Hero Background Image
Sicherheit und Vertrauen

Vertrauen ist unser Fundament

Vertrauen ist in allen Bereichen ein fester Bestandteil von Workday. Damit Ihre Daten stets sicher und geschützt sind, stellen wir branchenführende Schutzmechanismen bereit und überwachen kontinuierlich unsere Systeme. So können Sie sicher davon ausgehen, dass Ihre sensiblen Daten rund um die Uhr in der Cloud geschützt sind.

 

Sicherheit

Bei Workday genießt die Sicherheit der Daten unserer Kunden höchste Priorität. Wir setzen strenge Sicherheitsmaßnahmen auf Unternehmens-, Architektur- und operativer Ebene konsequent um, damit Ihre Daten, Anwendungen und Infrastruktur stets geschützt sind.

Unternehmensweite Sicherheit

Wir legen von Anfang an großen Wert auf Sicherheit. Gleich am ersten Tag werden alle neuen Mitarbeiter in Bezug auf Sicherheit, Datenschutz und Compliance geschult. Auch wenn nicht alle Mitarbeiter bei Workday in gleichem Maße mit Daten zu tun haben, trägt jeder von ihnen Verantwortung für die Sicherheit der Daten.

Diese Sicherheitsverpflichtung gilt auch für unsere Führungskräfte. Der Workday Security Council – eine funktionsübergreifende Gruppe von Führungskräften aus dem gesamten Unternehmen – gestaltet unsere Sicherheitsprogramme und fördert die gemeinsame Ausrichtung der Führungskräfte unserer Organisation. Zudem sorgt der Security Council dafür, dass unternehmensweit Mitarbeiter für das Thema Sicherheit sensibilisiert und Sicherheitsinitiativen umgesetzt werden.

Sicherheitsarchitektur

Zuständigkeiten bei der Datenverarbeitung

Unsere Kunden gelten als Datenverantwortliche (Verantwortliche), während Workday als Datenverarbeiter (Auftragsverarbeiter) agiert. Somit haben Sie die vollständige Kontrolle über die Daten, die im Zusammenhang mit den Services eingegeben wurden, sowie über sämtliche Setups und Konfigurationen. Da Sie als Datenverantwortlicher agieren – und wir die Daten lediglich verarbeiten – sind Sie bei alltäglichen Aufgaben wie den folgenden nicht auf uns angewiesen:

  • Sicherheitsbefugnisse zuweisen und Rollen ändern
  • Neue Berichte und Worklets erstellen
  • Abläufe, Warnmeldungen, Regeln usw. für Geschäftsprozesse konfigurieren
  • Neue Integrationen in Workday-Dienstprogramme oder vorhandene Lösungen erstellen
  • Neue Organisationsstrukturen erstellen oder vorhandene Strukturen ändern
  • Alle Geschäftstransaktionen überwachen
  • Einblick in alle historischen Daten und Konfigurationsänderungen erhalten

Verschlüsselung von Daten

Workday verschlüsselt jedes Kundendatenattribut, bevor es in einer Datenbank persistiert wird. Dies ist ein wesentliches Designmerkmal der Workday-Technologie. Da Workday im Gegensatz zu festplattenbasierten RDBMS-Anwendungen eine objektorientierte Anwendung mit In-Memory-Technologie ist, können wir die höchste Verschlüsselungsstufe realisieren. Dabei setzen wir den AES-Algorithmus (Advanced Encryption Standard) mit einer Schlüssellänge von 256 Bit und einem eindeutigen Verschlüsselungscode für jeden Kunden ein.

Transport Layer Security (TLS) schützt den Benutzerzugriff über das Internet, sodass der Netzwerkverkehr gegen passive Lauschangriffe, aktive Manipulationen oder Nachrichtenfälschungen geschützt ist. Dateibasierte Integrationen können via PGP oder durch ein von Workday generiertes öffentlich-privates Schlüsselpaar anhand eines kundenseitigen Zertifikats verschlüsselt werden. WS-Sicherheit wird auch für Webservices-Integrationen in die Workday-API unterstützt.

