Hero Background Image
Sicherheit und Vertrauen

Vertrauen ist unser Fundament

Vertrauen ist in allen Bereichen ein fester Bestandteil von Workday. Damit Ihre Daten stets sicher und geschützt sind, stellen wir branchenführende Schutzmechanismen bereit und überwachen kontinuierlich unsere Systeme. So können Sie sicher davon ausgehen, dass Ihre sensiblen Daten rund um die Uhr in der Cloud geschützt sind.

 

Sicherheit

Bei Workday genießt die Sicherheit der Daten unserer Kunden höchste Priorität. Wir setzen strenge Sicherheitsmaßnahmen auf Unternehmens-, Architektur- und operativer Ebene konsequent um, damit Ihre Daten, Anwendungen und Infrastruktur stets geschützt sind.

Decorative

Unternehmensweite Sicherheit

Wir legen von Anfang an großen Wert auf Sicherheit, für die ein jeder Verantwortung trägt. Alle Mitarbeiterinnen und Mitarbeiter werden mit ihrem Eintritt in unser Unternehmen zu Sicherheit, Datenschutz und Compliance geschult, sodass der sichere Umgang mit Workday- und Kundendaten gewährleistet ist. In regelmäßigen Sicherheitstrainings und Sensibilisierungsprogrammen vermittelt unser Information Security-Team das nötige Knowhow und die Kenntnisse, um Sicherheitsrisiken zu vermeiden oder zu minimieren.

Diese Sicherheitsverpflichtung gilt auch für unsere Führungskräfte. Unser Executive Leadership Team – eine funktionsübergreifende Gruppe von Führungskräften aus dem gesamten Unternehmen – fördert die gemeinsame Ausrichtung der Führungskräfte unserer Organisation. Zudem sorgt das Team dafür, dass unternehmensweit Mitarbeiterinnen und Mitarbeiter für das Thema Sicherheit sensibilisiert und Sicherheitsinitiativen umgesetzt werden.

Sicherheitsarchitektur

Zuständigkeiten bei der Datenverarbeitung

Unsere Kunden gelten als Datenverantwortliche (Verantwortliche), während Workday als Datenverarbeiter (Auftragsverarbeiter) agiert. Somit haben Sie die vollständige Kontrolle über die Daten, die im Zusammenhang mit den Services eingegeben wurden, sowie über sämtliche Setups und Konfigurationen. Da Sie als Datenverantwortlicher agieren – und wir die Daten lediglich verarbeiten – sind Sie bei alltäglichen Aufgaben wie den folgenden nicht auf uns angewiesen:

  • Sicherheitsbefugnisse zuweisen und Rollen ändern
  • Neue Berichte und Worklets erstellen
  • Abläufe, Warnmeldungen, Regeln usw. für Geschäftsprozesse konfigurieren
  • Neue Integrationen in Workday-Dienstprogramme oder vorhandene Lösungen erstellen
  • Neue Organisationsstrukturen erstellen oder vorhandene Strukturen ändern
  • Alle Geschäftstransaktionen überwachen
  • Einblick in alle historischen Daten und Konfigurationsänderungen erhalten

Verschlüsselung von Daten

Workday verschlüsselt jedes Kundendatenattribut, bevor es im Kunden-Mandanten gespeichert wird. Dies ist ein wesentliches Designmerkmal der Workday-Technologie. Da Workday im Gegensatz zu festplattenbasierten RDBMS-Anwendungen eine objektorientierte Anwendung mit In-Memory-Technologie ist, können wir die höchste Verschlüsselungsstufe realisieren. Dabei setzen wir den AES-Algorithmus (Advanced Encryption Standard) mit einer Schlüssellänge von 256 Bit und einem eindeutigen Verschlüsselungscode für jeden Kunden ein.

Transport Layer Security (TLS) schützt den Benutzerzugriff über das Internet, sodass der Netzwerkverkehr gegen passive Lauschangriffe, aktive Manipulationen oder Nachrichtenfälschungen geschützt ist. Dateibasierte Integrationen können via PGP oder durch ein von Workday generiertes öffentlich-privates Schlüsselpaar anhand eines kundenseitigen Zertifikats verschlüsselt werden. WS-Sicherheit wird auch für Webservices-Integrationen in die Workday-API unterstützt.

