Czy wybraliśmy właściwy kraj/region?
Polska

Załącznik dotyczący bezpieczeństwa danych w Rozwiązaniach zarządzanych Meta Horizon

Data wejścia w życie 13 listopada 2023:

Niniejszy Załącznik dotyczący bezpieczeństwa danych został wyraźnie włączony przez odniesienie do Regulaminu Rozwiązań zarządzanych Meta Horizon dostępnego pod adresem www.meta.com/legal/meta-for-work/terms-of-service/ („Regulamin”). Pojęcia zapisane wielką literą, a niezdefiniowane w niniejszym Załączniku dotyczącym bezpieczeństwa danych, mają znaczenie nadane im w Regulaminie.

  1. Podstawowe informacje i cel

    Niniejszy dokument określa minimalne wymagania w zakresie bezpieczeństwa związane ze świadczeniem użytkownikowi Usług przez firmę Meta.

  2. System zarządzania bezpieczeństwem informacji

    Firma Meta opracowała i wdrożyła System zarządzania bezpieczeństwem (ISMS) zaprojektowany pod kątem implementacji branżowych praktyk w zakresie ochrony informacji mających zastosowanie do świadczenia przez nią Usług. System ISMS ma na celu ochronę przed nieupoważnionym dostępem, ujawnieniem, wykorzystaniem, utratą i zmianą Danych klienta.

  3. Proces zarządzania ryzykiem

    Bezpieczeństwo informacji i obiekty zajmujące się przetwarzaniem informacji, w tym infrastruktura IT i obiekty fizyczne, muszą podlegać ocenie ryzyka. Ocena ryzyka Usług będzie przeprowadzana na bieżąco.

  4. Organizacja zabezpieczania informacji

    Meta wyznaczyła jednego z członków kadry zarządzającej jako osobę odpowiedzialną za bezpieczeństwo, do obowiązków której należy dbanie o bezpieczeństwo wewnątrz organizacji. Meta zatrudnia pracowników zajmujących się bezpieczeństwem Instancji klienta dla Usług.

  5. Bezpieczeństwo fizyczne i środowiskowe

    Stosowane przez Meta środki bezpieczeństwa obejmują nadzór, którego celem jest zagwarantowanie, że dostęp do obiektów fizycznych przeznaczonych do przetwarzania mają wyłącznie osoby upoważnione oraz że istnieją fizyczne środki kontroli zaprojektowane pod kątem wykrywania i kontrolowania zniszczeń powstałych na skutek zagrożeń środowiskowych, a także zapobiegania im. Wspomniane środki kontroli obejmują:

    • Procedury wymagające dowodów tożsamości umożliwiających wstęp do wszystkich obiektów Meta dla wszystkich osób z personelu pracującego nad Usługami.
    • Zapisywanie i kontrolowanie wszystkich prób uzyskania dostępu fizycznego do obiektu zajmującego się przetwarzaniem przez pracowników i wykonawców;
    • Telewizja przemysłowa w kluczowych punktach wejścia do obiektu zajmującego się przetwarzaniem;
    • Systemy monitorujące i kontrolujące temperaturę oraz wilgotność sprzętu komputerowego, a także

    • Źródła zasilające i generatory zapasowe.

    Zgodnie z niniejszym Regulaminem Meta stosuje standardowe procedury branżowe w zakresie bezpiecznego usuwania danych zapisanych na nośnikach elektronicznych.

  6. Personel

    Szkolenia. Meta zobowiązuje się do przeszkolenia w zakresie bezpieczeństwa wszystkich swoich pracowników z dostępem do Danych klienta.

    Kontrola i weryfikacja pracowników. Meta zobowiązuje się do:

    • Zapewniania członkom swojego personelu zajmującym się Instancją klienta dla Usług indywidualnych identyfikatorów ze zdjęciem oraz imieniem i nazwiskiem. Identyfikatory są niezbędnym elementem uprawniającym do wejścia do wszystkich obiektów Meta.
    • Opracowania i przestrzegania procesu określania tożsamości członków personelu zajmujących się Instancją klienta dla Usług.

    • Opracowania procesu weryfikacji, w przypadkach dozwolonych prawem, personelu pracującego z Instancją klienta dla Usług zgodnie z zasadami Meta.

    Naruszenie bezpieczeństwa przez personel. Meta opracuje sankcje nakładane z tytułu nieuprawnionego lub niedozwolonego dostępu do Danych klienta dokonanego przez członków personelu Meta, łącznie z rozwiązaniem stosunku pracy w przypadkach dozwolonych przez prawo.

