Vertrauen ist in allen Bereichen ein fester Bestandteil von Workday. Damit Ihre Daten stets sicher und geschützt sind, stellen wir branchenführende Schutzmechanismen bereit und überwachen kontinuierlich unsere Systeme. So können Sie sicher davon ausgehen, dass Ihre sensiblen Daten rund um die Uhr in der Cloud geschützt sind.
Bei Workday genießt die Sicherheit der Daten unserer Kunden höchste Priorität. Wir setzen strenge Sicherheitsmaßnahmen auf Unternehmens-, Architektur- und operativer Ebene konsequent um, damit Ihre Daten, Anwendungen und Infrastruktur stets geschützt sind.
Wir legen von Anfang an großen Wert auf Sicherheit, für die ein jeder Verantwortung trägt. Alle Mitarbeiterinnen und Mitarbeiter werden mit ihrem Eintritt in unser Unternehmen zu Sicherheit, Datenschutz und Compliance geschult, sodass der sichere Umgang mit Workday- und Kundendaten gewährleistet ist. In regelmäßigen Sicherheitstrainings und Sensibilisierungsprogrammen vermittelt unser Information Security-Team das nötige Knowhow und die Kenntnisse, um Sicherheitsrisiken zu vermeiden oder zu minimieren.
Diese Sicherheitsverpflichtung gilt auch für unsere Führungskräfte. Unser Executive Leadership Team – eine funktionsübergreifende Gruppe von Führungskräften aus dem gesamten Unternehmen – fördert die gemeinsame Ausrichtung der Führungskräfte unserer Organisation. Zudem sorgt das Team dafür, dass unternehmensweit Mitarbeiterinnen und Mitarbeiter für das Thema Sicherheit sensibilisiert und Sicherheitsinitiativen umgesetzt werden.
Unsere Kunden gelten als Datenverantwortliche (Verantwortliche), während Workday als Datenverarbeiter (Auftragsverarbeiter) agiert. Somit haben Sie die vollständige Kontrolle über die Daten, die im Zusammenhang mit den Services eingegeben wurden, sowie über sämtliche Setups und Konfigurationen. Da Sie als Datenverantwortlicher agieren – und wir die Daten lediglich verarbeiten – sind Sie bei alltäglichen Aufgaben wie den folgenden nicht auf uns angewiesen:
Workday verschlüsselt jedes Kundendatenattribut, bevor es im Kunden-Mandanten gespeichert wird. Dies ist ein wesentliches Designmerkmal der Workday-Technologie. Da Workday im Gegensatz zu festplattenbasierten RDBMS-Anwendungen eine objektorientierte Anwendung mit In-Memory-Technologie ist, können wir die höchste Verschlüsselungsstufe realisieren. Dabei setzen wir den AES-Algorithmus (Advanced Encryption Standard) mit einer Schlüssellänge von 256 Bit und einem eindeutigen Verschlüsselungscode für jeden Kunden ein.
Transport Layer Security (TLS) schützt den Benutzerzugriff über das Internet, sodass der Netzwerkverkehr gegen passive Lauschangriffe, aktive Manipulationen oder Nachrichtenfälschungen geschützt ist. Dateibasierte Integrationen können via PGP oder durch ein von Workday generiertes öffentlich-privates Schlüsselpaar anhand eines kundenseitigen Zertifikats verschlüsselt werden. WS-Sicherheit wird auch für Webservices-Integrationen in die Workday-API unterstützt.
Der Sicherheitszugriff bei Workday ist rollenbasiert. Er unterstützt die delegierte LDAP-Authentifizierung, SAML für einmaliges Anmelden (Single Sign-On, SSO) und X.509-Zertifikatauthentifizierung sowohl für Anwender- als auch für Webservices-Integrationen.
Single Sign-On
SAML ermöglicht eine nahtlose Single-Sign-On-Interaktion zwischen dem internen Webportal des Kunden und Workday. Kunden melden sich mit dem firmeneigenen Benutzernamen und Kennwort beim internen Webportal ihres Unternehmens an. Daraufhin wird ihnen ein Link zu Workday bereitgestellt, mit dem Kunden automatisch Zugriff erhalten, ohne sich erneut anmelden zu müssen. Workday unterstützt auch OpenID Connect.
