Datum des Inkrafttretens: 13. November 2023
Diese Ergänzung zur Datensicherheit wurde ausdrücklich durch Bezugnahme in die Nutzungsbedingungen von Meta for Work aufgenommen, die unter forwork.meta.com/legal/mfw-terms-of-service/ (die „Bedingungen“) zu finden sind. Begriffe, die in dieser Ergänzung zur Datensicherheit verwendet, aber nicht definiert werden, haben die in den Nutzungsbedingungen festgelegte Bedeutung.
In diesem Dokument werden die Mindestanforderungen an die Sicherheit beschrieben, die für die Bereitstellung der Dienste durch Meta gelten.
Meta hat ein Management-System für Informationssicherheit (Information Security Management System – ISMS) eingerichtet und pflegt dieses. Das System dient der Umsetzung branchenüblicher Praktiken zur Informationssicherheit, die für die Bereitstellung der Dienste durch Meta gelten. Das ISMS von Meta soll Kundendaten vor unberechtigtem Zugriff sowie vor nicht autorisierter Offenlegung, Verwendung oder Änderung schützen.
Die Sicherheit von Informationen und der Einrichtungen zur Informationsverarbeitung, einschließlich IT-Infrastruktur und physische Einrichtungen, basieren auf einer Risikobewertung. Die Risikobewertung der Dienste wird regelmäßig durchgeführt.
Meta hat einen speziellen Sicherheitsbeauftragten, der die Gesamtverantwortung für die Sicherheit in dieser Organisation trägt. Meta hat spezielles Personal, das für die Überwachung der Sicherheit deiner Kunden-Instanz für die Dienste verantwortlich ist.
Die Sicherheitsmaßnahmen von Meta umfassen Kontrollen, mit denen auf angemessene Weise sichergestellt werden soll, dass der Zugang zu den physischen Verarbeitungseinrichtungen nur autorisierten Personen vorbehalten ist und dass Umgebungskontrollen eingerichtet werden, um Zerstörungen aufgrund von umgebungsbedingten Gefahren zu erkennen, zu verhindern und zu kontrollieren. Die Kontrollen umfassen:
Stromversorgung und Notstromgeneratoren.
Vorbehaltlich der Nutzungsbedingungen hat Meta branchenübliche Verfahren für die sichere Löschung und Vernichtung von Daten auf elektronischen Medien zu implementieren.
Schulungen. Meta hat sicherzustellen, dass alle Mitarbeiter mit Zugriff auf Kundendaten an Sicherheitsschulungen teilnehmen.
Screening und Hintergrundüberprüfungen. Meta verpflichtet sich:
ein Verfahren für Hintergrundüberprüfungen von Personen, die mit deiner Kunden-Instanz für die Dienste arbeiten, in Einklang mit den Richtlinien von Meta vorzuhalten, sofern rechtlich zulässig.
Verletzung der Sicherheit durch Mitarbeiter. Meta richtet Sanktionen für den unberechtigten oder unzulässigen Zugriff auf Kundendaten durch Mitarbeitende von Meta ein, wie u. a. Strafen bis einschließlich der Kündigung, sofern rechtlich zulässig.
Meta hat regelmäßig Sicherheits- und Schwachstellentests durchzuführen, um zu beurteilen, ob die wichtigsten Kontrollen ordnungsgemäß implementiert und wirksam sind.
Nutzerpasswort-Management. Meta hat einen etablierten Prozess für das Nutzerpasswort-Management vorzuhalten, um sicherzustellen, dass Passwörter persönlich und für nicht autorisierte Personen unzugänglich sind. Dies umfasst mindestens Folgendes:
Sensibilisierung und Schulung von Nutzern.
Nutzerzugriffsmanagement. Meta implementiert unverzüglich ein Verfahren zum Ändern und/oder Widerrufen von Zugriffsrechten und Nutzer-IDs. Meta hat Verfahren vorzuhalten, mit denen kompromittierte Zugangsdaten (Passwörter, Tokens usw.) rund um die Uhr gemeldet werden können. Meta hat geeignete Sicherheitsprotokolle zu implementieren, wie u. a. Nutzer-ID und Zeitstempel. Die Uhr ist mit NTP zu synchronisieren.
Es werden mindestens folgende Ereignisse im Nutzerzugriffsmanagement protokolliert:
Lese- und Schreibvorgänge.
Netzwerksicherheit. Meta wird Technologien einsetzen, die den Branchenstandards für die Trennung von Netzwerken entsprechen. Der Fernzugriff auf Netzwerke muss eine verschlüsselte Kommunikation unter Einsatz sicherer Protokolle sowie die Verwendung der Multi-Faktor-Authentifizierung erfordern.
Schutz der Daten bei der Übermittlung. Meta wird die Nutzung geeigneter Protokolle zum Schutz der Vertraulichkeit der Daten bei der Übermittlung über öffentliche Netzwerke durchsetzen.
Meta richtet für die Dienste ein Management-Programm für Schwachstellen ein und pflegt es. Dies umfasst auch die Festlegung von Rollen und Verantwortlichkeiten, die feste Zuordnung der Überwachung von Schwachstellen, die Risikobewertung von Schwachstellen und die Bereitstellung von Patches.
Meta hat einen Reaktionsplan für Sicherheitsvorfälle einzurichten und zu pflegen, mit dem mögliche Sicherheitsvorfälle, die die Dienste betreffen, überwacht, erkannt und gehandhabt werden können. Der Reaktionsplan für Sicherheitsvorfälle hat mindestens die Festlegung von Rollen und Verantwortlichkeiten, Kommunikations- und Post-Mortem-Überprüfungen, einschließlich Ursachenanalysen und Sanierungsplänen, zu enthalten.
Meta überwacht die Dienste im Hinblick auf etwaige Sicherheitsverstöße und böswillige Aktivitäten. Der Überwachungsprozess und die Erkennungstechniken sind so zu gestalten, dass sie das Aufdecken von Sicherheitsvorfällen, die die Dienste betreffen, gemäß den relevanten Bedrohungen und der laufenden Bedrohungsaufklärung ermöglichen.
Meta hat einen Unternehmenskontinuitätsplan vorzuhalten, damit es auf Notfälle oder andere kritische Situationen reagieren kann, die den Diensten schaden könnten. Meta hat seinen Unternehmenskontinuitätsplan mindestens einmal pro Jahr formal zu überprüfen.