Załącznik dotyczący bezpieczeństwa danych Meta for Work
Data wejścia w życie: 13 listopada 2023 r.
Niniejszy Załącznik dotyczący bezpieczeństwa danych został wyraźnie włączony przez odniesienie do Regulaminu Meta for Work dostępnego pod adresem forwork.meta.com/legal/mfw-terms-of-service/ (dalej „Regulamin”). Pojęcia zapisane wielką literą, a niezdefiniowane w niniejszym Załączniku dotyczącym bezpieczeństwa danych, mają znaczenie nadane im w Regulaminie.
- Podstawowe informacje i cel
Niniejszy dokument określa minimalne wymagania w zakresie bezpieczeństwa związane ze świadczeniem użytkownikowi Usług przez firmę Meta.
- System zarządzania bezpieczeństwem informacji
Firma Meta opracowała i wdrożyła System zarządzania bezpieczeństwem (ISMS) zaprojektowany pod kątem implementacji branżowych praktyk w zakresie ochrony informacji mających zastosowanie do świadczenia przez nią Usług. System ISMS ma na celu ochronę przed nieupoważnionym dostępem, ujawnieniem, wykorzystaniem, utratą i zmianą Danych klienta.
- Proces zarządzania ryzykiem
Bezpieczeństwo informacji i obiekty zajmujące się przetwarzaniem informacji, w tym infrastruktura IT i obiekty fizyczne, muszą podlegać ocenie ryzyka. Ocena ryzyka Usług będzie przeprowadzana na bieżąco.
- Organizacja zabezpieczania informacji
Meta wyznaczyła jednego z członków kadry zarządzającej jako osobę odpowiedzialną za bezpieczeństwo, do obowiązków której należy dbanie o bezpieczeństwo wewnątrz organizacji. Meta zatrudnia pracowników zajmujących się bezpieczeństwem Instancji klienta dla Usług.
- Bezpieczeństwo fizyczne i środowiskowe
Stosowane przez Meta środki bezpieczeństwa obejmują nadzór, którego celem jest zagwarantowanie, że dostęp do obiektów fizycznych przeznaczonych do przetwarzania mają wyłącznie osoby upoważnione oraz że istnieją fizyczne środki kontroli zaprojektowane pod kątem wykrywania i kontrolowania zniszczeń powstałych na skutek zagrożeń środowiskowych, a także zapobiegania im. Wspomniane środki kontroli obejmują:
- Procedury wymagające dowodów tożsamości umożliwiających wstęp do wszystkich obiektów Meta dla wszystkich osób z personelu pracującego nad Usługami.
- Zapisywanie i kontrolowanie wszystkich prób uzyskania dostępu fizycznego do obiektu zajmującego się przetwarzaniem przez pracowników i wykonawców;
- Telewizja przemysłowa w kluczowych punktach wejścia do obiektu zajmującego się przetwarzaniem;
- Systemy monitorujące i kontrolujące temperaturę oraz wilgotność sprzętu komputerowego, a także
Źródła zasilające i generatory zapasowe.
Zgodnie z niniejszym Regulaminem Meta stosuje standardowe procedury branżowe w zakresie bezpiecznego usuwania danych zapisanych na nośnikach elektronicznych.
- Szkolenie
personelu. Meta zobowiązuje się do przeszkolenia w zakresie bezpieczeństwa wszystkich swoich pracowników z dostępem do Danych klienta.
Kontrola i weryfikacja pracowników. Meta zobowiązuje się do:
- Zapewniania członkom swojego personelu zajmującym się Instancją klienta dla Usług indywidualnych identyfikatorów ze zdjęciem oraz imieniem i nazwiskiem. Identyfikatory są niezbędnym elementem uprawniającym do wejścia do wszystkich obiektów Meta.
- Opracowania i przestrzegania procesu określania tożsamości członków personelu zajmujących się Instancją klienta dla Usług.
Opracowania procesu weryfikacji, w przypadkach dozwolonych prawem, personelu pracującego z Instancją klienta dla Usług zgodnie z zasadami Meta.
Naruszenie bezpieczeństwa przez personel. Meta opracuje sankcje nakładane z tytułu nieuprawnionego lub niedozwolonego dostępu do Danych klienta dokonanego przez członków personelu Meta, łącznie z rozwiązaniem stosunku pracy w przypadkach dozwolonych przez prawo.
