Valitsimmeko oikean maan tai alueen?
Suomi

Meta Horizonin hallinnoitujen ratkaisujen tietoturvan lisäosa

Voimassa 13. marraskuuta 2023 alkaen

Tämä tietoturvan lisäosa on nimenomaisesti sisällytetty viittauksella Meta Horizonin hallinnoitujen ratkaisujen käyttöehtoihin, jotka sijaitsevat osoitteessa www.meta.com/legal/meta-for-work/terms-of-service/ (”ehdot”). Käytetyillä termeillä, joita ei määritellä tässä tietoturvalisäyksessä, on käyttöehdoissa annetut merkitykset.

  1. Taustatiedot ja tarkoitus

    Tämä dokumentti kuvaa ne tietoturvan vähimmäisvaatimukset, joita sovelletaan siihen, miten Meta tarjoaa palvelut sinulle.

  2. Tietoturvallisuuden hallintajärjestelmä

    Meta on perustanut tietoturvallisuuden hallintajärjestelmän (ISMS) ja ylläpitää sitä. Kyseinen järjestelmä on suunniteltu toteuttamaan alan standardin mukaisia tietoturvakäytäntöjä, joita sovelletaan siihen, miten Meta tarjoaa palvelut. Metan ISMS on suunniteltu suojaamaan asiakastietojen luvattomalta pääsyltä, luovuttamiselta, käytöltä, häviämiseltä tai muuttamiselta.

  3. Riskienhallintaprosessi

    Tietojen ja tiedonkäsittelytilojen, kuten IT-infrastruktuurin ja fyysisten tilojen, turvallisuus perustuu riskiarvioon. Palvelujen riskiarviointi suoritetaan säännöllisin väliajoin.

  4. Tietoturvallisuuden organisointi

    Meta on nimittänyt turvallisuusvastaavan, jolla on kokonaisvastuu organisaation turvallisuudesta. Metalla on nimetty henkilöstö, joka on vastuussa palveluiden asiakasesiintymäsi turvallisuuden valvomisesta.

  5. Fyysinen ja ympäristön turvallisuus

    Metan turvallisuustoimenpiteisiin kuuluu hallintakeinoja, jotka on suunniteltu takaamaan kohtuuden rajoissa, että pääsy fyysisiin käsittelytiloihin on rajoitettu vain valtuutetuille henkilöille ja että käytössä on ympäristön hallintakeinoja, joiden avulla voidaan havaita, ehkäistä ja hallita ympäristöriskien aiheuttamia tuhoja. Näihin hallintakeinoihin kuuluvat seuraavat:

    • menettelytavat, jotka edellyttävät kaikilta palveluiden parissa työskenteleviltä henkilöstön jäseniltä henkilökortin kaikkiin Metan tiloihin pääsemiseksi
    • tietojenkäsittelytilan työntekijöiden ja alihankkijoiden fyysisten kaikkien kulku- ja pääsytietojen kirjaaminen ja tarkastaminen
    • kameravalvontajärjestelmät tietojenkäsittelytilan kriittisissä sisääntulopisteissä
    • järjestelmät, jotka valvovat ja hallinnoivat tietokonelaitteiston lämpötilaa ja kosteustasoa

    • virtalähteet ja varageneraattorit.

    Meta käyttää alan standardin mukaisia toimenpiteitä poistaakseen ja hävittääkseen sähköisten laitteiden tietoja turvallisesti, käyttöehtojen mukaisesti.

  6. Henkilöstö

    Koulutus. Meta varmistaa, että kaikki asiakastietoihin pääsevät työntekijät saavat turvallisuuskoulutusta.

    Seulonta ja taustatarkistukset Meta toimii seuraavasti:

    • Meta antaa jokaiselle palvelun asiakasesiintymäsi kanssa työskentelevän henkilöstön jäsenelle henkilökohtaisen kuvallisen henkilökortin, johon työntekijän nimi on kirjoitettu. Kaikkiin Metan tiloihin pääsyyn vaaditaan henkilökorttia.
    • Meta asettaa tarkistusprosessin, jolla varmistetaan palveluiden asiakasesiintymäsi kanssa työskentelevän henkilöstön henkilöllisyys.

    • Meta asettaa taustatarkistusprosessin, jolla tarkistetaan palveluiden asiakasesiintymäsi kanssa työskentelevän henkilöstön taustat Metan käytäntöjen mukaisesti.

    Henkilöstön tietoturvaloukkaus Jos Metan henkilöstö käyttää tai katselee asiakastietoja luvattomasti tai ilman valtuutusta, Meta antaa siitä heille siitä lain salliman rangaistuksen, joka voi olla jopa irtisanominen.