Logische Sicherheit

Der Sicherheitszugriff bei Workday ist rollenbasiert. Er unterstützt die delegierte LDAP-Authentifizierung, SAML für einmaliges Anmelden (Single Sign-On, SSO) und X.509-Zertifikatauthentifizierung sowohl für Anwender- als auch für Webservices-Integrationen.

Single Sign-On

SAML ermöglicht eine nahtlose Single-Sign-On-Interaktion zwischen dem internen Webportal des Kunden und Workday. Kunden melden sich mit dem firmeneigenen Benutzernamen und Kennwort beim internen Webportal ihres Unternehmens an. Daraufhin wird ihnen ein Link zu Workday bereitgestellt, mit dem Kunden automatisch Zugriff erhalten, ohne sich erneut anmelden zu müssen. Workday unterstützt auch OpenID Connect.

Systemeigene Workday-Anmeldung

Für Kunden, die unsere systemeigene Anmeldung nutzen möchten, wird unser Workday-Kennwort nur in Form eines sicheren Hashwerts anstelle des Kennworts selbst gespeichert. Erfolglose Anmeldeversuche werden ebenso wie erfolgreiche Anmelde-/Abmeldeaktivitäten zu Audit-Zwecken protokolliert. Inaktive Anwendersitzungen werden nach einer bestimmten Zeit automatisch beendet. Die Zeit kann vom Kunden nach Anwender konfiguriert werden.

Zu den kundenseitig konfigurierbaren Kennwortregeln gehören Länge, Komplexität, Laufzeit und Sicherheitsfragen, wenn das Kennwort vergessen wurde.

Multi-Faktor-Authentifizierung

Wir empfehlen Kunden die Multi-Faktor-Authentifizierung (MFA). Workday ermöglicht es seinen Kunden, ihren eigenen MFA-Anbieter zu integrieren, der durch den TOTP-Algorithmus (Time-Based One-Time Passcode) unterstützt wird. Mit diesem Setup können die Kunden MFA-Anbieter ganz einfach in die systemeigene Workday-Anmeldung integrieren. Darüber hinaus bietet Workday den Endanwendern seiner Kunden die Möglichkeit, über einen E-Mail-zu-SMS-Gateway-Mechanismus einen einmaligen Passcode zu erhalten. Zu guter Letzt unterstützt Workday auch Sicherheitsfragen als zusätzlichen Mechanismus zur Feststellung der Anwenderidentität.

Step-up-Authentifizierung

Organisationen, die SAML nutzen, benötigen unter Umständen eine zusätzliche Verifizierungsebene für kritische Funktionen in Workday. Mit der Step-up-Authentifizierung können Kunden einen zweiten Authentifizierungsfaktor festlegen, den Anwender für den Zugriff auf diese Elemente eingeben müssen.

Konfigurierbares Sicherheitsmodell

Mit dem konfigurierbaren Sicherheitsmodell von Workday können Administratoren für Kundensicherheit kontrollieren, welche Elemente Anwender anzeigen und welche Aktionen sie im Kunden-Mandanten ausführen können. Dazu lassen sich die Anwender entsprechend in Sicherheitsgruppen einteilen. Administratoren können mithilfe von Sicherheitsrichtlinien die Elemente und Aktionen festlegen, die Mitglieder von Sicherheitsgruppen anzeigen und ausführen können.

