Hero Background Image
Seguridad y confianza

Construido sobre la base de la confianza

La confianza forma parte del ADN de Workday. Para mantener la seguridad y privacidad de sus datos, implementamos las mejores y más avanzadas medidas de seguridad del sector y supervisamos continuamente nuestro sistema con el objetivo de asegurarle que sus datos más confidenciales están siempre protegidos en la plataforma cloud.

Seguridad

En Workday, nuestra máxima prioridad es proteger los datos de nuestros clientes. Adoptamos rigurosas medidas de seguridad a nivel organizacional, de arquitectura y operativo para garantizar la seguridad de sus datos, sus aplicaciones y su infraestructura.

Seguridad organizacional

Aquí, la seguridad cuenta desde el primer día. Todos los empleados reciben formación sobre seguridad, privacidad y cumplimiento normativo en el momento en el que inician su trabajo. Aunque el grado de implicación puede variar según el rol, en Workday la seguridad es responsabilidad de todos los empleados.

Este compromiso con la seguridad llega hasta nuestros ejecutivos. El Workday Security Council, un grupo multidisciplinario de ejecutivos, determina nuestros programas de seguridad, fomenta la alineación de todos los ejecutivos y garantiza que la concienciación y las iniciativas sobre seguridad lleguen a todos los rincones de nuestra empresa.

Seguridad en la arquitectura

Tratamiento de los datos

Nuestros clientes son responsables de sus propios datos y Workday se encarga de su tratamiento. Esto significa que el cliente tiene control absoluto sobre los datos que se introducen en el sistema, así como sobre todos los ajustes y configuraciones. Dado que es el responsable de sus propios datos (y nosotros solo nos encargamos de su tratamiento), no tiene por qué depender de nosotros para realizar tareas diarias como las siguientes:

  • Asignar autorizaciones de seguridad y gestionar roles
  • Crear nuevos informes y worklets
  • Configurar flujos de procesos de gestión, alertas, reglas, etc.
  • Crear nuevas integraciones con utilidades de Workday o herramientas existentes
  • Cambiar las estructuras organizacionales o crear otras nuevas
  • Supervisar todas las transacciones empresariales
  • Analizar todos los cambios de configuración y datos históricos

Cifrado de datos

Workday cifra todos los atributos de los datos del cliente antes de guardarlos en una base de datos. Esta es una característica de diseño fundamental de la tecnología de Workday. Dado que Workday es una aplicación orientada a objetos in-memory, y no un sistema de gestión de bases de datos relacionales (RDBMS) basado en disco, podemos alcanzar el máximo nivel de cifrado. Usamos el algoritmo Advanced Encryption Standard (AES) con una clave de cifrado de 256 bits única para cada cliente.

Transport Layer Security (TLS) protege el acceso del usuario a través de Internet, lo que contribuye a proteger el tráfico de red de la interceptación pasiva, la manipulación activa o la falsificación de mensajes. Las integraciones basadas en archivos pueden cifrarse mediante PGP o con un par de claves pública y privada generado por Workday, usando un certificado generado por el cliente. También se admite WS-Security en las integraciones de servicios web realizadas en la API de Workday.

Seguridad lógica

El acceso de seguridad de Workday está basado en roles y admite autenticación delegada LDAP, SAML para inicio de sesión único y autenticación mediante certificados x509 para integraciones de usuario y servicios web.

Compatibilidad con inicio de sesión único

SAML permite una experiencia de inicio de sesión único fluida entre el portal web interno del cliente y Workday. Los clientes inician sesión en el portal web interno de su empresa con su nombre de usuario y su contraseña, y a continuación aparece un link a Workday, lo que permite que los clientes accedan inmediatamente sin tener que volver a iniciar sesión. Workday también admite OpenID Connect.

