La confianza forma parte del ADN de Workday. Para mantener la seguridad y privacidad de sus datos, implementamos las mejores y más avanzadas medidas de seguridad del sector y supervisamos continuamente nuestro sistema con el objetivo de asegurarle que sus datos más confidenciales están siempre protegidos en la plataforma cloud.
En Workday, nuestra máxima prioridad es proteger los datos de nuestros clientes. Adoptamos rigurosas medidas de seguridad a nivel organizacional, operativo y de arquitectura para garantizar la seguridad de sus datos, sus aplicaciones y su infraestructura.
Para nosotros, la seguridad empieza a contar desde el primer día y es responsabilidad de todos. Todos los empleados reciben formación sobre seguridad, privacidad y cumplimiento normativo en el momento en el que se incorporan para proteger y mantener a salvo los datos de Workday y de los clientes. Nuestro equipo de seguridad de la información les proporciona los conocimientos y las skills necesarias para evitar o minimizar los riesgos de seguridad de forma continua mediante la formación en materia de seguridad y un programa de concienciación.
Este compromiso con la seguridad llega hasta nuestros ejecutivos. La junta ejecutiva, un grupo multidisciplinario de ejecutivos, fomenta la alineación de todos los ejecutivos y garantiza que la concienciación y las iniciativas sobre seguridad lleguen a todos los rincones de la empresa.
Nuestros clientes son responsables de sus propios datos y Workday se encarga de su tratamiento. Esto significa que el cliente tiene control absoluto sobre los datos que se introducen en el sistema, así como sobre todos los ajustes y configuraciones. Dado que es el responsable de sus propios datos (y nosotros solo nos encargamos de su tratamiento), usted no tendrá que depender de nosotros para realizar tareas diarias como:
Workday cifra todos los atributos de los datos del cliente antes de guardarlos en el entorno del cliente. Esta es una característica de diseño fundamental de la tecnología de Workday. Dado que Workday es una aplicación orientada a objetos in-memory, y no un sistema de gestión de bases de datos relacionales (RDBMS) basado en disco, podemos alcanzar el máximo nivel de cifrado. Usamos el algoritmo Advanced Encryption Standard (AES) con una clave de cifrado de 256 bits única para cada cliente.
Transport Layer Security (TLS) protege el acceso del usuario a través de Internet, lo que contribuye a proteger el tráfico de red de la interceptación pasiva, la manipulación activa o la falsificación de mensajes. Las integraciones basadas en archivos pueden cifrarse mediante PGP o con un par de claves pública y privada generado por Workday, usando un certificado generado por el cliente. También se admite WS-Security en las integraciones de servicios web realizadas en la API de Workday.
El acceso de seguridad de Workday está basado en roles y admite autenticación delegada LDAP, SAML para inicio de sesión único y autenticación mediante certificados x509 para integraciones de usuario y servicios web.
Compatibilidad con inicio de sesión único
SAML permite una experiencia de inicio de sesión único fluida entre el portal web interno del cliente y Workday. Los clientes inician sesión en el portal web interno de su empresa con su nombre de usuario y su contraseña, y a continuación aparece un link a Workday, lo que permite que los clientes accedan inmediatamente sin tener que volver a iniciar sesión. Workday también admite OpenID Connect.
Inicio de sesión nativo de Workday
Si el cliente desea usar nuestro inicio de sesión nativo, solo almacenamos la contraseña de Workday como hash seguro y no como contraseña propiamente dicha. Todo intento de inicio de sesión fallido, así como toda actividad relacionada con los inicios y cierres de sesión correctos, se registra para posibles auditorías. Las sesiones de usuario inactivas caducan de forma automática después de un tiempo especificado, que puede configurar el usuario.
Entre las reglas de contraseña que puede configurar el cliente se incluyen la longitud, la complejidad, la caducidad y las preguntas para recuperar una contraseña olvidada.