- Kontrola bezpieczeństwa
Meta zobowiązuje się do regularnego przeprowadzania testów bezpieczeństwa i podatności w celu oceny poprawności wdrożenia stosowanych środków kontroli i ich skuteczności.
- Kontrola dostępu
Zarządzanie hasłami użytkownika. Meta zobowiązuje się do opracowania i przestrzegania procesu Zarządzania hasłami użytkownika mającego na celu zapewnianie bezpieczeństwa haseł i uniemożliwianie dostępu do nich osobom nieupoważnionym, który w minimalnym zakresie obejmuje następujące elementy:
- Konfigurację haseł, w tym weryfikację tożsamości użytkownika przed zastosowaniem nowego, zmienionego lub tymczasowego hasła.
- Szyfrowanie haseł, gdy są zapisywane w systemach komputerowych lub przesyłane za pośrednictwem sieci.
- Zmienianie wszystkich domyślnych haseł dostawców.
- Stosowanie silnych haseł w zależności od ich przeznaczenia.
Uświadamianie i szkolenie użytkowników.
Zarządzanie dostępem użytkowników. Meta bez zbędnej zwłoki wdroży proces zmieniania lub unieważniania uprawnień dostępu oraz identyfikatorów użytkowników. Meta zobowiązuje się do opracowania procedur w zakresie raportowania i unieważniania podejrzanych danych logowania (haseł, tokenów itp.) w trybie 24/7. Meta prowadzi odpowiednie dzienniki zabezpieczeń zawierające identyfikator użytkownika i znacznik czasu w stosownych przypadkach. Zegar jest zsynchronizowany zgodnie z protokołem NTP.
Rejestrowanie następującej minimalnej liczby zdarzeń z zakresu zarządzania dostępem użytkowników:
- zmian upoważnień;
- pomyślnych i niepomyślnych prób uwierzytelnienia i uzyskania dostępu oraz
operacji zapisu i odczytu.
- Bezpieczeństwo komunikacji
Bezpieczeństwo sieci. Meta stosować będzie technologię zgodną ze standardami branżowymi w zakresie segregacji sieciowej. Dostęp zdalny wymaga połączenia szyfrowanego za pośrednictwem bezpiecznych protokołów, a także korzystania z uwierzytelniania wielopoziomowego.
Ochrona przesyłanych danych. Meta wymagać będzie korzystania z właściwych protokołów opracowanych pod kątem ochrony poufności danych przesyłanych za pośrednictwem sieci publicznych.
- Bezpieczeństwo operacyjne
Meta zobowiązuje się do opracowania i realizacji programu zarządzania podatnościami w zakresie Usługi, który obejmuje definicje ról i zakresów odpowiedzialności, wyznaczenie osoby odpowiedzialnej za monitorowanie podatności, ocenę ryzyka podatności oraz instalowanie poprawek.
- Zarządzanie zdarzeniami niebezpiecznymi
Meta zobowiązuje się do opracowania i realizacji programu reagowania na zdarzenia niebezpieczne obejmującego monitorowanie i wykrywanie potencjalnych zdarzeń niebezpiecznych wpływających na Usługi, a także reagowanie na nie. Program reagowania na zdarzenia niebezpieczne powinien w minimalnym zakresie obejmować definicje ról i zakresów odpowiedzialności, a także przegląd komunikacji i prezentację podsumowującą, w tym analizę przyczyn i plan ich wyeliminowania.
Meta będzie monitorowała Usługi pod kątem dowolnych naruszeń bezpieczeństwa i złośliwej aktywności. Proces monitorowania i techniki wykrywania zostaną zaprojektowane tak, by umożliwić wykrywanie zdarzeń niebezpiecznych mających wpływ na Usługi, zgodnie z odnośnymi zagrożeniami i bieżącą analizą zagrożeń.
- Ciągłość działania
Meta zobowiązuje się do opracowania i realizacji programu z zakresu ciągłości biznesowej mającego na celu reagowanie na sytuacje awaryjne lub inne sytuacje kryzysowe, które mogłyby spowodować uszkodzenie Usług. Meta oświadcza, że przeprowadza formalne przeglądy programu z zakresu ciągłości biznesowej co najmniej raz w roku.