Logische Sicherheit

Der Sicherheitszugriff bei Workday ist rollenbasiert. Er unterstützt die delegierte LDAP-Authentifizierung, SAML für einmaliges Anmelden (Single Sign-On, SSO) und X.509-Zertifikatauthentifizierung sowohl für Anwender- als auch für Webservices-Integrationen.

Single Sign-On

SAML ermöglicht eine nahtlose Single-Sign-On-Interaktion zwischen dem internen Webportal des Kunden und Workday. Kunden melden sich mit dem firmeneigenen Benutzernamen und Kennwort beim internen Webportal ihres Unternehmens an. Daraufhin wird ihnen ein Link zu Workday bereitgestellt, mit dem Kunden automatisch Zugriff erhalten, ohne sich erneut anmelden zu müssen. Workday unterstützt auch OpenID Connect.

Systemeigene Workday-Anmeldung

Für Kunden, die unsere systemeigene Anmeldung nutzen möchten, wird unser Workday-Kennwort nur in Form eines sicheren Hashwerts anstelle des Kennworts selbst gespeichert. Erfolglose Anmeldeversuche werden ebenso wie erfolgreiche Anmelde-/Abmeldeaktivitäten zu Audit-Zwecken protokolliert. Inaktive Anwendersitzungen werden nach einer bestimmten Zeit automatisch beendet. Die Zeit kann vom Kunden nach Anwender konfiguriert werden.

Zu den kundenseitig konfigurierbaren Kennwortregeln gehören Länge, Komplexität, Laufzeit und Sicherheitsfragen, wenn das Kennwort vergessen wurde.

Multi-Faktor-Authentifizierung

Wir empfehlen Kunden die Multi-Faktor-Authentifizierung (MFA). Workday ermöglicht es seinen Kunden, ihren eigenen MFA-Anbieter zu integrieren, der durch den TOTP-Algorithmus (Time-Based One-Time Passcode) unterstützt wird. Mit diesem Setup können die Kunden MFA-Anbieter ganz einfach in die systemeigene Workday-Anmeldung integrieren. Darüber hinaus bietet Workday den Endanwendern seiner Kunden die Möglichkeit, über einen E-Mail-zu-SMS-Gateway-Mechanismus einen einmaligen Passcode zu erhalten. Zu guter Letzt unterstützt Workday auch Sicherheitsfragen als zusätzlichen Mechanismus zur Feststellung der Anwenderidentität.

Step-up-Authentifizierung

Bleibt eine Konsole unabsichtlich geöffnet oder greifen mehrere Anwender über dasselbe Gerät auf Workday zu, können sich Unternehmen, die eine SAML-Authentifizierung nutzen, vor unbefugtem Zugriff schützen, indem sie kritische Elemente in Workday identifizieren. So können Kunden einen zweiten Authentifizierungsfaktor festlegen, den Anwender für den Zugriff auf diese Elemente eingeben müssen.

Operative Sicherheit

Physische Sicherheit

Workday-Anwendungen werden in Rechenzentren gehostet, die dem neuesten Stand der Technik entsprechen und speziell für den Schutz unternehmenskritischer Rechnersysteme mit vollständig redundanten Teilsystemen sowie unterteilten Sicherheitszonen entwickelt wurden. Für unsere Rechenzentren gelten die strengsten physischen Sicherheitsmaßnahmen, darunter insbesondere:

  • Mehrere Authentifizierungsschichten für den Zutritt zum Serverbereich
  • Biometrische Zwei-Faktor-Authentifizierung für kritische Bereiche
  • Kameraüberwachungssysteme an wichtigen internen und externen Eingängen
  • 24/7-Überwachung durch Sicherheitspersonal

Sämtliche physischen Zutrittsmöglichkeiten zu den Rechenzentren sind stark eingeschränkt und werden streng überwacht.