Systemeigene Workday-Anmeldung
Für Kunden, die unsere systemeigene Anmeldung nutzen möchten, wird unser Workday-Kennwort nur in Form eines sicheren Hashwerts anstelle des Kennworts selbst gespeichert. Erfolglose Anmeldeversuche werden ebenso wie erfolgreiche Anmelde-/Abmeldeaktivitäten zu Audit-Zwecken protokolliert. Inaktive Anwendersitzungen werden nach einer bestimmten Zeit automatisch beendet. Die Zeit kann vom Kunden nach Anwender konfiguriert werden.
Zu den kundenseitig konfigurierbaren Kennwortregeln gehören Länge, Komplexität, Laufzeit und Sicherheitsfragen, wenn das Kennwort vergessen wurde.
Multi-Faktor-Authentifizierung
Wir empfehlen Kunden die Multi-Faktor-Authentifizierung (MFA). Workday ermöglicht es seinen Kunden, ihren eigenen MFA-Anbieter zu integrieren, der durch den TOTP-Algorithmus (Time-Based One-Time Passcode) unterstützt wird. Mit diesem Setup können die Kunden MFA-Anbieter ganz einfach in die systemeigene Workday-Anmeldung integrieren. Darüber hinaus bietet Workday den Endanwendern seiner Kunden die Möglichkeit, über einen E-Mail-zu-SMS-Gateway-Mechanismus einen einmaligen Passcode zu erhalten. Zu guter Letzt unterstützt Workday auch Sicherheitsfragen als zusätzlichen Mechanismus zur Feststellung der Anwenderidentität.
Step-up-Authentifizierung
Organisationen, die SAML nutzen, benötigen unter Umständen eine zusätzliche Verifizierungsebene für kritische Funktionen in Workday. Mit der Step-up-Authentifizierung können Kunden einen zweiten Authentifizierungsfaktor festlegen, den Anwender für den Zugriff auf diese Elemente eingeben müssen.
Konfigurierbares Sicherheitsmodell
Mit dem konfigurierbaren Sicherheitsmodell von Workday können Administratoren für Kundensicherheit kontrollieren, welche Elemente Anwender anzeigen und welche Aktionen sie im Kunden-Mandanten ausführen können. Dazu lassen sich die Anwender entsprechend in Sicherheitsgruppen einteilen. Administratoren können mithilfe von Sicherheitsrichtlinien die Elemente und Aktionen festlegen, die Mitglieder von Sicherheitsgruppen anzeigen und ausführen können.
Workday-Anwendungen werden in Rechenzentren gehostet, die dem neuesten Stand der Technik entsprechen und speziell für den Schutz unternehmenskritischer Rechnersysteme mit vollständig redundanten Teilsystemen sowie unterteilten Sicherheitszonen entwickelt wurden. Für unsere Rechenzentren gelten die strengsten physischen Sicherheitsmaßnahmen, darunter insbesondere:
Sämtliche physischen Zutrittsmöglichkeiten zu den Rechenzentren sind stark eingeschränkt und werden streng überwacht.
Workday hat detaillierte Betriebsrichtlinien, Verfahren und Prozesse eingeführt, die dabei helfen sollen, die allgemeine Qualität und Integrität der Workday-Umgebung zu managen. Außerdem haben wir proaktive Sicherheitsmechanismen wie Perimeterschutz- und Intrusion-Prevention-Systeme (IPSs) implementiert.
Netzwerk-IPSs überprüfen kritische Netzwerksegmente auf atypische Netzwerkmuster in der Kundenumgebung und überwachen den Datenverkehr zwischen den Ebenen und dem Service. Darüber hinaus betreiben wir ein weltweites Security Operations Center, das täglich rund um die Uhr im Einsatz ist.
Workday hat einen Secure Software Development Life Cycle (SDLC) für Unternehmen implementiert, damit für die lückenlose Sicherheit der Workday-Anwendungen gesorgt werden kann.