Autenticación multifactor
Recomendamos a los clientes usar la autenticación multifactor (MFA). Workday permite a los clientes tener su propio proveedor de MFA respaldado por el algoritmo TOTP (código de acceso de un solo uso y duración definida). Con esta configuración, los clientes pueden integrar fácilmente proveedores de MFA con el inicio de sesión nativo de Workday. Workday también permite a los usuarios finales de los clientes recibir un código de acceso de un solo uso mediante un mecanismo de conversión de correo electrónico en SMS. Por último, Workday admite preguntas para recuperar una contraseña olvidada como mecanismo adicional para demostrar la identidad de un usuario.
Autenticación de nivel superior
Las empresas que utilizan SAML pueden requerir un nivel adicional de verificación para la funcionalidad crítica de Workday. La autenticación de nivel superior permite que los clientes impongan el uso de un factor de autenticación secundario que los usuarios deben introducir para acceder a esos elementos.
Seguridad configurable
La seguridad configurable de Workday permite que los administradores de la seguridad de los clientes controlen los elementos que los usuarios pueden ver y las acciones que pueden llevar a cabo en el entorno del cliente. Además, pueden determinar cómo agrupar a los usuarios mediante los grupos de seguridad y especificar los elementos y acciones a los que pueden acceder los miembros de esos grupos mediante políticas de seguridad.
Las aplicaciones de Workday están alojadas en centros de datos de última generación diseñados para proteger los sistemas informáticos esenciales con subsistemas redundantes y zonas de seguridad compartimentadas. Nuestros centros de datos cuentan con las medidas físicas de seguridad más estrictas, entre las que se incluyen, por ejemplo, las siguientes:
Todo el acceso físico a los centros de datos está altamente restringido y regulado.
Workday ha implementado políticas, procedimientos y procesos operativos precisos ideados para ayudar a gestionar la calidad y la integridad generales del entorno Workday. También hemos implementado procedimientos proactivos de seguridad, como los sistemas de prevención de intrusiones (IPS) en la red y la defensa perimetral.
Los IPS de red supervisan los segmentos de red críticos en busca de patrones de red atípicos en el entorno del cliente, además de vigilar el tráfico entre los niveles y el servicio. También contamos con un centro de operaciones de seguridad global que funciona ininterrumpidamente todos los días del año.
Workday ha implementado un ciclo de vida de desarrollo de software (SDLC) empresarial seguro para ayudar a garantizar en todo momento la seguridad de las aplicaciones de Workday.
Este programa incluye una exhaustiva evaluación de los riesgos de seguridad y la revisión de las funcionalidades de Workday. Además, se realizan análisis de código fuente estáticos y dinámicos para ayudar a integrar la seguridad empresarial en el ciclo de vida de desarrollo. El proceso de desarrollo se refuerza aún más con la formación en seguridad de aplicaciones que reciben los desarrolladores y con las pruebas de penetración de la aplicación.
Workday contrata a empresas externas expertas para realizar evaluaciones independientes de vulnerabilidades internas y externas de redes, sistemas y aplicaciones.
Aplicación
Contratamos a una empresa externa de seguridad de reconocido prestigio para que realice una evaluación de vulnerabilidades de seguridad de nuestra aplicación web y móvil antes de cada lanzamiento importante. La empresa aplica procedimientos de control para identificar vulnerabilidades de seguridad de aplicaciones web estándar y avanzadas, entre las que se incluyen, por ejemplo, las siguientes:
Red
Las evaluaciones de vulnerabilidades externas analizan todos los activos expuestos en Internet, incluidos los firewalls, los routers y los servidores web, en busca de vulnerabilidades potenciales que puedan permitir accesos no autorizados a la red. Además, se realiza una evaluación de la red y del sistema en busca de vulnerabilidades internas de autenticación para identificar vulnerabilidades potenciales e incoherencias con las políticas de seguridad generales del sistema.