Netzwerksicherheit

Workday hat detaillierte Betriebsrichtlinien, Verfahren und Prozesse eingeführt, die dabei helfen sollen, die allgemeine Qualität und Integrität der Workday-Umgebung zu managen. Außerdem haben wir proaktive Sicherheitsmechanismen wie Perimeterschutz- und Intrusion-Prevention-Systeme (IPSs) implementiert.

Netzwerk-IPSs überprüfen kritische Netzwerksegmente auf atypische Netzwerkmuster in der Kundenumgebung und überwachen den Datenverkehr zwischen den Ebenen und dem Service. Darüber hinaus betreiben wir ein weltweites Security Operations Center, das täglich rund um die Uhr im Einsatz ist.

Anwendungssicherheit

Workday hat einen Secure Software Development Life Cycle (SDLC) für Unternehmen implementiert, damit für die lückenlose Sicherheit der Workday-Anwendungen gesorgt werden kann.

Dieses Programm umfasst eine eingehende Bewertung der Sicherheitsrisiken und eine detaillierte Überprüfung der Workday-Funktionen. Zudem werden statische und dynamische Quellcodeanalysen durchgeführt, damit sich Unternehmenssicherheit leichter in den Entwicklungszyklus integrieren lässt. Zur weiteren Verbesserung des Entwicklungsprozesses werden Entwickler in puncto Anwendungssicherheit geschult und die Anwendung diversen Penetrationstests unterzogen.

Schwachstellenanalysen

Workday beauftragt externe Fachunternehmen mit der Durchführung von unabhängigen internen und externen netzwerk-, system- und anwendungsspezifischen Schwachstellenanalysen.

Anwendung

Wir beauftragen ein führendes externes Sicherheitsunternehmen damit, vor jedem größeren Release eine Schwachstellenanalyse unserer Web- und Mobilanwendungen auf Anwendungsebene durchzuführen. Dieses Unternehmen führt Testverfahren durch, um standardmäßige und erweiterte Sicherheitslücken bei Webanwendungen zu ermitteln, darunter insbesondere:

  • Schwachstellen in Verbindung mit Flash, Flex, AJAX und ActionScript
  • Cross-Site-Request-Forgery (CSRF)
  • Unzulässige Eingabebehandlung (zum Beispiel Cross-Site-Scripting, SQL-Injection, XML-Injection und Cross-Site-Flashing)
  • XML- und SOAP-Angriffe
  • Weak Session Management
  • Datenvalidierungsmängel und Widersprüche bei Datenmodellbeschränkungen
  • Unzureichende Authentifizierung oder Autorisierung
  • HTTP Response Splitting
  • SSL/TLS-Missbrauch
  • Anwendung unsicherer HTTP-Methoden
  • Missbrauch von Kryptographie

Netzwerk

In externen Schwachstellenbewertungen werden alle mit dem Internet verbundenen Assets, darunter Firewalls, Router und Webserver, auf potenzielle Schwachstellen untersucht, die einen unbefugten Zugriff auf das Netzwerk verursachen könnten. Zudem wird eine authentifizierte interne Netzwerk- und Systembewertung durchgeführt, um potenzielle Schwachstellen und Widersprüche gegenüber den allgemeinen Systemsicherheitsrichtlinien festzustellen.

Empfohlene Sicherheitsressourcen

Building Better Security Practices Inside and Outside the Organization
Blog lesen
Hinter der Cloud: Der Chief Trust Officer von Workday zum Thema „Eine Kultur der Sicherheit schaffen“
Video ansehen
Why Multi-Factor Authentication is a Must-Have
Blog lesen

  

Datenschutz

Datenschutzbestimmungen sind komplex, variieren von Land zu Land und bringen hohe Anforderungen mit sich. Bei der Auswahl einer HCM-, Finanz- oder sonstigen Anwendung sollten sich Unternehmen für eine Lösung entscheiden, mit der Kunden ihre Datenschutzverpflichtungen erfüllen und den Schutz ihrer Daten sicherstellen können. Workday bietet Ihnen führende Datenschutzfunktionen und -praktiken zur Einhaltung Ihrer Datenschutzverpflichtungen.

