CONFORMITÉ DE WORKDAY

Notre programme de conformité.

Notre programme de conformité rigoureux repose sur des audits effectués par des tiers et sur des certifications internationales spécialement conçues pour assurer la sécurité et la protection des données contre les menaces informatiques ou les violations de données, et empêcher l’accès non autorisé à vos données.

Élément décoratif

Ressources en matière de conformité pour votre organisation.

AICPA SOC

SOC 1

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday VNDLY

Les SOC 1 (Service Organization Controls) sont des rapports qui fournissent des renseignements sur l’environnement de contrôle d’un organisme de services. Ces rapports peuvent être pertinents pour les contrôles internes du client sur l’information financière.

Notre rapport SOC 1 de type II est produit conformément à la norme ISAE (norme internationale sur les missions d’assurance) 3402 (rapports d’assurance sur les contrôles d’un organisme de services). Le rapport SOC 1 couvre la conception et l’efficacité opérationnelle de contrôles relatifs aux applications infonuagiques d’entreprise de Workday.

AICPA SOC

SOC 2

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice et Workday VNDLY

Le rapport SOC 2 de type II est une évaluation indépendante de notre environnement de contrôle réalisée par un tiers.

Le rapport SOC 2 est basé sur les critères des services Trust de l’AICPA (American Institute of Certified Public Accountants) et est produit chaque année conformément à la section 101 de l’AT (missions d’attestation) de l’AICPA. Le rapport SOC 2 détaille la conception et l’efficacité opérationnelle des contrôles relatifs à tout système contenant des données de clients dans le cadre des applications Workday. Le rapport SOC 2 sur les produits d’entreprise Workday répond à tous les critères des services Trust (sécurité, disponibilité, confidentialité, intégrité du traitement et protection des données). En outre, le rapport aborde le cadre de cybersécurité et la publication spéciale 800-171 du NIST dans le cadre du processus SOC 2+ qui porte sur des sujets supplémentaires, notamment la mise en correspondance vérifiée des contrôles de Workday avec ces cadres.

AICPA SOC

SOC 3

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Peakon Employee Voice et Workday Strategic Sourcing

L’AICPA a créé le cadre SOC 3 pour protéger la confidentialité de l’information stockée et traitée dans le nuage.

Le rapport SOC 3, une évaluation indépendante de notre environnement de contrôle réalisée par un tiers, est accessible au public et fournit un résumé de notre environnement de contrôle concernant la sécurité, la disponibilité, la confidentialité, l’intégrité du traitement et la protection des données des clients.

Cliquez ici pour consulter notre rapport SOC 3 pour les produits d’entreprise Workday.

Cliquez ici pour consulter notre rapport SOC 3 pour Workday Adaptive Planning. 

Cliquez ici pour consulter notre rapport SOC 3 pour Workday Peakon Employee Voice.

Cliquez ici pour consulter notre rapport SOC 3 pour Workday Strategic Sourcing.

Icône de globe

ISO 27001

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY et Workday Peakon Employee Voice

Notre système de gestion de la sécurité de l’information (SGSI) répond aux exigences de cette approche de la sécurité basée sur des normes internationales et reconnue à l’échelle mondiale. 

Cliquez ici pour voir notre certificat ISO 27001 consolidé pour les produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing et Workday Peakon Employee Voice.

Cliquez ici pour voir notre certificat ISO 27001 pour VNDLY.

Icône de globe et de cadenas

ISO 27017

Champ d’application : produits d’entreprise Workday et Workday Adaptive Planning

Cette norme fournit des contrôles et des conseils de mise en œuvre pour les contrôles de sécurité de l’information applicables à la fourniture et à l’utilisation de services infonuagiques.

Cliquez ici pour voir notre certificat ISO 27017 consolidé pour les produits d’entreprise Workday et Workday Adaptive Planning.

Icône de globe et de cadenas

ISO 27018

Champ d’application : produits d’entreprise Workday et Workday Adaptive Planning

Cette norme contient des lignes directrices applicables aux fournisseurs de services infonuagiques qui traitent des données personnelles.

Cliquez ici pour voir notre certificat ISO 27018 consolidé pour les produits d’entreprise Workday et Workday Adaptive Planning.

Icône de globe et de cadenas

ISO 27701

Champ d’application : produits d’entreprise Workday et Workday Adaptive Planning

Cette norme fournit les exigences et les recommandations pour la mise en œuvre et l’amélioration continue d’un système de gestion de la protection des données (PIMS) d’une organisation sous forme d’une extension de la norme ISO/IEC 27001.