Operative Sicherheit

Physische Sicherheit

Workday-Anwendungen werden in Rechenzentren gehostet, die dem neuesten Stand der Technik entsprechen und speziell für den Schutz unternehmenskritischer Rechnersysteme mit vollständig redundanten Teilsystemen sowie unterteilten Sicherheitszonen entwickelt wurden. Für unsere Rechenzentren gelten die strengsten physischen Sicherheitsmaßnahmen, darunter insbesondere:

  • Mehrere Authentifizierungsschichten für den Zutritt zum Serverbereich
  • Biometrische Zwei-Faktor-Authentifizierung für kritische Bereiche
  • Kameraüberwachungssysteme an wichtigen internen und externen Eingängen
  • 24/7-Überwachung durch Sicherheitspersonal

Sämtliche physischen Zutrittsmöglichkeiten zu den Rechenzentren sind stark eingeschränkt und werden streng überwacht.

Netzwerksicherheit

Workday hat detaillierte Betriebsrichtlinien, Verfahren und Prozesse eingeführt, die dabei helfen sollen, die allgemeine Qualität und Integrität der Workday-Umgebung zu managen. Außerdem haben wir proaktive Sicherheitsmechanismen wie Perimeterschutz- und Intrusion-Prevention-Systeme (IPSs) implementiert.

Netzwerk-IPSs überprüfen kritische Netzwerksegmente auf atypische Netzwerkmuster in der Kundenumgebung und überwachen den Datenverkehr zwischen den Ebenen und dem Service. Darüber hinaus betreiben wir ein weltweites Security Operations Center, das täglich rund um die Uhr im Einsatz ist.

Anwendungssicherheit

Workday hat einen Secure Software Development Life Cycle (SDLC) für Unternehmen implementiert, damit für die lückenlose Sicherheit der Workday-Anwendungen gesorgt werden kann.

Dieses Programm umfasst eine eingehende Bewertung der Sicherheitsrisiken und eine detaillierte Überprüfung der Workday-Funktionen. Zudem werden statische und dynamische Quellcodeanalysen durchgeführt, damit sich Unternehmenssicherheit leichter in den Entwicklungszyklus integrieren lässt. Zur weiteren Verbesserung des Entwicklungsprozesses werden Entwickler in puncto Anwendungssicherheit geschult und die Anwendung diversen Penetrationstests unterzogen.

Schwachstellenanalysen

Workday beauftragt externe Fachunternehmen mit der Durchführung von unabhängigen internen und externen netzwerk-, system- und anwendungsspezifischen Schwachstellenanalysen.

Anwendung

Wir beauftragen ein führendes externes Sicherheitsunternehmen damit, vor jedem größeren Release eine Schwachstellenanalyse unserer Web- und Mobilanwendungen auf Anwendungsebene durchzuführen. Dieses Unternehmen führt Testverfahren durch, um standardmäßige und erweiterte Sicherheitslücken bei Webanwendungen zu ermitteln, darunter insbesondere:

  • Schwachstellen in Verbindung mit Flash, Flex, AJAX und ActionScript
  • Cross-Site-Request-Forgery (CSRF)
  • Unzulässige Eingabebehandlung (zum Beispiel Cross-Site-Scripting, SQL-Injection, XML-Injection und Cross-Site-Flashing)
  • XML- und SOAP-Angriffe
  • Weak Session Management
  • Datenvalidierungsmängel und Widersprüche bei Datenmodellbeschränkungen
  • Unzureichende Authentifizierung oder Autorisierung
  • HTTP Response Splitting
  • SSL/TLS-Missbrauch
  • Anwendung unsicherer HTTP-Methoden
  • Missbrauch von Kryptographie

Netzwerk

In externen Schwachstellenbewertungen werden alle mit dem Internet verbundenen Assets, darunter Firewalls, Router und Webserver, auf potenzielle Schwachstellen untersucht, die einen unbefugten Zugriff auf das Netzwerk verursachen könnten. Zudem wird eine authentifizierte interne Netzwerk- und Systembewertung durchgeführt, um potenzielle Schwachstellen und Widersprüche gegenüber den allgemeinen Systemsicherheitsrichtlinien festzustellen.