Dieses Programm umfasst eine eingehende Bewertung der Sicherheitsrisiken und eine detaillierte Überprüfung der Workday-Funktionen. Zudem werden statische und dynamische Quellcodeanalysen durchgeführt, damit sich Unternehmenssicherheit leichter in den Entwicklungszyklus integrieren lässt. Zur weiteren Verbesserung des Entwicklungsprozesses werden Entwickler in puncto Anwendungssicherheit geschult und die Anwendung diversen Penetrationstests unterzogen.
Workday beauftragt externe Fachunternehmen mit der Durchführung von unabhängigen internen und externen netzwerk-, system- und anwendungsspezifischen Schwachstellenanalysen.
Anwendung
Wir beauftragen ein führendes externes Sicherheitsunternehmen damit, vor jedem größeren Release eine Schwachstellenanalyse unserer Web- und Mobilanwendungen auf Anwendungsebene durchzuführen. Dieses Unternehmen führt Testverfahren durch, um standardmäßige und erweiterte Sicherheitslücken bei Webanwendungen zu ermitteln, darunter insbesondere:
Netzwerk
In externen Schwachstellenbewertungen werden alle mit dem Internet verbundenen Assets, darunter Firewalls, Router und Webserver, auf potenzielle Schwachstellen untersucht, die einen unbefugten Zugriff auf das Netzwerk verursachen könnten. Zudem wird eine authentifizierte interne Netzwerk- und Systembewertung durchgeführt, um potenzielle Schwachstellen und Widersprüche gegenüber den allgemeinen Systemsicherheitsrichtlinien festzustellen.
Workday setzt sich konsequent für den Schutz der Kundendaten ein und unterstützt Kunden außerdem bei der Einhaltung eigener Datenschutzverpflichtungen. Bei der Auswahl einer Finanz- oder HCM-Lösung sollten sich Unternehmen für eine Option entscheiden, mit der Kunden ihre Datenschutzverpflichtungen erfüllen und den Schutz ihrer Daten gewährleisten können. Workday bietet Ihnen führende Datenschutzfunktionen und -praktiken zur Einhaltung Ihrer Datenschutzverpflichtungen.
Wir achten zudem auf Transparenz bei unseren Datenschutzpraktiken. Darüber hinaus stellen wir unseren Kunden die benötigten Ressourcen und Informationen bereit, damit sie die Datenschutz- und Compliance-Anforderungen für ihre Unternehmen besser verstehen und validieren können. Ebenso erfahren die Kunden, wie Workday sie bei ihren Compliance-Maßnahmen unterstützen kann.
Da sich Datenschutzangelegenheiten und globale Gesetze ständig weiterentwickeln und immer komplexer werden, weiß Workday um die Bedeutung eines umfassenden Datenschutzprogramms, das in die Kultur und die Dienstleistungen unseres Unternehmens integriert ist.
Wir haben uns den folgenden drei Grundsätzen verpflichtet, die unseren wichtigsten Werten entsprechen:
Mit unserer Philosophie „Privacy by Design“ unterstreichen wir diese Grundsätze und bieten unseren Kunden die Gewissheit, die sie im Hinblick auf den Schutz und die Sicherheit ihrer Daten benötigen. Diese Datenschutzgrundsätze bilden unsere Leitlinien bei Mitarbeiterschulungen, der Produktentwicklung und letztendlich auch der Verarbeitung personenbezogener Daten.
Der Datenschutz erfordert ständige Wachsamkeit und wir fühlen uns in hohem Maße verpflichtet, die personenbezogenen Daten unserer Kunden und Mitarbeiter zu schützen. Hier erfahren Sie mehr darüber, wie wir die zentralen Datenschutzgrundsätze einbinden.
Lesen Sie unsere Datenschutzrichtlinie und erfahren Sie mehr darüber, wie wir die Daten unserer Kunden managen und schützen.