Cliquez ici pour voir notre certificat ISO 27701 consolidé pour les produits d’entreprise Workday et Workday Adaptive Planning.

Certification de confidentialité TRUSTe

Certification TRUSTe de conformité au programme de bonne gouvernance et de protection des données des entreprises

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday Strategic Sourcing

Workday participe au programme TRUSTe de pratiques de bonne gouvernance et de protection des données des entreprises.

Ce programme est conçu pour permettre aux organisations comme Workday de démontrer que leurs pratiques de bonne gouvernance et de protection des données sont conformes aux normes basées sur des lois et des réglementations reconnues, notamment les Lignes directrices de l’OCDE régissant la protection de la vie privée, le Cadre de protection de la vie privée de l’APEC, le Règlement général sur la protection des données de l’UE (RGPD), la loi HIPAA (Health Information Portability and Accountability Act) aux États-Unis, la norme internationale ISO 27001 pour les systèmes de gestion de la sécurité de l’information et d’autres lois et réglementations sur la protection des données à l’échelle mondiale. 

Cliquez ici pour voir notre état de certification TRUSTe.

Icône de globe et de cadenas

Questionnaire SIG

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice et Workday VNDLY

Le questionnaire SIG (collecte d’information normalisée) est un ensemble de questions normalisées utilisées pour évaluer la sécurité des technologies de l’information et des données dans un large éventail de domaines de contrôle des risques.

Le questionnaire SIG est géré par Shared Assessments, une organisation mondiale qui se consacre à l’évaluation des risques par un tiers. Workday s’autoévalue chaque année par rapport au SIG, ce qui permet à ses clients d’avoir une vue approfondie de son environnement de contrôle par rapport à un ensemble normalisé de questions. Le questionnaire SIG est accessible pour les clients à partir de Workday Community.

nist

NIST CSF et NIST 800-171

Champ d’application : produits d’entreprise Workday

Le cadre de cybersécurité (CSF) du NIST fournit des conseils aux organisations sur la manière d’améliorer leur capacité à prévenir et à détecter les risques de cybersécurité ainsi qu’à y répondre. Le cadre de confidentialité (PF) du NIST fournit des conseils pour mesurer et améliorer le programme de protection des données d’une organisation. La norme NIST 800-171 concerne la protection des renseignements non classifiés contrôlés dans des organisations et des systèmes d’information non fédéraux.

Workday a mis en correspondance ses contrôles SOC 2 pertinents avec les normes NIST CSF, NIST PF et NIST 800-171. Cette mise en correspondance a fait l’objet d’un audit dans le cadre du rapport SOC 2+ de Workday.

Certification de confidentialité TRUSTe

TrustArc et le bouclier de protection des données

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday Strategic Sourcing

Workday est un participant actif au bouclier de protection des données. TRUSTe est l’agent de vérification tiers de Workday pour le bouclier de protection des données.

Cliquez ici pour voir notre certification du bouclier de protection des données.

Code de conduite cloud de l’UE

Code de conduite cloud de l’UE

Champ d’application : produits d’entreprise Workday et Workday Adaptive Planning

Le code de conduite cloud de l’UE consiste en un ensemble d’exigences qui permettent aux fournisseurs de services infonuagiques de démontrer leur capacité à se conformer au RGPD. 

Identifiant de conformité : 2019LVL02SCOPE001

Cliquez ici pour vérifier la certification de Workday.

HIPAA

HIPAA

Champ d’application : produits d’entreprise Workday

Workday a obtenu une attestation de tiers concernant la loi HIPAA américaine pour les produits d’entreprise Workday, qui démontre que Workday dispose d’un programme de conformité à la HIPAA comprenant des mesures adéquates pour la sauvegarde, la consultation et la divulgation de renseignements médicaux et personnels.

fedramp

FedRAMP, niveau modéré

Champ d’application : produits d’entreprise Workday

Le programme fédéral de gestion des risques et des autorisations FedRAMP (Federal Risk and Authorization Management Program) est un programme du gouvernement américain qui permet aux organismes fédéraux d’adopter des systèmes infonuagiques dans leurs environnements informatiques. FedRAMP fournit une approche normalisée de la sécurité et de l’évaluation des risques pour les technologies infonuagiques et les organismes fédéraux afin de garantir que les données fédérales soient continuellement protégées au plus haut niveau dans le nuage.

Workday a obtenu le statut FedRAMP « Autorisé » au niveau d’impact de sécurité modéré pour Workday Government Cloud.

Icône de globe et de cadenas

G-Cloud

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday Peakon Employee Voice

Le cadre G-Cloud est un accord entre le gouvernement britannique et les fournisseurs de services infonuagiques.