En Workday, tenemos el firme compromiso de proteger la privacidad de nuestros clientes y ayudarlos a cumplir con sus propias obligaciones en cuanto a privacidad. Al elegir un sistema de HCM o finanzas, las empresas deben seleccionar uno que permita a los clientes cumplir sus obligaciones en materia de protección de datos y garantizar la privacidad de sus datos. Con Workday obtiene la mejor funcionalidad en materia de privacidad y prácticas que le permiten cumplir sus obligaciones de privacidad.
Además, somos transparentes en cuanto a nuestras prácticas de privacidad, ofrecemos a nuestros clientes los recursos y la información que necesitan para comprender y validar los requisitos de privacidad y cumplimiento normativo de su empresa y les mostramos cómo Workday puede ayudarles a llevar a buen término sus medidas en materia de cumplimiento normativo.
Las cuestiones relacionadas con la protección de datos y su legislación a escala internacional no paran de evolucionar y son cada vez más complejas. Por eso, Workday entiende la importancia de contar con un programa integral de privacidad arraigado en la cultura y en los servicios de nuestra empresa.
Nos comprometemos a seguir tres principios que reflejan nuestros valores fundamentales:
Nuestra filosofía de "privacidad desde el diseño" es prueba de esto y proporciona a nuestros clientes la confianza que necesitan para velar por la privacidad y la protección de sus datos. Estos principios de privacidad determinan cómo formamos a nuestros empleados, cómo diseñamos y creamos nuestros productos, y, en última instancia, cómo procesamos los datos personales.
La privacidad y la protección de los datos requieren vigilancia permanente y en Workday tenemos el firme compromiso de proteger los datos personales de nuestros clientes y empleados. Obtenga más información sobre cómo asumimos los principios fundamentales de la privacidad.
Revise nuestra política de privacidad para obtener más información sobre cómo gestionamos y protegemos la información de nuestros clientes.
La privacidad sigue protagonizando el panorama mundial con la entrada en vigor del Reglamento General de Protección de Datos, el continuo impulso de la legislación sobre privacidad en Estados Unidos y el surgimiento de nuevas leyes en Asia y Latinoamérica. En Workday, estamos más que encantados con este grado de interés, ya que la protección de la privacidad ha sido un componente fundamental de nuestros servicios desde nuestros comienzos. También entendemos que la privacidad es una responsabilidad tanto nuestra como de nuestros clientes.
Workday y sus clientes deben estar preparados para cumplir complejas leyes y normativas de privacidad globales. Workday se mantiene al día de las normativas de privacidad internacionales mediante un programa integral de protección de los datos globales, conformado por completos mecanismos de protección técnica, administrativa y organizacional. Nuestros clientes pueden estar seguros de nuestro compromiso con los estándares de privacidad internacionales, tal como demuestra la implementación de las normas corporativas vinculantes para procesadores (BCR, por sus siglas en inglés) y el hecho de que seamos la primera empresa en certificarse en cuanto a las normas de privacidad para la cooperación económica en la región Asia Pacífico para procesadores.
Tras la significativa modificación que supuso la entrada en vigor del Reglamento General de Protección de Datos (RGPD) para la privacidad de los datos en Europa el 25 de mayo de 2018, con la armonización de las distintas leyes de protección de datos europeas, en Workday seguimos confiando en nuestra capacidad de procesar los datos personales de nuestros clientes de acuerdo con este nuevo marco legal. Es, sin duda, una prueba de lo preparados que estamos para el cambio de normativas. Los clientes de Workday, por ejemplo, no experimentaron muchos cambios en cuanto a los flujos aplicables de transferencia transfronteriza de datos personales para procesarlos en Workday. Por aquel entonces, ya contábamos con unas condiciones de protección de datos robustas, pero las actualizamos proactivamente para cumplir con los requisitos del RGPD.
Entre las sólidas prácticas de seguridad y privacidad con las que facilitamos el cumplimiento del RGPD destacamos las siguientes:
Además, los conceptos de Privacidad desde el diseño y Privacidad predeterminada forman parte inherente de Workday. Seguimos supervisando las orientaciones emitidas por las autoridades de control de la UE para garantizar que nuestro programa de cumplimiento normativo esté siempre actualizado.