Inicio de sesión nativo de Workday

Si el cliente desea usar nuestro inicio de sesión nativo, solo almacenamos la contraseña de Workday como hash seguro, y no como contraseña propiamente dicha. Toda intento de inicio de sesión fallido, así como toda actividad relacionada con los inicios y cierres de sesión correctos, se registra para posibles auditorías. Las sesiones de usuario inactivas caducan de forma automática después de un tiempo especificado, que puede configurar el usuario.

Entre las reglas de contraseña que puede configurar el cliente se incluyen la longitud, la complejidad, la caducidad y las preguntas para recuperar una contraseña olvidada.

Autenticación multifactor

Recomendamos a los clientes usar la autenticación multifactor (MFA). Workday permite a los clientes tener su propio proveedor de MFA respaldado por el algoritmo TOTP (código de acceso de un solo uso y duración definida). Con esta configuración, los clientes pueden integrar fácilmente proveedores de MFA con el inicio de sesión nativo de Workday. Workday también permite a los usuarios finales de los clientes recibir un código de acceso de un solo uso mediante un mecanismo de conversión de correo electrónico en SMS. Por último, Workday admite preguntas para recuperar una contraseña olvidada como mecanismo adicional para demostrar la identidad de un usuario.

Autenticación de nivel superior

Si alguien deja su consola abierta o si varios usuarios acceden a Workday desde el mismo dispositivo, las empresas que usan SAML como tipo de autenticación pueden protegerse contra el acceso no autorizado identificando los elementos clave en Workday. Esto permite que los clientes impongan el uso de un factor de autenticación secundario que los usuarios deben introducir para acceder a esos elementos.

Seguridad operativa

Seguridad física

Las aplicaciones de Workday están alojadas en centros de datos de última generación diseñados para proteger los sistemas informáticos esenciales con subsistemas redundantes y zonas de seguridad compartimentadas. Nuestros centros de datos cuentan con las medidas físicas de seguridad más estrictas, entre las que se incluyen, por ejemplo, las siguientes:

  • Varias capas de autenticación para acceder al área de servidores
  • Autenticación biométrica de doble factor para las áreas críticas
  • Sistemas de cámaras de vigilancia en los puntos de entrada internos y externos más importantes
  • Supervisión ininterrumpida a cargo de personal de seguridad

Todo el acceso físico a los centros de datos está altamente restringido y regulado.

Seguridad de red

Workday ha implementado políticas, procedimientos y procesos operativos precisos ideados para ayudar a gestionar la calidad y la integridad generales del entorno Workday. También hemos implementado procedimientos proactivos de seguridad, como los sistemas de prevención de intrusiones (IPS) en la red y la defensa perimetral.

Los IPS de red supervisan los segmentos de red críticos en busca de patrones de red atípicos en el entorno del cliente, además de vigilar el tráfico entre los niveles y el servicio. También contamos con un centro de operaciones de seguridad global que funciona ininterrumpidamente todos los días del año.

Seguridad de las aplicaciones

Workday ha implementado un ciclo de vida de desarrollo de software (SDLC) empresarial seguro para ayudar a garantizar en todo momento la seguridad de las aplicaciones de Workday.

Este programa incluye una exhaustiva evaluación de los riesgos de seguridad y la revisión de las funcionalidades de Workday. Además, se realizan análisis de código fuente estáticos y dinámicos para ayudar a integrar la seguridad empresarial en el ciclo de vida de desarrollo. El proceso de desarrollo se refuerza aún más con la formación en seguridad de aplicaciones que reciben los desarrolladores y con las pruebas de penetración de la aplicación.

Evaluaciones de vulnerabilidades

Workday contrata a empresas externas expertas para realizar evaluaciones independientes de vulnerabilidades internas y externas de redes, sistemas y aplicaciones.

