LA SEGURIDAD DE WORKDAY
Cómo protegemos sus datos
Nos comprometemos a proteger sus datos y a una comunicación transparente. Utilizamos medidas rigurosas para nuestro personal, nuestros procesos y nuestra tecnología, a fin de proteger sus datos, aplicaciones e infraestructura.
Personas dignas de confianza
La seguridad es responsabilidad de todos en Workday. Tanto los empleados como los clientes contribuyen a cumplir nuestros objetivos de seguridad. Por eso Workday procura que todo el mundo reciba información, capacitación y apoyo para priorizar la seguridad y utilizar las mejores prácticas.
Líderes y empleados
Los líderes priorizan la seguridad en todos los niveles de nuestra empresa. Todos los empleados tienen la responsabilidad de proteger los datos de nuestros clientes y reciben formación sobre seguridad, privacidad y cumplimiento normativo desde que se incorporan a la empresa. Nuestro equipo de seguridad de la información proporciona formación constante para minimizar los riesgos. Y los promotores de seguridad de Workday propugnan las mejores prácticas al respecto haciendo que los empleados se impliquen y disfruten.
Clientes
Nuestros clientes tienen pleno control de los datos que introducen en Workday, y también de todos los ajustes y configuraciones. Workday ofrece formación, apoyo experto, documentación detallada, comunicación oportuna y una comunidad de usuarios que le ayudarán a proteger sus datos y sacar el máximo provecho a nuestra robustas herramientas de seguridad.
"Con Workday redujimos 262 sistemas a unas pocas aplicaciones generales, lo que nos permitió aumentar la seguridad, mejorar la funcionalidad y avanzar gracias a la innovación".
—Chief Information Officer
Procesos que protegen
Para proteger sus datos, Workday cuenta con políticas, procedimientos y procesos operativos detallados para nuestros centros de datos, redes y aplicaciones.
Las aplicaciones de Workday están alojadas en centros de datos de última generación, dotados de subsistemas totalmente redundantes y zonas de seguridad compartimentadas. Los centros de datos cumplen estrictas medidas de seguridad físicas y medioambientales. Las instalaciones requieren múltiples niveles de autenticación para acceder a infraestructuras críticas.
Los sistemas de cámaras de vigilancia están situados en los puntos de entrada internos y externos críticos. Y el personal de seguridad vigila los centros de datos de forma ininterrumpida. Los centros de datos cuentan con medidas redundantes de protección ambiental y sistemas de reserva para gestionar el consumo energético—entre ellos sistemas de control de incendios, gestión de alimentación, calefacción, ventilación y aire acondicionado— configurados con una redundancia mínima de N+1.
Protegemos nuestra red mediante políticas, procedimientos y procesos de eficacia demostrada, como la defensa perimetral, la prevención contra amenazas y herramientas de detección que identifican patrones de red atípicos en el entorno del cliente y vigilan el tráfico entre niveles y servicios. También contamos con un centro de operaciones de seguridad global que funciona ininterrumpidamente todos los días del año.
Las múltiples evaluaciones de vulnerabilidades externas realizadas por terceros analizan los activos expuestos en Internet, incluidos los firewalls, los routers y los servidores web que puedan permitir accesos no autorizados a la red. Además, utilizamos una evaluación de la red y del sistema que busca vulnerabilidades internas de autenticación, para identificar posibles puntos débiles e incoherencias con las políticas de seguridad generales del sistema.
Cada uno de los pasos de desarrollo, prueba e implementación de aplicaciones se ha diseñado para proteger nuestros productos. Nuestros equipos de productos y tecnologías utilizan el ciclo de vida de desarrollo de software seguro (SSDLC) para empresas, así como prácticas DevSecOps de atribución de responsabilidades. Nuestro proceso de desarrollo incluye una exhaustiva evaluación de los riesgos de seguridad y la revisión de las funcionalidades de Workday. Los análisis de código fuente estáticos y dinámicos ayudan a integrar la seguridad empresarial en el ciclo de vida del desarrollo. El proceso de desarrollo se refuerza aún más con la formación en seguridad de aplicaciones que reciben los desarrolladores y con las pruebas de penetración de la aplicación.
Antes de cada lanzamiento principal, una acreditada empresa externa de seguridad lleva a cabo una evaluación de la seguridad de nuestra aplicación web y móvil, para detectar posibles vulnerabilidades. Esa empresa externa aplica procedimientos de control para identificar vulnerabilidades de seguridad de aplicaciones web estándar y avanzadas.
Tecnología hecha para ser segura
Nuestra tecnología, desde la arquitectura hasta las aplicaciones, da prioridad a la seguridad de sus datos y trata de satisfacer las necesidades de seguridad de nuestros clientes, incluidos los más reticentes.
Utilizamos tecnologías eficaces de cifrado para proteger los datos (tanto en reposo como en tránsito) de los clientes. Workday utiliza el algoritmo Advanced Encryption Standard (AES) con un tamaño de clave de 256 bits para el cifrado en reposo.
Transport Layer Security (TLS) protege el acceso del usuario a través de Internet, lo que contribuye a proteger el tráfico de red de la interceptación pasiva, la manipulación activa o la falsificación de mensajes. Las integraciones basadas en archivos pueden cifrarse mediante PGP o con un par de claves pública y privada generado por Workday, usando un certificado generado por el cliente. También se admite WS-Security en las integraciones de servicios web realizadas en la API de Workday.
El servicio Key Management Service (KMS) de Workday abarca todo el ciclo de vida de la gestión de claves criptográficas usadas para cifrar y descifrar datos en reposo del cliente. Los clientes disponen también de la opción de implementar sus propias claves, para tener un control total de sus claves de cifrado raíz.
Workday ofrece a auditores y administradores una amplia serie de informes que muestran cómo utilizan los usuarios el entorno de Workday. El registro de auditoría, los registros de actividad de los usuarios y los informes de inicio de sesión son las funciones favoritas de los clientes y auditores de Workday. Workday le permite supervisar todas sus transacciones de negocio y consultar fácilmente sus datos previos y los cambios de configuración.
Autenticación
Workday dispone de procedimientos para autenticar a cada usuario o sistema que accede a la plataforma. Nuestros clientes pueden crear identidades de usuario final dentro de Workday o integrarlas en Workday desde sistemas externos, como Active Directory. El acceso de seguridad de Workday está basado en roles y admite SAML para inicio de sesión único y autenticación mediante certificados x509 para integraciones de usuario y servicios web.
Compatibilidad con inicio de sesión único
SAML permite una experiencia de inicio de sesión único fluida entre el portal web interno del cliente y Workday. Workday también admite OpenID Connect.
Inicio de sesión nativo de Workday
Nuestro inicio de sesión nativo para productos Workday Enterprise solo almacena la contraseña como hash seguro, no como contraseña propiamente dicha. Todo intento de inicio de sesión fallido, así como toda actividad relacionada con los inicios y cierres de sesión correctos, se registra con fines de auditoría. Las sesiones de usuario inactivas caducan de forma automática después de un tiempo especificado, que puede configurar el usuario.
Entre las reglas de contraseña que puede configurar el cliente se incluyen la longitud, la complejidad, la caducidad y las preguntas para recuperar una contraseña olvidada.
Seguridad configurable
Su administrador de seguridad de Workday puede controlar a qué datos pueden acceder los usuarios y las acciones que pueden realizar en su entorno de cliente. Con herramientas como roles, grupos de seguridad y configuraciones de procesos de gestión, los administradores pueden implementar las políticas de seguridad de su empresa y actualizarlas de manera progresiva.
Adquiera la capacidad de adaptarse