En Workday, comprendemos que, como encargados del tratamiento de datos, una actitud conforme con el RGPD no solo es importante para la empresa, sino también para que nuestros clientes puedan usar Workday para cumplir sus requisitos internos de cumplimiento normativo. Esta es la razón por la que diseñamos nuestras aplicaciones con la configurabilidad en mente: para ayudarle a cumplir con sus obligaciones en cuanto al RGPD.
Aunque los flujos de datos transfronterizos han planteado muchos retos a lo largo de los años, en Workday siempre hemos estado seguros de que podíamos apoyar a nuestros clientes. Desde el principio, creamos un programa que ofrece a los clientes diversos mecanismos de transferencia de datos. Nuestro acuerdo incluye las cláusulas contractuales tipo (SCC) de la Comisión Europea, que permiten la transferencia de datos personales del Espacio Económico Europeo a Estados Unidos. Además, como mecanismo de transmisión adicional Workday ofrece a los clientes Normas corporativas vinculantes (BCR) para encargados del tratamiento de datos. Las normas BCR de Workday están disponibles aquí.
Colaboramos con clientes internacionales para evaluar la repercusión de las transferencias antes de transferir los datos personales procedentes de Europa a otros países. Compartimos información de manera proactiva (por ejemplo, preguntas frecuentes o whitepapers) para ayudarles a realizar esas evaluaciones. Además, en Workday nos comprometemos a ofrecer transparencia a nuestros clientes en caso de que la policía u otro organismo gubernamental nos comunique un proceso legal válido para que los clientes transfieran la información electrónicamente a las aplicaciones de software como servicio de Workday.
Invertimos en certificaciones relacionadas con los estándares y marcos líderes en el sector para que nuestros clientes puedan verificar fácilmente nuestras prácticas de privacidad. Nosotros solemos ser los primeros en hacer eso mismo.
Workday se comprometió a cumplir el Privacy Shield el primer día que el Departamento de Comercio de los Estados Unidos lanzó el proceso de certificación del Privacy Shield, con lo que demostró su decidido compromiso con la privacidad y la protección de los datos de sus clientes. Aunque el Privacy Shield ha dejado de ser válido como marco de transmisión de datos, Workday sigue acreditando ante el Departamento de Comercio que cumplimos los principios correspondientes. Mientras que las empresas pueden adherirse voluntariamente al Privacy Shield, Workday en cambio usa TRUSTe como agente de verificación externo para dejar aún más patente nuestro cumplimiento normativo. Obtenga más información sobre nuestro método de verificación TRUSTe en Privacy Shield.
Workday fue el primer proveedor de servicios cloud en declarar su adhesión al código de conducta cloud (CCoC) de la UE, cuyos requisitos permiten a los proveedores de servicios cloud (CSP) demostrar su capacidad de cumplir el reglamento RGPD. Un organismo independiente realiza revisiones anuales. Compruebe la adhesión de Workday al CCoC.
Workday observa las Reglas de privacidad transfronteriza del Foro de Cooperación Económica Asia-Pacífico (CBPR del APEC) y las Reglas de privacidad para encargados del tratamiento de datos del Foro de Cooperación Económica Asia-Pacífico (PRP del APEC). Las certificaciones del APEC son un conjunto de estándares de privacidad voluntarios desarrollados para responsables y encargados del tratamiento de datos, respectivamente, con el objetivo de facilitar las transferencias de datos entre países del APEC. Estas certificaciones demuestran el cumplimiento de altos estándares de privacidad en toda la región Asia-Pacífico.
Workday fue una de las primeras empresas en cumplir las CBPR del APEC en marzo de 2014, y la primera en cumplir las PRP del APEC en septiembre de 2018. Hemos recibido un certificado externo de TRUSTe, que es el agente de responsabilidad del APEC en los Estados Unidos.