Mit der Einführung der Datenschutz-Grundverordnung, der anhaltenden Dynamik in Bezug auf ein bundesweites Datenschutzgesetz in den USA und den neuen Gesetzgebungen in Asien und Lateinamerika steht der Datenschutz auf der globalen Bühne weiterhin im Mittelpunkt. Bei Workday begrüßen wir diesen verstärkten Fokus, da Datenschutz seit der Gründung des Unternehmens eine zentrale Komponente unseres Serviceangebots ist. Zudem sehen wir den Datenschutz als Verantwortung, die wir gemeinsam mit unseren Kunden wahrnehmen.
Workday und unsere Kunden müssen sich darauf einstellen, eine Vielzahl komplexer globaler Datenschutzgesetze und -vorschriften einzuhalten. Ein umfassendes globales Datenschutzprogramm mit technischen, administrativen und organisatorischen Schutzmechanismen hält Workday stets über internationale Datenschutzvorschriften auf dem Laufenden. Unsere Kunden können versichert sein, dass wir uns globalen Datenschutzstandards verpflichten. Dies spiegelt sich in unserer Umsetzung der Binding Corporate Rules (BCR) und der Tatsache wider, dass wir uns als erstes Unternehmen nach den Datenschutzregeln der Asiatisch-Pazifischen Wirtschaftskooperation für Datenverarbeiter (APEC) zertifiziert haben.
Das folgende Beispiel veranschaulicht, wie Workday sich auf wechselnde Vorschriften vorbereitet. Am 25. Mai 2018 veränderte die neue Datenschutz-Grundverordnung (DSGVO) die europäischen Datenschutzrichtlinien wesentlich, indem sie die zuvor stark fragmentierten Datenschutzgesetze in Europa harmonisierte. Nach Inkrafttreten der DSGVO zeigten wir uns zuversichtlich, die personenbezogenen Daten unserer Kunden in Übereinstimmung mit der DSGVO verarbeiten zu können. Beispielsweise änderte sich für Workday-Kunden nur wenig mit Blick auf die betroffenen grenzüberschreitenden Datentransfers personenbezogener Daten, die zur Verarbeitung an Workday übermittelt werden. Wir passten unsere bereits vorhandenen zuverlässigen Datenschutzbestimmungen proaktiv an, um den Anforderungen der DSGVO zu entsprechen.
Zur Einhaltung der DSGVO setzen wir robuste Datenschutz- und Sicherheitspraktiken ein:
Zudem sind Privacy by Design und Privacy by Default fest in Workday integriert. Wir verfolgen laufend die Leitlinien und Empfehlungen der EU-Aufsichtsbehörden und sorgen auf diese Weise dafür, dass unser Compliance-Programm stets auf dem neuesten Stand ist.
Workday weiß, dass die Einhaltung der DSGVO-Bestimmungen nicht nur für unser eigenes Unternehmen als Auftragsverarbeiter wichtig ist, sondern auch für unsere Kunden, damit sie Workday zur Erfüllung ihrer internen Compliance-Anforderungen nutzen können. Aus diesem Grund hat Workday Lösungen entwickelt, die sich hinsichtlich der Erfüllung Ihrer DSGVO-Verpflichtungen konfigurieren lassen.
Ungeachtet der zahlreichen Herausforderungen bei grenzüberschreitenden Datenflüssen in den letzten Jahren sind wir bei Workday weiterhin zuversichtlich, dass wir unsere Kunden unterstützen können. Wir haben schon früh ein Programm entwickelt, dass unseren Kunden unterschiedliche Datenübertragungsmethoden bietet. So beinhaltet unsere Vereinbarung die Standardvertragsklauseln (SVK) der Europäischen Kommission, die die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in die Vereinigten Staaten ermöglichen. Darüber hinaus bieten wir unseren Kunden in unserer Funktion als Datenverarbeiter als zusätzlichen Datenübermittlungsmechanismus das Instrument der Binding Corporate Rules (BCR) an. Die BCR von Workday sind hier abrufbar.