Datenschutz

Workday setzt sich konsequent für den Schutz der Kundendaten ein und unterstützt Kunden außerdem bei der Einhaltung eigener Datenschutzverpflichtungen. Bei der Auswahl einer Finanz- oder HCM-Lösung sollten sich Unternehmen für eine Option entscheiden, mit der Kunden ihre Datenschutzverpflichtungen erfüllen und den Schutz ihrer Daten gewährleisten können. Workday bietet Ihnen führende Datenschutzfunktionen und -praktiken zur Einhaltung Ihrer Datenschutzverpflichtungen.

Wir achten zudem auf Transparenz bei unseren Datenschutzpraktiken. Darüber hinaus stellen wir unseren Kunden die benötigten Ressourcen und Informationen bereit, damit sie die Datenschutz- und Compliance-Anforderungen für ihre Unternehmen besser verstehen und validieren können. Ebenso erfahren die Kunden, wie Workday sie bei ihren Compliance-Maßnahmen unterstützen kann.

 

   

Decorative

Datenschutzgrundsätze

Da sich Datenschutzangelegenheiten und globale Gesetze ständig weiterentwickeln und immer komplexer werden, weiß Workday um die Bedeutung eines umfassenden Datenschutzprogramms, das in die Kultur und die Dienstleistungen unseres Unternehmens integriert ist.

Wir haben uns den folgenden drei Grundsätzen verpflichtet, die unseren wichtigsten Werten entsprechen:

  • Datenschutz steht für uns an erster Stelle.
  • Wir schaffen Innovationen auf verantwortungsbewusste Weise.
  • Unser Handeln basiert auf Fairness und Vertrauen.

Mit unserer Philosophie „Privacy by Design“ unterstreichen wir diese Grundsätze und bieten unseren Kunden die Gewissheit, die sie im Hinblick auf den Schutz und die Sicherheit ihrer Daten benötigen. Diese Datenschutzgrundsätze bilden unsere Leitlinien bei Mitarbeiterschulungen, der Produktentwicklung und letztendlich auch der Verarbeitung personenbezogener Daten.

Der Datenschutz erfordert ständige Wachsamkeit und wir fühlen uns in hohem Maße verpflichtet, die personenbezogenen Daten unserer Kunden und Mitarbeiter zu schützen. Hier erfahren Sie mehr darüber, wie wir die zentralen Datenschutzgrundsätze einbinden.

Lesen Sie unsere Datenschutzrichtlinie und erfahren Sie mehr darüber, wie wir die Daten unserer Kunden managen und schützen.

  

Globaler Schutz

Globaler Datenschutz

Mit der Einführung der Datenschutz-Grundverordnung, der anhaltenden Dynamik in Bezug auf ein bundesweites Datenschutzgesetz in den USA und den neuen Gesetzgebungen in Asien und Lateinamerika steht der Datenschutz auf der globalen Bühne weiterhin im Mittelpunkt. Bei Workday begrüßen wir diesen verstärkten Fokus, da Datenschutz seit der Gründung des Unternehmens eine zentrale Komponente unseres Serviceangebots ist. Zudem sehen wir den Datenschutz als Verantwortung, die wir gemeinsam mit unseren Kunden wahrnehmen.

Workday und unsere Kunden müssen sich darauf einstellen, eine Vielzahl komplexer globaler Datenschutzgesetze und -vorschriften einzuhalten. Ein umfassendes globales Datenschutzprogramm mit technischen, administrativen und organisatorischen Schutzmechanismen hält Workday stets über internationale Datenschutzvorschriften auf dem Laufenden. Unsere Kunden können versichert sein, dass wir uns globalen Datenschutzstandards verpflichten. Dies spiegelt sich in unserer Umsetzung der Binding Corporate Rules (BCR) und der Tatsache wider, dass wir uns als erstes Unternehmen nach den Datenschutzregeln der Asiatisch-Pazifischen Wirtschaftskooperation für Datenverarbeiter (APEC) zertifiziert haben.