  7. Turvallisuuden testaaminen

    Meta suorittaa säännöllisin väliajoin turvallisuutta ja mahdollisia tietoturva-aukkoja analysoivia testejä arvioidakseen, onko keskeiset hallintakeinot toteutettu oikein ja tehokkaasti.

  8. Pääsyn hallinta

    Käyttäjän salasanan hallinnointi. Metalla on käytössään käyttäjän salasanan hallinnointiprosessi, joka on suunniteltu varmistamaan, että salasanat ovat henkilökohtaisia ja valtuuttamattomien henkilöiden pääsyn ulottumattomissa. Vähimmillään tähän kuuluu:

    • Salasanan valmisteleminen, sisältäen käyttäjän henkilöllisyyden vahvistamisen ennen uutta, korvaavaa tai tilapäistä salasanaa.
    • Kaikkien salasanojen salaaminen, kun ne tallennetaan tietokonejärjestelmiin tai kun ne siirretään verkon välityksellä.
    • Toimittajilta saatujen oletussalasanojen muuttaminen.
    • Vahvat salasanat suhteessa niiden tarkoitettuun käyttöön.

    • Käyttäjien tietoisuus ja koulutus.

    Käyttäjien pääsyn hallinta Meta käyttää prosessia, jolla pääsyoikeudet ja käyttäjätunnukset voidaan vaihtaa ja/tai kumota ilman kohtuuttomia viiveitä. Metalla on menettelytapoja, joilla vaarantuneista pääsy- ja kirjautumistiedoista (salasanat, tunnukset ja niin edelleen) voidaan tehdä ilmoituksia ja niitä voidaan kumota kaikkina aikoina. Meta käyttää asianmukaisia turvallisuuslokeja, kuten käyttäjätunnuksia ja aikaleimoja tarpeen mukaan. Kello synkronoidaan NTP-protokollalla.

    Seuraavat käyttäjän pääsyn hallinnoimisen minimitapahtumat kirjataan:

    • valtuutuksen muutokset
    • epäonnistuneet ja onnistuneet todennukset ja pääsy-yritykset

    • luku- ja kirjoitustoiminnot.

  9. Viestinnän turvallisuus

    Verkon turvallisuus. Meta käyttää alan standardien mukaista teknologiaa verkkojen erotteluun. Verkon etäyhteys edellyttää salattua viestintää turvattuja protokollia käyttämällä sekä monivaiheisen todennuksen käyttämistä.

    Siirrettävien tietojen turvaaminen Meta valvoo ja varmistaa, että käytössä on asianmukaiset protokollat, jotka on suunniteltu turvaamaan julkisten verkkojen välityksellä siirrettävien tietojen luottamuksellisuus.

  10. Toiminnallinen turvallisuus

    Meta perustaa palveluille tietoturva-aukkojen hallintaohjelman ja ylläpitää sitä. Ohjelmaan kuuluvat roolien ja vastuualueiden määrittäminen, tietoturva-aukkojen valvonnalle omistautuminen, tietoturva-aukkojen riskiarviot sekä päivitysten käyttöönotto.

  11. Tietoturvahäiriöiden hallinta

    Meta luo ja ylläpitää tietoturvahäiriöiden toimintasuunnitelmaa palveluihin vaikuttavien mahdollisten tietoturvahäiriöiden valvomiseksi, havaitsemiseksi ja käsittelemiseksi. Tietoturvahäiriöiden toimintasuunnitelma sisältää vähimmillään roolien ja vastuualueiden määrittämisen sekä viestinnän ja post mortem -tarkistukset, joihin kuuluvat ongelman aiheuttaneen syyn analysointi ja korjaussuunnitelmat.

    Meta valvoo palveluita tietoturvaloukkausten ja haitallisen toiminnan varalta. Valvontaprosessi ja havaitsemistekniikat on suunniteltu havaitsemaan palveluihin vaikuttavat tietoturvahäiriöt. Niiden havaitsemiseen käytetään tietoja, jotka koskevat olennaisia uhkia ja jatkuvia uhkia.

  12. Liiketoiminnan yhtäjaksoisuus

    Meta ylläpitää liiketoiminnan jatkuvuuden toimintasuunnitelmaa, jolla vastataan hätätilanteisiin tai muihin kriittisiin tilanteisiin, jotka saattavat vahingoittaa palveluita. Meta tarkistaa liiketoiminnan jatkuvuuden toimintasuunnitelmansa muodollisesti vähintään kerran vuodessa.