Hero Background Image
Sicurezza e fiducia

Una base sicura e affidabile

In Workday la sicurezza è integrata in tutto ciò che facciamo. Per garantire la sicurezza e la riservatezza dei dati dei clienti, offriamo i meccanismi di protezione più avanzati e monitoriamo continuamente il nostro sistema affinché i dati più sensibili siano protetti 24 ore su 24, 7 giorni su 7 nel cloud.

 

Sicurezza

La massima priorità di Workday è garantire la sicurezza dei dati dei clienti. Adottiamo rigorose misure di sicurezza a livello aziendale, architetturale e operativo per proteggere costantemente dati, applicazioni e infrastruttura.

Decorativo

Sicurezza aziendale

In Workday la sicurezza inizia fin dal primo giorno ed è considerata una responsabilità di tutti. Tutti i dipendenti seguono corsi di formazione su sicurezza, riservatezza e conformità non appena vengono assunti per assicurare che i dati di Workday e dei suoi clienti siano sempre al sicuro. Tramite il nostro programma di formazione e sensibilizzazione in tema di sicurezza, il team di Information Security fornisce costantemente le conoscenze e le competenze necessarie per evitare o ridurre al minimo i rischi in questo ambito.

Questo impegno a favore della sicurezza si estende ai nostri dirigenti. L'Executive Leadership Team, i cui membri ricoprono funzioni aziendali diverse, favorisce l'allineamento di tutti i manager dell'azienda e si adopera per sensibilizzare l'intero organico sull'importanza della sicurezza.

Sicurezza dell'architettura

Trattamento e ruoli

I nostri clienti fungono da titolari del trattamento dei dati, mentre Workday ricopre il ruolo di responsabile del trattamento. Ciò significa che il cliente mantiene il pieno controllo dei dati inseriti nei nostri servizi, oltre che delle impostazioni e configurazioni. Poiché rimane titolare dei propri dati, mentre Workday si occupa esclusivamente del loro trattamento, il cliente non ha bisogno di richiedere alcun intervento per svolgere normali attività quotidiane quali:

  • Assegnare autorizzazioni di sicurezza e modificare ruoli
  • Creare nuovi report e worklet
  • Configurare processi aziendali, avvisi, regole e altro
  • Creare nuove integrazioni con le utility di Workday o strumenti proprietari
  • Modificare o creare nuove strutture organizzative
  • Monitorare tutte le transazioni aziendali
  • Analizzare i dati storici e le modifiche della configurazione

Crittografia dei dati

Una caratteristica fondamentale del design di Workday è che crittografiamo ogni attributo dei dati del cliente prima che vengano salvati in modo permanente nel tenant del cliente. Poiché Workday è un'applicazione orientata agli oggetti in-memory e non un'applicazione RDBMS basata su disco, siamo in grado di raggiungere il massimo livello di crittografia utilizzando l'algoritmo AES (Advanced Encryption Standard) con una chiave a 256 bit univoca per ciascun cliente.

Il protocollo TLS (Transport Layer Security) protegge l'accesso tramite Internet degli utenti e il traffico di rete dall'ascolto indiscreto passivo, dalla manomissione attiva e dalla contraffazione dei messaggi. Le integrazioni basate su file possono essere crittografate tramite PGP o una coppia di chiavi pubblica/privata generata da Workday tramite un certificato generato dal cliente. La sicurezza può essere estesa alle integrazioni dei servizi Web con l'API Workday grazie a WS-Security.

Sicurezza logica

In Workday la sicurezza degli accessi è basata sull'assegnazione di ruoli e supporta SAML per il Single Sign-On, l'Autenticazione delegata LDAP e l'Autenticazione con certificato X.509 per le integrazioni con utenti e servizi Web.

Supporto Single-Sign-On

SAML assicura un'esperienza Single Sign-On fluida tra il portale Web interno del cliente e Workday. I clienti accedono al portale Web interno utilizzando nome utente e password aziendali e visualizzano un link a Workday che permette di accedere direttamente all'applicazione senza dover inserire nuovamente le credenziali. Workday supporta anche OpenID Connect.

Login nativo di Workday

Per i clienti che desiderano accedere con il login nativo, le password di Workday vengono archiviate unicamente sotto forma di hash sicuro. I login non riusciti e l'attività dei login/logout effettuati vengono acquisiti a scopo di audit. Le sessioni utente inattive scadono automaticamente dopo un determinato periodo di tempo configurabile dall'utente.

Le regole per le password, configurabili dai clienti, includono lunghezza, complessità, scadenza e risposte segrete in caso di password dimenticata.

