WORKDAY COMPLIANCE

Unser Compliance-Programm

Unser strenges Compliance-Programm umfasst Audits und internationale Zertifizierungen durch Drittanbieter, um Datensicherheit und Datenschutz zu gewährleisten, vor Sicherheitsbedrohungen oder Datenschutzverletzungen zu schützen und den unbefugten Zugriff auf Ihre Daten zu verhindern.

Decorative

Compliance-Ressourcen für Ihr Unternehmen

AICPA SOC

SOC 1

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Service Organization Controls (SOC) 1-Berichte enthalten Informationen zur Kontrollumgebung eines Dienstleisters, die im Hinblick auf die internen Kontrollmechanismen des Kunden für das Finanzreporting relevant sein können.

Unser SOC 1 Type II-Bericht wird in Übereinstimmung mit den Statements on Standards of Attestation Engagements (ISAE) 3402 (Assurance Reports on Controls at a Service Organization) herausgegeben. Der SOC 1-Bericht, der sich auf die Gestaltung und operative Wirksamkeit von Kontrollen hinsichtlich der Enterprise-Cloud-Anwendungen von Workday bezieht, wird halbjährlich veröffentlicht und umfasst jeweils den Zeitraum vom 1. April bis zum 30. September und vom 1. Oktober bis zum 31. März.

AICPA SOC

SOC 2

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice

Beim SOC 2 Type II-Bericht handelt es sich um eine unabhängige, von einem Drittanbieter durchgeführte Prüfung unserer Kontrollumgebung.

Der SOC 2-Bericht basiert auf den Trust Services Criteria des American Institute of Certified Public Accountants (AICPA) und wird jährlich in Übereinstimmung mit den in AT Section 101 (Attest Engagements) des AICPA festgelegten Richtlinien herausgegeben. Dieser Bericht umfasst den Zeitraum vom 1. Oktober bis zum 30. September und enthält Einzelheiten zur Gestaltung und operativen Wirksamkeit von Kontrollen hinsichtlich aller Lösungen, die als Teil der Workday-Anwendungen Kundendaten enthalten. Der SOC 2-Bericht von Workday Enterprise Products berücksichtigt sämtliche Trust Services Criteria (Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz). Darüber hinaus bezieht sich der Bericht auf das NIST Cybersecurity Framework und NIST 800-171 als Teil des SOC 2+ Additional Subject Matter-Verfahrens. Dieses umfasst einen auditgeprüften Abgleich der Workday-Kontrollen mit den Vorgaben dieses Frameworks.

AICPA SOC

SOC 3

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Das American Institute of Certified Public Accountants (AICPA) hat das SOC 3-Framework entwickelt, um die Vertraulichkeit und den Schutz von in der Cloud gespeicherten und verarbeiteten Informationen zu gewährleisten.

Der SOC 3-Bericht, eine unabhängige, von einem Drittanbieter durchgeführte Prüfung unserer Kontrollumgebung, ist öffentlich verfügbar und enthält eine Übersicht über unsere Kontrollumgebung, die für die Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und den Datenschutz von Kundendaten maßgeblich ist.

Siehe unseren SOC 3-Bericht für Workday Enterprise Products.

Siehe unseren SOC 3-Bericht für Workday Adaptive Planning. 

Siehe unseren SOC 3-Bericht für Workday Peakon.

Siehe unseren SOC 3-Bericht für Workday Strategic Sourcing.

Globus mit Schlosssymbol

ISO 27001

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing

Unser Information Security Management System (ISMS) erfüllt die Anforderungen dieses international anerkannten, normenbasierten Sicherheitsansatzes. 

Siehe unser ISO 27001 -Zertifikat für Workday Enterprise Products.

Siehe unser ISO 27001 -Zertifikat für Workday Adaptive Planning.

Siehe unser ISO 27001 -Zertifikat für Workday Strategic Sourcing.

Globus mit Schlosssymbol

ISO 27017

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Diese Norm liefert Kontrollen und Implementierungsleitlinien für Informationssicherheitskontrollen bei der Bereitstellung und Nutzung von Cloud-Services.

Siehe unser ISO 27017-Zertifikat für Workday Enterprise Products.

Siehe unser ISO 27017-Zertifikat für Workday Adaptive Planning.

