La confianza forma parte del ADN de Workday. Para mantener la seguridad y privacidad de sus datos, implementamos las mejores y más avanzadas medidas de seguridad del sector y supervisamos continuamente nuestro sistema con el objetivo de asegurarle que sus datos más confidenciales están siempre protegidos en la plataforma cloud.
En Workday, nuestra máxima prioridad es proteger los datos de nuestros clientes. Adoptamos rigurosas medidas de seguridad a nivel organizacional, de arquitectura y operativo para garantizar la seguridad de sus datos, sus aplicaciones y su infraestructura.
Aquí, la seguridad cuenta desde el primer día. Todos los empleados reciben formación sobre seguridad, privacidad y cumplimiento normativo en el momento en el que se incorporan. Aunque el grado de implicación puede variar según el rol, en Workday la seguridad es responsabilidad de todos los empleados.
Este compromiso con la seguridad llega hasta nuestros ejecutivos. El Workday Security Council, un grupo multidisciplinario de ejecutivos, determina nuestros programas de seguridad, fomenta la alineación de todos los ejecutivos y garantiza que la concienciación y las iniciativas sobre seguridad lleguen a todos los rincones de nuestra empresa.
Nuestros clientes son responsables de sus propios datos y Workday se encarga de su tratamiento. Esto significa que el cliente tiene control absoluto sobre los datos que se introducen en el sistema, así como sobre todos los ajustes y configuraciones. Dado que es el responsable de sus propios datos (y nosotros solo nos encargamos de su tratamiento), no tiene por qué depender de nosotros para realizar tareas diarias como las siguientes:
Workday cifra todos los atributos de los datos del cliente antes de guardarlos en una base de datos. Esta es una característica de diseño fundamental de la tecnología de Workday. Dado que Workday es una aplicación orientada a objetos in-memory, y no un sistema de gestión de bases de datos relacionales (RDBMS) basado en disco, podemos alcanzar el máximo nivel de cifrado. Usamos el algoritmo Advanced Encryption Standard (AES) con una clave de cifrado de 256 bits única para cada cliente.
Transport Layer Security (TLS) protege el acceso del usuario a través de Internet, lo que contribuye a proteger el tráfico de red de la interceptación pasiva, la manipulación activa o la falsificación de mensajes. Las integraciones basadas en archivos pueden cifrarse mediante PGP o con un par de claves pública y privada generado por Workday, usando un certificado generado por el cliente. También se admite WS-Security en las integraciones de servicios web realizadas en la API de Workday.
El acceso de seguridad de Workday está basado en roles y admite autenticación delegada LDAP, SAML para inicio de sesión único y autenticación mediante certificados x509 para integraciones de usuario y servicios web.
Compatibilidad con inicio de sesión único
SAML permite una experiencia de inicio de sesión único fluida entre el portal web interno del cliente y Workday. Los clientes inician sesión en el portal web interno de su empresa con su nombre de usuario y su contraseña, y a continuación aparece un link a Workday, lo que permite que los clientes accedan inmediatamente sin tener que volver a iniciar sesión. Workday también admite OpenID Connect.
Inicio de sesión nativo de Workday
Si el cliente desea usar nuestro inicio de sesión nativo, solo almacenamos la contraseña de Workday como hash seguro, y no como contraseña propiamente dicha. Toda intento de inicio de sesión fallido, así como toda actividad relacionada con los inicios y cierres de sesión correctos, se registra para posibles auditorías. Las sesiones de usuario inactivas caducan de forma automática después de un tiempo especificado, que puede configurar el usuario.
Entre las reglas de contraseña que puede configurar el cliente se incluyen la longitud, la complejidad, la caducidad y las preguntas para recuperar una contraseña olvidada.
Autenticación multifactor
Recomendamos a los clientes usar la autenticación multifactor (MFA). Workday permite a los clientes tener su propio proveedor de MFA respaldado por el algoritmo TOTP (código de acceso de un solo uso y duración definida). Con esta configuración, los clientes pueden integrar fácilmente proveedores de MFA con el inicio de sesión nativo de Workday. Workday también permite a los usuarios finales de los clientes recibir un código de acceso de un solo uso mediante un mecanismo de conversión de correo electrónico en SMS. Por último, Workday admite preguntas para recuperar una contraseña olvidada como mecanismo adicional para demostrar la identidad de un usuario.
Autenticación de nivel superior
Si alguien deja su consola abierta o si varios usuarios acceden a Workday desde el mismo dispositivo, las empresas que usan SAML como tipo de autenticación pueden protegerse contra el acceso no autorizado identificando los elementos clave en Workday. Esto permite que los clientes impongan el uso de un factor de autenticación secundario que los usuarios deben introducir para acceder a esos elementos.