Autenticazione a più fattori

Workday consiglia ai clienti di utilizzare l'autenticazione a più fattori (MFA) e consente loro di utilizzare il provider MFA che preferiscono con il supporto dell'algoritmo TOTP (passcode unico a tempo). Con questa configurazione, i clienti possono facilmente integrare i provider MFA con il login nativo di Workday. Workday permette inoltre agli utenti finali dei clienti di ricevere un passcode temporaneo inviato da email su SMS. Infine, Workday utilizza le domande di sicurezza come meccanismo ulteriore per verificare l'identità degli utenti.

Autenticazione step-up

Le aziende che utilizzano SAML possono richiedere un ulteriore livello di verifica per accedere alle funzionalità più sensibili di Workday. Con l'autenticazione step-up, il cliente può infatti imporre l'utilizzo di un secondo fattore di autenticazione per l'accesso a tali informazioni.

Sicurezza configurabile

Gli amministratori della sicurezza del cliente possono decidere cosa mostrare agli utenti e cosa questi possono fare all'interno del tenant del cliente. Hanno inoltre facoltà di decidere come configurare i gruppi di sicurezza in cui classificare i vari utenti. Possono infatti mettere a punto criteri di sicurezza che stabiliscono quali informazioni possono visualizzare e quali operazioni possono svolgere gli appartenenti alle diverse categorie.

Sicurezza operativa

Sicurezza fisica

Le applicazioni Workday sono ospitate in data center all'avanguardia, progettati per proteggere sistemi informatici mission-critical con sottosistemi completamente ridondanti e zone di sicurezza compartimentalizzate. I nostri data center aderiscono alle più rigorose misure di sicurezza fisica, tra cui:

  • Più livelli di autenticazione per l'accesso all'area del server
  • Autenticazione biometrica a due fattori per le aree critiche
  • Sistemi di videosorveglianza in corrispondenza dei punti di ingresso critici interni ed esterni
  • Monitoraggio con personale di sicurezza 24 ore su 24, 7 giorni su 7

Tutti gli accessi fisici ai data center sono rigorosamente limitati e regolamentati.

Sicurezza della rete

Workday ha stabilito criteri, procedure e processi operativi dettagliati concepiti per assicurare la qualità e l'integrità complessive dell'ambiente Workday. Implementiamo inoltre procedure di sicurezza proattive, come i sistemi di difesa del perimetro e di prevenzione delle intrusioni in rete (IPS).

I sistemi IPS monitorano segmenti critici della rete per individuare schemi di comportamento atipici nell'ambiente del cliente e controllano il traffico tra i livelli e il servizio. Workday dispone inoltre di un Security Operations Center globale attivo tutti i giorni dell'anno, 24 ore su 24.

Sicurezza delle applicazioni

Workday ha adottato un Secure Software Development Life Cycle (SDLC) per assicurare la protezione continua delle sue applicazioni.

Questo processo di sviluppo sicuro include un'approfondita valutazione dei rischi e la revisione delle funzionalità. Il codice sorgente viene sottoposto ad analisi di tipo statico e dinamico per facilitare l'integrazione della sicurezza aziendale nel ciclo di sviluppo. Speciali corsi di formazione sulla sicurezza destinati agli sviluppatori e test di penetrazione delle applicazioni contribuiscono a migliorare ulteriormente il processo di sviluppo.

Valutazioni delle vulnerabilità

Workday collabora con terze parti esperte per condurre analisi indipendenti delle vulnerabilità interne ed esterne delle reti, dei sistemi e delle applicazioni.

Applicazione

Collaboriamo con un'importante azienda esterna esperta di sicurezza per stimare le vulnerabilità in materia di sicurezza dell'applicazione mobile e Web prima di ogni aggiornamento principale. Le verifiche svolte dall'azienda sono volte a individuare vulnerabilità standard e avanzate nell'applicazione Web, tra cui:

  • Punti deboli associati a Flash, Flex, AJAX e ActionScript
  • Vulnerabilità CSRF (Cross-Site Request Forgery)
  • Gestione impropria degli input, quali cross-site scripting, SQL injection, XML injection e cross-site flashing
  • Attacchi XML e SOAP
  • Gestione di sessioni deboli
  • Difetti nella convalida dei dati e incongruenze nei vincoli applicati ai modelli di dati
  • Autenticazione o autorizzazione insufficiente
  • HTTP response splitting
  • Uso improprio di SSL/TLS
  • Uso di metodi HTTP non sicuri
  • Uso improprio della crittografia

Rete

Le valutazioni delle vulnerabilità esterne prevedono l'analisi di tutte le risorse esposte a Internet, tra cui firewall, router e web server al fine di individuare potenziali punti deboli che potrebbero consentire accessi non autorizzati alla rete. Inoltre, viene eseguita una valutazione autenticata delle vulnerabilità interne della rete e del sistema per individuare la presenza di potenziali punti deboli e incoerenze nei criteri di sicurezza generali del sistema.

