Este Anexo sobre la seguridad de los datos se incorporó expresamente por referencia en las Condiciones del servicio de las soluciones administradas de Meta Horizon que se encuentran en forwork.meta.com/legal/mfw-terms-of-service/ (las "Condiciones").
Los términos en mayúscula usados, pero no definidos, en este Anexo sobre la seguridad de los datos tienen los significados atribuidos en las Condiciones.
- Antecedentes y propósitos
Este documento describe los requisitos de seguridad mÃnimos que se aplican a la prestación de los Servicios por parte de Meta.
- Sistema de administración de seguridad de la información
Meta estableció un sistema de administración de seguridad de la información (ISMS) que conservará y que se diseñó para implementar prácticas de seguridad estándar del sector que se aplican a la prestación de los Servicios. El ISMS de Meta se diseñó para proteger los Datos del cliente contra acceso, divulgación, uso, pérdida o alteración no autorizados.
- Proceso de gestión de riesgos
La seguridad de la información y las instalaciones de tratamiento de información, incluidas la infraestructura de TI y las instalaciones fÃsicas, deben basarse en una evaluación de riesgos. La evaluación de riesgos de los Servicios se llevará a cabo de forma regular.
- Seguridad en la organización de la información
Meta cuenta con un funcionario de seguridad designado cuya responsabilidad general es procurar la seguridad en la organización. Meta tiene miembros del personal designados que son responsables de supervisar la seguridad de la Instancia de cliente en los Servicios.
- Seguridad fÃsica y ambiental
Las medidas de seguridad de Meta deben incluir controles diseñados para garantizar de manera razonable que se limite el acceso a las instalaciones de tratamiento fÃsicas solo a personas autorizadas y que se establezcan controles ambientales para detectar, prevenir y controlar la destrucción debido a un peligro ambiental. Los controles incluyen:
Meta implementará procedimientos estándar del sector para eliminar y desechar los datos en medios electrónicos de manera segura, de conformidad con las Condiciones.
- Capacitación
del personal. Meta garantizará que todos los empleados que tengan acceso a los Datos del cliente se capaciten en seguridad.
Selección y averiguación de antecedentes. Meta:
- Proporcionará tarjetas de identificación personales que incluyan el nombre y la foto a cada miembro del personal que trabaje con tu Instancia de cliente en los Servicios. Se deberán presentar las tarjetas de identificación para acceder a todas las instalaciones de Meta.
- Deberá contar con un proceso para verificar la identidad de los miembros del personal que trabajen con tu Instancia de cliente en los Servicios.
Aplicará un proceso para realizar averiguaciones de antecedentes, donde lo permita la ley, del personal que trabaja con tu Instancia de cliente en los Servicios de acuerdo con las polÃticas de Meta.
Infracción de la seguridad por parte de un miembro del personal. Meta impondrá sanciones a los miembros del personal de Meta que accedan a los Datos del cliente sin autorización o permiso, lo que incluye, donde lo permita la ley, la finalización de la relación laboral.
- Pruebas de seguridad
Meta deberá realizar pruebas de seguridad y vulnerabilidad de manera regular para evaluar si los controles se implementan de manera correcta y son eficaces.
- Control del acceso
Administración de contraseñas del usuario. Meta deberá contar con un proceso establecido de administración de contraseñas del usuario, diseñado para garantizar que las contraseñas sean personales y que las personas sin autorización no puedan acceder a ellas, lo que incluye, como mÃnimo, lo siguiente:
Administración del acceso del usuario. Meta implementará un proceso para cambiar o revocar los derechos de acceso y las identificaciones de los usuarios, sin demora indebida. Meta deberá contar con procedimientos permanentes e ininterrumpidos para reportar y revocar credenciales de acceso comprometidas (contraseñas, tokens, etc.) Meta implementará registros de seguridad adecuados, incluidos "userid" y "timestamp", donde corresponda. El reloj deberá sincronizarse con NTP.
Registro de los siguientes eventos de administración del acceso del usuario mÃnimos:
- Seguridad en las comunicaciones
Seguridad de la red. Meta implementará tecnologÃa coherente con las normas de la industria para la segregación de redes. El acceso remoto a redes requerirá comunicación cifrada mediante protocolos de seguridad y el uso de autenticación de múltiples factores.
Protección de datos en tránsito. Meta exigirá el uso de protocolos adecuados, diseñados para proteger la confidencialidad de los datos en tránsito en redes públicas.
- Seguridad operativa
Meta establecerá y mantendrá un programa de administración de vulnerabilidad para los Servicios que incluye definición de roles y responsabilidades, propiedad dedicada de supervisión de la vulnerabilidad, evaluación de riesgos de vulnerabilidad e implementación de parches.
- Administración de incidentes relacionados con la seguridad
Meta establecerá y mantendrá un plan de respuesta ante incidentes relacionados con la seguridad para supervisar, detectar y abordar posibles incidentes de seguridad que afectan los Servicios. El plan de respuesta ante incidentes relacionados con la seguridad deberá incluir definición de roles y responsabilidades, comunicación y revisiones posteriores al incidente, incluidos análisis de causa raÃz y planes de resolución.
Meta supervisará los Servicios para verificar que no se infrinja la seguridad y determinar si hay actividades maliciosas. El proceso de supervisión y las técnicas de detección se deberán diseñar de modo que permitan detectar incidentes de seguridad que afectan los Servicios de conformidad con inteligencia de seguridad y contra amenazas permanentes relevantes.
- Continuidad del negocio
Meta mantendrá un plan de continuidad del negocio para responder ante una emergencia u otras situaciones crÃticas que podrÃan dañar los Servicios. Meta deberá revisar formalmente su plan de continuidad del negocio, al menos, una vez al año.