Las aplicaciones de Workday están alojadas en centros de datos de última generación diseñados para proteger los sistemas informáticos esenciales con subsistemas redundantes y zonas de seguridad compartimentadas. Nuestros centros de datos cuentan con las medidas físicas de seguridad más estrictas, entre las que se incluyen, por ejemplo, las siguientes:
Todo el acceso físico a los centros de datos está altamente restringido y regulado.
Workday ha implementado políticas, procedimientos y procesos operativos precisos ideados para ayudar a gestionar la calidad y la integridad generales del entorno Workday. También hemos implementado procedimientos proactivos de seguridad, como los sistemas de prevención de intrusiones (IPS) en la red y la defensa perimetral.
Los IPS de red supervisan los segmentos de red críticos en busca de patrones de red atípicos en el entorno del cliente, además de vigilar el tráfico entre los niveles y el servicio. También contamos con un centro de operaciones de seguridad global que funciona ininterrumpidamente todos los días del año.
Workday ha implementado un ciclo de vida de desarrollo de software (SDLC) empresarial seguro para ayudar a garantizar en todo momento la seguridad de las aplicaciones de Workday.
Este programa incluye una exhaustiva evaluación de los riesgos de seguridad y la revisión de las funcionalidades de Workday. Además, se realizan análisis de código fuente estáticos y dinámicos para ayudar a integrar la seguridad empresarial en el ciclo de vida de desarrollo. El proceso de desarrollo se refuerza aún más con la formación en seguridad de aplicaciones que reciben los desarrolladores y con las pruebas de penetración de la aplicación.
Workday contrata a empresas externas expertas para realizar evaluaciones independientes de vulnerabilidades internas y externas de redes, sistemas y aplicaciones.
Aplicación
Contratamos a una empresa externa de seguridad de reconocido prestigio para que realice una evaluación de vulnerabilidades de seguridad de nuestra aplicación web y móvil antes de cada lanzamiento importante. La empresa aplica procedimientos de control para identificar vulnerabilidades de seguridad de aplicaciones web estándar y avanzadas, entre las que se incluyen, por ejemplo, las siguientes:
Red
Las evaluaciones de vulnerabilidades externas analizan todos los activos expuestos en Internet, incluidos los firewalls, los routers y los servidores web, en busca de vulnerabilidades potenciales que puedan permitir el acceso no autorizado a la red. Además, se realiza una evaluación de la red y del sistema en busca de vulnerabilidades internas de autenticación para identificar vulnerabilidades potenciales e incoherencias con las políticas de seguridad generales del sistema.
Las normativas sobre privacidad de los datos son complejas, varían de un país a otro e imponen requisitos severos. Al elegir una aplicación de HCM, de finanzas o de otro tipo, las empresas deben seleccionar una que permita a los clientes cumplir sus obligaciones en materia de protección de datos y garantizar la privacidad de sus datos. Con Workday obtiene la mejor funcionalidad en materia de privacidad y prácticas que le permiten cumplir sus obligaciones de privacidad.
Además, ofrecemos a nuestros clientes los recursos y la información que necesitan para comprender y validar los requisitos de privacidad y cumplimiento normativo de su empresa y mostramos cómo puede ayudar Workday a llevar a buen término sus medidas en materia de cumplimiento normativo.
Workday ha basado su programa de privacidad en estrictas políticas y procedimientos de uso, divulgación, transferencia y acceso a los datos de los clientes. Lo fundamental de nuestro programa de privacidad es que los empleados de Workday no acceden a los datos de los clientes ni usan, ni divulgan ni transfieren dichos datos a menos que se haya establecido así en un acuerdo contractual o por indicación del cliente.
Las cuestiones relacionadas con la protección de datos y su legislación a escala internacional no paran de evolucionar y son cada vez más complejas. Por eso, Workday entiende la importancia de contar con un programa de privacidad arraigado en la cultura y en los servicios de nuestra empresa. Nuestra filosofía de Privacidad desde el diseño es la prueba de nuestro compromiso y proporciona a nuestros clientes la seguridad que necesitan en materia de privacidad y protección de sus datos.
El equipo de privacidad, ética y cumplimiento normativo de Workday, liderado por nuestro Chief Privacy Officer, gestiona el programa de privacidad y supervisa su eficacia. El equipo es responsable de:
La privacidad y la protección de los datos requieren vigilancia permanente, y tenemos el firme compromiso de proteger los datos personales de nuestros clientes y empleados. Obtenga más información sobre cómo asumimos los principios fundamentales de la privacidad.
Revise nuestra política de privacidad para obtener más información sobre cómo gestionamos y protegemos la información de nuestros clientes.