Datenschutz in der EU

Das folgende Beispiel veranschaulicht, wie Workday sich auf wechselnde Vorschriften vorbereitet. Am 25. Mai 2018 veränderte die neue Datenschutz-Grundverordnung (DSGVO) die europäischen Datenschutzrichtlinien wesentlich, indem sie die zuvor stark fragmentierten Datenschutzgesetze in Europa harmonisierte. Nach Inkrafttreten der DSGVO zeigten wir uns zuversichtlich, die personenbezogenen Daten unserer Kunden in Übereinstimmung mit der DSGVO verarbeiten zu können. Beispielsweise änderte sich für Workday-Kunden nur wenig mit Blick auf die betroffenen grenzüberschreitenden Datentransfers personenbezogener Daten, die zur Verarbeitung an Workday übermittelt werden. Wir passten unsere bereits vorhandenen zuverlässigen Datenschutzbestimmungen proaktiv an, um den Anforderungen der DSGVO zu entsprechen.

Zur Einhaltung der DSGVO setzen wir robuste Datenschutz- und Sicherheitspraktiken ein:

  • Regelmäßige rollenbasierte Mitarbeitertrainings zu Sicherheits- und Datenschutzpraktiken
  • Ausgereifte Prozesse zur Durchführung von Datenschutz-Folgeabschätzungen (Privacy Impact Assessments, PIA)
  • Angebot von Datenübertragungsmethoden zur rechtmäßigen Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), einschließlich der BCR von Workday
  • Aufzeichnung von Verarbeitungsaktivitäten
  • Bereitstellung konfigurierbarer Datenschutz- und Compliance-Funktionen für unsere Kunden
  • Mapping der DSGVO-Anforderungen mit unseren SOC 2-Kontrollen

Zudem sind Privacy by Design und Privacy by Default fest in Workday integriert. Wir verfolgen laufend die Leitlinien und Empfehlungen der EU-Aufsichtsbehörden und sorgen auf diese Weise dafür, dass unser Compliance-Programm stets auf dem neuesten Stand ist.

Workday weiß, dass die Einhaltung der DSGVO-Bestimmungen nicht nur für unser eigenes Unternehmen als Auftragsverarbeiter wichtig ist, sondern auch für unsere Kunden, damit sie Workday zur Erfüllung ihrer internen Compliance-Anforderungen nutzen können. Aus diesem Grund hat Workday Lösungen entwickelt, die sich hinsichtlich der Erfüllung Ihrer DSGVO-Verpflichtungen konfigurieren lassen.

Grenzüberschreitende Datentransfers

Ungeachtet der zahlreichen Herausforderungen bei grenzüberschreitenden Datenflüssen in den letzten Jahren sind wir bei Workday weiterhin zuversichtlich, dass wir unsere Kunden unterstützen können. Wir haben schon früh ein Programm entwickelt, dass unseren Kunden unterschiedliche Datenübertragungsmethoden bietet. So beinhaltet unsere Vereinbarung die Standardvertragsklauseln (SVK) der Europäischen Kommission, die die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in die Vereinigten Staaten ermöglichen. Darüber hinaus bieten wir unseren Kunden in unserer Funktion als Datenverarbeiter als zusätzlichen Datenübermittlungsmechanismus das Instrument der Binding Corporate Rules (BCR) an. Die BCR von Workday sind hier abrufbar.

Wir arbeiten mit unseren globalen Kunden bei der Durchführung von Transfer Impact Assessments zusammen, bevor sie personenbezogene Daten aus Europa an Drittländer übermitteln. Wir teilen proaktiv Informationen, z. B. FAQs und Whitepaper, um sie bei der Bearbeitung dieser Assessments zu unterstützen. Darüber hinaus hat sich Workday seinen Kunden gegenüber zur Transparenz verpflichtet, wenn im Rahmen rechtsgültiger Prozesse Strafverfolgungs- oder andere Regierungsbehörden den Zugang zu elektronischen Informationen verlangen, die unsere Kunden in die SaaS-Anwendungen von Workday übermittelt haben.

Nachweis der Compliance

Wir haben die Zertifizierung der höchsten branchenüblichen Standards und Rahmenbedingungen zur Priorität gemacht, damit unsere Kunden unsere Datenschutzpraktiken problemlos verifizieren können. Wir sind häufig die Ersten, die sich dazu verpflichten.

