Hero Background Image
Sicurezza e fiducia

Una base sicura e affidabile

In Workday la sicurezza è integrata in tutto ciò che facciamo. Per garantire la sicurezza e la riservatezza dei dati dei clienti, garantiamo i meccanismi di protezione più avanzati e monitoriamo continuamente il nostro sistema affinché i dati più sensibili siano protetti 24 ore su 24, 7 giorni su 7 nel cloud.

Sicurezza

La massima priorità di Workday è garantire la sicurezza dei dati dei clienti. Adottiamo rigorose misure di sicurezza a livello aziendale, architetturale e operativo per proteggere costantemente dati, applicazioni e infrastruttura.

Sicurezza aziendale

La sicurezza inizia sin dal primo giorno. Tutti i dipendenti seguono corsi di formazione su sicurezza, riservatezza e conformità non appena vengono assunti e sebbene la misura del loro coinvolgimento vari a seconda del ruolo ricoperto, in Workday la sicurezza è considerata una responsabilità di tutti.

Questo impegno a favore della sicurezza si estende ai nostri dirigenti. Il Workday Security Council, un comitato di dirigenti che ricoprono funzioni aziendali diverse, delinea i nostri programmi per la sicurezza, favorisce l'allineamento di tutti i manager dell'azienda e si adopera per sensibilizzare l'intero organico sull'importanza della sicurezza.

Sicurezza dell'architettura

Trattamento e ruoli

I nostri clienti fungono da titolari del trattamento dei dati, mentre Workday ricopre il ruolo di responsabile del trattamento. Ciò significa che il cliente mantiene il pieno controllo dei dati inseriti nei nostri servizi, oltre che delle impostazioni e configurazioni. Poiché rimane titolare dei propri dati, mentre Workday si occupa esclusivamente del loro trattamento, il cliente non ha bisogno di richiedere alcun intervento per svolgere normali attività quotidiane quali:

  • Assegnare autorizzazioni di sicurezza e modificare ruoli
  • Creare nuovi report e worklet
  • Configurare processi aziendali, avvisi, regole e altro
  • Creare nuove integrazioni con le utility di Workday o strumenti proprietari
  • Modificare o creare nuove strutture organizzative
  • Monitorare tutte le transazioni aziendali
  • Analizzare i dati storici e le modifiche della configurazione

Crittografia dei dati

Una caratteristica fondamentale del design di Workday è che crittografiamo ogni attributo dei dati del cliente prima di salvarlo in modo permanente in qualsiasi database. Poiché Workday è un'applicazione orientata agli oggetti in-memory e non un'applicazione RDBMS basata su disco, siamo in grado di raggiungere il massimo livello di crittografia utilizzando l'algoritmo AES (Advanced Encryption Standard) con una chiave a 256 bit univoca per ciascun cliente.

Il protocollo TLS (Transport Layer Security) protegge l'accesso tramite Internet degli utenti e il traffico di rete dall'ascolto indiscreto passivo, dalla manomissione attiva o dalla contraffazione dei messaggi. Le integrazioni basate su file possono essere crittografate tramite PGP o una coppia di chiavi pubblica/privata generata da Workday tramite un certificato generato dal cliente. La sicurezza può essere estesa alle integrazioni dei servizi Web con l'API Workday grazie a WS-Security.

Sicurezza logica

In Workday la sicurezza degli accessi è basata sull'assegnazione di ruoli e supporta SAML per il Single Sign-On, l'Autenticazione delegata LDAP e l'Autenticazione con certificato X.509 per le integrazioni con utenti e servizi Web.

Supporto Single-Sign-On

SAML assicura un'esperienza Single Sign-On fluida tra il portale Web interno del cliente e Workday. I clienti accedono al portale Web interno utilizzando nome utente e password aziendali e visualizzano un link a Workday che permette di accedere direttamente all'applicazione senza dover inserire nuovamente le credenziali. Workday supporta anche OpenID Connect.

Login nativo di Workday

Per i clienti che desiderano accedere con il login nativo, le password di Workday vengono archiviate unicamente sotto forma di hash sicuro. I login non riusciti e l'attività dei login/logout effettuati vengono acquisiti a scopo di audit. Le sessioni utente inattive scadono automaticamente dopo un determinato periodo di tempo configurabile dall'utente.

Le regole per le password, configurabili dai clienti, includono complessità, scadenza e risposte segrete in caso di password dimenticata.