G-Cloud permet aux fournisseurs de services infonuagiques de déposer une proposition auprès des organismes du secteur public britannique et, une fois celle-ci acceptée, de vendre des services infonuagiques à ces organismes. Le cadre du G-Cloud est mis à jour chaque année par l’organe directeur, Crown Commercial Services (CCS).

Les organismes du secteur public britannique peuvent actuellement acheter des services de Workday dans le marché numérique CCS Digital Marketplace.

cyber essentials plus

Cyber Essentials Plus

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice et Workday VNDLY

Cyber Essentials Plus est un programme soutenu par le gouvernement britannique pour aider les organisations à se protéger contre les menaces de cybersécurité en définissant des contrôles techniques de base.

Cliquez ici pour voir notre certificat Cyber Essentials Plus.

irap

IRAP (Australie)

Champ d’application : produits d’entreprise Workday et Workday Adaptive Planning

Le gouvernement australien maintient à jour des documents de sécurité relatifs à l’utilisation des services de TIC, y compris les services infonuagiques. Ils comprennent le manuel sur la sécurité de l’information ISM (Information Security Manual) et le cadre de la politique de protection et de sécurité PSPF (Protective Security Policy Framework). Le programme IRAP (Infosec Registered Assessors Program), géré par l’ACSC (Australian Cyber Security Centre) charge des évaluateurs individuels d’examiner l’efficacité d’une organisation par rapport aux contrôles de l’ISM et du PSPF. 

Workday fait appel à un évaluateur tiers pour réaliser une évaluation IRAP de l’adéquation des contrôles de l’ISM et du PSPF par rapport aux environnements de production de Workday au niveau PROTÉGÉ.

Icône de globe et de cadenas

Autoévaluation CSA STAR

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice et Workday VNDLY

L’autoévaluation CAIQ (Consensus Assessments Initiative Questionnaire) du registre STAR (Security, Trust & Assurance Registry) de la CSA (Cloud Security Alliance) regroupe les renseignements actuels concernant les risques et les contrôles de sécurité dans un questionnaire normalisé (CSA STAR CAIQ).

Workday s’autoévalue tous les deux ans par rapport au CSA STAR CAIQ, ce qui permet à ses clients d’avoir une vue approfondie de son environnement de contrôle. Ce document fournit aux clients de Workday une vue approfondie de l’environnement de contrôle de Workday.

tisax



TISAX

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning et Workday Strategic Sourcing

Le TISAX (Trusted Information Security Assessment Exchange) est administré par la ENX Association au nom de l’association allemande de l’industrie automobile. Cette norme fournit à l’industrie automobile européenne une approche cohérente et normalisée des systèmes de sécurité de l’information.

Vous trouverez les résultats sur le portail ENX.

Icône de globe et de cadenas

Évaluation de la STI pour les fournisseurs de services infonuagiques du CCC

Champ d’application : produits d’entreprise Workday

Le Centre canadien pour la cybersécurité (CCC) a mis en place le Programme d’évaluation de la sécurité des technologies de l’information (STI) s’appliquant aux fournisseurs de services infonuagiques afin d’aider les ministères et organismes du gouvernement du Canada à évaluer les services des fournisseurs. Le CCC fournit des conseils et des lignes directrices sur les capacités techniques, opérationnelles et procédurales des fournisseurs de services infonuagiques en matière de STI. L’évaluation permet de déterminer si les processus et les contrôles de sécurité répondent aux exigences de sécurité d’un nuage public du gouvernement du Canada pour l’information et les services, soit une catégorie de sécurité Protégé B, Intégrité moyenne et Disponibilité moyenne (PBMM), comme publié par le Secrétariat du Conseil du Trésor du Canada.

Icône de globe et de cadenas

TX-RAMP

Champ d’application : produits d’entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice et Workday VNDLY

Le programme de gestion des risques et des autorisations du Texas (TX-RAMP) est un programme du DIR (Department of Information Resources) offrant une vérification des mesures de sécurité prises par les produits et services infonuagiques qui transmettent des données aux agences de l’État du Texas. Pour être acceptés au sein du programme, les fournisseurs de services infonuagiques doivent se conformer à un cadre établi par le DIR et assurer la conformité continue de leurs services. Le programme TX-RAMP a été créé à partir des exigences formulées dans le projet de loi 475 du Sénat.

Workday est certifiée au niveau 2 du TX-RAMP.


Outillez-vous pour vous adapter.

Prêt à passer à l’action? Communiquez avec nous!