Data di entrata in vigore: 13 novembre 2023
La presente Appendice sulla sicurezza dei dati è espressamente richiamata nella sua interezza nelle Condizioni d'uso di Meta for Work, consultabili all'indirizzo forwork.meta.com/legal/mfw-terms-of-service/ (le "Condizioni"). I termini in maiuscolo riportati ma non definiti nella presente Appendice sulla sicurezza dei dati hanno i significati forniti nelle Condizioni.
Il presente documento illustra i requisiti di sicurezza minimi applicabili alla fornitura dei Servizi da parte di Meta.
Meta ha predisposto e manterrà un Information Security Management System (ISMS) progettato per l'implementazione delle procedure per la sicurezza delle informazioni standard del settore applicabili alla sua fornitura dei Servizi. L'ISMS di Meta è progettato per la protezione da accesso, divulgazione, uso, perdita o alterazione non autorizzati dei Dati del cliente.
La sicurezza delle informazioni e delle relative strutture di trattamento, tra cui l'infrastruttura IT e le strutture fisiche, deve basarsi sulla valutazione dei rischi. Su base regolare, verrà effettuata una valutazione dei rischi dei Servizi.
Meta ha un responsabile della sicurezza designato con la responsabilità generale della sicurezza all'interno dell'organizzazione. Meta ha designato il personale responsabile della vigilanza sulla sicurezza dell'istanza del Cliente per i Servizi.
Le misure di sicurezza di Meta comprendono misure di controllo progettate per fornire una ragionevole garanzia che l'accesso alle strutture fisiche per il trattamento sia limitato esclusivamente alle persone autorizzate e che siano implementate misure di controllo ambientali per rilevare, prevenire e controllare la distruzione dovuta a pericoli ambientali. Le misure di controllo comprendono:
Generatori per l'alimentazione e il backup
Meta implementerà procedure standard del settore per la cancellazione ed eliminazione sicura dei dati sui supporti elettronici, ai sensi delle Condizioni.
del personale. Meta garantirà che tutti i dipendenti con accesso ai Dati del cliente seguano una formazione sulla sicurezza.
Selezione e verifica dei trascorsi personali. Meta dovrà:
predisporre un processo per l'esecuzione di verifiche dei trascorsi personali, laddove ammesso dalla legge, sul personale che lavora con l'istanza del Cliente per i Servizi, in conformità alle normative di Meta.
Violazione della sicurezza da parte del personale. Meta prevederà sanzioni per l'accesso non autorizzato o non consentito ai Dati del cliente da parte del proprio personale, comprese, laddove consentito dalla legge, sanzioni che possono arrivare fino alla cessazione del rapporto di lavoro.
Meta effettuerà regolarmente test sulla sicurezza e sulla vulnerabilità per valutare se le misure di controllo chiave sono state implementate correttamente e sono efficaci.
Gestione delle password degli utenti. Meta dovrà implementare una procedura consolidata per la gestione delle password degli utenti, progettata per garantire che le password siano personali e non accessibili alle persone non autorizzate, che comprenda almeno:
Sensibilizzazione e formazione degli utenti
Gestione degli accessi degli utenti. Meta implementerà una procedura per la modifica e/o la revoca dei diritti di accesso e degli ID utente senza ritardi ingiustificati. Meta implementerà procedure per la segnalazione e la revoca delle credenziali di accesso compromesse (password, token, ecc.), su base continuativa. Meta implementerà log sulla sicurezza opportuni, compresi userid e marche temporali, laddove applicabile. L'orologio sarà sincronizzato con il protocollo NTP.
Devono essere registrati quantomeno i seguenti eventi di gestione degli accessi degli utenti:
Operazioni di lettura e scrittura
Sicurezza delle reti. Meta adotterà tecnologie coerenti con gli standard del settore per la segregazione delle reti. L'accesso remoto alla rete richiederà una comunicazione crittografata tramite l'uso di protocolli sicuri e dell'autenticazione a più fattori.
Protezione dei dati in transito. Meta imporrà l'uso di protocolli opportuni, progettati per la protezione della riservatezza dei dati in transito sulle reti pubbliche.
Meta istituirà e manterrà un programma per la gestione delle vulnerabilità per i Servizi che comprenda la definizione di ruoli e responsabilità, l'assegnazione dedicata del monitoraggio delle vulnerabilità, la valutazione dei rischi delle vulnerabilità e l'implementazione di patch.
Meta dovrà stabilire e mantenere un piano di risposta ai problemi di sicurezza per il monitoraggio, il rilevamento e la gestione di possibili problemi di sicurezza che interessino i Servizi. Il piano di risposta ai problemi di sicurezza dovrà almeno comprendere la definizione di ruoli e responsabilità, la comunicazione e le analisi a posteriori, compresi l'analisi delle cause e i piani di correzione.
Meta monitorerà i Servizi per rilevare eventuali violazioni di sicurezza e attività fraudolente. La procedura di monitoraggio e le tecniche di rilevamento devono essere progettate per consentire il rilevamento di problemi di sicurezza che interessano i Servizi in base alle minacce pertinenti e alle informazioni continue sulle minacce.
Meta dovrà mantenere un piano di continuità aziendale per la risposta alle emergenze o ad altre situazioni critiche che potrebbero danneggiare i Servizi. Meta dovrà esaminare formalmente il suo piano di continuità aziendale almeno una volta all'anno.