Vertrauen ist in allen Bereichen ein fester Bestandteil von Workday. Damit Ihre Daten stets sicher und geschützt sind, stellen wir branchenführende Schutzmechanismen bereit und überwachen kontinuierlich unsere Systeme. So können Sie sicher davon ausgehen, dass Ihre sensiblen Daten rund um die Uhr in der Cloud geschützt sind.
Bei Workday genießt die Sicherheit der Daten unserer Kunden höchste Priorität. Wir setzen strenge Sicherheitsmaßnahmen auf Unternehmens-, Architektur- und operativer Ebene konsequent um, damit Ihre Daten, Anwendungen und Infrastruktur stets geschützt sind.
Wir legen von Anfang an großen Wert auf Sicherheit. Gleich am ersten Tag werden alle neuen Mitarbeiter in Bezug auf Sicherheit, Datenschutz und Compliance geschult. Auch wenn nicht alle Mitarbeiter bei Workday in gleichem Maße mit Daten zu tun haben, trägt jeder von ihnen Verantwortung für die Sicherheit der Daten.
Diese Sicherheitsverpflichtung gilt auch für unsere Führungskräfte. Der Workday Security Council – eine funktionsübergreifende Gruppe von Führungskräften aus dem gesamten Unternehmen – gestaltet unsere Sicherheitsprogramme und fördert die gemeinsame Ausrichtung der Führungskräfte unserer Organisation. Zudem sorgt der Security Council dafür, dass unternehmensweit Mitarbeiter für das Thema Sicherheit sensibilisiert und Sicherheitsinitiativen umgesetzt werden.
Unsere Kunden gelten als Datenverantwortliche (Verantwortliche), während Workday als Datenverarbeiter (Auftragsverarbeiter) agiert. Somit haben Sie die vollständige Kontrolle über die Daten, die im Zusammenhang mit den Services eingegeben wurden, sowie über sämtliche Setups und Konfigurationen. Da Sie als Datenverantwortlicher agieren – und wir die Daten lediglich verarbeiten – sind Sie bei alltäglichen Aufgaben wie den folgenden nicht auf uns angewiesen:
Workday verschlüsselt jedes Kundendatenattribut, bevor es in einer Datenbank persistiert wird. Dies ist ein wesentliches Designmerkmal der Workday-Technologie. Da Workday im Gegensatz zu festplattenbasierten RDBMS-Anwendungen eine objektorientierte Anwendung mit In-Memory-Technologie ist, können wir die höchste Verschlüsselungsstufe realisieren. Dabei setzen wir den AES-Algorithmus (Advanced Encryption Standard) mit einer Schlüssellänge von 256 Bit und einem eindeutigen Verschlüsselungscode für jeden Kunden ein.
Transport Layer Security (TLS) schützt den Benutzerzugriff über das Internet, sodass der Netzwerkverkehr gegen passive Lauschangriffe, aktive Manipulationen oder Nachrichtenfälschungen geschützt ist. Dateibasierte Integrationen können via PGP oder durch ein von Workday generiertes öffentlich-privates Schlüsselpaar anhand eines kundenseitigen Zertifikats verschlüsselt werden. WS-Sicherheit wird auch für Webservices-Integrationen in die Workday-API unterstützt.
Der Sicherheitszugriff bei Workday ist rollenbasiert. Er unterstützt die delegierte LDAP-Authentifizierung, SAML für einmaliges Anmelden (Single Sign-On, SSO) und X.509-Zertifikatauthentifizierung sowohl für Anwender- als auch für Webservices-Integrationen.
Single Sign-On
SAML ermöglicht eine nahtlose Single-Sign-On-Interaktion zwischen dem internen Webportal des Kunden und Workday. Kunden melden sich mit dem firmeneigenen Benutzernamen und Kennwort beim internen Webportal ihres Unternehmens an. Daraufhin wird ihnen ein Link zu Workday bereitgestellt, mit dem Kunden automatisch Zugriff erhalten, ohne sich erneut anmelden zu müssen. Workday unterstützt auch OpenID Connect.
Systemeigene Workday-Anmeldung
Für Kunden, die unsere systemeigene Anmeldung nutzen möchten, wird unser Workday-Kennwort nur in Form eines sicheren Hashwerts anstelle des Kennworts selbst gespeichert. Erfolglose Anmeldeversuche werden ebenso wie erfolgreiche Anmelde-/Abmeldeaktivitäten zu Audit-Zwecken protokolliert. Inaktive Anwendersitzungen werden nach einer bestimmten Zeit automatisch beendet. Die Zeit kann vom Kunden nach Anwender konfiguriert werden.