Hemos integrado de forma nativa un programa de privacidad holístico en nuestros servicios, desde el diseño inicial hasta el lanzamiento. Este programa, basado en nuestra filosofía de Privacidad desde el diseño, orienta nuestra forma de desarrollar productos y prestar servicios.
Somos claros en lo que respecta a las regiones geográficas en las que se almacenan y tratan los datos de nuestros clientes.
Workday y sus clientes deben cumplir diferentes leyes y normativas de privacidad globales. Entre los principios de privacidad generales que se encuentran en todas las jurisdicciones se incluyen el aviso, la elección, el acceso, el uso, la divulgación y la seguridad. Nuestra aplicación permite al usuario plantear distintas configuraciones con el objetivo de cumplir las leyes específicas de su país. Workday también cumple con las normativas de privacidad internacionales gracias a un completo programa de seguridad de la información perfectamente documentado que contiene medidas de seguridad técnicas y organizacionales diseñadas para prevenir el acceso no autorizado a los datos del cliente y el uso o la divulgación no autorizados de dichos datos. Workday mantiene su compromiso con los estándares de privacidad globales, como demuestran nuestra dedicación a programas como Privacy Shield y la implementación de las Normas corporativas vinculantes (BCR) y las Reglas de Privacidad Transfronteriza del Foro de Cooperación Económica Asia-Pacífico.
El panorama de la privacidad de los datos en la UE ha cambiado significativamente con el Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2018. El RGPD ha armonizado las diferentes leyes de protección de datos existentes en Europa. Workday confía plenamente en poder continuar tratando los datos personales de sus clientes garantizando la alineación con el RGPD y supervisa las orientaciones emitidas por las autoridades de control de la UE sobre ese asunto. Si se requieren cambios, actuaremos rápidamente para afrontarlos.
Workday evaluó tanto los requisitos del RGPD como sus propias y numerosas prácticas de privacidad y seguridad para garantizar el cumplimiento del RGPD desde el primer día. Entre ellas se incluyen:
Privacidad desde el diseño y Privacidad por defecto son conceptos consagrados en el servicio de Workday. Workday reconoce que el RGPD es una prioridad empresarial muy importante para nuestros clientes globales. Por ello, Workday continúa supervisando las orientaciones emitidas por las autoridades de control de la UE sobre el RGPD para garantizar que su programa de cumplimiento normativo esté siempre actualizado.
Workday comprende que, como encargado del tratamiento de datos, una actitud conforme con el RGPD no solo es importante para la empresa, sino también para que nuestros clientes puedan usar el servicio de Workday con el objetivo de que les ayude a cumplir sus requisitos internos de cumplimiento normativo. Por eso, Workday ofrece herramientas que ayudan a cumplir las obligaciones de sus clientes en lo referente al RGPD. El servicio de Workday permite a los clientes tratar datos personales dentro de su propio cliente privado. Obtenga más información sobre cómo facilitamos que nuestros clientes cumplan sus obligaciones en lo referente al RGPD.
Workday se comprometió a cumplir el Privacy Shield el primer día que el Departamento de Comercio de los Estados Unidos lanzó el proceso de certificación del Privacy Shield, con lo que demostró su decidido compromiso con la privacidad y la protección de los datos de sus clientes.
El marco Privacy Shield permite las transferencias de datos personales entre la UE y los EE. UU., así como entre Suiza y los EE. UU. Mientras que las empresas pueden adherirse voluntariamente al Privacy Shield, Workday en cambio usa TRUSTe como agente de verificación externo para dejar aún más patente nuestro cumplimiento normativo. Workday continúa contratando a terceros para revisar su programa de privacidad de datos con regularidad con el objetivo de garantizar que nuestros clientes disfruten de los mayores niveles posibles de protección y privacidad de datos. Obtenga más información sobre nuestro método de verificación TRUSTe en Privacy Shield.
Workday se ha adherido voluntariamente al Privacy Shield y, además, las autoridades de protección de datos europeas han aprobado las normas corporativas vinculantes (BCR por sus siglas en inglés) de Workday como encargado del tratamiento de datos. La autoridad de protección de datos irlandesa era la autoridad principal para Workday, pues su sede en la UE se encuentra en Dublín. Las autoridades de protección de datos del Reino Unido y los Países Bajos actuaron como autoridades secundarias. Los compromisos de las BCR de Workday con los titulares de los datos de nuestros clientes están disponibles aquí.
Workday observa las Reglas de Privacidad Transfronteriza del Foro de Cooperación Económica Asia-Pacífico (CBPR del APEC) y las Reglas de Privacidad para Encargados del Tratamiento de Datos del Foro de Cooperación Económica Asia-Pacífico (PRP del APEC). Las certificaciones del APEC son un conjunto de estándares de privacidad voluntarios desarrollados para responsables y encargados del tratamiento de datos, respectivamente, con el objetivo de facilitar las transferencias de datos entre países del APEC. Estas certificaciones demuestran el cumplimiento de altos estándares de privacidad en toda la región Asia-Pacífico.
