare formalmente il suo piano di continuità aziendale almeno una volta all'anno.