CUMPLIMIENTO NORMATIVO DE WORKDAY
Nuestro programa de cumplimiento normativo
Nuestro estricto programa de cumplimiento normativo consta de auditorías de terceros y certificaciones internacionales destinadas a garantizar la seguridad y la privacidad de los datos, ofrecer protección frente a amenazas contra la seguridad o vulneraciones de datos, e impedir el acceso no autorizado a los datos.
Recursos de cumplimiento normativo para su empresa
SOC 1
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
Los informes de Control de organizaciones de servicios (SOC 1) proporcionan información sobre el entorno de control de una organización de servicios que puede ser pertinente para los controles internos del cliente sobre los informes financieros.
Nuestro informe SOC 1 Tipo II se publica de acuerdo con la Norma Internacional sobre Contratos de Aseguramiento (ISAE) 3402 (Informes de aseguramiento sobre los controles en las organizaciones de servicios). El informe SOC 1, que se ocupa del diseño y la eficacia operativa de los controles pertinentes para las aplicaciones cloud empresariales de Workday, se publica semestralmente y cubre los semestres comprendidos entre el 1 de abril y el 30 de septiembre y entre el 1 de octubre y el 31 de marzo.
SOC 2
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
El informe SOC 2 Tipo II de Workday es una evaluación independiente de nuestro entorno de control, realizada por un tercero.
El informe SOC 2 se basa en los Criterios de Servicios de Confianza del AICPA y se publica anualmente de acuerdo con la Sección 101 de los Compromisos de atestación (AT) del AICPA. El informe cubre el periodo de 12 meses comprendido entre el 1 de octubre y el 30 de septiembre, y detalla el diseño y la eficacia operativa de los controles pertinentes para cualquier sistema que contenga datos de los clientes incluidos en las aplicaciones de Workday. El informe SOC 2 de productos Workday Enterprise cubre todos los Criterios de Servicios de Confianza (seguridad, disponibilidad, confidencialidad, integridad del tratamiento y privacidad). Además, el informe cubre el Cybersecurity Framework del NIST y la publicación especial 800-171 del NIST incluidos en el proceso SOC 2+ Additional Subject Matter, que incluye un estudio auditado de los controles de Workday en referencia a estos marcos.
SOC 3
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
El Instituto Americano de Contables Públicos Certificados (AICPA) ha desarrollado el marco de Control de organizaciones de servicios (SOC 3) para salvaguardar la confidencialidad y la privacidad de la información almacenada y tratada en las plataformas cloud.
El informe SOC 3, una evaluación independiente de nuestro entorno de control realizada por un tercero, está disponible públicamente y proporciona un resumen de nuestro entorno de control con respecto a la seguridad, disponibilidad, confidencialidad e integridad del tratamiento y a la privacidad de los datos de los clientes.
Vea nuestro informe SOC 3 para productos Workday Enterprise.
Vea nuestro informe SOC 3 para Workday Adaptive Planning.&
Vea nuestro informe SOC 3 para Workday Peakon.
Vea nuestro informe SOC 3 para Workday Strategic Sourcing.
ISO 27001
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing
Nuestro Sistema de Gestión de la Seguridad de la Información (SGSI) cumple los requisitos establecidos en este enfoque de la seguridad basado en estándares, reconocido internacionalmente.&
Vea nuestro certificado ISO 27001& para productos Workday Enterprise.
Vea nuestro certificado ISO 27001& para Workday Adaptive Planning.
Vea nuestro certificado ISO 27001& para Workday Strategic Sourcing.
ISO 27017
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
Este estándar proporciona orientación sobre controles e implementaciones de los controles de seguridad de la información aplicables a la prestación y el uso de servicios cloud.
Vea nuestro certificado ISO 27017 para productos Workday Enterprise.
Vea nuestro certificado ISO 27017 para Workday Adaptive Planning.
ISO& 27018
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
Este estándar contiene pautas aplicables a los proveedores de servicios cloud que tratan datos personales.
Vea nuestro certificado ISO 27018 para productos Workday Enterprise.
Vea nuestro certificado ISO 27018 para Workday Adaptive Planning.
ISO& 27701
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
Este estándar proporciona los requisitos y las directrices para la implementación y la mejora continua del Sistema de Gestión de Información de Privacidad (Privacy Information Management System, PIMS) en una empresa, como ampliación de la norma ISO/IEC 27001.
Vea nuestro certificado ISO 27701& para productos Workday Enterprise.
Vea nuestro certificado ISO 27701 para Workday Adaptive Planning.
PCI DSS
Aplicable a: productos Workday Enterprise
Workday permite el cumplimiento del PCI DSS dentro del ámbito del entorno seguro de Workday para tarjetas de crédito, que es un entorno aislado que almacena, trata y transmite datos desenmascarados de titulares de tarjetas mediante integraciones predefinidas.
Este entorno lo evalúan anualmente Asesores de Seguridad Cualificados para comprobar que cumple los requisitos del PCI DSS. Workday ha mantenido el cumplimiento del PCI DSS desde 2013. A los clientes que usan el entorno seguro para tarjetas de crédito de Workday, Workday puede proporcionarles una copia del informe de evaluación anual si lo solicitan.
Certificación TRUSTe de privacidad empresarial y gobierno de datos
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing
Workday participa en el programa de prácticas de privacidad empresarial y gobierno de datos TRUSTe.
