ÂżHemos seleccionado correctamente el paĂ­s/regiĂłn?
España

Apéndice sobre la seguridad de los datos de las Soluciones gestionadas de Meta Horizon

A partir del 13 de noviembre de 2023

Este Apéndice sobre la seguridad de los datos se ha incorporado expresamente por referencia a las Condiciones del servicio de las Soluciones gestionadas de Meta Horizon, disponibles en www.meta.com/legal/meta-for-work/terms-of-service/ (“Condiciones”). Los términos en mayúsculas empleados en este Apéndice sobre la seguridad de los datos que no se definan aquí tienen los significados que se establecen en las Condiciones.

  1. Antecedentes y objeto

    En este documento se describen los requisitos de seguridad mĂ­nimos aplicables a la prestaciĂłn de los Servicios que te ofrece Meta.

  2. Sistema de administraciĂłn de la seguridad de la informaciĂłn

    Meta ha implantado y mantendrá en el futuro un sistema de administración de la seguridad de la información (ISMS, por sus siglas en inglés) diseñado para implementar las prácticas en materia de seguridad de los datos según los estándares del sector que puedan aplicarse a la prestación de los Servicios. El ISMS de Meta se ha diseñado para proteger los Datos de clientes frente al acceso, la divulgación, el uso, la pérdida o la modificación no autorizados.

  3. Proceso de gestiĂłn de riesgos

    La seguridad de la información y de las instalaciones de tratamiento de datos (por ejemplo, la infraestructura de TI y las instalaciones físicas) se basará en la evaluación de riesgos. La evaluación de riesgos de los Servicios se llevará a cabo de forma regular.

  4. OrganizaciĂłn de la seguridad de la informaciĂłn

    Meta cuenta con un coordinador de seguridad encargado de la seguridad general de la organizaciĂłn. Meta tiene personal designado para encargarse de la supervisiĂłn de la seguridad de tu instancia de Cliente para los Servicios.

  5. Seguridad fĂ­sica y del entorno

    Las medidas de seguridad de Meta incluirán controles diseñados para garantizar de forma razonable que el acceso a las instalaciones físicas de tratamiento de datos se limite a las personas autorizadas y que se establezcan controles para detectar, evitar y controlar la destrucción de datos debida a riesgos del entorno. Estos controles incluirán:

    • Protocolos que requieran tarjetas identificativas personales para entrar en todas las instalaciones de Meta y que se apliquen a todo el personal que trabaje en los Servicios.
    • Registros y auditorĂ­as de todo acceso fĂ­sico a la instalaciĂłn de tratamiento de datos por parte de los empleados y los contratistas.
    • Sistemas de vigilancia mediante cámaras en los puntos de acceso más importantes a la instalaciĂłn de tratamiento de datos.
    • Sistemas que supervisen y controlen la temperatura y la humedad de los equipos informáticos.

    • Suministro elĂ©ctrico y generadores auxiliares.

    Meta implementará procesos estándar del sector para la eliminación segura de los datos en medios electrónicos, conforme a las Condiciones.

  6. Personal

    Formación. Meta se asegurará de que todos los empleados que tengan acceso a los Datos de clientes reciban formación en materia de seguridad.

    Revisión y comprobación de antecedentes. Meta tomará las siguientes medidas:

    • Facilitará tarjetas identificativas personales con una foto y el nombre a todo el personal que trabaje con tu instancia de Cliente para los Servicios. Estas serán necesarias para acceder a cualquiera de las instalaciones de Meta.
    • Contará con un proceso para verificar la identidad del personal que trabaje con tu instancia de Cliente para los Servicios.

    • Dispondrá de un proceso para realizar comprobaciones de antecedentes, en los casos en que se permita legalmente, del personal que trabaje con tu instancia de Cliente para los Servicios de acuerdo con las polĂ­ticas de Meta.

    Vulneración de la seguridad por parte del personal. Meta establecerá sanciones en caso de que su personal acceda a los Datos de clientes de forma no autorizada o inadmisible, lo que incluye penalizaciones que pueden llegar hasta el despido.

  7. Pruebas de seguridad

    Meta llevará a cabo pruebas de vulnerabilidad y seguridad de forma periódica para evaluar si los controles principales se han implementado correctamente y son eficaces.

  8. Control del acceso

    Gestión de las contraseñas de los usuarios. Meta contará con un proceso establecido para la gestión de las contraseñas de los usuarios, diseñado para garantizar que estas sean personales e inaccesibles para personas no autorizadas. Este sistema incluirá, como mínimo, lo siguiente:
    • Suministro de contraseñas, lo que incluye la verificaciĂłn de la identidad del usuario antes de asignarle una contraseña nueva, temporal o de reemplazo.
    • Cifrado de contraseñas cuando se almacenen en sistemas informáticos o se transfieran a travĂ©s de la red.
    • ModificaciĂłn de las contraseñas predeterminadas de los proveedores.
    • Contraseñas seguras acordes al uso que se espera hacer de ellas.

    • ConcienciaciĂłn y formaciĂłn de los usuarios.

    Gestión del acceso de los usuarios. Meta implementará un proceso para cambiar o revocar derechos de acceso e identificadores de usuario, sin retrasos indebidos. Meta contará con procesos disponibles las 24 horas del día y los siete días de la semana para informar sobre credenciales de acceso que se hayan visto comprometidas (por ejemplo, contraseñas o identificadores). Meta implementará registros de seguridad adecuados, como identificadores de usuario o marcas de tiempo en los casos en que proceda. El reloj se sincronizará con un servidor NTP.

    Se registrarán los siguientes eventos de gestión de acceso de los usuarios como mínimo:

    • Cambios de autorizaciĂłn.
    • Intentos de acceso e intentos de autenticaciĂłn fallidos y llevados a cabo con Ă©xito.

    • Operaciones de lectura y escritura.

  9. Seguridad de las comunicaciones

    Seguridad de la red. Meta utilizará una tecnología para la segregación de la red que será coherente con los estándares del sector. El acceso remoto a la red requerirá una comunicación cifrada mediante protocolos seguros y el uso de un proceso de autenticación multifactor.

    Protección de los datos en tránsito. Meta obligará a emplear una serie de protocolos adecuados diseñados para proteger la confidencialidad de los datos cuando estos se transfieran a través de redes públicas.

  10. Seguridad de las operaciones

    Meta establecerá y mantendrá un programa de gestión de vulnerabilidades para los Servicios que abarcará la definición de roles y responsabilidades, el compromiso de supervisar vulnerabilidades, la evaluación de riesgos relacionados con vulnerabilidades y la implementación de parches.

  11. GestiĂłn de incidentes relacionados con la seguridad

    Meta establecerá y mantendrá un plan de respuesta ante incidentes relacionados con la seguridad con el objetivo de supervisar, detectar y gestionar posibles incidentes que afecten a la seguridad de los Servicios. Este plan de respuesta incluirá como mínimo la definición de roles y responsabilidades, las comunicaciones y las revisiones posteriores al incidente (por ejemplo, análisis de la raíz del problema y planes de reparación).

    Meta supervisará los Servicios para detectar cualquier posible vulneración de la seguridad y actividad maliciosa. El proceso de supervisión y las técnicas de detección se diseñarán para hacer posible la detección de incidentes que afecten a la seguridad de los Servicios en función de amenazas pertinentes y de la información de la que se disponga sobre amenazas en curso.

  12. Continuidad del negocio

    Meta mantendrá un plan de continuidad del negocio para responder a emergencias u otras situaciones críticas que puedan dañar los Servicios. Meta realizará una revisión formal de este plan de continuidad del negocio una vez al año como mínimo.