WORKDAY COMPLIANCE
Unser Compliance-Programm
Unser strenges Compliance-Programm umfasst Audits und internationale Zertifizierungen durch Drittanbieter, um Datensicherheit und Datenschutz zu gewährleisten, vor Sicherheitsbedrohungen oder Datenschutzverletzungen zu schützen und den unbefugten Zugriff auf Ihre Daten zu verhindern.
Compliance-Ressourcen für Ihr Unternehmen
SOC 1
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Service Organization Controls (SOC) 1-Berichte enthalten Informationen zur Kontrollumgebung eines Dienstleisters, die im Hinblick auf die internen Kontrollmechanismen des Kunden für das Finanzreporting relevant sein können.
Unser SOC 1 Type II-Bericht wird in Übereinstimmung mit den Statements on Standards of Attestation Engagements (ISAE) 3402 (Assurance Reports on Controls at a Service Organization) herausgegeben. Der SOC 1-Bericht, der sich auf die Gestaltung und operative Wirksamkeit von Kontrollen hinsichtlich der Enterprise-Cloud-Anwendungen von Workday bezieht, wird halbjährlich veröffentlicht und umfasst jeweils den Zeitraum vom 1. April bis zum 30. September und vom 1. Oktober bis zum 31. März.
SOC 2
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
Beim SOC 2 Type II-Bericht handelt es sich um eine unabhängige, von einem Drittanbieter durchgeführte Prüfung unserer Kontrollumgebung.
Der SOC 2-Bericht basiert auf den Trust Services Criteria des American Institute of Certified Public Accountants (AICPA) und wird jährlich in Übereinstimmung mit den in AT Section 101 (Attest Engagements) des AICPA festgelegten Richtlinien herausgegeben. Dieser Bericht umfasst den Zeitraum vom 1. Oktober bis zum 30. September und enthält Einzelheiten zur Gestaltung und operativen Wirksamkeit von Kontrollen hinsichtlich aller Lösungen, die als Teil der Workday-Anwendungen Kundendaten enthalten. Der SOC 2-Bericht von Workday Enterprise Products berücksichtigt sämtliche Trust Services Criteria (Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz). Darüber hinaus bezieht sich der Bericht auf das NIST Cybersecurity Framework und NIST 800-171 als Teil des SOC 2+ Additional Subject Matter-Verfahrens. Dieses umfasst einen auditgeprüften Abgleich der Workday-Kontrollen mit den Vorgaben dieses Frameworks.
SOC 3
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Das American Institute of Certified Public Accountants (AICPA) hat das SOC 3-Framework entwickelt, um die Vertraulichkeit und den Schutz von in der Cloud gespeicherten und verarbeiteten Informationen zu gewährleisten.
Der SOC 3-Bericht, eine unabhängige, von einem Drittanbieter durchgeführte Prüfung unserer Kontrollumgebung, ist öffentlich verfügbar und enthält eine Übersicht über unsere Kontrollumgebung, die für die Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und den Datenschutz von Kundendaten maßgeblich ist.
Siehe unseren SOC 3-Bericht für Workday Enterprise Products.
Siehe unseren SOC 3-Bericht für Workday Adaptive Planning.
Siehe unseren SOC 3-Bericht für Workday Peakon.
Siehe unseren SOC 3-Bericht für Workday Strategic Sourcing.
ISO 27001
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing
Unser Information Security Management System (ISMS) erfüllt die Anforderungen dieses international anerkannten, normenbasierten Sicherheitsansatzes.
Siehe unser ISO 27001 -Zertifikat für Workday Enterprise Products.
Siehe unser ISO 27001 -Zertifikat für Workday Adaptive Planning.
Siehe unser ISO 27001 -Zertifikat für Workday Strategic Sourcing.
ISO 27017
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Diese Norm liefert Kontrollen und Implementierungsleitlinien für Informationssicherheitskontrollen bei der Bereitstellung und Nutzung von Cloud-Services.
Siehe unser ISO 27017-Zertifikat für Workday Enterprise Products.
Siehe unser ISO 27017-Zertifikat für Workday Adaptive Planning.