Aplicación

Contratamos a una empresa externa de seguridad de reconocido prestigio para que realice una evaluación de vulnerabilidades de seguridad de nuestra aplicación web y móvil antes de cada lanzamiento importante. La empresa aplica procedimientos de control para identificar vulnerabilidades de seguridad de aplicaciones web estándar y avanzadas, entre las que se incluyen, por ejemplo, las siguientes:

  • Vulnerabilidades de la seguridad asociadas con Flash, Flex, AJAX y ActionScript
  • Falsificación de petición en sitios cruzados (CSRF)
  • Manipulación inadecuada de las entradas (como scripts de sitios cruzados, inyección SQL, inyección XML y cross-site flashing)
  • Ataques XML y SOAP
  • Gestión de sesiones en las que la seguridad es insuficiente
  • Fallos de validación de datos e incoherencias en las restricciones del modelo de datos
  • Autenticación o autorización insuficientes
  • Separación de respuesta HTTP
  • Mal uso de SSL/TLS
  • Uso de métodos HTTP inseguros
  • Mal uso de la criptografía

Red

Las evaluaciones de vulnerabilidades externas analizan todos los activos expuestos en Internet, incluidos los firewalls, los routers y los servidores web, en busca de vulnerabilidades potenciales que puedan permitir el acceso no autorizado a la red. Además, se realiza una evaluación de la red y del sistema en busca de vulnerabilidades internas de autenticación para identificar vulnerabilidades potenciales e incoherencias con las políticas de seguridad generales del sistema.

Recursos de seguridad recomendados

Creación de mejores prácticas de seguridad dentro y fuera de la empresa
Leer blog
Más allá de la tecnología cloud: el Chief Trust Officer de Workday habla de la creación de una cultura de seguridad
Ver vídeo
Por qué la autenticación multifactor es esencial
Leer blog

  

Privacidad

Las normativas sobre privacidad de los datos son complejas, varían de un país a otro e imponen requisitos severos. Al elegir una aplicación de HCM, de finanzas, o de otro tipo, las empresas deben seleccionar una que permita a los clientes cumplir sus obligaciones en materia de protección de datos y garantizar la privacidad de sus datos. Con Workday obtiene la mejor funcionalidad en materia de privacidad y prácticas que le permiten cumplir sus obligaciones de privacidad.

Además, ofrecemos a nuestros clientes los recursos y la información que necesitan para comprender y validar los requisitos de privacidad y cumplimiento normativo de su empresa y mostramos cómo puede ayudar Workday a llevar a buen término sus medidas en materia de cumplimiento normativo.

 

   

Sólido programa de privacidad

Workday ha basado su programa de privacidad en estrictas políticas y procedimientos de uso, divulgación, transferencia y acceso a los datos de los clientes. Lo fundamental de nuestro programa de privacidad es que los empleados de Workday no acceden a los datos de los clientes ni usan, ni divulgan ni transfieren dichos datos a menos que se haya establecido así en un acuerdo contractual o por indicación del cliente.

Las cuestiones relacionadas con la protección de datos y su legislación a escala internacional no paran de evolucionar y son cada vez más complejas. Por eso, Workday entiende la importancia de contar con un programa de privacidad arraigado en la cultura y en los servicios de nuestra empresa. Nuestra filosofía de Privacidad desde el diseño es la prueba de nuestro compromiso y proporciona a nuestros clientes la seguridad que necesitan en materia de privacidad y protección de sus datos.

El equipo de privacidad, ética y cumplimiento normativo de Workday, liderado por nuestro Chief Privacy Officer, gestiona el programa de privacidad y supervisa su eficacia. El equipo es responsable de:

  • Formular, mantener y actualizar nuestros procedimientos, herramientas y políticas de privacidad internos para proteger la privacidad de los datos personales que manejan los empleados y los partners en representación de Workday.
  • Supervisar el cumplimiento normativo en lo que respecta a nuestras políticas de privacidad de cara al cliente, que audita anualmente un tercero.
  • Garantizar el cumplimiento de los compromisos de privacidad asumidos con nuestros clientes, partners y empleados.
  • Mantener nuestras certificaciones y respetar nuestras obligaciones en materia de cumplimiento normativo.
  • Formar al personal de Workday sobre nuestro programa de privacidad, supervisar los cambios en las leyes de privacidad de los datos en todo el mundo y realizar las actualizaciones y las modificaciones necesarias en nuestro programa de privacidad.