Privacy

Workday fa della riservatezza dei dati dei clienti una vera e propria missione e li aiuta, a loro volta, ad ottemperare ai propri obblighi in questo ambito. All'atto di scegliere un gestionale per Finance o HCM, le aziende dovrebbero orientarsi su prodotti che permettano ai clienti di rispettare gli obblighi in materia di protezione dei dati e di tutela della privacy. Workday garantisce funzionalità all'avanguardia che permettono di rispettare la normativa sulla privacy.

Workday inoltre garantisce trasparenza sulle proprie prassi in tema di privacy. Non solo: mette a disposizione dei clienti risorse e informazioni per aiutarli a comprendere e a verificare i requisiti di privacy e conformità cui devono attenersi, mostrando come Workday può rafforzare il loro impegno.

 

   

Decorativo

Principi di privacy

L'evoluzione e la sempre maggiore complessità dei problemi di protezione dei dati e delle normative globali fanno sì che Workday conosca l'importanza di adottare un programma di privacy completo che sia integrato nella cultura e nei servizi dell'azienda.

Tutte le nostre azioni sono ispirate ai seguenti tre principi, che rispecchiano i nostri valori principali:

  • La privacy al primo posto
  • Innovazione responsabile
  • Un sistema basato su correttezza e fiducia

Da questi principi scaturisce la nostra filosofia di "privacy by design", che offre ai nostri clienti le garanzie che cercano per tutelare riservatezza e protezione dei propri dati. A questi principi si ispirano la formazione del nostro personale, la progettazione e realizzazione dei nostri prodotti e dunque anche le modalità con cui elaboriamo i dati personali.

La tutela dei dati e della privacy richiede una vigilanza costante e Workday considera la protezione dei dati personali di clienti e dipendenti una priorità assoluta. Scopri come abbiamo integrato i principi chiave per la privacy.

Leggi la nostra Informativa sulla privacy per scoprire come gestiamo e tuteliamo le informazioni dei clienti.

  

Privacy globale

Privacy globale dei dati

La privacy continua a far parlare di sé a livello globale, con l'avvento del Regolamento generale sulla protezione dei dati (GDPR), il continuo impulso alla legislazione USA in materia e le nuove leggi promulgate in diversi paesi dell'Asia e dell'America Latina. Workday accoglie con favore questa rinnovata attenzione per l'argomento, dal momento che le misure a tutela della riservatezza sono una componente fondamentale dei nostri servizi fin dalla nascita dell'azienda. Siamo inoltre consapevoli che la privacy è una responsabilità condivisa tra noi e i nostri clienti.

Workday e i suoi clienti devono rispettare complesse leggi e normative a livello internazionale che disciplinano la tutela della privacy. Workday si mantiene sempre al passo con le normative internazionali grazie al suo programma completo di tutela dei dati, che prevede una serie di misure di protezione a livello tecnico, amministrativo e aziendale. Il nostro impegno al rispetto della normativa fa sì che i nostri clienti possano stare tranquilli, come attestato dall'adozione da parte nostra delle Binding Corporate Rules (BCR) per i responsabili del trattamento e dal fatto che siamo la prima azienda a conseguire la certificazione Asia-Pacific Economic Cooperation Privacy Rules for Processors.

Privacy dei dati nell'Unione Europea

Il grado di preparazione di Workday di fronte ai cambiamenti delle normative si è visto il 25 maggio 2018, giorno dell'entrata a regime del Regolamento generale sulla protezione dei dati (GDPR). Il nuovo regolamento ha rivoluzionato il panorama europeo in materia di privacy armonizzando il mosaico delle normative nazionali. Con l'entrata a regime del GDPR, la capacità di Workday di trattare i dati personali dei clienti in ottemperanza alla normativa non è stata intaccata. Ad esempio, è cambiato poco per i clienti di Workday per quanto riguarda i flussi transfrontalieri di dati personali destinati al trattamento da parte di Workday. Disponevamo già di robuste condizioni per la protezione dei dati, ma le avevamo aggiornate in maniera proattiva per allinearci ai requisiti imposti dal GDPR.

