시행일: 2023년 11월 13일
본 데이터 보안 부가 조항은 forwork.meta.com/legal/mfw-terms-of-service/에 있는 Meta for Work 서비스 약관('약관')에 참조로 편입되어 있습니다. 본 데이터 보안 부가 조항에 사용되었으나 정의되지 않은 용어는 약관의 정의를 따릅니다.
이 문서는 Meta가 회원님에게 서비스를 제공할 때 적용될 수 있는 최소한의 보안 요구사항을 설명합니다.
Meta는 서비스를 제공할 때 적용 가능한 업계 표준 정보 보안 관행을 구현하도록 설계된 정보 보안 관리 시스템(ISMS)을 수립했으며 이를 계속 유지할 예정입니다. Meta의 ISMS는 고객 데이터의 권한 없는 액세스, 공개, 사용, 손실 또는 변경을 방지하기 위해 설계되었습니다.
정보 및 IT 인프라 및 물리적 시설을 포함한 정보 처리 시설의 보안은 위험 평가를 기반으로 합니다. 서비스의 위험 평가는 정기적으로 수행됩니다.
Meta에는 단체의 보안에 대한 전반적인 책임을 갖는 지정된 보안 담당자가 있습니다. Meta는 서비스에 대한 회원님의 고객 인스턴스 보안을 감독할 책임을 가진 직원을 지정했습니다.
Meta의 보안 조치에는 허가된 사람만 물리적 처리 시설에 액세스할 수 있는 점 및 위험요소로 인한 환경 파괴를 탐지, 예방 및 관리할 수 있는 환경적 관리 방법을 수립했다는 점을 합리적으로 보장하기 위해 설계된 관리 방법이 포함됩니다. 해당 관리 방법에는 다음이 포함됩니다.
전원 공급 장치 및 예비 발전기.
Meta는 본 약관에 따라 전자 매체에서 안전하게 데이터를 삭제하고 폐기하는 업계 표준 절차를 구현합니다.
교육. Meta는 고객 데이터에 대한 액세스 권한이 있는 모든 직원들이 보안 교육을 받도록 보장합니다.
심사 및 신원 조사. Meta는 다음과 같이 해야 합니다.
법적으로 허용되는 경우 Meta 방침에 따라 서비스에 대한 회원님의 고객 인스턴스로 작업하는 직원에 대한 신원 조사를 수행하는 프로세스를 수립합니다.
직원 보안 위반. Meta는 Meta 직원이 고객 데이터에 권한이 없거나 허용할 수 없는 액세스를 하는 행위에 대해 법적으로 허용되는 경우 최대 해고 조치와 같은 징계를 포함한 제재 방법을 수립합니다.
Meta는 정기적인 보안 및 취약성 테스트를 수행하여 주요 관리 방법이 적절하게 구현되어 있고 효과적인지를 평가합니다.
사용자 비밀번호 관리. Meta는 비밀번호를 개인적으로 관리하고 권한 없는 사람이 액세스할 수 없도록 설계된 사용자 비밀번호 관리 프로세스를 수립하며, 여기에는 최소 다음 기능이 포함됩니다.
사용자 인식 및 교육.
사용자 액세스 관리. Meta는 지체 없이 액세스 권한 및 사용자 ID를 변경 및/또는 회수하는 프로세스를 구현합니다. Meta는 연중무휴 24시간 손상된 액세스 자격 증명(비밀번호, 토큰 등)을 보고하고 이를 철회하는 절차를 마련합니다. Meta는 해당하는 경우 사용자 ID 및 타임스탬프가 포함된 적절한 보안 로그를 구현합니다. 시계는 NTP와 동기화됩니다.
다음과 같은 최소한의 사용자 액세스 관리 이벤트를 로깅합니다.
읽기 및 쓰기 작업.
네트워크 보안. Meta는 네트워크 분리에 대해 업계 관행에 부합하는 기술을 사용합니다. 원격 네트워크 액세스에는 보안 프로토콜 및 다중 요소 인증을 사용하는 방식의 암호화 통신이 요구됩니다.
전송 중 데이터 보호. Meta는 공개 네트워크를 통해 전송되는 데이터의 기밀성을 보호하기 위해 설계된 적절한 프로토콜을 사용합니다.
Meta는 역할 및 책임의 정의, 전용 취약성 모니터링 기능, 취약성 위험 평가 및 패치 배포 기능이 포함된 서비스에 대한 취약성 관리 프로그램을 도입 및 유지 관리합니다.
Meta는 서비스에 영향을 미치는 보안 사고를 모니터링, 탐지 및 처리하기 위한 보안 사고 대응 계획을 수립하고 유지 관리합니다. 보안 사고 대응 계획에는 근본 원인 분석 및 해결 계획을 포함하여 역할 및 책임 정의, 커뮤니케이션 및 사후 검토 이상의 기능이 포함됩니다.
Meta는 서비스에서 보안 위반 및 악의적 활동을 모니터링합니다. 모니터링 프로세스 및 탐지 기술은 관련 위협 및 진행 중인 위협 정보에 따라 서비스에 영향을 미치는 보안 사고 탐지 기능을 사용할 수 있도록 설계됩니다.
Meta는 서비스를 손상시킬 수 있는 긴급 상황이나 기타 위험 상황에 대응하기 위한 비즈니스 연속성 계획을 유지 관리합니다. Meta는 최소한 일 년에 한 번씩 비즈니스 연속성 계획을 공식적으로 검토합니다.