La privacidad y la protección de los datos requieren vigilancia permanente, y tenemos el firme compromiso de proteger los datos personales de nuestros clientes y empleados. Obtenga más información sobre cómo asumimos los principios fundamentales de la privacidad aquí.

Revise nuestra política de privacidad para obtener más información sobre cómo gestionamos y protegemos la información de nuestros clientes.

Privacidad desde el diseño

Hemos integrado de forma nativa un programa de privacidad holístico en nuestros servicios, desde el diseño inicial hasta el lanzamiento. Este programa, basado en nuestra filosofía de Privacidad desde el diseño, orienta nuestra forma de desarrollar productos y prestar servicios.

Transparencia de los datos

Somos claros en lo que respecta a las regiones geográficas en las que se almacenan y tratan los datos de nuestros clientes.

Privacidad global

Privacidad global de los datos

Workday y sus clientes deben cumplir diferentes leyes y normativas de privacidad globales. Entre los principios de privacidad generales que se encuentran en todas las jurisdicciones se incluyen el aviso, la elección, el acceso, el uso, la divulgación y la seguridad. Nuestra aplicación permite al usuario plantear distintas configuraciones con el objetivo de cumplir las leyes específicas de su país. Workday también cumple con las normativas de privacidad internacionales gracias a un completo programa de seguridad de la información perfectamente documentado que contiene medidas de seguridad técnicas y organizacionales diseñadas para prevenir el acceso no autorizado a los datos del cliente y el uso o la divulgación no autorizados de dichos datos. Workday mantiene su compromiso con los estándares de privacidad globales, como demuestran nuestra dedicación a programas como Privacy Shield y la implementación de las Normas corporativas vinculantes (BCR) y las Reglas de Privacidad Transfronteriza del Foro de Cooperación Económica Asia-Pacífico.

Privacidad de los datos en la UE

El panorama de la privacidad de los datos en la UE ha cambiado significativamente con el Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2018. El RGPD ha armonizado las diferentes leyes de protección de datos existentes en Europa. Workday confía plenamente en poder continuar tratando los datos personales de sus clientes garantizando la alineación con el RGPD y supervisa las orientaciones emitidas por las autoridades de control de la UE sobre ese asunto. Si se requieren cambios, actuaremos rápidamente para afrontarlos.

Workday evaluó tanto los requisitos del RGPD como sus propias y numerosas prácticas de privacidad y seguridad para garantizar el cumplimiento del RGPD desde el primer día. Entre ellas se incluyen:

  • Formar a los empleados sobre las prácticas de seguridad y privacidad
  • Realizar evaluaciones de las repercusiones en la privacidad
  • Proporcionar mecanismos de transferencia de datos para asegurar la plena legalidad de las transferencias de datos personales a países que no pertenecen al Espacio Económico Europeo, lo que incluye las BCR de Workday
  • Mantener registros de las actividades de tratamiento de los datos
  • Proporcionar funcionalidades de privacidad y cumplimiento normativo configurables a nuestros clientes

Privacidad desde el diseño y Privacidad por defecto son conceptos consagrados en el servicio de Workday. Workday reconoce que el RGPD es una prioridad empresarial muy importante para nuestros clientes globales. Por ello, Workday continúa supervisando las orientaciones emitidas por las autoridades de control de la UE sobre el RGPD para garantizar que su programa de cumplimiento normativo esté siempre actualizado.

