CONFORMITÉ DE WORKDAY
Notre programme de conformité.
Notre programme de conformité strict repose sur des audits effectués par des tiers et des certifications internationales qui nous permettent d’assurer la sécurité et la protection des données contre les menaces à la sécurité ou les violations de données et d’empêcher l’accès non autorisé à vos données.
Ressources en matière de conformité pour votre organisation.
SOC 1
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday VNDLY
Les SOC 1 (Service Organization Controls) sont des rapports qui fournissent des renseignements sur l’environnement de contrôle d’un organisme de services qui peuvent être pertinents pour les contrôles internes du client sur l’information financière.
Notre rapport SOC 1 de type II est produit conformément à la norme ISAE (norme internationale sur les missions d’assurance) 3402 (rapports d’assurance sur les contrôles d’un organisme de services). Le rapport SOC 1 couvre la conception et l’efficacité opérationnelle de contrôles relatifs aux applications infonuagiques d’entreprise de Workday.
SOC 2
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice et Workday VNDLY
Le rapport SOC 2 de type II est une évaluation indépendante de notre environnement de contrôle réalisée par un tiers.
Le rapport SOC 2 est basé sur les critères des services Trust de l’AICPA (American Institute of Certified Public Accountants) et est produit chaque année conformément à la section 101 de l’AT (missions d’attestation) de l’AICPA. Le rapport SOC 2 détaille la conception et l’efficacité opérationnelle des contrôles relatifs à tout système contenant des données de clients dans le cadre des applications Workday. Le rapport SOC 2 sur les produits d’entreprise Workday répond à tous les critères des services Trust (sécurité, disponibilité, confidentialité, intégrité du traitement et protection des données). En outre, le rapport aborde le cadre de cybersécurité et la publication spéciale 800-171 du NIST dans le cadre du processus SOC 2+ qui porte sur des sujets supplémentaires, notamment la mise en correspondance vérifiée des contrôles de Workday avec ces cadres.
SOC 3
Champ d’application : produits d’entreprise Workday et Workday Adaptive Planning
L’AICPA a créé le cadre SOC 3 pour protéger la confidentialité de l’information stockée et traitée dans le nuage.
Le rapport SOC 3, une évaluation indépendante de notre environnement de contrôle réalisée par un tiers, est accessible au public et fournit un résumé de notre environnement de contrôle concernant la sécurité, la disponibilité, la confidentialité, l’intégrité du traitement et la protection des données des clients.
Cliquez ici pour consulter notre rapport SOC 3 pour les produits d’entreprise Workday.
Cliquez ici pour consulter notre rapport SOC 3 pour Workday Adaptive Planning.
Cliquez ici pour consulter notre rapport SOC 3 pour Workday Peakon Employee Voice.
Cliquez ici pour consulter notre rapport SOC 3 pour Workday Strategic Sourcing.
ISO 27001
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing et Workday VNDLY
Notre système de gestion de la sécurité de l’information (SGSI) répond aux exigences de cette approche de la sécurité basée sur des normes internationales et reconnue à l’échelle mondiale.
Cliquez ici pour voir notre certificat ISO 27001 consolidé pour les produits d’entreprise Workday, Workday Adaptive Planning et Workday Strategic Sourcing.
Cliquez ici pour voir notre certificat ISO 27001 pour VNDLY.
ISO 27017
Champ d’application : produits d’entreprise Workday et Workday Adaptive Planning
Cette norme fournit des contrôles et des conseils de mise en œuvre pour les contrôles de sécurité de l’information applicables à la fourniture et à l’utilisation de services infonuagiques.
Cliquez ici pour voir notre certificat ISO 27017 consolidé pour les produits d’entreprise Workday et Workday Adaptive Planning.
ISO 27018
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday VNDLY
Cette norme contient des lignes directrices applicables aux fournisseurs de services infonuagiques qui traitent des données personnelles.
Cliquez ici pour voir notre certificat ISO 27018 consolidé pour les produits d’entreprise Workday et Workday Adaptive Planning.
Cliquez ici pour voir notre certificat ISO 27018 pour VNDLY.
ISO 27701
Champ d’application : produits d’entreprise Workday et Workday Adaptive Planning
Cette norme fournit les exigences et les recommandations pour la mise en œuvre et l’amélioration continue d’un système de gestion de la protection des données (PIMS) d’une organisation sous forme d’une extension de la norme ISO/IEC 27001.