Darüber hinaus stellen wir unseren Kunden die benötigten Ressourcen und Informationen bereit, damit sie die Datenschutz- und Compliance-Anforderungen für ihre Unternehmen besser verstehen und validieren können. Ebenso erfahren die Kunden, wie Workday sie bei ihren Compliance-Maßnahmen unterstützen kann.

 

   

Zuverlässiges Datenschutzprogramm

Das Workday-Datenschutzprogramm wurde auf Basis strenger Richtlinien und Verfahren zum Zugriff auf Kundendaten sowie zur Nutzung, Offenlegung und Übermittlung von Kundendaten ausgearbeitet. Im Wesentlichen sieht unser Datenschutzprogramm vor, dass Workday-Mitarbeiter nicht auf Kundendaten zugreifen und diese nicht nutzen, offenlegen oder übermitteln, sofern eine solche Handlung nicht gemäß einer vertraglichen Vereinbarung mit dem Kunden oder auf dessen Anweisung erfolgt.

Da sich Datenschutzangelegenheiten und globale Gesetze ständig weiterentwickeln und immer komplexer werden, weiß Workday um die Bedeutung eines Datenschutzprogramms, das in die Kultur und die Dienstleistungen unseres Unternehmens eingebettet ist. Durch unsere Philosophie „Privacy by Design“ weisen wir nach, dass uns dieses Anliegen ernst ist, und geben unseren Kunden die Gewissheit, die sie für den Schutz und die Sicherheit ihrer Daten benötigen.

Das von unserem Chief Privacy Officer geleitete Workday-Team für Datenschutz, Ethik und Compliance managt das Datenschutzprogramm und überwacht dessen Wirksamkeit. Dieses Team ist für folgende Aufgaben verantwortlich:

  • Formulierung, Pflege und Aktualisierung unserer internen Datenschutzrichtlinien, -verfahren und -tools zum Schutz personenbezogener Daten, die von Mitarbeitern und Partnern im Auftrag oder Namen von Workday verarbeitet werden.
  • Überwachung der Einhaltung unserer kundenbezogenen Datenschutzrichtlinien, die jährlich von einem Drittanbieter geprüft werden
  • Sicherstellen, dass die Datenschutzverpflichtungen gegenüber unseren Kunden, Partnern und Mitarbeitern eingehalten werden
  • Aufrechterhaltung von Zertifizierungen und gesetzlichen Verpflichtungen
  • Schulung von Workday-Mitarbeitern in Bezug auf unser Datenschutzprogramm, Überwachung veränderter Datenschutzgesetze weltweit sowie erforderliche Aktualisierungen und Änderungen unseres Datenschutzprogramms

Der Datenschutz erfordert ständige Wachsamkeit und wir fühlen uns in hohem Maße verpflichtet, die personenbezogenen Daten unserer Kunden und Mitarbeiter zu schützen. Lesen Sie hier mehr darüber, wie wir uns nach den zentralen Datenschutzgrundsätzen richten.

Lesen Sie unsere Datenschutzrichtlinie und erfahren Sie mehr darüber, wie wir die Daten unserer Kunden managen und schützen.

Privacy by Design

In unsere Services haben wir ein ganzheitliches Datenschutzprogramm integriert – vom ersten Design bis zum Release. Dieses Programm basiert auf unserer Philosophie „Privacy by Design“ und ist fest in der Entwicklung unserer Produkte und der Konzeption unserer Cloud-Dienstleistungen verankert.

Datentransparenz

Wir schaffen Transparenz hinsichtlich der geografischen Regionen, in denen die Daten unserer Kunden gespeichert und verarbeitet werden.