Este programa está diseñado para que empresas como Workday puedan demostrar que sus prácticas de privacidad y gobierno de datos relativas a la información personal cumplen con estándares basados en leyes y normativas reglamentarias reconocidas, entre ellas las directrices de privacidad de la OCDE, el marco de privacidad de APEC, el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de EE. UU., la norma internacional ISO 27001 sobre sistemas de gestión de la seguridad de la información y otras leyes y reglas de privacidad internacionales.&
Vea nuestra certificación de TRUSTe.
Cuestionario SIG
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
El cuestionario Standardized Information Gathering (SIG) es una compilación de preguntas estándar del sector utilizadas para evaluar la tecnología de la información y la seguridad de los datos en un amplio ámbito de áreas de control de riesgos.
Su emisión corre a cargo de Shared Assessments, una empresa internacional de seguros de riesgos de terceros. Workday se autoevalúa anualmente de acuerdo con el SIG, lo que proporciona a los clientes una visión detallada de nuestro entorno de control con relación a una serie de requerimientos estandarizados. Los clientes pueden acceder al cuestionario SIG& en la Comunidad Workday.
CSF del NIST y publicación especial 800-171 del NIST
Aplicable a: productos Workday Enterprise
El Cybersecurity Framework (CSF) del NIST proporciona a las empresas orientación sobre cómo mejorar sus capacidades a la hora de prevenir y detectar riesgos de ciberseguridad y responder a ellos. El marco de privacidad del NIST ofrece asesoramiento para medir y mejorar el programa de privacidad de una empresa. El estándar de la publicación especial 800-171 del NIST guarda relación con la protección de información no clasificada controlada en organizaciones y sistemas de información no federales.
Workday ha vinculado los controles SOC 2 pertinentes a los estándares del CSF del NIST y la publicación especial 800-171 del NIST. Esa vinculación se ha auditado como parte del informe de Workday SOC 2+.
TrustArc y Privacy Shield
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing
Workday es un participante activo en Privacy Shield. TRUSTe es el agente de verificación externo de Workday en Privacy Shield.
Vea nuestro certificado.
EU Cloud Code of Conduct
Código de conducta cloud de la UE
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
El Código de conducta cloud (CCoC) de la UE estipula los requisitos que permiten a los proveedores de servicios cloud (CSP) demostrar su capacidad de cumplir el RGPD.
Vea la certificación de Workday.
HIPAA
Aplicable a: productos Workday Enterprise
Workday ha adquirido una certificación externa sobre la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en relación con sus aplicaciones cloud empresariales, lo que garantiza que Workday cuenta con un programa de cumplimiento de la HIPAA con medidas adecuadas para guardar información personal y médica individual, acceder a ella y compartirla.
Workday ofrece un whitepaper en el que se resumen los detalles de esta evaluación. Además, Workday firmará acuerdos de socios comerciales (BAA, por sus siglas en inglés) con los clientes cuando así se requiera. Estos acuerdos garantizan que nuestros clientes pueden cumplir los requisitos de la HIPAA y la Health Information Technology for Economic and Clinical Health Act (HITECH).
FedRAMP de nivel moderado
Aplicable a: productos Workday Enterprise
El Federal Risk and Authorization Management Program (FedRAMP) es un programa del gobierno estadounidense que permite a las agencias federales del país adoptar sistemas cloud en sus entornos de TI. FedRAMP ofrece un enfoque estandarizado en lo relativo a la seguridad y la evaluación de riesgos, para que las tecnologías cloud y las agencias federales suministren de continuo la más alta protección a los datos federales en cloud.
Workday cuenta con la autorización de FedRAMP a nivel de impacto de seguridad moderado para Workday Government Cloud.
G-Cloud
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Peakon Employee Voice
El marco G-Cloud es un acuerdo entre el gobierno del Reino Unido y los proveedores de servicios basados en tecnología cloud.
G-Cloud permite a los proveedores de servicios basados en tecnología cloud ofrecer sus servicios cloud a organizaciones del sector público del Reino Unido y, una vez aceptada la oferta, vendérselos. El marco G-Cloud lo actualiza anualmente el órgano rector, Crown Commercial Service (CCS).
Actualmente, las organizaciones del sector público del Reino Unido pueden comprar los servicios ofertados por Workday a través del Digital Marketplace de CCS.
Cyber Essentials
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
Cyber Essentials es un programa gubernamental británico para ayudar a las empresas a protegerse contra las amenazas a la ciberseguridad mediante controles técnicos básicos.
Vea nuestro certificado de Cyber Essentials.
IRAP (Australia)
Aplicable a: productos Workday Enterprise
El gobierno australiano mantiene documentación de seguridad relativa al uso de servicios de tecnología de la información y comunicaciones, entre ellos servicios cloud. La información figura en el Information Security Manual (ISM) y el Protective Security Policy Framework (PSPF). El Infosec Registered Assessors Program (IRAP), mantenido por el Australian Cyber Security Centre (ACSC), permite que asesores individuales comprueben la eficiencia de una empresa, basada en los controles del ISM y el PSPF.&
Workday utiliza un asesor de terceros para realizar una evaluación IRAP de la idoneidad de los controles en el ISM y el PSPF con relación a los entornos de producción de Workday en el nivel protegido.
Adquiera la capacidad de adaptarse