In Workday la sicurezza è integrata in tutto ciò che facciamo. Per garantire la sicurezza e la riservatezza dei dati dei clienti, garantiamo i meccanismi di protezione più avanzati e monitoriamo continuamente il nostro sistema affinché i dati più sensibili siano protetti 24 ore su 24, 7 giorni su 7 nel cloud.
La massima priorità di Workday è garantire la sicurezza dei dati dei clienti. Adottiamo rigorose misure di sicurezza a livello aziendale, architetturale e operativo per proteggere costantemente dati, applicazioni e infrastruttura.
La sicurezza inizia sin dal primo giorno. Tutti i dipendenti seguono corsi di formazione su sicurezza, riservatezza e conformità non appena vengono assunti e sebbene la misura del loro coinvolgimento vari a seconda del ruolo ricoperto, in Workday la sicurezza è considerata una responsabilità di tutti.
Questo impegno a favore della sicurezza si estende ai nostri dirigenti. Il Workday Security Council, un comitato di dirigenti che ricoprono funzioni aziendali diverse, delinea i nostri programmi per la sicurezza, favorisce l'allineamento di tutti i manager dell'azienda e si adopera per sensibilizzare l'intero organico sull'importanza della sicurezza.
I nostri clienti fungono da titolari del trattamento dei dati, mentre Workday ricopre il ruolo di responsabile del trattamento. Ciò significa che il cliente mantiene il pieno controllo dei dati inseriti nei nostri servizi, oltre che delle impostazioni e configurazioni. Poiché rimane titolare dei propri dati, mentre Workday si occupa esclusivamente del loro trattamento, il cliente non ha bisogno di richiedere alcun intervento per svolgere normali attività quotidiane quali:
Una caratteristica fondamentale del design di Workday è che crittografiamo ogni attributo dei dati del cliente prima di salvarlo in modo permanente in qualsiasi database. Poiché Workday è un'applicazione orientata agli oggetti in-memory e non un'applicazione RDBMS basata su disco, siamo in grado di raggiungere il massimo livello di crittografia utilizzando l'algoritmo AES (Advanced Encryption Standard) con una chiave a 256 bit univoca per ciascun cliente.
Il protocollo TLS (Transport Layer Security) protegge l'accesso tramite Internet degli utenti e il traffico di rete dall'ascolto indiscreto passivo, dalla manomissione attiva o dalla contraffazione dei messaggi. Le integrazioni basate su file possono essere crittografate tramite PGP o una coppia di chiavi pubblica/privata generata da Workday tramite un certificato generato dal cliente. La sicurezza può essere estesa alle integrazioni dei servizi Web con l'API Workday grazie a WS-Security.
In Workday la sicurezza degli accessi è basata sull'assegnazione di ruoli e supporta SAML per il Single Sign-On, l'Autenticazione delegata LDAP e l'Autenticazione con certificato X.509 per le integrazioni con utenti e servizi Web.
Supporto Single-Sign-On
SAML assicura un'esperienza Single Sign-On fluida tra il portale Web interno del cliente e Workday. I clienti accedono al portale Web interno utilizzando nome utente e password aziendali e visualizzano un link a Workday che permette di accedere direttamente all'applicazione senza dover inserire nuovamente le credenziali. Workday supporta anche OpenID Connect.
Login nativo di Workday
Per i clienti che desiderano accedere con il login nativo, le password di Workday vengono archiviate unicamente sotto forma di hash sicuro. I login non riusciti e l'attività dei login/logout effettuati vengono acquisiti a scopo di audit. Le sessioni utente inattive scadono automaticamente dopo un determinato periodo di tempo configurabile dall'utente.
Le regole per le password, configurabili dai clienti, includono complessità, scadenza e risposte segrete in caso di password dimenticata.
Autenticazione a più fattori
Workday consiglia ai clienti di utilizzare l'autenticazione a più fattori (MFA) e consente loro di utilizzare il provider MFA che preferiscono con il supporto dell'algoritmo TOTP (passcode unico a tempo). Con questa configurazione, i clienti possono facilmente integrare provider MFA con il login nativo di Workday. Workday permette inoltre agli utenti finali dei clienti di ricevere un passcode temporaneo inviato da email su SMS. Infine, Workday utilizza le domande di sicurezza come meccanismo ulteriore per verificare l'identità degli utenti.