Zu den kundenseitig konfigurierbaren Kennwortregeln gehören Länge, Komplexität, Laufzeit und Sicherheitsfragen, wenn das Kennwort vergessen wurde.
Multi-Faktor-Authentifizierung
Wir empfehlen Kunden die Multi-Faktor-Authentifizierung (MFA). Workday ermöglicht es seinen Kunden, ihren eigenen MFA-Anbieter zu integrieren, der durch den TOTP-Algorithmus (Time-Based One-Time Passcode) unterstützt wird. Mit diesem Setup können die Kunden MFA-Anbieter ganz einfach in die systemeigene Workday-Anmeldung integrieren. Darüber hinaus bietet Workday den Endanwendern seiner Kunden die Möglichkeit, über einen E-Mail-zu-SMS-Gateway-Mechanismus einen einmaligen Passcode zu erhalten. Zu guter Letzt unterstützt Workday auch Sicherheitsfragen als zusätzlichen Mechanismus zur Feststellung der Anwenderidentität.
Step-up-Authentifizierung
Bleibt eine Konsole unabsichtlich geöffnet oder greifen mehrere Anwender über dasselbe Gerät auf Workday zu, können sich Unternehmen, die eine SAML-Authentifizierung nutzen, vor unbefugtem Zugriff schützen, indem sie kritische Elemente in Workday identifizieren. So können Kunden einen zweiten Authentifizierungsfaktor festlegen, den Anwender für den Zugriff auf diese Elemente eingeben müssen.
Workday-Anwendungen werden in Rechenzentren gehostet, die dem neuesten Stand der Technik entsprechen und speziell für den Schutz unternehmenskritischer Rechnersysteme mit vollständig redundanten Teilsystemen sowie unterteilten Sicherheitszonen entwickelt wurden. Für unsere Rechenzentren gelten die strengsten physischen Sicherheitsmaßnahmen, darunter insbesondere:
Sämtliche physischen Zutrittsmöglichkeiten zu den Rechenzentren sind stark eingeschränkt und werden streng überwacht.
Workday hat detaillierte Betriebsrichtlinien, Verfahren und Prozesse eingeführt, die dabei helfen sollen, die allgemeine Qualität und Integrität der Workday-Umgebung zu managen. Außerdem haben wir proaktive Sicherheitsmechanismen wie Perimeterschutz- und Intrusion-Prevention-Systeme (IPSs) implementiert.
Netzwerk-IPSs überprüfen kritische Netzwerksegmente auf atypische Netzwerkmuster in der Kundenumgebung und überwachen den Datenverkehr zwischen den Ebenen und dem Service. Darüber hinaus betreiben wir ein weltweites Security Operations Center, das täglich rund um die Uhr im Einsatz ist.
Workday hat einen Secure Software Development Life Cycle (SDLC) für Unternehmen implementiert, damit für die lückenlose Sicherheit der Workday-Anwendungen gesorgt werden kann.
Dieses Programm umfasst eine eingehende Bewertung der Sicherheitsrisiken und eine detaillierte Überprüfung der Workday-Funktionen. Zudem werden statische und dynamische Quellcodeanalysen durchgeführt, damit sich Unternehmenssicherheit leichter in den Entwicklungszyklus integrieren lässt. Zur weiteren Verbesserung des Entwicklungsprozesses werden Entwickler in puncto Anwendungssicherheit geschult und die Anwendung diversen Penetrationstests unterzogen.
Workday beauftragt externe Fachunternehmen mit der Durchführung von unabhängigen internen und externen netzwerk-, system- und anwendungsspezifischen Schwachstellenanalysen.
Anwendung
Wir beauftragen ein führendes externes Sicherheitsunternehmen damit, vor jedem größeren Release eine Schwachstellenanalyse unserer Web- und Mobilanwendungen auf Anwendungsebene durchzuführen. Dieses Unternehmen führt Testverfahren durch, um standardmäßige und erweiterte Sicherheitslücken bei Webanwendungen zu ermitteln, darunter insbesondere:
Netzwerk
In externen Schwachstellenbewertungen werden alle mit dem Internet verbundenen Assets, darunter Firewalls, Router und Webserver, auf potenzielle Schwachstellen untersucht, die einen unbefugten Zugriff auf das Netzwerk verursachen könnten. Zudem wird eine authentifizierte interne Netzwerk- und Systembewertung durchgeführt, um potenzielle Schwachstellen und Widersprüche gegenüber den allgemeinen Systemsicherheitsrichtlinien festzustellen.