  7. Kontrola bezpieczeństwa

    Meta zobowiązuje się do regularnego przeprowadzania testów bezpieczeństwa i podatności w celu oceny poprawności wdrożenia stosowanych środków kontroli i ich skuteczności.

  8. Kontrola dostępu

    Zarządzanie hasłami użytkownika. Meta zobowiązuje się do opracowania i przestrzegania procesu Zarządzania hasłami użytkownika mającego na celu zapewnianie bezpieczeństwa haseł i uniemożliwianie dostępu do nich osobom nieupoważnionym, który w minimalnym zakresie obejmuje następujące elementy:

    • Konfigurację haseł, w tym weryfikację tożsamości użytkownika przed zastosowaniem nowego, zmienionego lub tymczasowego hasła.
    • Szyfrowanie haseł, gdy są zapisywane w systemach komputerowych lub przesyłane za pośrednictwem sieci.
    • Zmienianie wszystkich domyślnych haseł dostawców.
    • Stosowanie silnych haseł w zależności od ich przeznaczenia.

    • Uświadamianie i szkolenie użytkowników.

    Zarządzanie dostępem użytkowników. Meta bez zbędnej zwłoki wdroży proces zmieniania lub unieważniania uprawnień dostępu oraz identyfikatorów użytkowników. Meta zobowiązuje się do opracowania procedur w zakresie raportowania i unieważniania podejrzanych danych logowania (haseł, tokenów itp.) w trybie 24/7. Meta prowadzi odpowiednie dzienniki zabezpieczeń zawierające identyfikator użytkownika i znacznik czasu w stosownych przypadkach. Zegar jest zsynchronizowany zgodnie z protokołem NTP.

    Rejestrowanie następującej minimalnej liczby zdarzeń z zakresu zarządzania dostępem użytkowników:

    • zmian upoważnień;
    • pomyślnych i niepomyślnych prób uwierzytelnienia i uzyskania dostępu oraz

    • operacji zapisu i odczytu.

  9. Bezpieczeństwo komunikacji

    Bezpieczeństwo sieci. Meta stosować będzie technologię zgodną ze standardami branżowymi w zakresie segregacji sieciowej. Dostęp zdalny wymaga połączenia szyfrowanego za pośrednictwem bezpiecznych protokołów, a także korzystania z uwierzytelniania wielopoziomowego.

    Ochrona przesyłanych danych. Meta wymagać będzie korzystania z właściwych protokołów opracowanych pod kątem ochrony poufności danych przesyłanych za pośrednictwem sieci publicznych.

  10. Bezpieczeństwo operacyjne

    Meta zobowiązuje się do opracowania i realizacji programu zarządzania podatnościami w zakresie Usługi, który obejmuje definicje ról i zakresów odpowiedzialności, wyznaczenie osoby odpowiedzialnej za monitorowanie podatności, ocenę ryzyka podatności oraz instalowanie poprawek.

  11. Zarządzanie zdarzeniami niebezpiecznymi

    Meta zobowiązuje się do opracowania i realizacji programu reagowania na zdarzenia niebezpieczne obejmującego monitorowanie i wykrywanie potencjalnych zdarzeń niebezpiecznych wpływających na Usługi, a także reagowanie na nie. Program reagowania na zdarzenia niebezpieczne powinien w minimalnym zakresie obejmować definicje ról i zakresów odpowiedzialności, a także przegląd komunikacji i prezentację podsumowującą, w tym analizę przyczyn i plan ich wyeliminowania.

    Meta będzie monitorowała Usługi pod kątem dowolnych naruszeń bezpieczeństwa i złośliwej aktywności. Proces monitorowania i techniki wykrywania zostaną zaprojektowane tak, by umożliwić wykrywanie zdarzeń niebezpiecznych mających wpływ na Usługi, zgodnie z odnośnymi zagrożeniami i bieżącą analizą zagrożeń.

  12. Ciągłość działania

    Meta zobowiązuje się do opracowania i realizacji programu z zakresu ciągłości biznesowej mającego na celu reagowanie na sytuacje awaryjne lub inne sytuacje kryzysowe, które mogłyby spowodować uszkodzenie Usług. Meta oświadcza, że przeprowadza formalne przeglądy programu z zakresu ciągłości biznesowej co najmniej raz w roku.