Autenticazione step-up
Se un utente lascia la sua console aperta o se più utenti accedono a Workday dallo stesso dispositivo, le aziende che utilizzano SAML come metodo di autenticazione possono tutelarsi dagli accessi non autorizzati individuando le informazioni sensibili all'interno di Workday e imponendo per l'accesso a queste l'utilizzo di un secondo fattore di autenticazione.
Le applicazioni Workday sono ospitate in data center all'avanguardia, progettati per proteggere sistemi informatici mission-critical con sottosistemi completamente ridondanti e zone di sicurezza compartimentalizzate. I nostri data center aderiscono alle più rigorose misure di sicurezza fisica, tra cui:
Tutti gli accessi fisici ai data center sono rigorosamente limitati e regolamentati.
Workday ha stabilito criteri, procedure e processi operativi dettagliati concepiti per assicurare la qualità e l'integrità complessive dell'ambiente Workday. Implementiamo inoltre procedure di sicurezza proattive, come i sistemi di difesa del perimetro e di prevenzione delle intrusioni in rete (IPS).
I sistemi IPS monitorano segmenti critici della rete per individuare schemi di comportamento atipici nell'ambiente del cliente e controllano il traffico tra i livelli e il servizio. Workday dispone inoltre di un Security Operations Center globale attivo tutti i giorni dell'anno, 24 ore su 24.
Workday ha implementato un ciclo di sviluppo del software aziendale sicuro per assicurare la protezione continua delle sue applicazioni che include un'approfondita valutazione del rischio e la revisione delle funzionalità. Il codice sorgente viene sottoposto ad analisi di tipo statico e dinamico per facilitare l'integrazione della sicurezza aziendale nel ciclo di sviluppo. Speciali corsi di formazione sulla sicurezza destinati agli sviluppatori e test di penetrazione delle applicazioni contribuiscono a migliorare ulteriormente il processo di sviluppo.
Workday collabora con terze parti esperte per condurre analisi indipendenti delle vulnerabilità interne ed esterne della rete, del sistema e dell'applicazione.
Applicazione
Collaboriamo con un'importante azienda esperta di sicurezza esterna per stimare le vulnerabilità in materia di sicurezza dell'applicazione mobile e Web prima di ogni aggiornamento principale. Le verifiche svolte dall'azienda sono volte a individuare vulnerabilità standard e avanzate nell'applicazione Web, tra cui:
Rete
Le valutazioni delle vulnerabilità esterne prevedono l'analisi di tutte le risorse esposte a Internet, tra cui firewall, router e web server al fine di individuare potenziali punti deboli che potrebbero consentire accessi non autorizzati alla rete. Inoltre, viene eseguita una valutazione autenticata interna delle vulnerabilità della rete e del sistema per individuare la presenza di potenziali punti deboli e incoerenze nei criteri di sicurezza generali del sistema.
Le normative sulla privacy dei dati sono complesse, variano da un paese all'altro e impongono requisiti rigorosi. All'atto di scegliere un'applicazione HCM, di Finance o di altro tipo, le aziende dovrebbero orientarsi su prodotti che permettano ai clienti di rispettare gli obblighi di protezione dei dati e di tutela della privacy. Workday garantisce funzionalità all'avanguardia che permettono di rispettare la normativa sulla privacy.
In più, mette a disposizione dei clienti risorse e informazioni per aiutarli a comprendere e a verificare i requisiti di privacy e conformità mostrando come Workday può rafforzare il loro impegno.
Workday ha adottato un programma di privacy che prevede misure e procedure rigorose in merito all'accesso, all'utilizzo, alla divulgazione e al trattamento dei dati dei clienti e che si basa sul principio che i dipendenti di Workday accedano, utilizzino, divulghino e trasferiscano i dati dei clienti unicamente in conformità agli accordi contrattuali o su richiesta dei clienti stessi.
L'evoluzione e la sempre maggiore complessità dei problemi di protezione dei dati e delle normative globali, rende Workday consapevole dell'importanza di adottare un programma di privacy integrato nella cultura e nei servizi dell'azienda. La nostra filosofia "Privacy by Design" ne è la chiara dimostrazione perché garantisce ai clienti la privacy e la protezione dei loro dati.
Il team Privacy, Ethics, and Compliance di Workday, guidato dal Chief Privacy Officer, gestisce il programma e ne monitora l'efficacia. Compiti del team:
La tutela dei dati e della privacy richiede una vigilanza costante e Workday considera la protezione dei dati personali di clienti e dipendenti una priorità assoluta. Scopri come abbiamo declinato i principi chiave per la privacy.