Datenschutzbestimmungen sind komplex, variieren von Land zu Land und bringen hohe Anforderungen mit sich. Bei der Auswahl einer HCM-, Finanz- oder sonstigen Anwendung sollten sich Unternehmen für eine Lösung entscheiden, mit der Kunden ihre Datenschutzverpflichtungen erfüllen und den Schutz ihrer Daten sicherstellen können. Workday bietet Ihnen führende Datenschutzfunktionen und -praktiken zur Einhaltung Ihrer Datenschutzverpflichtungen.
Darüber hinaus stellen wir unseren Kunden die benötigten Ressourcen und Informationen bereit, damit sie die Datenschutz- und Compliance-Anforderungen für ihre Unternehmen besser verstehen und validieren können. Ebenso erfahren die Kunden, wie Workday sie bei ihren Compliance-Maßnahmen unterstützen kann.
Das Workday-Datenschutzprogramm wurde auf Basis strenger Richtlinien und Verfahren zum Zugriff auf Kundendaten sowie zur Nutzung, Offenlegung und Übermittlung von Kundendaten ausgearbeitet. Im Wesentlichen sieht unser Datenschutzprogramm vor, dass Workday-Mitarbeiter nicht auf Kundendaten zugreifen und diese nicht nutzen, offenlegen oder übermitteln, sofern eine solche Handlung nicht gemäß einer vertraglichen Vereinbarung mit dem Kunden oder auf dessen Anweisung erfolgt.
Da sich Datenschutzangelegenheiten und globale Gesetze ständig weiterentwickeln und immer komplexer werden, weiß Workday um die Bedeutung eines Datenschutzprogramms, das in die Kultur und die Dienstleistungen unseres Unternehmens eingebettet ist. Durch unsere Philosophie „Privacy by Design“ weisen wir nach, dass uns dieses Anliegen ernst ist, und geben unseren Kunden die Gewissheit, die sie für den Schutz und die Sicherheit ihrer Daten benötigen.
Das von unserem Chief Privacy Officer geleitete Workday-Team für Datenschutz, Ethik und Compliance managt das Datenschutzprogramm und überwacht dessen Wirksamkeit. Dieses Team ist für folgende Aufgaben verantwortlich:
Der Datenschutz erfordert ständige Wachsamkeit und wir fühlen uns in hohem Maße verpflichtet, die personenbezogenen Daten unserer Kunden und Mitarbeiter zu schützen. Lesen Sie mehr darüber, wie wir uns nach den zentralen Datenschutzgrundsätzen richten.
Lesen Sie unsere Datenschutzrichtlinie und erfahren Sie mehr darüber, wie wir die Daten unserer Kunden managen und schützen.
In unsere Services haben wir ein ganzheitliches Datenschutzprogramm integriert – vom ersten Design bis zum Release. Dieses Programm basiert auf unserer Philosophie „Privacy by Design“ und ist fest in der Entwicklung unserer Produkte und der Konzeption unserer Cloud-Dienstleistungen verankert.
Wir schaffen Transparenz hinsichtlich der geografischen Regionen, in denen die Daten unserer Kunden gespeichert und verarbeitet werden.
Workday und unsere Kunden müssen eine Vielzahl globaler Datenschutzgesetze und -vorschriften einhalten. Bestimmte Datenschutzgrundsätze, wie beispielsweise Informationspflicht, Wahlmöglichkeit, Zugriff, Nutzung, Offenlegung und Sicherheit, gelten in allen Rechtssystemen. Unsere Anwendung ist für unterschiedliche Konfigurationen ausgelegt, sodass Sie die in Ihrem Land geltenden Gesetze einhalten können. Darüber hinaus sorgt Workday mit einem umfassenden Informationssicherheitsprogramm (WISP) für die Einhaltung internationaler Datenschutzvorschriften. Dieses enthält technische und organisatorische Schutzmechanismen, die unbefugte Zugriffsversuche und Missbrauch oder Offenlegung von Kundendaten verhindern. Workday verpflichtet sich nach wie vor zur Einhaltung globaler Datenschutzstandards. Dies spiegelt sich in unserem Engagement für Programme wie das Privacy-Shield-Abkommen sowie in der Umsetzung der Binding Corporate Rules (BCR) und der Datenschutzregeln der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (APEC) wider.