Workday comprende que, como encargado del tratamiento de datos, una actitud conforme con el RGPD no solo es importante para la empresa, sino también para que nuestros clientes puedan usar el servicio de Workday con el objetivo de que les ayude a cumplir sus requisitos internos de cumplimiento normativo. Por eso, Workday ofrece herramientas que ayudan a cumplir las obligaciones de sus clientes en lo referente al RGPD. El servicio de Workday permite a los clientes tratar datos personales dentro de su propio cliente privado. Puede obtener más información sobre cómo facilitamos que nuestros clientes cumplan sus obligaciones en lo referente al RGPD aquí.

Privacy Shield

En 2016, Workday se comprometió a cumplir el Privacy Shield el primer día que el Departamento de Comercio de los Estados Unidos lanzó el proceso de certificación del Privacy Shield, con lo que demostró su decidido compromiso con la privacidad y la protección de los datos de sus clientes. Privacy Shield es un marco de transferencia de datos que permite transferencias de datos personales entre la UE y los EE. UU., así como entre Suiza y los EE. UU. En el Privacy Shield destacan cuatro principios fundamentales:

  • Medidas de seguridad claras y obligaciones de transparencia sobre el acceso del Gobierno de los Estados Unidos a los datos
  • Obligaciones para las empresas que manejan datos
  • Protección eficaz de los derechos individuales, que incluye opciones de compensación para ciudadanos de la UE
  • Una revisión conjunta anual realizada por la Comisión Europea y el Departamento de Comercio de los Estados Unidos

Mientras que las empresas pueden adherirse voluntariamente al Privacy Shield, Workday en cambio usa TRUSTe como método de verificación externo. Además, Workday continúa contratando a terceros para revisar su programa de privacidad de datos con regularidad con el objetivo de garantizar que nuestros clientes disfruten de los mayores niveles posibles de protección y privacidad de datos. Obtenga más información sobre nuestra certificación en Privacy Shield aquí.

Normas corporativas vinculantes (BCR)

Workday se ha adherido voluntariamente al Privacy Shield y, además, las autoridades de protección de datos europeas han aprobado las normas corporativas vinculantes (BCR por sus siglas en inglés) de Workday como encargado del tratamiento de datos. La autoridad de protección de datos irlandesa era la autoridad principal para Workday, pues su sede en la UE se encuentra en Dublín. Las autoridades de protección de datos del Reino Unido y los Países Bajos actuaron como autoridades secundarias. Los compromisos de las BCR de Workday con los titulares de los datos de nuestros clientes están disponibles aquí.

CBPR y PRP del APEC

Workday observa las Reglas de Privacidad Transfronteriza del Foro de Cooperación Económica Asia-Pacífico (CBPR del APEC) y las Reglas de Privacidad para Encargados del Tratamiento de Datos del Foro de Cooperación Económica Asia-Pacífico (PRP del APEC). Las certificaciones del APEC son un conjunto de estándares de privacidad voluntarios desarrollados para responsables y encargados del tratamiento de datos, respectivamente, con el objetivo de facilitar las transferencias de datos entre países del APEC. Estas certificaciones demuestran el cumplimiento de altos estándares de privacidad en toda la región Asia-Pacífico.

Workday fue una de las primeras empresas en cumplir las CBPR del APEC en marzo de 2014, y la primera en cumplir las PRP del APEC en septiembre de 2018. Hemos recibido un certificado externo de TrustArc, que es el agente de responsabilidad del APEC en los Estados Unidos.

Al mantener el cumplimiento de las CBPR y las PRP del APEC y cumplir los requisitos de privacidad del Espacio Económico Europeo, Workday puede demostrar el cumplimiento de sólidos marcos de privacidad globales.

Recursos de privacidad recomendados

Tres funcionalidades de Workday que permiten cumplir el RGPD
Leer blog
Workday se adhiere al EU Cloud Code of Conduct General Assembly
Leer blog
RGPD: Privacidad desde el diseño en Workday
Leer blog

  

Cumplimiento normativo

Los líderes tecnológicos de hoy deben proteger los datos de los clientes, de los empleados y de la propiedad intelectual de sus empresas en un entorno en el que las amenazas contra la seguridad son cada vez más complejas. Las empresas también son responsables de cumplir todas las leyes aplicables, incluidas las relacionadas con la privacidad de los datos y la transmisión de datos personales, aunque un proveedor de servicios almacene y trate los datos de la empresa en su nombre.

