CUMPLIMIENTO NORMATIVO DE WORKDAY

Nuestro programa de cumplimiento normativo

Nuestro estricto programa de cumplimiento normativo consta de auditorías de terceros y certificaciones internacionales destinadas a garantizar la seguridad y la privacidad de los datos, ofrecer protección frente a amenazas contra la seguridad o vulneraciones de datos, e impedir el acceso no autorizado a los datos.

Decorative

Recursos de cumplimiento normativo para su empresa

SOC de AICPA

SOC 1

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning

Los informes de Control de organizaciones de servicios (SOC 1) proporcionan información sobre el entorno de control de una organización de servicios que puede ser pertinente para los controles internos del cliente sobre los informes financieros.

Nuestro informe SOC 1 Tipo II se publica de acuerdo con la Norma Internacional sobre Contratos de Aseguramiento (ISAE) 3402 (Informes de aseguramiento sobre los controles en las organizaciones de servicios). El informe SOC 1, que se ocupa del diseño y la eficacia operativa de los controles pertinentes para las aplicaciones cloud empresariales de Workday, se publica semestralmente y cubre los semestres comprendidos entre el 1 de abril y el 30 de septiembre y entre el 1 de octubre y el 31 de marzo.

SOC de AICPA

SOC 2

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice

El informe SOC 2 Tipo II de Workday es una evaluación independiente de nuestro entorno de control, realizada por un tercero.

El informe SOC 2 se basa en los Criterios de Servicios de Confianza del AICPA y se publica anualmente de acuerdo con la Sección 101 de los Compromisos de atestación (AT) del AICPA. El informe cubre el periodo de 12 meses comprendido entre el 1 de octubre y el 30 de septiembre, y detalla el diseño y la eficacia operativa de los controles pertinentes para cualquier sistema que contenga datos de los clientes incluidos en las aplicaciones de Workday. El informe SOC 2 de productos Workday Enterprise cubre todos los Criterios de Servicios de Confianza (seguridad, disponibilidad, confidencialidad, integridad del tratamiento y privacidad). Además, el informe cubre el Cybersecurity Framework del NIST y la publicación especial 800-171 del NIST incluidos en el proceso SOC 2+ Additional Subject Matter, que incluye un estudio auditado de los controles de Workday en referencia a estos marcos.

SOC de AICPA

SOC 3

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning

El Instituto Americano de Contables Públicos Certificados (AICPA) ha desarrollado el marco de Control de organizaciones de servicios (SOC 3) para salvaguardar la confidencialidad y la privacidad de la información almacenada y tratada en las plataformas cloud.

El informe SOC 3, una evaluación independiente de nuestro entorno de control realizada por un tercero, está disponible públicamente y proporciona un resumen de nuestro entorno de control con respecto a la seguridad, disponibilidad, confidencialidad e integridad del tratamiento y a la privacidad de los datos de los clientes.

Vea nuestro informe SOC 3 para productos Workday Enterprise.

Vea nuestro informe SOC 3 para Workday Adaptive Planning.&

Vea nuestro informe SOC 3 para Workday Peakon.

Vea nuestro informe SOC 3 para Workday Strategic Sourcing.

icono globo terráqueo y candado

ISO 27001

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing

Nuestro Sistema de Gestión de la Seguridad de la Información (SGSI) cumple los requisitos establecidos en este enfoque de la seguridad basado en estándares, reconocido internacionalmente.&

Vea nuestro certificado ISO 27001& para productos Workday Enterprise.

Vea nuestro certificado ISO 27001& para Workday Adaptive Planning.

Vea nuestro certificado ISO 27001& para Workday Strategic Sourcing.

icono globo terráqueo y candado

ISO 27017

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning

Este estándar proporciona orientación sobre controles e implementaciones de los controles de seguridad de la información aplicables a la prestación y el uso de servicios cloud.

Vea nuestro certificado ISO 27017 para productos Workday Enterprise.

Vea nuestro certificado ISO 27017 para Workday Adaptive Planning.

icono globo terráqueo y candado

ISO& 27018

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning

Este estándar contiene pautas aplicables a los proveedores de servicios cloud que tratan datos personales.

Vea nuestro certificado ISO 27018 para productos Workday Enterprise.

Vea nuestro certificado ISO 27018 para Workday Adaptive Planning.

icono globo terráqueo y candado

ISO& 27701

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning

Este estándar proporciona los requisitos y las directrices para la implementación y la mejora continua del Sistema de Gestión de Información de Privacidad (Privacy Information Management System, PIMS) en una empresa, como ampliación de la norma ISO/IEC 27001.

Vea nuestro certificado ISO 27701& para productos Workday Enterprise.

Vea nuestro certificado ISO 27701 para Workday Adaptive Planning.

icono globo terráqueo y candado

PCI DSS

Aplicable a: productos Workday Enterprise

Workday permite el cumplimiento del PCI DSS dentro del ámbito del entorno seguro de Workday para tarjetas de crédito, que es un entorno aislado que almacena, trata y transmite datos desenmascarados de titulares de tarjetas mediante integraciones predefinidas.

Este entorno lo evalúan anualmente Asesores de Seguridad Cualificados para comprobar que cumple los requisitos del PCI DSS. Workday ha mantenido el cumplimiento del PCI DSS desde 2013. A los clientes que usan el entorno seguro para tarjetas de crédito de Workday, Workday puede proporcionarles una copia del informe de evaluación anual si lo solicitan.

privacidad certificada por TRUSTe

Certificación TRUSTe de privacidad empresarial y gobierno de datos

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing

Workday participa en el programa de prácticas de privacidad empresarial y gobierno de datos TRUSTe.