Globaler Datenschutz

Globaler Datenschutz

Workday und unsere Kunden müssen eine Vielzahl globaler Datenschutzgesetze und -vorschriften einhalten. Bestimmte Datenschutzgrundsätze, wie beispielsweise Informationspflicht, Wahlmöglichkeit, Zugriff, Nutzung, Offenlegung und Sicherheit, gelten in allen Rechtssystemen. Unsere Anwendung ist für unterschiedliche Konfigurationen ausgelegt, sodass Sie die in Ihrem Land geltenden Gesetze einhalten können. Darüber hinaus sorgt Workday mit einem umfassenden Informationssicherheitsprogramm (WISP) für die Einhaltung internationaler Datenschutzvorschriften. Dieses enthält technische und organisatorische Schutzmechanismen, die unbefugte Zugriffsversuche und Missbrauch oder Offenlegung von Kundendaten verhindern. Workday verpflichtet sich nach wie vor zur Einhaltung globaler Datenschutzstandards. Dies spiegelt sich in unserem Engagement für Programme wie das Privacy-Shield-Abkommen sowie in der Umsetzung der Binding Corporate Rules (BCR) und der Datenschutzregeln der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (APEC) wider.

Datenschutz in der EU

Die Datenschutzlandschaft in der EU hat sich aufgrund der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) wesentlich verändert. Durch die DSGVO wurden die zuvor stark fragmentierten Datenschutzgesetze in Europa harmonisiert. Workday ist zuversichtlich, dass wir die personenbezogenen Daten unserer Kunden auch zukünftig in Übereinstimmung mit der DSGVO verarbeiten können, und wir verfolgen die Leitlinien, die im Zusammenhang mit dieser Thematik von den EU-Aufsichtsbehörden herausgegeben werden. Sobald Änderungen erforderlich sind, werden wir diese zügig umsetzen.

Workday hat die Anforderungen der DSGVO sowie unsere zahlreichen Datenschutz- und Sicherheitspraktiken bewertet, um die Einhaltung der DSGVO von Grund auf sicherzustellen. Dazu zählen:

  • Weiterbildung von Mitarbeitern zu Sicherheits- und Datenschutzpraktiken
  • Durchführung von Datenschutz-Folgeabschätzungen (Privacy Impact Assessments, PIA)
  • Bereitstellung von Datenübertragungsmethoden zur rechtmäßigen Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), einschließlich der BCR von Workday
  • Aufzeichnung von Verarbeitungsaktivitäten
  • Bereitstellung konfigurierbarer Datenschutz- und Compliance-Funktionen für unsere Kunden

Privacy by Design und Privacy by Default sind fest im Workday Service verankert. Workday ist sich bewusst, dass die DSGVO für die Geschäftstätigkeit unserer internationalen Kunden von zentraler Bedeutung ist. Daher verfolgt Workday laufend die Leitlinien und Empfehlungen der EU-Aufsichtsbehörden im Zusammenhang mit der DSGVO und sorgt auf diese Weise dafür, dass sein Compliance-Programm stets auf dem neuesten Stand ist.

Workday weiß, dass die Einhaltung der DSGVO-Bestimmungen nicht nur für unser eigenes Unternehmen als Auftragsverarbeiter wichtig ist, sondern auch für unsere Kunden, damit sie den Workday Service zur Erfüllung ihrer internen Compliance-Anforderungen nutzen können. Aus diesem Grund bietet Workday Lösungen, die seine Kunden bei der Erfüllung ihrer Verpflichtungen in Bezug auf die DSGVO unterstützen. Auf Basis des Workday Service können die Kunden personenbezogene Daten in ihrem eigenen privaten Mandanten verarbeiten. Erfahren Sie hier mehr darüber, wie wir unsere Kunden bei der Erfüllung ihrer DSGVO-Verpflichtungen unterstützen.