Workday cuenta con un programa de seguridad formal, global y completo, diseñado para garantizar la seguridad y la integridad de los datos del cliente, servir de protección en caso de que se produzcan amenazas contra la seguridad o vulneraciones de datos y prevenir el acceso no autorizado a los datos de nuestros clientes. Los detalles de nuestro programa de seguridad se indican en nuestras certificaciones internacionales y en nuestras auditorías de seguridad externas.

   

Para ayudar a sus equipos jurídicos y de cumplimiento normativo a comprender y validar los requisitos de cumplimiento normativo de su empresa, hemos recopilado los siguientes recursos de cumplimiento normativo.

Auditorías y certificaciones externas

Profile image
SOC 1

Los informes de Control de organizaciones de servicios (SOC 1) proporcionan información sobre el entorno de control de una organización de servicios que puede ser pertinente para los controles internos del cliente sobre los informes financieros.

Profile image
SOC 2

El informe SOC 2 Tipo II de Workday es una evaluación independiente de nuestro entorno de control realizada por un tercero.

Profile image
SOC 3

El Instituto Americano de Contables Públicos Certificados (AICPA) ha desarrollado el marco de Control de organizaciones de servicios (SOC 3) para salvaguardar la confidencialidad y la privacidad de la información almacenada y tratada en las plataformas cloud.

Profile image
ISO 27001

ISO 27001 es un enfoque de la seguridad basado en estándares reconocidos mundialmente que define los requisitos del Sistema de Gestión de la Seguridad de la Información (SGSI) de una empresa.

Profile image
ISO 27017

ISO 27017, publicado en 2015, es un estándar complementario de la ISO 27001.

Profile image
ISO 27018

ISO 27018, publicado en 2014, es un estándar complementario de la ISO 27001.

Profile image
PCI DSS

Workday permite el cumplimiento del PCI DSS dentro del ámbito del entorno seguro para tarjetas de crédito de Workday, que es un entorno aislado que almacena, trata y transmite datos desenmascarados de titulares de tarjetas mediante integraciones predefinidas.

Profile image
HIPAA

Workday ha finalizado una certificación externa sobre la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en relación con las aplicaciones cloud empresariales de Workday, que garantiza que Workday cuenta con un programa de cumplimiento de la HIPAA con medidas adecuadas para guardar información personal y médica individual, acceder a ella y compartirla.

Profile image
CSF del NIST y publicación especial 800-171 del NIST

El Cybersecurity Framework (CSF) del NIST proporciona orientación a las empresas sobre cómo mejorar sus capacidades a la hora de prevenir y detectar riesgos de ciberseguridad y responder a ellos. El estándar de la publicación especial 800-171 del NIST guarda relación con la protección de información no clasificada controlada en organizaciones y sistemas de información no federales.

Profile image
G-Cloud

El marco G-Cloud es un acuerdo entre el gobierno del Reino Unido y los proveedores de servicios basados en tecnología cloud.

Profile image
Privacy Shield

El Privacy Shield entre la UE y los EE. UU. y el Privacy Shield entre Suiza y los EE. UU. son nuevos marcos de transferencia de datos que permiten transferencias de datos personales entre la UE y los EE. UU. 

Profile image
TRUSTe

Los estándares de certificación de TRUSTe incorporan principios de marcos de privacidad establecidos por el APEC, la OCDE y la FTC.

Profile image
Autoevaluación para el STAR de CSA

La autoevaluación para el registro de seguridad, confianza y garantía (STAR) de Cloud Security Alliance (CSA) consolida la información actual sobre controles y riesgos de seguridad en un cuestionario estándar del sector (CAIQ del STAR de CSA).