Globus mit Schlosssymbol

ISO 27018

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Diese Norm beschreibt Leitlinien für Cloud-Services-Anbieter, die personenbezogene Daten verarbeiten.

Siehe unser ISO 27018-Zertifikat für Workday Enterprise Products.

Siehe unser ISO 27018-Zertifikat für Workday Adaptive Planning.

Globus mit Schlosssymbol

ISO 27701

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Diese Norm liefert Kontrollen und Implementierungsleitlinien für Informationssicherheitskontrollen bei der Bereitstellung und Nutzung von Cloud-Services.

Siehe unser ISO 27701-Zertifikat für Workday Enterprise Products.

Siehe unser ISO 2-Zertifikat für Workday Adaptive Planning.

Globus mit Schlosssymbol

PCI DSS

Anwendbar auf: Workday Enterprise Products

Workday unterstützt die Einhaltung des PCI DSS-Standards im Rahmen von Workday Secure Credit Card Environment. In dieser isolierten Umgebung werden unmaskierte Karteninhaberdaten durch vordefinierte Integrationen gespeichert, verarbeitet und übertragen.

Diese Umgebung wird jährlich von qualifizierten Sicherheitsgutachtern (Qualified Security Assessors) einer Prüfung hinsichtlich der aktuellen PCI DSS-Anforderungen unterzogen. Workday weist seit 2013 seine PCI DSS-Compliance nach. Den Kunden, die Workday Secure Credit Card Environment nutzen, kann Workday auf Anfrage eine Kopie des jährlichen Prüfberichts bereitstellen.

TRUSTe-zertifizierter Datenschutz

Enterprise Privacy & Data Governance-Zertifizierung von TRUSTe

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing

Workday nimmt am Enterprise Privacy & Data Governance Practices-Programm von TRUSTe teil.

Dieses Programm ermöglicht Unternehmen wie Workday den Nachweis, dass ihre Datenschutz- und Data-Governance-Praktiken für personenbezogene Daten bestimmte Standards auf der Basis anerkannter Gesetze sowie bestimmte regulatorische Standards erfüllen – einschließlich der Datenschutzleitlinien der OECD, des APEC Privacy Framework, der Datenschutz-Grundverordnung (DSGVO) der EU, des Health Insurance Portability and Accountability Act (HIPAA) der USA, der internationalen Norm ISO 27001 für Informationssicherheits-Managementsysteme sowie weiterer globaler Datenschutzgesetze und -vorschriften. 

Siehe unseren TRUSTe-Zertifizierungsstatus.

Globus mit Schlosssymbol

SIG-Fragebogen

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice

Der SIG-Fragebogen (Standardized Information Gathering) beinhaltet eine branchenspezifische Zusammenstellung von Fragen zur Bewertung von Informationstechnologie- und Datensicherheit über ein breites Spektrum an Risikokontrollbereichen hinweg.

Herausgeber des SIG-Fragebogens ist Shared Assessments, eine globales, auf unabhängige Risikobewertungen spezialisiertes Unternehmen. Workday führt jährlich auf Basis des SIG-Fragebogens eine Selbstbeurteilung durch, die unseren Kunden basierend auf einem standardisierten Fragenkatalog einen genauen Überblick über unsere Kontrollumgebung verschafft. Kunden können den SIG-Fragebogen in der Workday Community einsehen.

NIST

NIST CSF und NIST 800-171

Anwendbar auf: Workday Enterprise Products

Das NIST Cybersecurity Framework (CSF) gibt Unternehmen Leitlinien für eine bessere Prävention, Erkennung und Eliminierung von Cybersicherheitsrisiken vor. Das NIST Privacy Framework (PF) bietet Unternehmen Hilfestellungen zur Prüfung und Optimierung ihres Datenschutzprogramms. Der Standard NIST 800-171 bezieht sich auf den Schutz von kontrollierten nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) in nicht behördlichen Informationssystemen und Organisationen.

Workday hat einen Abgleich unserer maßgeblichen SOC 2-Kontrollen mit den Standards NIST CSF, NIST PF und NIST 800-171 durchgeführt. Dieser Abgleich wurde im Rahmen des SOC 2+-Berichts von Workday geprüft.