Workday fue una de las primeras empresas en cumplir las CBPR del APEC en marzo de 2014, y la primera en cumplir las PRP del APEC en septiembre de 2018. Hemos recibido un certificado externo de TRUSTe, que es el agente de responsabilidad del APEC en los Estados Unidos.
Al mantener el cumplimiento de las CBPR y las PRP del APEC y cumplir los requisitos de privacidad del Espacio Económico Europeo, Workday puede demostrar el cumplimiento de sólidos marcos de privacidad globales.
Los líderes tecnológicos de hoy deben proteger los datos de los clientes, de los empleados y de la propiedad intelectual de sus empresas en un entorno en el que las amenazas contra la seguridad son cada vez más complejas. Las empresas también son responsables de cumplir todas las leyes aplicables, incluidas las relacionadas con la privacidad de los datos y la transmisión de datos personales, aunque un proveedor de servicios almacene y trate los datos de la empresa en su nombre.
Workday cuenta con un programa de seguridad formal, global y completo, diseñado para garantizar la seguridad y la integridad de los datos del cliente, servir de protección en caso de que se produzcan amenazas contra la seguridad o vulneraciones de datos y prevenir el acceso no autorizado a los datos de nuestros clientes. Los detalles de nuestro programa de seguridad se indican en nuestras certificaciones internacionales y en nuestras auditorías de seguridad externas.
Para ayudar a sus equipos jurídicos y de cumplimiento normativo a comprender y validar los requisitos de cumplimiento normativo de su empresa, hemos recopilado los siguientes recursos de cumplimiento normativo.
Los informes de Control de organizaciones de servicios (SOC 1) proporcionan información sobre el entorno de control de una organización de servicios que puede ser pertinente para los controles internos del cliente sobre los informes financieros.
El informe SOC 2 Tipo II de Workday es una evaluación independiente de nuestro entorno de control realizada por un tercero.
El Instituto Americano de Contables Públicos Certificados (AICPA) ha desarrollado el marco de Control de organizaciones de servicios (SOC 3) para salvaguardar la confidencialidad y la privacidad de la información almacenada y tratada en las plataformas cloud.
ISO 27001 es un enfoque de la seguridad basado en estándares reconocidos mundialmente que define los requisitos del Sistema de Gestión de la Seguridad de la Información (SGSI) de una empresa.
ISO 27017, publicado en 2015, es un estándar complementario de la ISO 27001.
ISO 27018, publicado en 2014, es un estándar complementario de la ISO 27001.
Workday permite el cumplimiento del PCI DSS dentro del ámbito del entorno seguro para tarjetas de crédito de Workday, que es un entorno aislado que almacena, trata y transmite datos desenmascarados de titulares de tarjetas mediante integraciones predefinidas.
Workday ha finalizado una certificación externa sobre la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en relación con las aplicaciones cloud empresariales de Workday, que garantiza que Workday cuenta con un programa de cumplimiento de la HIPAA con medidas adecuadas para guardar información personal y médica individual, acceder a ella y compartirla.
El Cybersecurity Framework (CSF) del NIST proporciona orientación a las empresas sobre cómo mejorar sus capacidades a la hora de prevenir y detectar riesgos de ciberseguridad y responder a ellos. El estándar de la publicación especial 800-171 del NIST guarda relación con la protección de información no clasificada controlada en organizaciones y sistemas de información no federales.
El marco G-Cloud es un acuerdo entre el gobierno del Reino Unido y los proveedores de servicios basados en tecnología cloud.
La autoevaluación para el registro de seguridad, confianza y garantía (STAR) de Cloud Security Alliance (CSA) consolida la información actual sobre controles y riesgos de seguridad en un cuestionario estándar del sector (CAIQ del STAR de CSA).
El Privacy Shield entre la UE y los EE. UU. y el Privacy Shield entre Suiza y los EE. UU. son nuevos marcos de transferencia de datos que permiten transferencias de datos personales entre la UE y Suiza y los EE. UU.
Workday participa en el programa de prácticas de privacidad empresarial y gobierno de datos TRUSTe.
El SIG (Standardized Information Gathering) compila en un cuestionario estándar del sector preguntas sobre tecnología de la información y seguridad de los datos que abarcan un amplio ámbito de áreas de control.
Cyber Essentials es un programa gubernamental británico para ayudar a las empresas a protegerse contra las amenazas a la ciberseguridad, mediante controles técnico básicos.