Tillæg om datasikkerhed for Meta for Work
Ikrafttrædelsesdato: 13. november 2023
Dette tillæg om datasikkerhed er udtrykkeligt blevet indarbejdet via henvisning i tjenestevilkårene for Meta for Work, som findes på forwork.meta.com/legal/mfw-terms-of-service/ ("vilkår"). Anvendte udtryk, der ikke er definerede i dette tillæg om datasikkerhed, har den betydning, der er angivet i vilkårene.
- Baggrund og formål
Dette dokument beskriver de minimumssikkerhedskrav, der gælder for Metas levering af tjenesterne til dig.
- Administrationssystem for informationssikkerhed
Meta har etableret og vil vedligeholde et administrationssystem for informationssikkerhed (ISMS), der er udviklet for at implementere branchens standardpraksis inden for informationssikkerhed i leveringen af tjenesterne. Metas ISMS er udviklet til at beskytte mod uautoriseret adgang, videregivelse, brug, tab eller ændring af kundedata.
- Risikostyringsproces
Informationssikkerhed og udstyr til behandling af information, herunder it-infrastruktur og fysiske faciliteter, vil være baseret på en risikovurdering. Der vil regelmæssigt blive udført risikovurdering af tjenesterne.
- Organisation af informationssikkerhed
Meta har udpeget en sikkerhedschef, som har det overordnede ansvar for sikkerheden i organisationen. Meta har udpeget personale, der er ansvarligt for tilsynet med sikkerheden for din kundeforekomst for tjenesterne.
- Fysisk og miljømæssig sikkerhed
Metas sikkerhedsforanstaltninger vil inkludere kontroller, som er udviklet til at give rimelig sikkerhed for, at adgang til de fysiske behandlingsfaciliteter er begrænset til autoriserede personer, og at der fastsættes miljømæssige kontroller til at registrere, forhindre og kontrollere ødelæggelse på grund af miljømæssig ulykke. Kontrollerne inkluderer:
- Protokoller, der kræver, at alt personale, der arbejder på tjenesterne, skal bruge et personligt id-kort for at få adgang til alle Meta-faciliteter.
- Registrering og revision af alle medarbejdere og leverandørers fysiske adgang til databehandlingsfaciliteterne.
- Kameraovervågningssystemer på vigtige indgangssteder til databehandlingsfaciliteterne.
- Systemer, som overvåger og kontrollerer temperatur og luftfugtighed for computerudstyret.
Strømforsyning og reservegeneratorer.
Meta vil implementere branchestandardprocedurer for sikker sletning og bortskaffelse af data på elektroniske medier i henhold til vilkårene.
- Oplæring af
personale. Meta vil sikre, at alle medarbejdere med adgang til kundedata gennemgår en oplæring i sikkerhed.
Undersøgelse og baggrundstjek. Meta vil:
- Meta vil sørge for personlige id-kort med billede og navn til alt personale, der arbejder med din kundeforekomst for tjenesterne. Id-kortene vil være påkrævede for adgang til alle Meta-faciliteter.
- Have en proces til verificering af identiteten på det personale, der arbejder med din kundeforekomst for tjenesterne.
Have en proces til at udføre baggrundstjek, hvor det er tilladt ved lov, på personale, der arbejder med din kundeforekomst for tjenesterne i overensstemmelse med Metas politikker.
Sikkerhedsovertrædelser begået af personale. Meta vil iværksætte sanktioner for Meta-medarbejderes uautoriserede eller uacceptable adgang til kundedata, herunder, hvor det er tilladt ved lov, sanktioner op til og inklusive ansættelsesophør.
- Sikkerhedstests
Meta vil udføre regelmæssige sikkerhedstests og tests af sikkerhedsrisici for at vurdere, om de vigtigste kontroller er implementeret korrekt og stadig er effektive.
- Adgangskontrol
Administration af brugeradgangskode. Meta vil etablere en proces til administration af brugeradgangskoder, der vil være udviklet for at sikre, at adgangskoder er personlige, ikke kan tilgås af uautoriserede personer, og som minimum inkluderer:
- Levering af adgangskode, inklusive verificering af brugerens identitet forud for en ny adgangskode, en erstatningsadgangskode eller en midlertidig adgangskode.
- Kryptering af adgangskoder, når de lagres i computersystemer eller overføres via netværket.
- Ændring af standardadgangskoder fra leverandører.
- Stærke adgangskoder i forhold til den tilsigtede brug.
Brugerkendskab og -oplæring.
Administration af brugeradgang. Meta vil implementere en proces til ændring og/eller tilbagekaldelse af adgangsrettigheder og bruger-id'er uden grundet ophold. Meta vil have procedurer til rapportering og inddragelse af kompromitterede adgangsoplysninger (adgangskoder, tokens etc.) døgnet rundt. Meta vil implementere relevante sikkerhedslogs, inklusive bruger-id og tidsstempel, hvor det er relevant. Tiden skal være synkroniseret med NTP.
Følgende minimums-administrationshændelser for brugeradgang skal logges:
- Ændringer af godkendelse;
- Mislykkede og gennemførte godkendelser og adgangsforsøg: og
Læse- og skrivehandlinger.
- Kommunikationssikkerhed
Netværkssikkerhed. Meta vil anvende teknologi, der er i overensstemmelse med branchestandarderne for netværksadskillelse. Ekstern netværksadgang vil kræve krypteret kommunikation via sikre protokoller og brug af flertrinsgodkendelse.
Beskyttelse af data under overførsel. Meta håndhæver brugen af relevante protokoller, der er udviklet til at beskytte fortroligheden af data under overførsel via offentlige netværk.
- Driftssikkerhed
Meta vil iværksætte og vedligeholde et program til håndtering af sikkerhedsrisici for tjenesterne, som inkluderer en definition af roller og ansvarsområder, dedikeret overvågning af ejerskabet af sikkerhedsrisici, vurdering af sikkerhedsrisici og implementering af rettelser.
- Håndtering af sikkerhedsbrister
Meta vil etablere og vedligeholde en handlingsplan for sikkerhedsbrister, der overvåger, registrerer og håndterer mulige sikkerhedsbrister, der kan påvirke tjenesterne. Handlingsplanen for sikkerhedsbrister skal som minimum inkludere en definition af roller og ansvarsområder, kommunikation og post mortem-gennemgange, herunder årsagsanalyse og afhjælpningsplaner.
Meta vil overvåge eventuelle sikkerhedshændelser og ondsindet aktivitet på tjenesterne. Overvågningsprocessen og registreringsteknikkerne vil være designet til at muliggøre registrering af sikkerhedsbrister, der påvirker tjenesterne, ud fra relevante trusler og løbende trusselsefterretninger.
- Forretningskontinuitet
Meta vil vedligeholde en plan for forretningskontinuitet i forbindelse med nødsituationer eller andre kritiske situationer, der kan skade tjenesterne. Meta vil formelt gennemgå planen for forretningskontinuitet mindst én gang om året.