TRUSTe-zertifizierter Datenschutz

TrustArc und Privacy Shield

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing

Workday nimmt aktiv am Privacy Shield-Verifizierungsprogramm teil. Die Verifizierung von Workday für den Privacy Shield erfolgt über den unabhängigen Verifizierungsagenten TRUSTe.

Siehe unsere Privacy Shield-Zertifizierung.

EU Cloud COC

EU Cloud Code of Conduct

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Der EU Cloud Code of Conduct (CCoC) umfasst mehrere Rechtsinstrumente, durch die Cloud-Service-Anbieter ihre Einhaltung der DSGVO nachweisen können.

Siehe die-Zertifizierung von Workday.

HIPAA (Health Insurance Portability and Accountability Act)

HIPAA

Anwendbar auf: Workday Enterprise Products

Workday hat eine unabhängige HIPAA-Bestätigung für Workday Enterprise Products und damit einen Nachweis darüber erhalten, dass Workday über ein HIPAA-Konformitätsprogramm mit geeigneten Maßnahmen für Speicherung, Zugriff und Weitergabe individuell identifizierbarer gesundheits- und personenbezogener Daten verfügt.

Workday stellt ein Whitepaper mit Details zu dieser Bestätigung zur Verfügung. Darüber hinaus schließt Workday bei Bedarf Geschäftspartnerverträge (Business Associate Agreements, BAAs) mit seinen Kunden ab. Durch diese Vereinbarungen wird sichergestellt, dass unsere Kunden ihre Anforderungen im Rahmen des HIPAA und des Health Information Technology for Economic and Clinical Health Act (HITECH) erfüllen können.

FedRAMP

FedRAMP Moderate

Anwendbar auf: Workday Enterprise Products

Das Federal Risk and Authorization Management Program, kurz FedRAMP, ist ein Programm der US-Regierung, das Bundesbehörden die Einbindung cloudbasierter Systeme in ihre IT-Umgebungen ermöglicht. FedRAMP bietet einen standardisierten Ansatz zur Sicherheits- und Risikobewertung für Cloud-Technologien und Bundesbehörden, um sicherzustellen, dass die Daten der Bundesbehörden in der Cloud kontinuierlich auf höchstem Niveau geschützt sind.

Workday verfügt über den Status „FedRAMP Authorized“ für die Auswirkungsebene „Moderate“ (moderate Auswirkungen auf die Sicherheit) für Workday Government Cloud.

Globus mit Schlosssymbol

G-Cloud

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Peakon Employee Voice

Das G-Cloud-Framework ist eine Vereinbarung zwischen der britischen Regierung und Anbietern cloudbasierter Services.

Durch G-Cloud können Anbieter cloudbasierter Services bei Organisationen des öffentlichen Sektors in Großbritannien für ihre Cloud-Services werben und diese bei entsprechender Akzeptanz verkaufen. Das G-Cloud-Framework wird jährlich von der zuständigen Regierungsbehörde Crown Commercial Services (CCS) aktualisiert.

Organisationen des öffentlichen Sektors in Großbritannien können zurzeit Workday-Services über den CCS Digital Marketplace erwerben.

Cyber Essentials

Cyber Essentials

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice

Cyber Essentials ist ein von der britischen Regierung gefördertes Programm zum Schutz von Unternehmen vor Sicherheitsbedrohungen, das grundlegende technische Kontrollmechanismen vorschreibt.

Siehe unsere Cyber Essentials-Zertifizierung.

irap

Australian IRAP

Anwendbar auf: Workday Enterprise Products

Die australische Regierung unterhält eine Sicherheitsdokumentation für die Nutzung von ICT Services, einschließlich Cloud-Services. Dies wird durch das Information Security Manual (ISM) und das Protective Security Policy Framework (PSPF) dargestellt. Das vom Australian Cyber Security Centre (ACSC) verwaltete Infosec Registered Assessors Program (IRAP) sieht vor, dass die Effektivität einer Organisation im Hinblick auf Kontrollen im ISM und PSPF von Gutachtern bewertet wird. 

Workday beauftragt einen unabhängigen Gutachter mit einer IRAP-Prüfung, um die Eignung der Kontrollen im ISM und PSPF für Workday-Produktionsumgebungen auf der Stufe PROTECTED zu bestätigen.


Steigern Sie Ihre Anpassungsfähigkeit

Bereit für Veränderungen? Kontaktieren Sie uns.