Datasikkerhetstillegg for Meta for Work
Gjelder fra: 13. november 2023
Dette datasikkerhetstillegget er uttrykkelig innlemmet ved referanse i Meta for Works tjenestebetingelser på forwork.meta.com/legal/mfw-terms-of-service/ («tjenestebetingelsene»). Sentrale begreper som ikke er definert i dette datasikkerhetstillegget, har betydningen som er angitt i tjenestebetingelsene.
- Bakgrunn og formål
Dette dokumentet beskriver minstekravene til sikkerhet som gjelder for Metas levering av tjenestene.
- Information Security Management System
Meta har etablert ISMS (Information Security Management System), som er rutiner for informasjonssikkerhet av bransjestandard som gjelder for levering av tjenestene. Metas ISMS er utviklet for å beskytte mot uautorisert tilgang til og utlevering, bruk, tap og endringer av kundedata.
- Risk Management Process
Sikkerheten til informasjon og fasiliteter for informasjonsbehandling, inkludert IT-infrastruktur og fysiske fasiliteter, skal være basert på en risikovurdering. Risikovurderinger av tjenestene vil bli utført med jevne mellomrom.
- Organisering av informasjonssikkerhet
Meta har en egen sikkerhetsansvarlig som har det overordnede ansvaret for sikkerhet i organisasjonen. Meta har eget personell som er ansvarlig for å overvåke kundesikkerheten når tjenestene kjører.
- Fysisk og miljømessig sikkerhet
Metas sikkerhetstiltak skal omfatte kontroller utviklet for å gi rimelig trygghet for at tilgangen til fysiske behandlingsfasiliteter er begrenset til autoriserte personer, og at det er etablert kontrollrutiner for å oppdage, forhindre og kontrollere miljøødeleggelser. Kontrollene omfatter:
- protokoller som krever ID-kort for å få adgang til alle Metas lokaler for alt personell som jobber med tjenestene
- logging og kontroll av ansattes og leverandørers fysiske tilgang til fasiliteter der det foregår databehandling
- kameraovervåking ved kritiske inngangspunkter til fasiliteter der det foregår databehandling
- systemer som overvåker og kontrollerer temperatur og luftfuktighet for datamaskinutstyr
strømforsyning og reservegeneratorer.
Meta skal implementere prosedyrer av bransjestandard for sikker sletting og destruering av data på elektroniske medier, i henhold til betingelsene.
- Personellets
opplæring. Meta skal sørge for at alle ansatte med tilgang til kundedata gjennomgår sikkerhetsopplæring.
Screening og bakgrunnssjekk. Meta skal:
- Meta skal gi personlige ID-kort med bilde og navn til alt personell som jobber med kundeforekomster når tjenestene kjører. ID-kort skal kreves for å komme inn på alle Metas fasiliteter.
- Meta skal ha prosedyrer for å bekrefte identiteten til alt personell som jobber med kundeforekomster i tjenestene.
Meta skal ha prosedyrer for å utføre bakgrunnssjekk, der dette er tillatt, av personell som jobber med kunder i tjenestene, i samsvar med Metas retningslinjer.
Sikkerhetsbrudd av personell. Meta skal sanksjonere mot personell som skaffer seg uautorisert eller ulovlig tilgang til dataene dine, noe som også kan føre til oppsigelse der dette er tillatt ved lov.
- Sikkerhetstesting
Meta skal utføre regelmessige sikkerhets- og sårbarhetstester for å vurdere om sentrale kontrollmekanismer er riktig implementert og fungerer som de skal.
- Tilgangskontroll
Administrasjon av brukerpassord. Meta skal ha etablerte prosedyrer for administrasjon av brukerpassord, som er utviklet for å sikre at passord er personlige og utilgjengelige for uautoriserte personer. Prosedyrene skal som minimum inkludere følgende:
- utstedelse av passord, inkludert verifisering av identiteten til brukeren før det utstedes et nytt passord, et erstatningspassord eller et midlertidig passord
- kryptering av passord når de er lagret i datamaskinsystemer eller sendes over nettverket
- endring av standardpassordet fra leverandøren
- passordstyrke som står i forhold til den tiltenkte bruken
brukerbevissthet og -opplæring
Administrasjon av brukertilgang. Meta skal implementere en prosess for endring og/eller tilbakekalling av tilgangsrettigheter og brukeridentiteter, uten unødvendig opphold. Meta skal ha døgnåpne prosedyrer for rapportering og tilbakekalling av kompromittert tilgangsinformasjon (passord, token osv.) Der det er aktuelt, skal Meta ha hensiktsmessige sikkerhetslogger som inkluderer brukeridentitet og tidsstempel. Klokken skal være synkronisert med NTP.
Følgende hendelser ved administrasjon av brukertilgang skal logges (minstekrav):
- autorisasjonsendringer
- mislykkede og vellykkede godkjennings- og tilgangsforsøk
lese- og skriveoperasjoner
- Kommunikasjonssikkerhet
Nettverkssikkerhet. Meta skal benytte teknologi som er konsistent med bransjestandarder for nettverkssegregering. Tilgang til eksternt nettverk skal kreve kryptert kommunikasjon ved bruk av sikre protokoller og bruk av flerfaktorautentisering.
Beskyttelse av data under overføring. Meta skal sikre at det brukes relevante protokoller som er utviklet for å beskytte konfidensialiteten til data som overføres over offentlige nettverk.
- Driftssikkerhet
Meta skal etablere og følge et program for sårbarhetshåndtering for tjenestene. Dette må omfatte definering av roller og ansvar, dedikert eierskap til sårbarhetsovervåking, risikovurderinger og distribusjon av oppdateringer.
- Håndtering av sikkerhetshendelser
Meta skal etablere og opprettholde en responsplan for sikkerhetsovertredelser for å overvåke, oppdage og håndtere mulige sikkerhetsbrudd som påvirker tjenestene. Responsplanen for sikkerhetshendelser skal minst omfatte definering av roller, ansvar, kommunikasjon og evalueringer, inkludert rotårsaksanalyse og utbedringsplaner.
Meta skal overvåke tjenestene for eventuelle sikkerhetsbrudd og skadelige aktiviteter. Overvåkingsprosessen og registreringsteknikkene skal utvikles for å gjøre det mulig å oppdage sikkerhetshendelser som påvirker tjenestene i henhold til relevante trusler og løpende trusselinformasjon.
- Forretningskontinuitet
Meta skal ha en forretningskontinuitetsplan for å svare på nødsituasjoner og andre kritiske situasjoner som kan skade tjenestene. Meta skal formelt gå gjennom forretningskontinuitetsplanen minst én gang i året.