ISO 27018
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Diese Norm beschreibt Leitlinien für Cloud-Services-Anbieter, die personenbezogene Daten verarbeiten.
Siehe unser ISO 27018-Zertifikat für Workday Enterprise Products.
Siehe unser ISO 27018-Zertifikat für Workday Adaptive Planning.
ISO 27701
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Diese Norm liefert Kontrollen und Implementierungsleitlinien für Informationssicherheitskontrollen bei der Bereitstellung und Nutzung von Cloud-Services.
Siehe unser ISO 27701-Zertifikat für Workday Enterprise Products.
Siehe unser ISO 2-Zertifikat für Workday Adaptive Planning.
PCI DSS
Anwendbar auf: Workday Enterprise Products
Workday unterstützt die Einhaltung des PCI DSS-Standards im Rahmen von Workday Secure Credit Card Environment. In dieser isolierten Umgebung werden unmaskierte Karteninhaberdaten durch vordefinierte Integrationen gespeichert, verarbeitet und übertragen.
Diese Umgebung wird jährlich von qualifizierten Sicherheitsgutachtern (Qualified Security Assessors) einer Prüfung hinsichtlich der aktuellen PCI DSS-Anforderungen unterzogen. Workday weist seit 2013 seine PCI DSS-Compliance nach. Den Kunden, die Workday Secure Credit Card Environment nutzen, kann Workday auf Anfrage eine Kopie des jährlichen Prüfberichts bereitstellen.
Enterprise Privacy & Data Governance-Zertifizierung von TRUSTe
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing
Workday nimmt am Enterprise Privacy & Data Governance Practices-Programm von TRUSTe teil.
Dieses Programm ermöglicht Unternehmen wie Workday den Nachweis, dass ihre Datenschutz- und Data-Governance-Praktiken für personenbezogene Daten bestimmte Standards auf der Basis anerkannter Gesetze sowie bestimmte regulatorische Standards erfüllen – einschließlich der Datenschutzleitlinien der OECD, des APEC Privacy Framework, der Datenschutz-Grundverordnung (DSGVO) der EU, des Health Insurance Portability and Accountability Act (HIPAA) der USA, der internationalen Norm ISO 27001 für Informationssicherheits-Managementsysteme sowie weiterer globaler Datenschutzgesetze und -vorschriften.
Siehe unseren TRUSTe-Zertifizierungsstatus.
SIG-Fragebogen
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
Der SIG-Fragebogen (Standardized Information Gathering) beinhaltet eine branchenspezifische Zusammenstellung von Fragen zur Bewertung von Informationstechnologie- und Datensicherheit über ein breites Spektrum an Risikokontrollbereichen hinweg.
Herausgeber des SIG-Fragebogens ist Shared Assessments, eine globales, auf unabhängige Risikobewertungen spezialisiertes Unternehmen. Workday führt jährlich auf Basis des SIG-Fragebogens eine Selbstbeurteilung durch, die unseren Kunden basierend auf einem standardisierten Fragenkatalog einen genauen Überblick über unsere Kontrollumgebung verschafft. Kunden können den SIG-Fragebogen in der Workday Community einsehen.
NIST CSF und NIST 800-171
Anwendbar auf: Workday Enterprise Products
Das NIST Cybersecurity Framework (CSF) gibt Unternehmen Leitlinien für eine bessere Prävention, Erkennung und Eliminierung von Cybersicherheitsrisiken vor. Das NIST Privacy Framework (PF) bietet Unternehmen Hilfestellungen zur Prüfung und Optimierung ihres Datenschutzprogramms. Der Standard NIST 800-171 bezieht sich auf den Schutz von kontrollierten nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) in nicht behördlichen Informationssystemen und Organisationen.
Workday hat einen Abgleich unserer maßgeblichen SOC 2-Kontrollen mit den Standards NIST CSF, NIST PF und NIST 800-171 durchgeführt. Dieser Abgleich wurde im Rahmen des SOC 2+-Berichts von Workday geprüft.
