Anexo sobre la seguridad de los datos de las soluciones administradas de Meta Horizon

Vigente a partir del 13 de noviembre de 2023

Este Anexo sobre la seguridad de los datos se incorporó expresamente por referencia en las Condiciones del servicio de las soluciones administradas de Meta Horizon que se encuentran en www.meta.com/legal/meta-for-work/terms-of-service/ (las "Condiciones"). Los términos en mayúscula usados, pero no definidos, en este Anexo sobre la seguridad de los datos tienen los significados atribuidos en las Condiciones.

  1. Antecedentes y propósitos

    Este documento describe los requisitos de seguridad mínimos que se aplican a la prestación de los Servicios por parte de Meta.

  2. Sistema de administración de seguridad de la información

    Meta estableció un sistema de administración de seguridad de la información (ISMS) que conservará y que se diseñó para implementar prácticas de seguridad estándar del sector que se aplican a la prestación de los Servicios. El ISMS de Meta se diseñó para proteger los Datos del cliente contra acceso, divulgación, uso, pérdida o alteración no autorizados.

  3. Proceso de gestión de riesgos

    La seguridad de la información y las instalaciones de tratamiento de información, incluidas la infraestructura de TI y las instalaciones físicas, deben basarse en una evaluación de riesgos. La evaluación de riesgos de los Servicios se llevará a cabo de forma regular.

  4. Seguridad en la organización de la información

    Meta cuenta con un funcionario de seguridad designado cuya responsabilidad general es procurar la seguridad en la organización. Meta tiene miembros del personal designados que son responsables de supervisar la seguridad de la Instancia de cliente en los Servicios.

  5. Seguridad física y ambiental

    Las medidas de seguridad de Meta deben incluir controles diseñados para garantizar de manera razonable que se limite el acceso a las instalaciones de tratamiento físicas solo a personas autorizadas y que se establezcan controles ambientales para detectar, prevenir y controlar la destrucción debido a un peligro ambiental. Los controles incluyen:

    • Protocolos que requieren que todo el personal que trabaja en los Servicios presente documentos de identificación para acceder a todas las instalaciones de Meta.
    • Registro y auditoría de todo el acceso físico a las instalaciones de tratamiento de datos por parte de empleados y contratistas.
    • Sistemas de cámaras de vigilancia en puntos de entrada críticos a la instalación de tratamiento de datos.
    • Sistemas que monitorean y controlan la temperatura y la humedad del equipo informático.

    • Generadores de suministro de energía y de respaldo.

    Meta implementará procedimientos estándar del sector para eliminar y desechar los datos en medios electrónicos de manera segura, de conformidad con las Condiciones.

  6. Personal

    Capacitación. Meta garantizará que todos los empleados que tengan acceso a los Datos del cliente se capaciten en seguridad.

    Selección y averiguación de antecedentes. Meta:

    • Proporcionará tarjetas de identificación personales que incluyan el nombre y la foto a cada miembro del personal que trabaje con tu Instancia de cliente en los Servicios. Se deberán presentar las tarjetas de identificación para acceder a todas las instalaciones de Meta.
    • Deberá contar con un proceso para verificar la identidad de los miembros del personal que trabajen con tu Instancia de cliente en los Servicios.

    • Aplicará un proceso para realizar averiguaciones de antecedentes, donde lo permita la ley, del personal que trabaja con tu Instancia de cliente en los Servicios de acuerdo con las políticas de Meta.

    Infracción de la seguridad por parte de un miembro del personal. Meta impondrá sanciones a los miembros del personal de Meta que accedan a los Datos del cliente sin autorización o permiso, lo que incluye, donde lo permita la ley, la finalización de la relación laboral.

  7. Pruebas de seguridad

    Meta deberá realizar pruebas de seguridad y vulnerabilidad de manera regular para evaluar si los controles se implementan de manera correcta y son eficaces.

  8. Control del acceso

    Administración de contraseñas del usuario. Meta deberá contar con un proceso establecido de administración de contraseñas del usuario, diseñado para garantizar que las contraseñas sean personales y que las personas sin autorización no puedan acceder a ellas, lo que incluye, como mínimo, lo siguiente:

    • Provisión de contraseñas, incluida la verificación de la identidad del usuario antes de brindarle una contraseña nueva, de reemplazo o temporal.
    • Cifrado de las contraseñas cuando se almacenan en sistemas informáticos o se encuentran en tránsito en la red.
    • Alteración de contraseñas predeterminadas de los proveedores.
    • Contraseñas seguras relacionadas con su uso previsto.

    • Reconocimiento y capacitación del usuario.

    Administración del acceso del usuario. Meta implementará un proceso para cambiar o revocar los derechos de acceso y las identificaciones de los usuarios, sin demora indebida. Meta deberá contar con procedimientos permanentes e ininterrumpidos para reportar y revocar credenciales de acceso comprometidas (contraseñas, tokens, etc.) Meta implementará registros de seguridad adecuados, incluidos "userid" y "timestamp", donde corresponda. El reloj deberá sincronizarse con NTP.

    Registro de los siguientes eventos de administración del acceso del usuario mínimos:

    • Cambios en la autorización
    • Intentos de autenticación satisfactorios y no satisfactorios

    • Operaciones de lectura y escritura

  9. Seguridad en las comunicaciones

    Seguridad de la red. Meta implementará tecnología coherente con las normas de la industria para la segregación de redes. El acceso remoto a redes requerirá comunicación cifrada mediante protocolos de seguridad y el uso de autenticación de múltiples factores.

    Protección de datos en tránsito. Meta exigirá el uso de protocolos adecuados, diseñados para proteger la confidencialidad de los datos en tránsito en redes públicas.

  10. Seguridad operativa

    Meta establecerá y mantendrá un programa de administración de vulnerabilidad para los Servicios que incluye definición de roles y responsabilidades, propiedad dedicada de supervisión de la vulnerabilidad, evaluación de riesgos de vulnerabilidad e implementación de parches.

  11. Administración de incidentes relacionados con la seguridad

    Meta establecerá y mantendrá un plan de respuesta ante incidentes relacionados con la seguridad para supervisar, detectar y abordar posibles incidentes de seguridad que afectan los Servicios. El plan de respuesta ante incidentes relacionados con la seguridad deberá incluir definición de roles y responsabilidades, comunicación y revisiones posteriores al incidente, incluidos análisis de causa raíz y planes de resolución.

    Meta supervisará los Servicios para veriicar que no se infrinja la seguridad y determinar si hay actividades maliciosas. El proceso de supervisión y las técnicas de detección se deberán diseñar de modo que permitan detectar incidentes de seguridad que afectan los Servicios de conformidad con inteligencia de seguridad y contra amenazas permanentes relevantes.

  12. Continuidad del negocio

    Meta mantendrá un plan de continuidad del negocio para responder ante una emergencia u otras situaciones críticas que podrían dañar los Servicios. Meta deberá revisar formalmente su plan de continuidad del negocio, al menos, una vez al año.