Die Datenschutzlandschaft in der EU hat sich aufgrund der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) wesentlich verändert. Durch die DSGVO wurden die zuvor stark fragmentierten Datenschutzgesetze in Europa harmonisiert. Workday ist zuversichtlich, dass wir die personenbezogenen Daten unserer Kunden auch zukünftig in Übereinstimmung mit der DSGVO verarbeiten können, und wir verfolgen die Leitlinien, die im Zusammenhang mit dieser Thematik von den EU-Aufsichtsbehörden herausgegeben werden. Sobald Änderungen erforderlich sind, werden wir diese zügig umsetzen.
Workday hat die Anforderungen der DSGVO sowie unsere zahlreichen Datenschutz- und Sicherheitspraktiken bewertet, um die Einhaltung der DSGVO von Grund auf sicherzustellen. Dazu zählen:
Privacy by Design und Privacy by Default sind fest im Workday-Service verankert. Workday ist sich bewusst, dass die DSGVO für die Geschäftstätigkeit unserer internationalen Kunden von zentraler Bedeutung ist. Daher verfolgt Workday laufend die Leitlinien und Empfehlungen der EU-Aufsichtsbehörden im Zusammenhang mit der DSGVO und sorgt auf diese Weise dafür, dass sein Compliance-Programm stets auf dem neuesten Stand ist.
Workday weiß, dass die Einhaltung der DSGVO-Bestimmungen nicht nur für unser eigenes Unternehmen als Auftragsverarbeiter wichtig ist, sondern auch für unsere Kunden, damit sie den Workday-Service zur Erfüllung ihrer internen Compliance-Anforderungen nutzen können. Aus diesem Grund bietet Workday Lösungen, die seine Kunden bei der Erfüllung ihrer Verpflichtungen in Bezug auf die DSGVO unterstützen. Auf Basis des Workday-Service können die Kunden personenbezogene Daten in ihrem eigenen privaten Mandanten verarbeiten. Erfahren Sie mehr darüber, wie wir unsere Kunden bei der Erfüllung ihrer DSGVO-Verpflichtungen unterstützen.
Workday hat sich am ersten Tag des Privacy Shield-Zertifizierungsprozesses bei dem vom US-Handelsministerium initiierten Programm angemeldet und damit unser starkes, anhaltendes Engagement für den Schutz unserer Kundendaten nachgewiesen.
Das Privacy Shield-Abkommen regelt die Übermittlung personenbezogener Daten aus der EU in die USA sowie aus der Schweiz in die USA. Unternehmen können sich selbst für den Privacy Shield zertifizieren. Workday nutzt hierzu jedoch den externen Verifizierungsagenten TRUSTe, um die Einhaltung dieses Abkommens nachhaltig zu belegen. Workday lässt sein Datenschutzprogramm nach wie vor regelmäßig von Dritten überprüfen, um unseren Kunden das Höchstmaß an Datenschutz zu bieten. Lesen Sie mehr über unseren Verifizierungsstatus für Privacy Shield gemäß TRUSTe.
Zusätzlich zur Eigenzertifizierung für den Privacy Shield hat Workday von den europäischen Datenschutzbehörden die Zulassung seiner BCR als Verarbeiter erhalten. Da sich der EU-Hauptsitz des Unternehmens in Dublin befindet, war für Workday die irische Datenschutzbehörde maßgebend. Neben Irland waren die Datenschutzbehörden in Großbritannien und den Niederlanden federführend. Lesen Sie hier, welche Verpflichtungen Workday im Rahmen seiner BCR gegenüber betroffenen Personen erfüllt.
Workday hat sich verpflichtet, die Regeln der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (APEC, Asia-Pacific Economic Cooperation) für den grenzüberschreitenden Datenschutz (APEC CBPR) und die Datenschutzanerkennung für Prozessoren (APEC PRP) einzuhalten. Die entsprechenden APEC-Zertifizierungen stellen freiwillige Datenschutzstandards für Datenverantwortliche und Datenverarbeiter dar, die die Datenübermittlung zwischen APEC-Ländern erleichtern sollen. Mit diesen Zertifizierungen wird die Einhaltung hoher Datenschutzstandards in der gesamten Region Asien-Pazifik nachgewiesen.
Workday wurde im März 2014 als eines der ersten Unternehmen für die APEC CBPR und im September 2018 als erstes Unternehmen für die APEC PRP zertifiziert. Zudem haben wir eine Zertifizierung des unabhängigen Anbieters TRUSTe, APEC Accountability Agent für die USA, erhalten.
Durch die Einhaltung der APEC CBPR, der APEC PRP und der Datenschutzanforderungen im Europäischen Wirtschaftsraum weist Workday nach, dass das Unternehmen strenge globale Datenschutzrichtlinien befolgt.