Wir arbeiten mit unseren globalen Kunden bei der Durchführung von Transfer Impact Assessments zusammen, bevor sie personenbezogene Daten aus Europa an Drittländer übermitteln. Wir teilen proaktiv Informationen, z. B. FAQs und Whitepaper, um sie bei der Bearbeitung dieser Assessments zu unterstützen. Darüber hinaus hat sich Workday seinen Kunden gegenüber zur Transparenz verpflichtet, wenn im Rahmen rechtsgültiger Prozesse Strafverfolgungs- oder andere Regierungsbehörden den Zugang zu elektronischen Informationen verlangen, die unsere Kunden in die SaaS-Anwendungen von Workday übermittelt haben.
Wir haben die Zertifizierung der höchsten branchenüblichen Standards und Rahmenbedingungen zur Priorität gemacht, damit unsere Kunden unsere Datenschutzpraktiken problemlos verifizieren können. Wir sind häufig die Ersten, die sich dazu verpflichten.
Workday hat sich gleich am ersten Tag für das Privacy Shield angemeldet, an dem das US- Handelsministerium den Privacy Shield-Zertifizierungsprozess gestartet hat. Dieser Schritt unterstreicht unsere konsequente und fortlaufende Verpflichtung zum Schutz unserer Kundendaten. Obwohl das Privacy Shield kein gültiges Rahmenabkommen für die Datenübermittlung mehr darstellt, weist Workday auch weiterhin seine Einhaltung der Privacy Shield-Prinzipien durch eine entsprechende Zertifizierung beim US-Handelsministerium nach. Unternehmen können sich selbst für das Privacy Shield zertifizieren, doch die Verifizierung von Workday erfolgt extern über TRUSTe. Damit möchten wir bekräftigen, dass wir unsere Verpflichtungen ernst nehmen. Lesen Sie mehr über unseren Verifizierungsstatus für Privacy Shield gemäß TRUSTe.
Workday erklärte als erster Cloud-Service-Anbieter seine Bereitschaft zur Einhaltung des EU Cloud Code of Conduct (CCoC). Dieser Verhaltenskodex umfasst mehrere Rechtsinstrumente, durch die Cloud-Service-Anbieter ihre Einhaltung der DSGVO nachweisen können. Durch die unabhängige Aufsichtsstelle werden jährliche Prüfungen durchgeführt. Hier finden Sie den Compliance-Nachweis von Workday für den CCoC.
Workday hat sich per Zertifizierung zur Einhaltung der Regeln der Asiatisch-Pazifischen Wirtschaftskooperation für den grenzüberschreitenden Datenschutz (APEC CBPR) und der Datenschutzregeln für Datenverarbeiter (APEC PRP) verpflichtet. Die entsprechenden APEC-Zertifizierungen stellen freiwillige Datenschutzstandards für Datenverantwortliche und Datenverarbeiter dar, die die Datenübermittlung zwischen APEC-Ländern erleichtern sollen. Mit diesen Zertifizierungen wird die Einhaltung hoher Datenschutzstandards in der gesamten Region Asien-Pazifik nachgewiesen.
Workday wurde im März 2014 als eines der ersten Unternehmen für die APEC CBPR und im September 2018 als erstes Unternehmen für die APEC PRP zertifiziert. Zudem haben wir eine Zertifizierung des unabhängigen Anbieters TRUSTe, APEC Accountability Agent für die USA, erhalten.
In einem Umfeld mit zunehmend komplexen Sicherheitsbedrohungen stehen führende Technologiefirmen vor der Aufgabe, Kunden-, Mitarbeiter- und urheberrechtlich geschützte Daten ihrer Unternehmen zu sichern und zu schützen. Zudem sind die Unternehmen auch für die Einhaltung aller geltenden Gesetze verantwortlich, darunter Gesetze zum Schutz und zur Übertragung personenbezogener Daten. Dies gilt selbst für den Fall, dass ein Dienstleister die Daten eines Unternehmens in dessen Auftrag besitzt und verarbeitet.