Workday hat sich gleich am ersten Tag für das Privacy Shield angemeldet, an dem das US- Handelsministerium den Privacy Shield-Zertifizierungsprozess gestartet hat. Dieser Schritt unterstreicht unsere konsequente und fortlaufende Verpflichtung zum Schutz unserer Kundendaten. Obwohl das Privacy Shield kein gültiges Rahmenabkommen für die Datenübermittlung mehr darstellt, weist Workday auch weiterhin seine Einhaltung der Privacy Shield-Prinzipien durch eine entsprechende Zertifizierung beim US-Handelsministerium nach. Unternehmen können sich selbst für das Privacy Shield zertifizieren, doch die Verifizierung von Workday erfolgt extern über TRUSTe. Damit möchten wir bekräftigen, dass wir unsere Verpflichtungen ernst nehmen. Lesen Sie mehr über unseren Verifizierungsstatus für Privacy Shield gemäß TRUSTe.

Workday erklärte als erster Cloud-Service-Anbieter seine Bereitschaft zur Einhaltung des EU Cloud Code of Conduct (CCoC). Dieser Verhaltenskodex umfasst mehrere Rechtsinstrumente, durch die Cloud-Service-Anbieter ihre Einhaltung der DSGVO nachweisen können. Durch die unabhängige Aufsichtsstelle werden jährliche Prüfungen durchgeführt. Hier finden Sie den Compliance-Nachweis von Workday für den CCoC.

Workday hat sich per Zertifizierung zur Einhaltung der Regeln der Asiatisch-Pazifischen Wirtschaftskooperation für den grenzüberschreitenden Datenschutz (APEC CBPR) und der Datenschutzregeln für Datenverarbeiter (APEC PRP) verpflichtet. Die entsprechenden APEC-Zertifizierungen stellen freiwillige Datenschutzstandards für Datenverantwortliche und Datenverarbeiter dar, die die Datenübermittlung zwischen APEC-Ländern erleichtern sollen. Mit diesen Zertifizierungen wird die Einhaltung hoher Datenschutzstandards in der gesamten Region Asien-Pazifik nachgewiesen.

Workday wurde im März 2014 als eines der ersten Unternehmen für die APEC CBPR und im September 2018 als erstes Unternehmen für die APEC PRP zertifiziert. Zudem haben wir eine Zertifizierung des unabhängigen Anbieters TRUSTe, APEC Accountability Agent für die USA, erhalten.

Compliance

In einem Umfeld mit zunehmend komplexen Sicherheitsbedrohungen stehen führende Technologiefirmen vor der Aufgabe, Kunden-, Mitarbeiter- und urheberrechtlich geschützte Daten ihrer Unternehmen zu sichern und zu schützen. Zudem sind die Unternehmen auch für die Einhaltung aller geltenden Gesetze verantwortlich, darunter Gesetze zum Schutz und zur Übertragung personenbezogener Daten. Dies gilt selbst für den Fall, dass ein Dienstleister die Daten eines Unternehmens in dessen Auftrag besitzt und verarbeitet.

Workday verfügt über ein formelles und umfassendes Sicherheitsprogramm, das die Sicherheit und Integrität von Kundendaten gewährleistet, vor Sicherheitsbedrohungen oder Datenschutzverletzungen schützt sowie den unerlaubten Zugriff auf die Daten unserer Kunden verhindert. Unser Sicherheitsprogramm ist in unseren Sicherheitsaudits und internationalen Zertifizierungen von unabhängigen Dienstleistern detailliert beschrieben.

   

   

Decorative

Damit Ihre Compliance- und Rechtsabteilungen die Compliance-Anforderungen für Ihr Unternehmen besser verstehen und validieren können, haben wir die folgenden Compliance-Ressourcen zusammengestellt.

Audits und Zertifizierungen von unabhängigen Dienstleistern

Profile image
SOC 1

Service Organisation Control 1 (SOC 1)-Berichte enthalten Informationen zur Kontrollumgebung eines Dienstleisters, die für die internen Kontrollen des Kunden hinsichtlich Finanzreporting von Bedeutung sein können.