Le solide pratiche di sicurezza e privacy di Workday supportano la conformità al GDPR in diversi modi, tra cui:

  • Formazione ricorrente dei dipendenti su sicurezza e privacy basata sui ruoli
  • Processi ben sviluppati per acquisire Privacy Impact Assessments
  • Offerta di meccanismi di trasferimento dei dati per legalizzare il trasferimento di dati personali fuori dallo Spazio Economico Europeo, tra cui le Binding Corporate Rules di Workday
  • Conservazione dei registri delle attività di trattamento
  • Funzionalità di conformità e privacy configurabili per i clienti
  • Sovrapposizione tra i requisiti del GDPR e i nostri controlli SOC2

In più, in Workday sono profondamente radicati i concetti di Privacy by Design e Privacy by Default. Workday continua a monitorare le indicazioni emesse dalle autorità di supervisione dell'UE per fare in modo che il programma di conformità rimanga aggiornato.

Oltre a essere importante per Workday in qualità di responsabile del trattamento dei dati, la conformità al GDPR è importante anche per i clienti che devono poter utilizzare Workday per ottemperare alla normativa internamente. Per questo Workday progetta le sue applicazioni in modo che siano configurabili, per dare modo ai clienti di adempiere agli obblighi imposti dal GDPR.

Flussi transfrontalieri di dati

Malgrado i numerosi ostacoli che si sono presentati nel corso degli anni ai flussi transfrontalieri di dati, Workday continua a supportare con ottimismo i propri clienti in questo ambito. L'azienda ha messo a punto fin dall'inizio un programma che offre ai clienti diversi meccanismi per il trasferimento dei dati. Il nostro contratto include le clausole contrattuali tipo (Standard Contractual Clauses, SCC) della Commissione europea, che permettono il trasferimento di dati personali dallo Spazio economico europeo agli Stati Uniti. In aggiunta a ciò, Workday offre ai clienti le Processor Binding Corporate Rules (BCR) come ulteriore meccanismo di trasferimento. Le BCR sono disponibili qui.

Collaboriamo con i clienti a livello globale per svolgere valutazioni sull'impatto del trasferimento dei dati (Transfer Impact Assessment) prima di trasferire dati personali europei verso paesi terzi. Forniamo ai clienti informazioni quali Domande frequenti e white paper in maniera proattiva, per aiutarli a orientarsi in questo tipo di valutazioni. In più, Workday si impegna a garantire trasparenza ai clienti qualora riceva una richiesta legalmente valida da parte delle forze dell'ordine o di altre istituzioni statali, per accedere ai dati elettronici che i clienti inviano alle applicazioni Workday Software as a Service.

Conformità certificata

Workday investe nel conseguimento di certificazioni e framework al top del settore, in modo che i clienti possano verificare in semplicità le nostre prassi sulla privacy. E spesso siamo i primi ad ottenerle.

Workday ha aderito al Privacy Shield nel primo giorno in cui il Department of Commerce degli Stati Uniti ha avviato il processo di certificazione, dimostrando il suo deciso e costante impegno per la tutela della privacy e la protezione dei dati dei clienti. Anche se il Privacy Shield non è più un quadro valido per il trasferimento dei dati, Workday continua a certificare al Department of Commerce la piena conformità ai principi del Privacy Shield. Nonostante le aziende possano aderire al Privacy Shield con un meccanismo di autocertificazione, Workday ha scelto di affidarsi a TRUSTe per offrire un'ulteriore dimostrazione di conformità. Scopri di più sui nostri standard di verifica TRUSTe per Privacy Shield.

Workday è stato il primo fornitore di servizi cloud a dichiarare l'adesione al Cloud Code of Conduct (CCoC) dell'UE, che consiste in una serie di requisiti che consentono ai fornitori di servizi cloud (CSP) di dimostrare la loro capacità di rispettare il GDPR. Un ente di monitoraggio indipendente effettua revisioni annuali. Verifica il rispetto di Workday del CCoC.

Workday ha ottenuto le certificazioni APEC CBPR (Asia-Pacific Economic Cooperation Cross-Border Privacy Rules) e APEC PRP (Privacy Rules for Processors). Le certificazioni APEC sono costituite da una serie di norme sulla tutela della privacy a carattere volontario, elaborate rispettivamente per i titolari e i responsabili del trattamento dei dati al fine di agevolare il trasferimento di dati tra i mercati dell'area APEC. Tali certificazioni dimostrano la conformità agli elevati standard di tutela della privacy che caratterizzano l'area dell'Asia-Pacifico.

Workday è stata tra le prime aziende a ricevere la certificazione APEC CBPR a marzo 2014 e la prima a ricevere la certificazione APEC PRP a settembre 2018, entrambe attestate da TRUSTe, il responsabile delle certificazioni APEC per gli Stati Uniti.