In einem Umfeld mit zunehmend komplexen Sicherheitsbedrohungen stehen führende Technologiefirmen vor der Aufgabe, Kunden-, Mitarbeiter- und urheberrechtlich geschützte Daten ihrer Unternehmen zu sichern und zu schützen. Zudem sind die Unternehmen auch für die Einhaltung aller geltenden Gesetze verantwortlich, darunter Gesetze zum Schutz und zur Übertragung personenbezogener Daten. Dies gilt selbst für den Fall, dass ein Dienstleister die Daten eines Unternehmens in dessen Auftrag besitzt und verarbeitet.
Workday verfügt über ein formelles und umfassendes Sicherheitsprogramm, das die Sicherheit und Integrität von Kundendaten gewährleistet, vor Sicherheitsbedrohungen oder Datenschutzverletzungen schützt sowie den unerlaubten Zugriff auf die Daten unserer Kunden verhindert. Unser Sicherheitsprogramm ist in unseren Sicherheitsaudits und internationalen Zertifizierungen von unabhängigen Dienstleistern detailliert beschrieben.
Damit Ihre Compliance- und Rechtsabteilungen die Compliance-Anforderungen für Ihr Unternehmen besser verstehen und validieren können, haben wir die folgenden Compliance-Ressourcen zusammengestellt.
Service Organisation Control 1 (SOC 1)-Berichte enthalten Informationen zur Kontrollumgebung eines Dienstleisters, die für die internen Kontrollen des Kunden hinsichtlich Finanzreporting von Bedeutung sein können.
Beim SOC 2 Typ II-Bericht von Workday handelt es sich um eine unabhängige, von einem Drittanbieter durchgeführte Beurteilung unserer Kontrollumgebung.
Das American Institute of Certified Public Accountants (AICPA) hat das Service Organization Control (SOC 3)-Framework entwickelt, um die Vertraulichkeit und den Datenschutz von in der Cloud gespeicherten und verarbeiteten Informationen sicherzustellen.
ISO 27001 ist ein international anerkannter, normenbasierter Sicherheitsansatz, der die Anforderungen an ein unternehmenseigenes Managementsystem für Informationssicherheit (ISMS, Information Security Management System) definiert.
ISO 27017 wurde im Jahr 2015 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.
ISO 27018 wurde im Jahr 2014 veröffentlicht und ist eine ergänzende Norm zu ISO 27001.
Workday unterstützt die PCI DSS-Compliance im Rahmen von Workday Secure Credit Card Environment. In dieser isolierten Umgebung werden unmaskierte Karteninhaberdaten durch vordefinierte Integrationen gespeichert, verarbeitet und übertragen.
Workday hat eine unabhängige HIPAA-Bescheinigung für seine Enterprise-Cloud-Anwendungen erhalten. Diese dient als Nachweis dafür, dass Workday über ein HIPAA-Konformitätsprogramm mit geeigneten Maßnahmen zur Speicherung, zum Zugriff und zur Weitergabe spezifischer medizinischer und personenbezogener Daten verfügt.
Das NIST Cybersecurity Framework (CSF) gibt Unternehmen Leitlinien für eine bessere Prävention, Erkennung und Bewältigung von Cybersicherheitsrisiken vor. Der Standard NIST 800-171 bezieht sich auf den Schutz von kontrollierten nicht klassifizierten Informationen in nicht föderalen Informationssystemen und Organisationen.
Das G-Cloud-Framework ist eine Vereinbarung zwischen der britischen Regierung und Anbietern cloudbasierter Services.
Bei der Security, Trust & Assurance Registry (STAR)-Selbstbeurteilung der Cloud Security Alliance (CSA) werden aktuelle Informationen zu Sicherheitsrisiken und -kontrollen in einem branchenüblichen Fragebogen (CSA STAR CAIQ) zusammengefasst.
Der EU-U.S. Privacy Shield und der Swiss-U.S. Privacy Shield sind Absprachen, die die Übertragung von personenbezogenen Daten zwischen der EU und den USA sowie zwischen der Schweiz und den USA regeln.
Workday nimmt am Enterprise Privacy & Data Governance Practices-Programm von TRUSTe teil.
Der SIG-Fragebogen (Standardized Information Gathering) ist ein zentrales Sammelwerk, das Informationstechnologie- und Datensicherheitsfragen zu einem breiten Spektrum an Kontrollbereichen branchenweit standardisiert und bündelt.
Cyber Essentials ist ein von der britischen Regierung gefördertes Programm zum Schutz von Unternehmen vor Sicherheitsbedrohungen, das grundlegende technische Kontrollmechanismen vorschreibt.