Profile image
SOC 2

Beim SOC 2 Typ II-Bericht von Workday handelt es sich um eine unabhängige, von einem Drittanbieter durchgeführte Beurteilung unserer Kontrollumgebung.

Profile image
SOC 3

Das American Institute of Certified Public Accountants (AICPA) hat das Service Organization Control (SOC 3)-Framework entwickelt, um die Vertraulichkeit und den Datenschutz von in der Cloud gespeicherten und verarbeiteten Informationen sicherzustellen.

Profile image
ISO 27001

ISO 27001 ist ein international anerkannter, normenbasierter Sicherheitsansatz, der die Anforderungen an ein unternehmenseigenes Managementsystem für Informationssicherheit (ISMS, Information Security Management System) definiert.

Profile image
ISO 27017

ISO 27017 wurde im Jahr 2015 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.

Profile image
ISO 27018

ISO 27018 wurde im Jahr 2014 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.

Profile image
ISO 27701

ISO 27701 wurde im Jahr 2019 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.

Profile image
PCI DSS

Workday unterstützt die PCI DSS-Compliance im Rahmen von Workday Secure Credit Card Environment. In dieser isolierten Umgebung werden unmaskierte Karteninhaberdaten durch vordefinierte Integrationen gespeichert, verarbeitet und übertragen.

Profile image
HIPAA (Health Insurance Portability and Accountability Act)

Workday hat eine unabhängige HIPAA-Bescheinigung für seine Enterprise-Cloud-Anwendungen erhalten. Diese dient als Nachweis dafür, dass Workday über ein HIPAA-Konformitätsprogramm mit geeigneten Maßnahmen zur Speicherung, zum Zugriff und zur Weitergabe spezifischer medizinischer und personenbezogener Daten verfügt.

Profile image
NIST CSF und NIST 800-171

Das NIST Cybersecurity Framework (CSF) gibt Unternehmen Leitlinien für eine bessere Prävention, Erkennung und Bewältigung von Cybersicherheitsrisiken vor. Der Standard NIST 800-171 bezieht sich auf den Schutz von kontrollierten nicht klassifizierten Informationen in nicht föderalen Informationssystemen und Organisationen.

Profile image
G-Cloud

Das G-Cloud-Framework ist eine Vereinbarung zwischen der britischen Regierung und Anbietern cloudbasierter Services.

Profile image
CSA STAR-Selbstbeurteilung

Bei der Security, Trust & Assurance Registry (STAR)-Selbstbeurteilung der Cloud Security Alliance (CSA) werden aktuelle Informationen zu Sicherheitsrisiken und -kontrollen in einem branchenüblichen Fragebogen (CSA STAR CAIQ) zusammengefasst.

Profile image
Privacy Shield

Workday nimmt aktiv am Privacy Shield-Verifizierungsprogramm teil. Die Verifizierung von Workday für den Privacy Shield erfolgt über den unabhängigen Verifizierungsagenten TRUSTe. 

Profile image
EU Cloud Code of Conduct

Der EU Cloud Code of Conduct (CCoC) umfasst mehrere Rechtsinstrumente, durch die Cloud-Service-Anbieter ihre Einhaltung der DSGVO nachweisen können. 

Profile image
Enterprise Privacy & Data Governance-Zertifizierung von TRUSTe

Workday nimmt am Enterprise Privacy & Data Governance Practices-Programm von TRUSTe teil.

Profile image
SIG-Fragebogen

Der SIG-Fragebogen (Standardized Information Gathering) ist ein zentrales Sammelwerk, das Informationstechnologie- und Datensicherheitsfragen zu einem breiten Spektrum an Kontrollbereichen branchenweit standardisiert und bündelt. 

Profile image
Cyber Essentials

Cyber Essentials ist ein von der britischen Regierung gefördertes Programm zum Schutz von Unternehmen vor Sicherheitsbedrohungen, das grundlegende technische Kontrollmechanismen vorschreibt.