Conformità

I responsabili IT di oggi hanno l'arduo compito di proteggere e garantire la sicurezza dei dati di clienti, dipendenti e la proprietà intellettuale delle aziende in un ambiente dove le minacce alla sicurezza si fanno sempre più complesse. Le aziende hanno inoltre la responsabilità di rispettare tutte le leggi vigenti, incluse quelle relative alla privacy e al trasferimento dei dati personali, anche quando tali dati vengono gestiti e trattati da provider di servizi esterni.

Workday implementa un programma di sicurezza ufficiale approfondito concepito per garantire la protezione e l'integrità dei dati dei clienti, per neutralizzare le minacce e le violazioni e per prevenire l'accesso non autorizzato ai dati dei clienti. Le specifiche del programma di sicurezza sono descritte in dettaglio negli audit di sicurezza condotti da terze parti e nelle certificazioni internazionali.

   

   

decorativo

Per aiutare i team legali e di conformità dei nostri clienti a comprendere e a verificare i requisiti di conformità per le loro aziende, abbiamo raccolto le seguenti risorse.

Audit e certificazioni di terze parti

Profile image
SOC 1

I report SOC 1 (Service Organization Controls) valutano l'efficacia dei controlli di una società di servizi che possono interessare i controlli interni del cliente rispetto alla reportistica finanziaria.

Profile image
SOC 2

Il report SOC 2 Type II di Workday è una valutazione indipendente del nostro ambiente di controllo eseguita da una terza parte.

Profile image
SOC 3

L'AICPA (American Institute of Certified Public Accountants) ha elaborato il framework SOC 3 per tutelare la riservatezza e la privacy dei dati archiviati e trattati nel cloud.

Profile image
ISO 27001

ISO 27001 è una norma basata su standard e riconosciuta a livello internazionale che definisce i requisiti dei sistemi di gestione della sicurezza delle informazioni delle aziende.

Profile image
ISO 27017

ISO 27017, pubblicato nel 2015, è uno standard complementare di ISO 27001.

Profile image
ISO 27018

ISO 27018, pubblicato nel 2014, è uno standard complementare di ISO 27001.

Profile image
ISO 27701

ISO 27701, pubblicato nel 2019, è uno standard complementare di ISO 27001.

Profile image
PCI DSS

Workday supporta la conformità allo standard PCI DSS nell'ambito del Workday Secure Credit Card Environment, un ambiente isolato per l'archiviazione, l'elaborazione e la trasmissione di dati non mascherati dei titolari di carte attraverso integrazioni predefinite.

Profile image
HIPAA

Workday ha ottenuto l'attestato esterno HIPAA (Health Insurance Portability and Accountability Act) per le applicazioni cloud aziendali, che garantisce che Workday salva, tratta e condivide dati personali e sanitari in base a un programma conforme alla normativa HIPAA.

Profile image
NIST CSF e NIST 800-171

Il NIST Cybersecurity Framework (CSF) fornisce indicazioni alle aziende su come migliorare la capacità di prevenire, rilevare e reagire alle minacce informatiche. Lo standard NIST 800-171 regola la protezione delle informazioni non classificate in sistemi informatici e organizzazioni non federali.

Profile image
G-Cloud

Il framework G-Cloud è un accordo tra il governo del Regno Unito e i provider di servizi cloud.

Profile image
Autovalutazione CSA STAR

L'autovalutazione STAR (Security, Trust & Assurance Registry) di CSA (Cloud Security Alliance) combina le informazioni attuali in merito ai controlli e ai rischi per la sicurezza in un unico questionario standard di settore.

Profile image
Privacy Shield

Workday è un membro attivo del Privacy Shield. TRUSTe è l'agente di verifica indipendente utilizzato da Workday per la certificazione Privacy Shield. 

Profile image
Cloud Code of Conduct (CCoC) dell'UE

Il Cloud Code of Conduct (CCoC) dell'UE consiste in una serie di requisiti che consentono ai fornitori di servizi cloud (CSP) di dimostrare la loro capacità di rispettare il GDPR. 

Profile image
Certificazione di TRUSTe "Enterprise Privacy e Data Governance"

Workday partecipa all'Enterprise Privacy & Data Governance Practices Program di TRUSTe.

Profile image
Questionario SIG

Il questionario Standardized Information Gathering (SIG) è una serie di domande che unifica a livello di settore una vasta gamma di aree di controllo relative alle tecnologie informatiche e alla protezione dei dati. 

Profile image
Cyber Essentials

Cyber Essentials è un sistema supportato dal governo del Regno Unito per assistere le organizzazioni nella protezione dalle minacce di cyber security tramite la definizione di controlli tecnici di base.