Autenticazione a più fattori

Workday consiglia ai clienti di utilizzare l'autenticazione a più fattori (MFA) e consente loro di utilizzare il provider MFA che preferiscono con il supporto dell'algoritmo TOTP (passcode unico a tempo). Con questa configurazione, i clienti possono facilmente integrare provider MFA con il login nativo di Workday. Workday permette inoltre agli utenti finali dei clienti di ricevere un passcode temporaneo inviato da email su SMS. Infine, Workday utilizza le domande di sicurezza come meccanismo ulteriore per verificare l'identità degli utenti.

Autenticazione step-up

Se un utente lascia la sua console aperta o se più utenti accedono a Workday dallo stesso dispositivo, le aziende che utilizzano SAML come metodo di autenticazione possono tutelarsi dagli accessi non autorizzati individuando le informazioni sensibili all'interno di Workday e imponendo per l'accesso a queste l'utilizzo di un secondo fattore di autenticazione.

Sicurezza operativa

Sicurezza fisica

Le applicazioni Workday sono ospitate in data center all'avanguardia, progettati per proteggere sistemi informatici mission-critical con sottosistemi completamente ridondanti e zone di sicurezza compartimentalizzate. I nostri data center aderiscono alle più rigorose misure di sicurezza fisica, tra cui:

  • Più livelli di autenticazione per l'accesso all'area del server
  • Autenticazione biometrica a due fattori per le aree critiche
  • Sistemi di videosorveglianza in corrispondenza dei punti di ingresso critici interni ed esterni
  • Monitoraggio con personale di sicurezza 24 ore su 24, 7 giorni su 7

Tutti gli accessi fisici ai data center sono rigorosamente limitati e regolamentati.

Sicurezza della rete

Workday ha stabilito criteri, procedure e processi operativi dettagliati concepiti per assicurare la qualità e l'integrità complessive dell'ambiente Workday. Implementiamo inoltre procedure di sicurezza proattive, come i sistemi di difesa del perimetro e di prevenzione delle intrusioni in rete (IPS).

I sistemi IPS monitorano segmenti critici della rete per individuare schemi di comportamento atipici nell'ambiente del cliente e controllano il traffico tra i livelli e il servizio. Workday dispone inoltre di un Security Operations Center globale attivo tutti i giorni dell'anno, 24 ore su 24.

Sicurezza delle applicazioni

Workday ha implementato un ciclo di sviluppo del software aziendale sicuro per assicurare la protezione continua delle sue applicazioni che

include un'approfondita valutazione del rischio e la revisione delle funzionalità. Il codice sorgente viene sottoposto ad analisi di tipo statico e dinamico per facilitare l'integrazione della sicurezza aziendale nel ciclo di sviluppo. Speciali corsi di formazione sulla sicurezza destinati agli sviluppatori e test di penetrazione delle applicazioni contribuiscono a migliorare ulteriormente il processo di sviluppo.

Valutazioni delle vulnerabilità

Workday collabora con terze parti esperte per condurre analisi indipendenti delle vulnerabilità interne ed esterne della rete, del sistema e dell'applicazione.

Applicazione

Collaboriamo con un'importante azienda esperta di sicurezza esterna per stimare le vulnerabilità in materia di sicurezza dell'applicazione mobile e Web prima di ogni aggiornamento principale. Le verifiche svolte dall'azienda sono volte a individuare vulnerabilità standard e avanzate nell'applicazione Web, tra cui:

  • Punti deboli associati a Flash, Flex, AJAX e ActionScript
  • Vulnerabilità CSRF (Cross-Site Request Forgery)
  • Gestione impropria degli input, quali cross-site scripting, SQL injection, XML injection e cross-site flashing
  • Attacchi XML e SOAP
  • Gestione di sessioni deboli
  • Difetti nella convalida dei dati e incongruenze nei vincoli applicati ai modelli di dati
  • Autenticazione o autorizzazione insufficiente
  • HTTP response splitting
  • Uso improprio di SSL/TLS
  • Uso di metodi HTTP non sicuri
  • Uso improprio della crittografia

Rete

Le valutazioni delle vulnerabilità esterne prevedono l'analisi di tutte le risorse esposte a Internet, tra cui firewall, router e web server al fine di individuare potenziali punti deboli che potrebbero consentire accessi non autorizzati alla rete. Inoltre, viene eseguita una valutazione autenticata interna delle vulnerabilità della rete e del sistema per individuare la presenza di potenziali punti deboli e incoerenze nei criteri di sicurezza generali del sistema.