Este programa está diseñado para que empresas como Workday puedan demostrar que sus prácticas de privacidad y gobierno de datos relativas a la información personal cumplen con estándares basados en leyes y normativas reglamentarias reconocidas, entre ellas las directrices de privacidad de la OCDE, el marco de privacidad de APEC, el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de EE. UU., la norma internacional ISO 27001 sobre sistemas de gestión de la seguridad de la información y otras leyes y reglas de privacidad internacionales.&

Vea nuestra certificación de TRUSTe.

icono globo terráqueo y candado

Cuestionario SIG

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice

El cuestionario Standardized Information Gathering (SIG) es una compilación de preguntas estándar del sector utilizadas para evaluar la tecnología de la información y la seguridad de los datos en un amplio ámbito de áreas de control de riesgos.

Su emisión corre a cargo de Shared Assessments, una empresa internacional de seguros de riesgos de terceros. Workday se autoevalúa anualmente de acuerdo con el SIG, lo que proporciona a los clientes una visión detallada de nuestro entorno de control con relación a una serie de requerimientos estandarizados. Los clientes pueden acceder al cuestionario SIG& en la Comunidad Workday.

nist

CSF del NIST y publicación especial 800-171 del NIST

Aplicable a: productos Workday Enterprise

El Cybersecurity Framework (CSF) del NIST proporciona a las empresas orientación sobre cómo mejorar sus capacidades a la hora de prevenir y detectar riesgos de ciberseguridad y responder a ellos. El marco de privacidad del NIST ofrece asesoramiento para medir y mejorar el programa de privacidad de una empresa. El estándar de la publicación especial 800-171 del NIST guarda relación con la protección de información no clasificada controlada en organizaciones y sistemas de información no federales.

Workday ha vinculado los controles SOC 2 pertinentes a los estándares del CSF del NIST y la publicación especial 800-171 del NIST. Esa vinculación se ha auditado como parte del informe de Workday SOC 2+.

privacidad certificada por TRUSTe

TrustArc y Privacy Shield

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing

Workday es un participante activo en Privacy Shield. TRUSTe es el agente de verificación externo de Workday en Privacy Shield.

Vea nuestro certificado.

EU Cloud COC (Código de conducta cloud de la UE)

EU Cloud Code of Conduct

Código de conducta cloud de la UE

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning

El Código de conducta cloud (CCoC) de la UE estipula los requisitos que permiten a los proveedores de servicios cloud (CSP) demostrar su capacidad de cumplir el RGPD.

Vea la certificación de Workday.

HIPAA

HIPAA

Aplicable a: productos Workday Enterprise

Workday ha adquirido una certificación externa sobre la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en relación con sus aplicaciones cloud empresariales, lo que garantiza que Workday cuenta con un programa de cumplimiento de la HIPAA con medidas adecuadas para guardar información personal y médica individual, acceder a ella y compartirla.

Workday ofrece un whitepaper en el que se resumen los detalles de esta evaluación. Además, Workday firmará acuerdos de socios comerciales (BAA, por sus siglas en inglés) con los clientes cuando así se requiera. Estos acuerdos garantizan que nuestros clientes pueden cumplir los requisitos de la HIPAA y la Health Information Technology for Economic and Clinical Health Act (HITECH).

fedramp

FedRAMP de nivel moderado

Aplicable a: productos Workday Enterprise

El Federal Risk and Authorization Management Program (FedRAMP) es un programa del gobierno estadounidense que permite a las agencias federales del país adoptar sistemas cloud en sus entornos de TI. FedRAMP ofrece un enfoque estandarizado en lo relativo a la seguridad y la evaluación de riesgos, para que las tecnologías cloud y las agencias federales suministren de continuo la más alta protección a los datos federales en cloud.

Workday cuenta con la autorización de FedRAMP a nivel de impacto de seguridad moderado para Workday Government Cloud.

icono globo terráqueo y candado

G-Cloud

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Peakon Employee Voice

El marco G-Cloud es un acuerdo entre el gobierno del Reino Unido y los proveedores de servicios basados en tecnología cloud.

G-Cloud permite a los proveedores de servicios basados en tecnología cloud ofrecer sus servicios cloud a organizaciones del sector público del Reino Unido y, una vez aceptada la oferta, vendérselos. El marco G-Cloud lo actualiza anualmente el órgano rector, Crown Commercial Service (CCS).

Actualmente, las organizaciones del sector público del Reino Unido pueden comprar los servicios ofertados por Workday a través del Digital Marketplace de CCS.

cyber essentials

Cyber Essentials

Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice

Cyber Essentials es un programa gubernamental británico para ayudar a las empresas a protegerse contra las amenazas a la ciberseguridad mediante controles técnicos básicos.

Vea nuestro certificado de Cyber Essentials.

irap

IRAP (Australia)

Aplicable a: productos Workday Enterprise

El gobierno australiano mantiene documentación de seguridad relativa al uso de servicios de tecnología de la información y comunicaciones, entre ellos servicios cloud. La información figura en el Information Security Manual (ISM) y el Protective Security Policy Framework (PSPF). El Infosec Registered Assessors Program (IRAP), mantenido por el Australian Cyber Security Centre (ACSC), permite que asesores individuales comprueben la eficiencia de una empresa, basada en los controles del ISM y el PSPF.&

Workday utiliza un asesor de terceros para realizar una evaluación IRAP de la idoneidad de los controles en el ISM y el PSPF con relación a los entornos de producción de Workday en el nivel protegido.


Adquiera la capacidad de adaptarse

¿Preparados para el cambio? Póngase en contacto.