Tillägg om datasäkerhet för Meta for Work
Gäller från och med: 13 november 2023
Detta tillägg om datasäkerhet har uttryckligen införlivats genom hänvisning i användarvillkoren för Meta for Work som du hittar på adressen forwork.meta.com/legal/mfw-terms-of-service/ (”villkor”). Termer som används men som inte definieras i detta tillägg om datasäkerhet har de betydelser som anges i villkoren.
- Bakgrund och syfte
Detta dokument innehåller beskrivningar om de lägsta säkerhetskrav som gäller för Metas tillhandahållande av tjänsterna till dig.
- System för hantering av informationssäkerhet
Meta har upprättat och ska hantera ett system för hantering av informationssäkerheten (Information Security Management System, ISMS). I systemet implementeras rutiner av branschstandard för informationssäkerheten vilka är tillämpliga för tillhandahållandet av tjänsterna. Metas ISMS är utformat att skydda mot obehörig åtkomst, utlämnande, användning, förlust och ändring av kunduppgifter.
- Riskhanteringsrutiner
Säkerhet för information och informationsbehandlingsanläggningar, vilket omfattar IT-infrastruktur och fysiska anläggningar, ska baseras på riskbedömning. Riskbedömningen för tjänsterna ska utföras på regelbunden basis.
- Organisation för informationssäkerhet
Meta har en utsedd säkerhetsansvarig med övergripande ansvar för säkerheten inom organisationen. Meta har utsedd personal som ansvarar för översyn av säkerheten för din kundinstans av tjänsterna.
- Fysisk säkerhet och miljösäkerhet
Metas säkerhetsåtgärder innefattar kontroller som är utformade för att ge rimliga garantier om att tillträde till anläggningar för behandling av uppgifter begränsas till behöriga personer och att miljörutiner upprättas för att upptäcka, förebygga och kontrollera förstörelse på grund av miljöfara. Kontrollerna omfattar:
- Rutiner som kräver personliga id-kort för tillträde till alla Meta-anläggningar för alla medarbetare som arbetar med tjänsterna.
- Loggning och granskning av alla anställdas och entreprenörers fysiska tillträde till anläggningen för behandling av uppgifter.
- Kameraövervakningssystem vid kritiska ingångar till anläggningen för behandling av uppgifter.
- System som övervakar och kontrollerar temperaturen och luftfuktigheten för datorutrustningen, och
Strömförsörjning och reservgeneratorer.
Meta ska använda rutiner av branschstandard avseende säkrad radering och kassering av data på elektroniska medier, i enlighet med villkoren.
- Personal
utbildning. Meta ska säkerställa att alla anställda med åtkomst till kunduppgifter genomgår en säkerhetsutbildning.
Säkerhets- och bakgrundskontroller. Meta ska:
- Meta ska tillhandahålla personliga id-kort med fotografi och tryckt namn till alla medarbetare som arbetar med din kundinstans av tjänsterna. Id-kort ska vara obligatoriska för inträde på alla Metas anläggningar.
- Ha rutiner för att verifiera identiteten på de medarbetare som arbetar med din kundinstans av tjänsterna.
Ha rutiner för att, när det är lagligen tillåtet, utföra bakgrundskontroller på medarbetare som arbetar med din kundinstans för tjänsterna i enlighet med Metas policyer.
Säkerhetsbrott begångna av medarbetare. Meta ska införa sanktioner för Meta-medarbetares obehöriga eller otillåtna tillgång till kunduppgifter, vilka när lagen tillåter det omfattar påföljder som sträcker sig till uppsägning.
- Säkerhetstestning
Meta ska utföra regelbundna säkerhets- och sårbarhetstester för att bedöma huruvida huvudrutiner har implementerats korrekt och är effektiva.
- Åtkomstkontroll
Hantering av användares lösenord. Meta ska ha upprättade rutiner för hantering av användares lösenord som utformats för att garantera att lösenorden är personliga och otillgängliga för obehöriga personer, bland annat åtminstone för:
- Lösenordstilldelning, bland annat verifiering av användarens identitet innan ett nytt, ersättande eller tillfälligt lösenord skapas.
- Kryptering av lösenord när de lagras i datorsystem eller vid överföring via nätverket.
- Ändring av standardlösenord från leverantörer.
- Starka lösenord i förhållande till deras avsedda användning.
Information och utbildning för användare.
Hantering av användaråtkomst. Meta ska implementera rutiner för att ändra och/eller återkalla åtkomstbehörigheter och användar-id:n utan onödiga dröjsmål. Meta ska ha rutiner för rapportering och återkallelse av inloggningsuppgifter som äventyrats (lösenord, token osv.) på dygnet runt-basis. Meta ska implementera lämplig säkerhetsloggning, vilket omfattar användar-id:n och tidsstämplar när det är tillämpligt. Klockan ska synkroniseras med NTP.
Loggning av som minst följande händelser vid hantering av användaråtkomst:
- Behörighetsändringar,
- Ej utförda och utförda autentiseringar och åtkomstförsök, och
Läs- och skrivåtgärder.
- Kommunikationssäkerhet
Nätverkssäkerhet. Meta ska använda teknik som följer branschstandarder för nätverkssegregering. För fjärråtkomst till nätverk ska det krävas krypterad kommunikation genom användning av säkrade protokoll och flerfaktorsautentisering.
Skydd av data under överföring. Meta använder lämpliga protokoll utformade för att skydda sekretessen för uppgifter vid överföring via offentliga nätverk.
- Driftsäkerhet
Meta ska införa och upprätthålla ett program för sårbarhetshantering för tjänsterna, vilket omfattar definitioner av roller och ansvarsuppgifter, dedikerad översyn av sårbarhetsövervakning, bedömning av sårbarhetsrisker och distribution av patchar.
- Hantering av säkerhetsincidenter
Meta ska upprätta och upprätthålla en beredskapsplan för säkerhetsincidenter som omfattar övervakning, identifiering och hantering av möjliga säkerhetsincidenter som påverkar tjänsterna. Beredskapsplanen för säkerhetsincidenter ska åtminstone omfatta definitioner av roller och ansvarsområden, kommunikation och eftergranskningar, bland annat grundorsaksanalyser och åtgärdsplaner.
Meta ska övervaka tjänsterna och titta efter säkerhetsintrång och skadlig aktivitet. Bevakningsrutinerna och upptäcktstekniken ska vara utformad så att det går att upptäcka säkerhetsincidenter som berör tjänsterna utifrån relevanta hot och aktuell hotbild.
- Affärskontinuitet
Meta ska ha en affärskontinuitetsplan för att handla vid akutfall och i andra kritiska situationer som kan skada tjänsterna. Meta ska formellt se över sin affärskontinuitetsplan minst en gång om året.