Har vi valgt riktig land/region?
Norge

Tillegg om datasikkerhet for administrerte Meta Horizon-løsninger

Gjelder fra 13. november 2023

Dette tillegget om datasikkerhet er uttrykkelig innlemmet ved referanse i tjenestebetingelsene for administrerte Meta Horizon-løsninger, som er tilgjengelige på www.meta.com/legal/meta-for-work/terms-of-service/ («betingelsene»). Sentrale begreper som ikke er definert i dette tillegget om datasikkerhet, har betydningen som er angitt i tjenestebetingelsene.

  1. Bakgrunn og formĂĄl

    Dette dokumentet beskriver minstekravene til sikkerhet som gjelder for Metas levering av tjenestene til deg.

  2. Information Security Management System

    Meta har etablert ISMS (Information Security Management System), som er bransjestandardiserte rutiner for informasjonssikkerhet som gjelder for levering av tjenestene. Metas ISMS er utviklet for ĂĄ beskytte mot uautorisert innsyn i og deling, bruk, tap og endring av kundedata.

  3. Prosess for risikohĂĄndtering

    Sikkerheten til informasjon og fasiliteter for informasjonsbehandling, inkludert IT-infrastruktur og fysiske fasiliteter, skal være basert på en risikovurdering. Risikovurderinger av tjenestene utføres med jevne mellomrom.

  4. Organisering av informasjonssikkerhet

    Meta har en egen sikkerhetsansvarlig som har det overordnede ansvaret for sikkerhet i organisasjonen. Meta har eget personell som er ansvarlig for ĂĄ overvĂĄke sikkerheten til kundeforekomsten din i forbindelse med tjenestene.

  5. Fysisk og miljømessig sikkerhet

    Metas sikkerhetstiltak skal omfatte kontroller utviklet for å gi rimelig trygghet for at tilgangen til fysiske behandlingsfasiliteter er begrenset til autoriserte personer, og at det er etablert kontrollrutiner for å oppdage, forhindre og kontrollere miljøødeleggelser. Kontrollene omfatter

    • protokoller som krever ID-kort for ĂĄ fĂĄ adgang til alle Metas lokaler for alt personell som jobber med tjenestene
    • logging og kontroll av ansattes og leverandørers fysiske tilgang til fasiliteter der det foregĂĄr databehandling
    • kameraovervĂĄking ved kritiske inngangspunkter til fasiliteter der det foregĂĄr databehandling
    • systemer som overvĂĄker og regulerer temperatur og luftfuktighet for datamaskinutstyr

    • strømforsyning og reservegeneratorer

    Meta skal implementere bransjestandardiserte prosedyrer for sikker sletting og destruering av data pĂĄ elektroniske medier i henhold til betingelsene.

  6. Personell

    Opplæring. Meta skal sørge for at alle ansatte med tilgang til kundedata gjennomgår sikkerhetsopplæring.

    Klarering og bakgrunnssjekk. Metas ansvar:

    • Meta skal dele ut personlige ID-kort med bilde og navn til alt personell som jobber med kundeforekomsten din i forbindelse med tjenestene. ID-kort skal kreves for ĂĄ komme inn pĂĄ alle Metas fasiliteter.
    • Meta skal ha prosedyrer for ĂĄ bekrefte identiteten til alt personell som jobber med kundeforekomsten din i forbindelse med tjenestene.

    • Meta skal ha prosedyrer for ĂĄ utføre bakgrunnssjekk, der dette er tillatt, av personell som jobber med kundeforekomsten din i forbindelse med tjenestene, i samsvar med Metas retningslinjer.

    Sikkerhetsbrudd av personell. Meta skal sanksjonere mot Meta-personell som skaffer seg uautorisert eller ulovlig tilgang til kundedata, noe som også kan føre til oppsigelse hvis gjeldende lovgivning tillater det.

  7. Sikkerhetstesting

    Meta skal utføre regelmessige sikkerhets- og sårbarhetstester for å vurdere om sentrale kontrollmekanismer er riktig implementert og fungerer som de skal.

  8. Tilgangskontroll

    Administrasjon av brukerpassord. Meta skal ha etablerte prosedyrer for administrasjon av brukerpassord, som er utviklet for å sikre at passord er personlige og utilgjengelige for uautoriserte personer. Prosedyrene skal som minimum inkludere følgende:

    • utstedelse av passord, inkludert verifisering av identiteten til brukeren før det utstedes et nytt passord, et erstatningspassord eller et midlertidig passord
    • kryptering av passord nĂĄr de er lagret i datamaskinsystemer eller sendes over nettverket
    • endring av standardpassordet fra leverandøren
    • passordstyrke som stĂĄr i forhold til den tiltenkte bruken

    • brukerbevissthet og -opplæring

    Administrasjon av brukertilgang. Meta skal implementere en prosess for endring og/eller tilbakekalling av tilgangsrettigheter og brukeridentiteter, uten unødvendig opphold. Meta skal ha døgnåpne prosedyrer for rapportering og tilbakekalling av kompromittert tilgangsinformasjon (passord, token osv.) Der det er aktuelt, skal Meta ha hensiktsmessige sikkerhetslogger som inkluderer brukeridentitet og tidsstempel. Klokken skal være synkronisert med NTP.

    Følgende hendelser ved administrasjon av brukertilgang skal logges (minstekrav):

    • godkjennelsesendringer
    • mislykkede og vellykkede godkjennings- og tilgangsforsøk

    • lese- og skriveoperasjoner

  9. Kommunikasjonssikkerhet

    Nettverkssikkerhet. Meta skal benytte teknologi som er i samsvar med bransjestandarder for nettverkssegregering. Tilgang til eksternt nettverk skal kreve kryptert kommunikasjon ved bruk av sikre protokoller og bruk av flerfaktorautentisering.

    Beskyttelse av data under overføring. Meta skal sikre at det brukes relevante protokoller som er utviklet for å beskytte konfidensialiteten til data som overføres over offentlige nettverk.

  10. Driftssikkerhet

    Meta skal etablere og følge et program for sårbarhetshåndtering for tjenestene. Dette må omfatte definering av roller og ansvar, dedikert eierskap til sårbarhetsovervåking, risikovurderinger og distribusjon av oppdateringer.

  11. HĂĄndtering av sikkerhetshendelser

    Meta skal etablere og opprettholde en responsplan for sikkerhetsovertredelser for ĂĄ overvĂĄke, oppdage og hĂĄndtere mulige sikkerhetsbrudd som pĂĄvirker tjenestene. Responsplanen for sikkerhetshendelser skal minst omfatte definering av roller, ansvar, kommunikasjon og evalueringer, inkludert rotĂĄrsaksanalyse og utbedringsplaner.

    Meta skal overvåke tjenestene for å oppdage eventuelle sikkerhetsbrudd og skadelige aktiviteter. Overvåkingsprosessen og registreringsteknikkene skal utvikles for å gjøre det mulig å oppdage sikkerhetshendelser som påvirker tjenestene i henhold til relevante trusler og løpende trusselinformasjon.

  12. Forretningskontinuitet

    Meta skal ha en forretningskontinuitetsplan for å håndtere nødssituasjoner og andre kritiske situasjoner som kan skade tjenestene. Meta skal formelt gå gjennom forretningskontinuitetsplanen minst én gang i året.