Risorse per la sicurezza consigliate

Come creare best practice di sicurezza all'interno e all'esterno dell'azienda
Leggi il blog
Behind the Cloud: il Chief Trust Officer di Workday spiega come costruire una cultura della sicurezza
Guarda il video
Perché l'autenticazione a più fattori è essenziale
Leggi il blog

  

Privacy

Le normative sulla privacy dei dati sono complesse, variano da un paese all'altro e impongono requisiti rigorosi. All'atto di scegliere un'applicazione HCM, di Finance o di altro tipo, le aziende dovrebbero orientarsi su prodotti che permettano ai clienti di rispettare gli obblighi di protezione dei dati e di tutela della privacy. Workday garantisce funzionalità all'avanguardia che permettono di rispettare la normativa sulla privacy.

In più, mette a disposizione dei clienti risorse e informazioni per aiutarli a comprendere e a verificare i requisiti di privacy e conformità mostrando come Workday può rafforzare il loro impegno.

 

   

Un solido programma di privacy

Workday ha adottato un programma di privacy che prevede misure e procedure rigorose in merito all'accesso, all'utilizzo, alla divulgazione e al trattamento dei dati dei clienti e che si basa sul principio che i dipendenti di Workday accedano, utilizzino, divulghino e trasferiscano i dati dei clienti unicamente in conformità agli accordi contrattuali o su richiesta dei clienti stessi.

L'evoluzione e la sempre maggiore complessità dei problemi di protezione dei dati e delle normative globali, rende Workday consapevole dell'importanza di adottare un programma di privacy integrato nella cultura e nei servizi dell'azienda. La nostra filosofia "Privacy by Design" ne è la chiara dimostrazione perché garantisce ai clienti la privacy e la protezione dei loro dati.

Il team Privacy, Ethics, and Compliance di Workday, guidato dal Chief Privacy Officer, gestisce il programma e ne monitora l'efficacia. Compiti del team:

  • Formulare, gestire e aggiornare le informative sulla privacy, le procedure e gli strumenti interni per proteggere i dati personali trattati dai dipendenti e dai partner per conto di Workday
  • Monitorare la conformità alle informative sulla privacy dirette ai clienti su cui viene svolto un audit con cadenza annuale da parte di un organismo indipendente
  • Accertarsi che gli impegni per la tutela della privacy assunti nei confronti di clienti, partner e dipendenti vengano rispettati
  • Gestire le certificazioni e gli obblighi di conformità normativa
  • Formare il personale di Workday in merito al programma di privacy, monitorare le modifiche delle normative sulla tutela della privacy a livello mondiale e apportare i correttivi necessari

La tutela dei dati e della privacy richiede una vigilanza costante e Workday considera la protezione dei dati personali di clienti e dipendenti una priorità assoluta. Scopri come abbiamo declinato i principi chiave per la privacy qui.

Leggi la nostra Informativa sulla privacy per scoprire come gestiamo e tuteliamo le informazioni dei clienti.

Privacy by Design

Nell'intero ciclo di vita dei nostri servizi abbiamo integrato un programma per la privacy completo basato sulla filosofia "Privacy by Design" che definisce le linee guida per lo sviluppo dei prodotti e la gestione dei servizi.

Trasparenza dei dati

Garantiamo la massima trasparenza circa le aree geografiche in cui vengono archiviati ed elaborati i dati dei clienti.

Privacy globale

Privacy globale dei dati

Workday e i suoi clienti devono rispettare diverse leggi e normative internazionali che disciplinano la tutela della riservatezza dei dati. I principi di tutela della privacy comuni a tutte le giurisdizioni includono il preavviso, la possibilità di scelta, il diritto di accesso, il trattamento, la divulgazione e la protezione. La nostra applicazione è progettata per accettare configurazioni diverse adattate alle leggi specifiche di ciascun paese. In più, Workday garantisce la conformità alle normative sulla privacy internazionali tramite l'adozione di un cosiddetto WISP (Written Information Security Program) che contiene tutele tecniche e organizzative messe in atto per prevenire l'accesso, l'utilizzo e la divulgazione non autorizzati dei dati dei clienti. Workday continua a impegnarsi a rispettare gli standard di privacy globali, come dimostrato dalla nostra dedizione a programmi quali il Privacy Shield, all'implementazione delle Binding Corporate Rules (BCR) e al rispetto delle clausole del sistema Asia-Pacific Economic Cooperation (APEC) Cross Border Privacy Rules (CBPR).