Los líderes tecnológicos de hoy deben proteger los datos de los clientes, de los empleados y de la propiedad intelectual de sus empresas en un entorno en el que las amenazas contra la seguridad son cada vez más complejas. Las empresas también son responsables de cumplir todas las leyes aplicables, incluidas las relacionadas con la privacidad de los datos y la transmisión de datos personales, aunque un proveedor de servicios almacene y trate los datos de la empresa en su nombre.
Workday cuenta con un programa de seguridad formal, global y completo, diseñado para garantizar la seguridad y la integridad de los datos del cliente, servir de protección en caso de que se produzcan amenazas contra la seguridad o vulneraciones de datos y prevenir el acceso no autorizado a los datos de nuestros clientes. Los detalles de nuestro programa de seguridad se indican en nuestras certificaciones internacionales y en nuestras auditorías de seguridad externas.
Para ayudar a sus equipos jurídicos y de cumplimiento normativo a comprender y validar los requisitos de cumplimiento normativo de su empresa, hemos recopilado los siguientes recursos de cumplimiento normativo.
Los informes de Control de organizaciones de servicios (SOC 1) proporcionan información sobre el entorno de control de una organización de servicios que puede ser pertinente para los controles internos del cliente sobre los informes financieros.
El informe SOC 2 Tipo II de Workday es una evaluación independiente de nuestro entorno de control realizada por un tercero.
El Instituto Americano de Contables Públicos Certificados (AICPA) ha desarrollado el marco de Control de organizaciones de servicios (SOC 3) para salvaguardar la confidencialidad y la privacidad de la información almacenada y tratada en las plataformas cloud.
ISO 27001 es un enfoque de la seguridad basado en estándares de reconocimiento mundial que define los requisitos del Sistema de Gestión de la Seguridad de la Información (SGSI) de una empresa.
ISO 27017, publicado en 2015, es un estándar complementario de la ISO 27001.
ISO 27018, publicado en 2014, es un estándar complementario de la ISO 27001.
ISO 27701, publicado en 2019, es un estándar complementario de ISO 27001.
Workday permite el cumplimiento del PCI DSS dentro del ámbito del entorno seguro para tarjetas de crédito de Workday, que es un entorno aislado que almacena, trata y transmite datos desenmascarados de titulares de tarjetas mediante integraciones predefinidas.
Workday ha adquirido una certificación externa sobre la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en relación con sus aplicaciones cloud empresariales, lo que garantiza que Workday cuenta con un programa de cumplimiento de la HIPAA con medidas adecuadas para guardar información personal y médica individual, acceder a ella y compartirla.
El Cybersecurity Framework (CSF) del NIST proporciona orientación a las empresas sobre cómo mejorar sus capacidades a la hora de prevenir y detectar riesgos de ciberseguridad y responder a ellos. El estándar de la publicación especial 800-171 del NIST guarda relación con la protección de información no clasificada controlada en organizaciones y sistemas de información no federales.
El marco G-Cloud es un acuerdo entre el gobierno del Reino Unido y los proveedores de servicios basados en tecnología cloud.
La autoevaluación para el registro de seguridad, confianza y garantía (STAR) de Cloud Security Alliance (CSA) consolida la información actual sobre controles y riesgos de seguridad en un cuestionario estándar del sector (CAIQ del STAR de CSA).
Workday es un participante activo en Privacy Shield. TRUSTe es el agente de verificación externo de Workday en Privacy Shield.
El Cloud Code of Conduct (CCoC) de la UE estipula los requisitos que permiten a los proveedores de servicios cloud (CSP) demostrar su capacidad de cumplir el reglamento RGPD.
Workday participa en el programa de prácticas de privacidad empresarial y gobierno de datos TRUSTe.
El SIG (Standardized Information Gathering) compila en un cuestionario estándar del sector preguntas sobre tecnología de la información y seguridad de los datos que abarcan un amplio abanico de áreas de control.
Cyber Essentials es un programa gubernamental británico para ayudar a las empresas a protegerse contra las amenazas a la ciberseguridad, mediante controles técnicos básicos.