Cliquez ici pour voir notre certificat ISO 27701 consolidé pour les produits d’entreprise Workday et Workday Adaptive Planning.
PCI DSS
Champ d’application : produits d’entreprise Workday
Workday respecte la norme PCI DSS sur la sécurité sur les données de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard) dans le cadre de l’environnement sécurisé des cartes de crédit de Workday, qui est un environnement isolé qui stocke, traite et transmet les données non masquées des titulaires de cartes par l’intermédiaire d’intégrations prédéfinies.
Cet environnement fait l’objet d’une évaluation annuelle par des évaluateurs de sécurité qualifiés au regard des exigences actuelles de la norme PCI DSS. Workday est conforme à la norme PCI DSS depuis 2013. Les clients qui utilisent l’environnement sécurisé des cartes de crédit de Workday peuvent demander une copie du rapport d’évaluation annuelle.
Certification TRUSTe de conformité au programme de bonne gouvernance et de protection des données des entreprises
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday Strategic Sourcing
Workday participe au programme TRUSTe de pratiques de bonne gouvernance et de protection des données des entreprises.
Ce programme est conçu pour permettre aux organisations comme Workday de démontrer que leurs pratiques de bonne gouvernance et de protection des données sont conformes aux normes basées sur des lois et des réglementations reconnues, notamment les Lignes directrices de l’OCDE régissant la protection de la vie privée, le Cadre de protection de la vie privée de l’APEC, le Règlement général sur la protection des données de l’UE (RGPD), la loi HIPAA (Health Information Portability and Accountability Act) aux États-Unis, la norme internationale ISO 27001 pour les systèmes de gestion de la sécurité de l’information et d’autres lois et réglementations sur la protection des données à l’échelle mondiale.
Questionnaire SIG
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice et Workday VNDLY
Le questionnaire SIG (collecte d’information normalisée) est un ensemble de questions normalisées utilisées pour évaluer la sécurité des technologies de l’information et des données dans un large éventail de domaines de contrôle des risques.
Le questionnaire SIG est géré par Shared Assessments, une organisation mondiale qui se consacre à l’évaluation des risques par un tiers. Workday s’autoévalue chaque année par rapport au SIG, ce qui permet à ses clients d’avoir une vue approfondie de son environnement de contrôle par rapport à un ensemble normalisé de questions. Le questionnaire SIG est accessible pour les clients à partir de Workday Community.
NIST CSF et NIST 800-171
Champ d’application : produits d’entreprise Workday
Le cadre de cybersécurité (CSF) du NIST fournit des conseils aux organisations sur la manière d’améliorer leur capacité à prévenir et à détecter les risques de cybersécurité ainsi qu’à y répondre. Le cadre de confidentialité (PF) du NIST fournit des conseils pour mesurer et améliorer le programme de protection des données d’une organisation. La norme NIST 800-171 concerne la protection des renseignements non classifiés contrôlés dans des organisations et des systèmes d’information non fédéraux.
Workday a mis en correspondance ses contrôles SOC 2 pertinents avec les normes NIST CSF, NIST PF et NIST 800-171. Cette mise en correspondance a fait l’objet d’un audit dans le cadre du rapport SOC 2+ de Workday.
TrustArc et le bouclier de protection des données
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday Strategic Sourcing
Workday est un participant actif au bouclier de protection des données. TRUSTe est l’agent de vérification tiers de Workday pour le bouclier de protection des données.
Cliquez ici pour voir notre certification du bouclier de protection des données.
Code de conduite cloud de l’UE
Champ d’application : produits d’entreprise Workday et Workday Adaptive Planning
Le code de conduite cloud de l’UE consiste en un ensemble d’exigences qui permettent aux fournisseurs de services infonuagiques de démontrer leur capacité à se conformer au RGPD.
Cliquez ici pour vérifier la certification de Workday.
HIPAA
Champ d’application : produits d’entreprise Workday
Workday a obtenu une attestation de tiers concernant la loi HIPAA américaine pour les produits d’entreprise Workday, qui démontre que Workday dispose d’un programme de conformité à la HIPAA comprenant des mesures adéquates pour la sauvegarde, la consultation et la divulgation de renseignements médicaux et personnels.
Workday fournit un livre blanc résumant cette évaluation. En outre, Workday peut signer des accords d’association commerciale avec les clients qui le demandent. Ces accords garantissent que nos clients sont en mesure de satisfaire aux exigences de conformité à la loi HIPAA et à la loi HITECH (Health Information Technology for Economic and Clinical Health Act).