Leggi la nostra Informativa sulla privacy per scoprire come gestiamo e tuteliamo le informazioni dei clienti.
Nell'intero ciclo di vita dei nostri servizi abbiamo integrato un programma per la privacy completo basato sulla filosofia "Privacy by Design" che definisce le linee guida per lo sviluppo dei prodotti e la gestione dei servizi.
Garantiamo la massima trasparenza circa le aree geografiche in cui vengono archiviati ed elaborati i dati dei clienti.
Workday e i suoi clienti devono rispettare complesse leggi e normative internazionali che disciplinano la tutela della riservatezza dei dati. Workday dimostra la conformità alle normative sulla privacy internazionali tramite l'adozione di un programma di protezione dei dati globale completo che contiene tutele tecniche e organizzative messe in atto per prevenire l'accesso, l'utilizzo e la divulgazione non autorizzati dei dati dei clienti. Workday continua a impegnarsi a rispettare gli standard di privacy globali, come dimostrato dalla nostra dedizione a programmi quali il Privacy Shield, all'implementazione delle Binding Corporate Rules (BCR) e al rispetto delle clausole del sistema Asia-Pacific Economic Cooperation Privacy Rules for Processors. Le nostre applicazioni sono progettate per accettare configurazioni diverse adattate alle leggi specifiche di ciascun paese.
Il 25 maggio 2018, il General Data Protection Regulation (GDPR) ha cambiato significativamente il panorama della privacy dei dati nell'Unione Europea, allo scopo di armonizzare il mosaico frammentato delle leggi sulla protezione dei dati in Europa. Workday è certa di poter continuare a elaborare i dati personali dei clienti in linea con il GDPR.
Le solide pratiche di sicurezza e privacy di Workday supportano la conformità al GDPR in diversi modi, tra cui:
Inoltre, i concetti di Privacy by Design e Privacy by Default sono intrinseci nei servizi Workday. Workday continua a monitorare le indicazioni emesse dalle autorità di supervisione dell'UE per fare in modo che il programma di conformità rimanga aggiornato.
Oltre a essere importante per Workday, in qualità di responsabile del trattamento dei dati, la conformità al GDPR è importante anche per i clienti che devono poter utilizzare il servizio Workday per soddisfare i requisiti di conformità interni. Questa consapevolezza ha spinto Workday a mettere a disposizione dei suoi clienti gli strumenti necessari per soddisfare gli obblighi del GDPR. Scopri di più su come aiutiamo i clienti a soddisfare gli obblighi del GDPR.
Workday offre ai nostri clienti diversi meccanismi di trasferimento dei dati. L'accordo di Workday include le clausole contrattuali standard della Commissione europea (SCC), che permettono il trasferimento di dati personali dallo Spazio economico europeo agli Stati Uniti. In aggiunta a ciò, Workday offre ai clienti le Processor Binding Corporate Rules (BCRs) come ulteriore meccanismo di trasferimento. Le BCR sono disponibili qui.
Workday ha sottoscritto l'accordo Privacy Shield nel primo giorno in cui il Department of Commerce degli Stati Uniti ha avviato il processo di certificazione, dimostrando il suo deciso e costante impegno per la tutela della privacy e la protezione dei dati dei clienti. Anche se il Privacy Shield non è più un quadro valido per il trasferimento dei dati, Workday continua a certificare al Department of Commerce la piena conformità ai principi del Privacy Shield. Nonostante le aziende possano aderire al Privacy Shield con un meccanismo di autocertificazione, Workday ha scelto di affidarsi a TRUSTe per offrire un'ulteriore dimostrazione di conformità. Scopri di più sui nostri standard di verifica TRUSTe per Privacy Shield.
Workday è stato il primo fornitore di servizi cloud a dichiarare l'adesione al Cloud Code of Conduct (CCoC) dell'UE, che consiste in una serie di requisiti che consentono ai fornitori di servizi cloud (CSP) di dimostrare la loro capacità di rispettare il GDPR. Un ente di monitoraggio indipendente effettua revisioni annuali. Verifica il rispetto di Workday del CCoC.
Workday ha ottenuto le certificazioni APEC CBPR (Asia-Pacific Economic Cooperation Cross-Border Privacy Rules) e APEC PRP (Privacy Rules for Processors). Le certificazioni APEC sono costituite da una serie di norme sulla tutela della privacy a carattere volontario, elaborate rispettivamente per i titolari e i responsabili del trattamento dei dati al fine di agevolare il trasferimento di dati tra i mercati dell'area APEC. Tali certificazioni dimostrano la conformità agli elevati standard di tutela della privacy che caratterizzano l'area dell'Asia-Pacifico.