Workday verfügt über ein formelles und umfassendes Sicherheitsprogramm, das die Sicherheit und Integrität von Kundendaten gewährleistet, vor Sicherheitsbedrohungen oder Datenschutzverletzungen schützt sowie den unerlaubten Zugriff auf die Daten unserer Kunden verhindert. Unser Sicherheitsprogramm ist in unseren Sicherheitsaudits und internationalen Zertifizierungen von unabhängigen Dienstleistern detailliert beschrieben.
Damit Ihre Compliance- und Rechtsabteilungen die Compliance-Anforderungen für Ihr Unternehmen besser verstehen und validieren können, haben wir die folgenden Compliance-Ressourcen zusammengestellt.
Service Organisation Control 1 (SOC 1)-Berichte enthalten Informationen zur Kontrollumgebung eines Dienstleisters, die für die internen Kontrollen des Kunden hinsichtlich Finanzreporting von Bedeutung sein können.
Beim SOC 2 Typ II-Bericht von Workday handelt es sich um eine unabhängige, von einem Drittanbieter durchgeführte Beurteilung unserer Kontrollumgebung.
Das American Institute of Certified Public Accountants (AICPA) hat das Service Organization Control (SOC 3)-Framework entwickelt, um die Vertraulichkeit und den Datenschutz von in der Cloud gespeicherten und verarbeiteten Informationen sicherzustellen.
ISO 27001 ist ein international anerkannter, normenbasierter Sicherheitsansatz, der die Anforderungen an ein unternehmenseigenes Managementsystem für Informationssicherheit (ISMS, Information Security Management System) definiert.
ISO 27017 wurde im Jahr 2015 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.
ISO 27018 wurde im Jahr 2014 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.
ISO 27701 wurde im Jahr 2019 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.
Workday unterstützt die PCI DSS-Compliance im Rahmen von Workday Secure Credit Card Environment. In dieser isolierten Umgebung werden unmaskierte Karteninhaberdaten durch vordefinierte Integrationen gespeichert, verarbeitet und übertragen.
Workday hat eine unabhängige HIPAA-Bescheinigung für seine Enterprise-Cloud-Anwendungen erhalten. Diese dient als Nachweis dafür, dass Workday über ein HIPAA-Konformitätsprogramm mit geeigneten Maßnahmen zur Speicherung, zum Zugriff und zur Weitergabe spezifischer medizinischer und personenbezogener Daten verfügt.
Das NIST Cybersecurity Framework (CSF) gibt Unternehmen Leitlinien für eine bessere Prävention, Erkennung und Bewältigung von Cybersicherheitsrisiken vor. Der Standard NIST 800-171 bezieht sich auf den Schutz von kontrollierten nicht klassifizierten Informationen in nicht föderalen Informationssystemen und Organisationen.
Das G-Cloud-Framework ist eine Vereinbarung zwischen der britischen Regierung und Anbietern cloudbasierter Services.
Bei der Security, Trust & Assurance Registry (STAR)-Selbstbeurteilung der Cloud Security Alliance (CSA) werden aktuelle Informationen zu Sicherheitsrisiken und -kontrollen in einem branchenüblichen Fragebogen (CSA STAR CAIQ) zusammengefasst.
Workday nimmt aktiv am Privacy Shield-Verifizierungsprogramm teil. Die Verifizierung von Workday für den Privacy Shield erfolgt über den unabhängigen Verifizierungsagenten TRUSTe.
Der EU Cloud Code of Conduct (CCoC) umfasst mehrere Rechtsinstrumente, durch die Cloud-Service-Anbieter ihre Einhaltung der DSGVO nachweisen können.
Workday nimmt am Enterprise Privacy & Data Governance Practices-Programm von TRUSTe teil.
Der SIG-Fragebogen (Standardized Information Gathering) ist ein zentrales Sammelwerk, das Informationstechnologie- und Datensicherheitsfragen zu einem breiten Spektrum an Kontrollbereichen branchenweit standardisiert und bündelt.
Cyber Essentials ist ein von der britischen Regierung gefördertes Programm zum Schutz von Unternehmen vor Sicherheitsbedrohungen, das grundlegende technische Kontrollmechanismen vorschreibt.