Privacy dei dati nell'Unione Europea

Il panorama della privacy dei dati nell'Unione Europea è cambiato significativamente con l'introduzione del Regolamento generale per la protezione dei dati (GDPR), entrato in vigore il 25 maggio 2018 allo scopo di armonizzare il mosaico frammentato delle leggi sulla protezione dei dati in Europa. Workday è certa di poter continuare a elaborare i dati personali dei clienti in linea con il GDPR, anche grazie al costante monitoraggio delle indicazioni emesse dalle autorità di supervisione dell'UE che ci permette di intervenire con la massima tempestività qualora fosse necessario apportare dei correttivi.

Workday ha valutato le sue numerose pratiche interne per la sicurezza e la privacy alla luce dei requisiti del GDPR per assicurare la conformità al regolamento fin dal primo giorno soffermandosi su:

  • Formazione specifica dei dipendenti su sicurezza e privacy
  • Privacy Impact Assessment
  • Offerta di meccanismi di trasferimento dei dati per legalizzare il trasferimento di dati personali fuori dallo Spazio Economico Europeo, tra cui le Binding Corporate Rules di Workday
  • Conservazione dei registri delle attività di elaborazione
  • Funzionalità di conformità e privacy configurabili per i clienti

I concetti di Privacy by Design e Privacy by Default sono intrinseci nei servizi Workday. Workday riconosce che il GDPR è una priorità aziendale molto importante per i clienti internazionali, pertanto, continua a monitorare le indicazioni emesse dalle autorità di supervisione dell'UE in merito al GDPR per fare in modo che il programma di conformità rimanga aggiornato.

Oltre a essere importante per Workday, in qualità di responsabile del trattamento dei dati, la conformità al GDPR è importante anche per i clienti che devono poter utilizzare il servizio Workday per soddisfare i requisiti di conformità interni. Questa consapevolezza ha spinto Workday a mettere a disposizione dei suoi clienti gli strumenti necessari per soddisfare gli obblighi del GDPR. Il servizio Workday permette ai clienti di elaborare i dati personali all'interno del loro tenant privato. Per saperne di più su come aiutiamo i clienti a soddisfare gli obblighi del GDPR, leggi qui.

Privacy Shield

Nel 2016, Workday ha sottoscritto l'accordo Privacy Shield nel primo giorno in cui il Department of Commerce degli Stati Uniti ha avviato il processo di certificazione, dimostrando il suo deciso e costante impegno per la tutela della privacy e la protezione dei dati dei clienti. Il Privacy Shield è un accordo che regola il trasferimento dei dati personali tra Unione Europea e Stati Uniti e tra Svizzera e Stati Uniti. La disciplina prevede:

  • Tutele chiare e trasparenza in merito all'accesso ai dati da parte del Governo degli Stati Uniti
  • Obblighi stringenti per le aziende che gestiscono dati
  • Misure di protezione efficaci per i diritti individuali, tra cui la possibilità di ricorso per i cittadini dell'UE
  • Revisione annuale congiunta da parte della Commissione Europea e del Department of Commerce degli Stati Uniti

Nonostante le aziende possano aderire al Privacy Shield con un meccanismo di autocertificazione, Workday ha scelto di affidarsi a TRUSTe per una verifica indipendente. Inoltre, per garantire ai clienti i massimi livelli di protezione e privacy dei dati, Workday affida regolarmente ad aziende terze la revisione del suo programma per la privacy. Scopri di più sulla nostra certificazione Privacy Shield qui.

Binding Corporate Rules (BCR)

Oltre alla certificazione Privacy Shield, Workday ha ottenuto dalle autorità europee preposte alla protezione dei dati l'approvazione delle BCR per il responsabile del trattamento. Dal momento che la sede centrale europea di Workday è a Dublino, la commissione per la protezione dei dati irlandese ha rappresentato la principale autorità per Workday, affiancata dalle autorità del Regno Unito e dei Paesi Bassi. Gli impegni rispetto ai soggetti interessati dei clienti presenti nelle norme BCR di Workday sono consultabili qui.

Certificazioni APEC CBPR e APEC PRP

Workday ha ottenuto le certificazioni APEC CBPR (Asia-Pacific Economic Cooperation Cross-Border Privacy Rules) e APEC PRP (Privacy Rules for Processors). Le certificazioni APEC sono costituite da una serie di norme sulla tutela della privacy a carattere volontario, elaborate rispettivamente per i titolari e i responsabili del trattamento dei dati al fine di agevolare il trasferimento di dati tra i mercati dell'area APEC. Tali certificazioni dimostrano la conformità agli elevati standard di tutela della privacy che caratterizzano l'area dell'Asia-Pacifico.