Privacy Shield

2016 hat sich Workday am ersten Tag des Privacy Shield-Zertifizierungsprozesses bei dem vom US-Handelsministerium initiierten Programm angemeldet und damit unser starkes, anhaltendes Engagement für den Schutz unserer Kundendaten nachgewiesen. Der Privacy Shield ist eine Absprache, die die Übertragung von personenbezogenen Daten zwischen der EU und den USA sowie zwischen der Schweiz und den USA regelt und vier Kernprinzipien umfasst:

  • Eindeutige Schutzmaßnahmen und Transparenzverpflichtungen in Bezug auf den Zugriff durch die US-Regierung
  • Strenge Verpflichtungen in Bezug auf die Verarbeitung von Daten in Unternehmen
  • Wirksamer Schutz der Rechte des Einzelnen, einschließlich Möglichkeiten des Rechtsbehelfs für EU-Bürger
  • Jährliche Überprüfung, die von der Europäischen Kommission und dem US-Handelsministerium gemeinsam durchgeführt wird

Unternehmen können sich selbst für das Privacy Shield zertifizieren, doch die Verifizierung von Workday erfolgt extern über TRUSTe. Darüber hinaus lässt Workday unser Datenschutzprogramm nach wie vor regelmäßig von Dritten überprüfen, um unseren Kunden das Höchstmaß an Datenschutz zu bieten. Lesen Sie hier mehr über unsere Zertifizierung für den Privacy Shield.

Binding Corporate Rules (BCR)

Zusätzlich zur Eigenzertifizierung für den Privacy Shield hat Workday von den europäischen Datenschutzbehörden die Zulassung seiner BCR als Verarbeiter erhalten. Da sich der EU-Hauptsitz des Unternehmens in Dublin befindet, war für Workday die irische Datenschutzbehörde maßgebend. Neben Irland waren die Datenschutzbehörden in Großbritannien und den Niederlanden federführend. Lesen Sie hier, welche Verpflichtungen Workday im Rahmen seiner BCR gegenüber betroffenen Personen erfüllt.

APEC CBPR und PRP

Workday hat sich verpflichtet, die Regeln der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (APEC, Asia-Pacific Economic Cooperation) für den grenzüberschreitenden Datenschutz (APEC CBPR) und die Datenschutzanerkennung für Prozessoren (APEC PRP) einzuhalten. Die entsprechenden APEC-Zertifizierungen stellen freiwillige Datenschutzstandards für Datenverantwortliche und Datenverarbeiter dar, die die Datenübermittlung zwischen APEC-Ländern erleichtern sollen. Mit diesen Zertifizierungen wird die Einhaltung hoher Datenschutzstandards in der gesamten Region Asien-Pazifik nachgewiesen.

Workday wurde im März 2014 als eines der ersten Unternehmen für die APEC CBPR und im September 2018 als erstes Unternehmen für die APEC PRP zertifiziert. Zudem haben wir eine unabhängige Bescheinigung von TrustArc, dem APEC Accountability Agent für die USA, erhalten.

Durch die Einhaltung der APEC CBPR, der APEC PRP und der Datenschutzanforderungen im Europäischen Wirtschaftsraum weist Workday nach, dass das Unternehmen strenge globale Datenschutzrichtlinien befolgt.

Empfohlene Datenschutzressourcen

Drei Workday-Funktionen zur Unterstützung der DSGVO
Blog lesen
Workday nimmt an der Generalversammlung des EU Cloud Code of Conduct teil
Blog lesen
DSGVO: Privacy by Design bei Workday
Blog lesen

  

Compliance

In einem Umfeld mit zunehmend komplexen Sicherheitsbedrohungen stehen führende Technologiefirmen vor der Aufgabe, Kunden-, Mitarbeiter- und urheberrechtlich geschützte Daten ihrer Unternehmen zu sichern und zu schützen. Zudem sind die Unternehmen auch für die Einhaltung aller geltenden Gesetze verantwortlich, darunter Gesetze zum Schutz und zur Übertragung personenbezogener Daten. Dies gilt selbst für den Fall, dass ein Dienstleister die Daten eines Unternehmens in dessen Auftrag besitzt und verarbeitet.