TrustArc und Privacy Shield
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing
Workday nimmt aktiv am Privacy Shield-Verifizierungsprogramm teil. Die Verifizierung von Workday für den Privacy Shield erfolgt über den unabhängigen Verifizierungsagenten TRUSTe.
Siehe unsere Privacy Shield-Zertifizierung.
EU Cloud Code of Conduct
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Der EU Cloud Code of Conduct (CCoC) umfasst mehrere Rechtsinstrumente, durch die Cloud-Service-Anbieter ihre Einhaltung der DSGVO nachweisen können.
Siehe die-Zertifizierung von Workday.
HIPAA
Anwendbar auf: Workday Enterprise Products
Workday hat eine unabhängige HIPAA-Bestätigung für Workday Enterprise Products und damit einen Nachweis darüber erhalten, dass Workday über ein HIPAA-Konformitätsprogramm mit geeigneten Maßnahmen für Speicherung, Zugriff und Weitergabe individuell identifizierbarer gesundheits- und personenbezogener Daten verfügt.
Workday stellt ein Whitepaper mit Details zu dieser Bestätigung zur Verfügung. Darüber hinaus schließt Workday bei Bedarf Geschäftspartnerverträge (Business Associate Agreements, BAAs) mit seinen Kunden ab. Durch diese Vereinbarungen wird sichergestellt, dass unsere Kunden ihre Anforderungen im Rahmen des HIPAA und des Health Information Technology for Economic and Clinical Health Act (HITECH) erfüllen können.
FedRAMP Moderate
Anwendbar auf: Workday Enterprise Products
Das Federal Risk and Authorization Management Program, kurz FedRAMP, ist ein Programm der US-Regierung, das Bundesbehörden die Einbindung cloudbasierter Systeme in ihre IT-Umgebungen ermöglicht. FedRAMP bietet einen standardisierten Ansatz zur Sicherheits- und Risikobewertung für Cloud-Technologien und Bundesbehörden, um sicherzustellen, dass die Daten der Bundesbehörden in der Cloud kontinuierlich auf höchstem Niveau geschützt sind.
Workday verfügt über den Status „FedRAMP Authorized“ für die Auswirkungsebene „Moderate“ (moderate Auswirkungen auf die Sicherheit) für Workday Government Cloud.
G-Cloud
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Peakon Employee Voice
Das G-Cloud-Framework ist eine Vereinbarung zwischen der britischen Regierung und Anbietern cloudbasierter Services.
Durch G-Cloud können Anbieter cloudbasierter Services bei Organisationen des öffentlichen Sektors in Großbritannien für ihre Cloud-Services werben und diese bei entsprechender Akzeptanz verkaufen. Das G-Cloud-Framework wird jährlich von der zuständigen Regierungsbehörde Crown Commercial Services (CCS) aktualisiert.
Organisationen des öffentlichen Sektors in Großbritannien können zurzeit Workday-Services über den CCS Digital Marketplace erwerben.
Cyber Essentials
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
Cyber Essentials ist ein von der britischen Regierung gefördertes Programm zum Schutz von Unternehmen vor Sicherheitsbedrohungen, das grundlegende technische Kontrollmechanismen vorschreibt.
Siehe unsere Cyber Essentials-Zertifizierung.
Australian IRAP
Anwendbar auf: Workday Enterprise Products
Die australische Regierung unterhält eine Sicherheitsdokumentation für die Nutzung von ICT Services, einschließlich Cloud-Services. Dies wird durch das Information Security Manual (ISM) und das Protective Security Policy Framework (PSPF) dargestellt. Das vom Australian Cyber Security Centre (ACSC) verwaltete Infosec Registered Assessors Program (IRAP) sieht vor, dass die Effektivität einer Organisation im Hinblick auf Kontrollen im ISM und PSPF von Gutachtern bewertet wird.
Workday beauftragt einen unabhängigen Gutachter mit einer IRAP-Prüfung, um die Eignung der Kontrollen im ISM und PSPF für Workday-Produktionsumgebungen auf der Stufe PROTECTED zu bestätigen.
Steigern Sie Ihre Anpassungsfähigkeit