Workday è stata tra le prime aziende a ricevere la certificazione APEC CBPR a marzo 2014 e la prima a ricevere la certificazione APEC PRP a settembre 2018, Entrambe attestate da TRUSTe, il responsabile delle certificazioni APEC per gli Stati Uniti.
I responsabili IT di oggi hanno l'arduo compito di proteggere e garantire la sicurezza dei dati di clienti, dipendenti e la proprietà intellettuale delle aziende in un ambiente dove le minacce alla sicurezza si fanno sempre più complesse. Le aziende hanno inoltre la responsabilità di rispettare tutte le leggi vigenti, incluse quelle relative alla privacy e al trasferimento dei dati personali, anche quando tali dati vengono gestiti e trattati da provider di servizi esterni.
Workday implementa un programma di sicurezza ufficiale approfondito concepito per garantire la protezione e l'integrità dei dati dei clienti, per neutralizzare le minacce e le violazioni e per prevenire l'accesso non autorizzato ai dati dei clienti. Le specifiche del programma di sicurezza sono descritte in dettaglio negli audit di sicurezza condotti da terze parti e nelle certificazioni internazionali.
Per aiutare i team legali e di conformità dei nostri clienti a comprendere e a verificare i requisiti di conformità per le loro aziende, abbiamo raccolto le seguenti risorse.
I report SOC 1 (Service Organization Controls) valutano l'efficacia dei controlli di una società di servizi che possono interessare i controlli interni del cliente rispetto alla reportistica finanziaria.
Il report SOC 2 Type II di Workday è una valutazione indipendente del nostro ambiente di controllo eseguita da una terza parte
L'AICPA (American Institute of Certified Public Accountants) ha elaborato il framework SOC 3 per tutelare la riservatezza e la privacy dei dati archiviati e trattati nel cloud.
ISO 27001 è una norma basata su standard e riconosciuta a livello internazionale che definisce i requisiti dei sistemi di gestione della sicurezza delle informazioni delle aziende.
ISO 27017, pubblicato nel 2015, è uno standard complementare di ISO 27001.
ISO 27018, pubblicato nel 2014, è uno standard complementare di ISO 27001.
ISO 27701, pubblicato nel 2019, è uno standard complementare di ISO 27001.
Workday supporta la conformità allo standard PCI DSS nell'ambito del Workday Secure Credit Card Environment, un ambiente isolato per l'archiviazione, l'elaborazione e la trasmissione di dati non mascherati dei titolari di carte attraverso integrazioni predefinite.
Workday ha ottenuto l'attestato di terze parti HIPAA (Health Insurance Portability and Accountability Act) per le applicazioni cloud aziendali, il che garantisce che Workday salva, elabora e condivide dati personali e sanitari in base a un programma conforme alla normativa HIPAA.
Il NIST Cybersecurity Framework (CSF) fornisce indicazioni alle aziende su come migliorare la capacità di prevenire, rilevare e reagire alle minacce informatiche. Lo standard NIST 800-171 regola la protezione delle informazioni non classificate in sistemi informatici e organizzazioni non federali.
Il framework G-Cloud è un accordo tra il governo del Regno Unito e i provider di servizi cloud.
L'autovalutazione STAR (Security, Trust & Assurance Registry) di CSA (Cloud Security Alliance) combina le informazioni attuali in merito ai controlli e ai rischi per la sicurezza in un unico questionario standard di settore.
Workday è un membro attivo del Privacy Shield. TRUSTe è l'agente di verifica indipendente utilizzato da Workday per la certificazione Privacy Shield.
Il Cloud Code of Conduct (CCoC) dell'UE consiste in una serie di requisiti che consentono ai fornitori di servizi cloud (CSP) di dimostrare la loro capacità di rispettare il GDPR.
Workday partecipa al TRUSTe Enterprise Privacy & Data Governance Practices Program.
Il questionario Standardized Information Gathering (SIG) è una serie di domande relative alle tecnologie dell'informazioni e alla protezione dei dati in una vasta gamma di aree di controllo, e rappresenta uno standard del settore.
Cyber Essentials è un sistema supportato dal governo del Regno Unito per assistere le organizzazioni nella protezione dalle minacce di cyber security tramite la definizione di controlli tecnici di base.