Workday verfügt über ein formelles und umfassendes Sicherheitsprogramm, das die Sicherheit und Integrität von Kundendaten gewährleistet, vor Sicherheitsbedrohungen oder Datenschutzverletzungen schützt sowie den unerlaubten Zugriff auf die Daten unserer Kunden verhindert. Unser Sicherheitsprogramm ist in unseren Sicherheitsaudits und internationalen Zertifizierungen von unabhängigen Dienstleistern detailliert beschrieben.

   

Damit Ihre Compliance- und Rechtsabteilungen die Compliance-Anforderungen für Ihr Unternehmen besser verstehen und validieren können, haben wir die folgenden Compliance-Ressourcen zusammengestellt.

Audits und Zertifizierungen von unabhängigen Dienstleistern

Profile image
SOC 1

Service Organisation Control 1 (SOC 1)-Berichte enthalten Informationen zur Kontrollumgebung eines Dienstleisters, die für die internen Kontrollen des Kunden hinsichtlich Finanzreporting von Bedeutung sein können.

Profile image
SOC 2

Beim SOC 2 Typ II-Bericht von Workday handelt es sich um eine unabhängige, von einem Drittanbieter durchgeführte Beurteilung unserer Kontrollumgebung.

Profile image
SOC 3

Das American Institute of Certified Public Accountants (AICPA) hat das Service Organization Control (SOC 3)-Framework entwickelt, um die Vertraulichkeit und den Datenschutz von in der Cloud gespeicherten und verarbeiteten Informationen sicherzustellen.

Profile image
ISO 27001

ISO 27001 ist ein international anerkannter, normenbasierter Sicherheitsansatz, der die Anforderungen an ein unternehmenseigenes Managementsystem für Informationssicherheit (ISMS, Information Security Management System) definiert.

Profile image
ISO 27017

ISO 27017 wurde im Jahr 2015 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.

Profile image
ISO 27018

ISO 27018 wurde im Jahr 2014 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.

Profile image
PCI DSS

Workday unterstützt die PCI DSS-Compliance im Rahmen von Workday Secure Credit Card Environment. In dieser isolierten Umgebung werden unmaskierte Karteninhaberdaten durch vordefinierte Integrationen gespeichert, verarbeitet und übertragen.

Profile image
HIPAA (Health Insurance Portability and Accountability Act)

Workday hat eine unabhängige HIPAA-Bescheinigung für seine Enterprise-Cloud-Anwendungen erhalten. Diese dient als Nachweis dafür, dass Workday über ein HIPAA-Konformitätsprogramm mit geeigneten Maßnahmen zur Speicherung, zum Zugriff und zur Weitergabe spezifischer medizinischer und personenbezogener Daten verfügt.

Profile image
NIST CSF und NIST 800-171

Das NIST Cybersecurity Framework (CSF) gibt Unternehmen Leitlinien für eine bessere Prävention, Erkennung und Bewältigung von Cybersicherheitsrisiken vor. Der Standard NIST 800-171 bezieht sich auf den Schutz von kontrollierten nicht klassifizierten Informationen in nicht föderalen Informationssystemen und Organisationen.

Profile image
G-Cloud

Das G-Cloud-Framework ist eine Vereinbarung zwischen der britischen Regierung und Anbietern cloudbasierter Services.

Profile image
Privacy Shield

Der EU-U.S. Privacy Shield und der Swiss-U.S. Privacy Shield sind neue Absprachen, die die Übertragung von personenbezogenen Daten zwischen der EU und den USA sowie zwischen der Schweiz und den USA regeln. 

Profile image
TRUSTe

In die TRUSTe-Zertifizierungsstandards sind Grundsätze aus den von der APEC, der OECD und der FTC geschlossenen Datenschutzabkommen eingeflossen.

Profile image
CSA STAR-Selbstbeurteilung

Bei der Security, Trust & Assurance Registry (STAR)-Selbstbeurteilung der Cloud Security Alliance (CSA) werden aktuelle Informationen zu Sicherheitsrisiken und -kontrollen in einem branchenüblichen Fragebogen (CSA STAR CAIQ) zusammengefasst.