FedRAMP, niveau modéré
Champ d’application : produits d’entreprise Workday
Le programme fédéral de gestion des risques et des autorisations FedRAMP (Federal Risk and Authorization Management Program) est un programme du gouvernement américain qui permet aux organismes fédéraux d’adopter des systèmes infonuagiques dans leurs environnements informatiques. FedRAMP fournit une approche normalisée de la sécurité et de l’évaluation des risques pour les technologies infonuagiques et les organismes fédéraux afin de garantir que les données fédérales soient continuellement protégées au plus haut niveau dans le nuage.
Workday a obtenu le statut FedRAMP « Autorisé » au niveau d’impact de sécurité modéré pour Workday Government Cloud.
G-Cloud
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday Peakon Employee Voice
Le cadre G-Cloud est un accord entre le gouvernement britannique et les fournisseurs de services infonuagiques.
G-Cloud permet aux fournisseurs de services infonuagiques de déposer une proposition auprès des organismes du secteur public britannique et, une fois celle-ci acceptée, de vendre des services infonuagiques à ces organismes. Le cadre du G-Cloud est mis à jour chaque année par l’organe directeur, Crown Commercial Services (CCS).
Les organismes du secteur public britannique peuvent actuellement acheter des services de Workday dans le marché numérique CCS Digital Marketplace.
Cyber Essentials
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice et Workday VNDLY
Cyber Essentials est un programme soutenu par le gouvernement britannique pour aider les organisations à se protéger contre les menaces de cybersécurité en définissant des contrôles techniques de base.
Cliquez ici pour voir notre certificat Cyber Essentials.
IRAP (Australie)
Champ d’application : produits d’entreprise Workday
Le gouvernement australien maintient à jour des documents de sécurité relatifs à l’utilisation des services de TIC, y compris les services infonuagiques. Ils comprennent le manuel sur la sécurité de l’information ISM (Information Security Manual) et le cadre de la politique de protection et de sécurité PSPF (Protective Security Policy Framework). Le programme IRAP (Infosec Registered Assessors Program), géré par l’ACSC (Australian Cyber Security Centre) charge des évaluateurs individuels d’examiner l’efficacité d’une organisation par rapport aux contrôles de l’ISM et du PSPF.
Workday fait appel à un évaluateur tiers pour réaliser une évaluation IRAP de l’adéquation des contrôles de l’ISM et du PSPF par rapport aux environnements de production de Workday au niveau PROTÉGÉ.
Autoévaluation CSA STAR
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice et Workday VNDLY
L’autoévaluation CAIQ (Consensus Assessments Initiative Questionnaire) du registre STAR (Security, Trust & Assurance Registry) de la CSA (Cloud Security Alliance) regroupe les renseignements actuels concernant les risques et les contrôles de sécurité dans un questionnaire normalisé (CSA STAR CAIQ).
Workday s’autoévalue tous les deux ans par rapport au CSA STAR CAIQ, ce qui permet à ses clients d’avoir une vue approfondie de son environnement de contrôle. Ce document fournit aux clients de Workday une vue approfondie de l’environnement de contrôle de Workday.
TISAX
Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday Strategic Sourcing
Le TISAX (Trusted Information Security Assessment Exchange) est administré par la ENX Association au nom de l’association allemande de l’industrie automobile. Cette norme fournit à l’industrie automobile européenne une approche cohérente et normalisée des systèmes de sécurité de l’information.
Vous trouverez les résultats sur le portail ENX.
Évaluation de la STI pour les fournisseurs de services infonuagiques du CCC
Champ d’application : produits d’entreprise Workday
Le Centre canadien pour la cybersécurité (CCC) a mis en place le Programme d’évaluation de la sécurité des technologies de l’information (STI) s’appliquant aux fournisseurs de services infonuagiques afin d’aider les ministères et organismes du gouvernement du Canada à évaluer les services des fournisseurs. Le CCC fournit des conseils et des lignes directrices sur les capacités techniques, opérationnelles et procédurales des fournisseurs de services infonuagiques en matière de STI. L’évaluation permet de déterminer si les processus et les contrôles de sécurité répondent aux exigences de sécurité d’un nuage public du gouvernement du Canada pour l’information et les services, soit une catégorie de sécurité Protégé B, Intégrité moyenne et Disponibilité moyenne (PBMM), comme publié par le Secrétariat du Conseil du Trésor du Canada.
Outillez-vous pour vous adapter.