Workday è stata tra le prime aziende a ricevere la certificazione APEC CBPR a marzo 2014 e la prima a ricevere la certificazione APEC PRP a settembre 2018, entrambe attestate da TrustArc, il responsabile delle certificazioni APEC per gli Stati Uniti.

Mantenendo la conformità agli standard APEC CBPR e APEC PRP e rispettando i requisiti di privacy dello Spazio Economico Europeo, Workday è in grado di dimostrare la propria aderenza ai più rigorosi contesti normativi mondiali.

Risorse sulla privacy consigliate

Tre funzionalità di Workday che supportano il GDPR
Leggi il blog
Workday partecipa all'Assemblea Generale per il Codice di condotta cloud per l'UE
Leggi il blog
GDPR: Privacy by Design in Workday
Leggi il blog

  

Conformità

I responsabili IT di oggi hanno l'arduo compito di proteggere e garantire la sicurezza dei dati di clienti, dipendenti e la proprietà intellettuale delle aziende in un ambiente dove le minacce alla sicurezza si fanno sempre più complesse. Le aziende hanno inoltre la responsabilità di rispettare tutte le leggi vigenti, incluse quelle relative alla privacy e al trasferimento dei dati personali, anche quando tali dati vengono gestiti e trattati da provider di servizi esterni.

Workday implementa un programma di sicurezza ufficiale approfondito concepito per garantire la protezione e l'integrità dei dati dei clienti, per neutralizzare le minacce e le violazioni e per prevenire l'accesso non autorizzato ai dati dei clienti. Le specifiche del programma di sicurezza sono descritte in dettaglio negli audit di sicurezza condotti da terze parti e nelle certificazioni internazionali.

   

Per aiutare i team legali e di conformità dei nostri clienti a comprendere e a verificare i requisiti di conformità per le loro aziende, abbiamo raccolto le seguenti risorse.

Audit e certificazioni di terze parti

Profile image
SOC 1

I report SOC 1 (Service Organization Controls) valutano l'efficacia dei controlli di una società di servizi che possono interessare i controlli interni del cliente rispetto alla reportistica finanziaria.

Profile image
SOC 2

Il report SOC 2 Type II di Workday è una valutazione indipendente del nostro ambiente di controllo eseguita da una terza parte

Profile image
SOC 3

L'AICPA (American Institute of Certified Public Accountants) ha elaborato il framework SOC 3 per tutelare la riservatezza e la privacy dei dati archiviati e trattati nel cloud.

Profile image
ISO 27001

ISO 27001 è una norma basata su standard e riconosciuta a livello internazionale che definisce i requisiti dei sistemi di gestione della sicurezza delle informazioni delle aziende.

Profile image
ISO 27017

ISO 27017, pubblicato nel 2015, è uno standard complementare di ISO 27001.

Profile image
ISO 27018

ISO 27018, pubblicato nel 2014, è uno standard complementare di ISO 27001.

Profile image
PCI DSS

Workday supporta la conformità allo standard PCI DSS nell'ambito del Workday Secure Credit Card Environment, un ambiente isolato per l'archiviazione, l'elaborazione e la trasmissione di dati non mascherati dei titolari di carte attraverso integrazioni predefinite.

Profile image
HIPAA

Workday ha ottenuto l'attestato di terze parti HIPAA (Health Insurance Portability and Accountability Act) per le applicazioni cloud aziendali, il che garantisce che Workday salva, elabora e condivide dati personali e sanitari in base a un programma conforme alla normativa HIPAA.

Profile image
NIST CSF e NIST 800-171

Il NIST Cybersecurity Framework (CSF) fornisce indicazioni alle aziende su come migliorare la capacità di prevenire, rilevare e reagire alle minacce informatiche. Lo standard NIST 800-171 regola la protezione delle informazioni non classificate in sistemi informatici e organizzazioni non federali.

Profile image
G-Cloud

Il framework G-Cloud è un accordo tra il governo del Regno Unito e i provider di servizi cloud.

Profile image
Privacy Shield

Gli accordi Privacy Shield tra Unione Europea e Stati Uniti e tra Svizzera e Stati Uniti sono nuovi framework che regolano il trasferimento dei dati personali tra UE e USA. 

Profile image
TRUSTe

Gli standard per la certificazione TRUSTe incorporano i principi dei framework per la privacy stabiliti dall'APEC, dall'OCSE e dall'FTC.

Profile image
Autovalutazione CSA STAR

L'autovalutazione STAR (Security, Trust & Assurance Registry) di CSA (Cloud Security Alliance) combina le informazioni attuali in merito ai controlli e ai rischi per la sicurezza in un unico questionario standard di settore.