In Workday la sicurezza è integrata in tutto ciò che facciamo. Per garantire la sicurezza e la riservatezza dei dati dei clienti, offriamo i meccanismi di protezione più avanzati e monitoriamo continuamente il nostro sistema affinché i dati più sensibili siano protetti 24 ore su 24, 7 giorni su 7 nel cloud.
La massima priorità di Workday è garantire la sicurezza dei dati dei clienti. Adottiamo rigorose misure di sicurezza a livello aziendale, architetturale e operativo per proteggere costantemente dati, applicazioni e infrastruttura.
In Workday la sicurezza inizia fin dal primo giorno ed è considerata una responsabilità di tutti. Tutti i dipendenti seguono corsi di formazione su sicurezza, riservatezza e conformità non appena vengono assunti per assicurare che i dati di Workday e dei suoi clienti siano sempre al sicuro. Tramite il nostro programma di formazione e sensibilizzazione in tema di sicurezza, il team di Information Security fornisce costantemente le conoscenze e le competenze necessarie per evitare o ridurre al minimo i rischi in questo ambito.
Questo impegno a favore della sicurezza si estende ai nostri dirigenti. L'Executive Leadership Team, i cui membri ricoprono funzioni aziendali diverse, favorisce l'allineamento di tutti i manager dell'azienda e si adopera per sensibilizzare l'intero organico sull'importanza della sicurezza.
I nostri clienti fungono da titolari del trattamento dei dati, mentre Workday ricopre il ruolo di responsabile del trattamento. Ciò significa che il cliente mantiene il pieno controllo dei dati inseriti nei nostri servizi, oltre che delle impostazioni e configurazioni. Poiché rimane titolare dei propri dati, mentre Workday si occupa esclusivamente del loro trattamento, il cliente non ha bisogno di richiedere alcun intervento per svolgere normali attività quotidiane quali:
Una caratteristica fondamentale del design di Workday è che crittografiamo ogni attributo dei dati del cliente prima che vengano salvati in modo permanente nel tenant del cliente. Poiché Workday è un'applicazione orientata agli oggetti in-memory e non un'applicazione RDBMS basata su disco, siamo in grado di raggiungere il massimo livello di crittografia utilizzando l'algoritmo AES (Advanced Encryption Standard) con una chiave a 256 bit univoca per ciascun cliente.
Il protocollo TLS (Transport Layer Security) protegge l'accesso tramite Internet degli utenti e il traffico di rete dall'ascolto indiscreto passivo, dalla manomissione attiva e dalla contraffazione dei messaggi. Le integrazioni basate su file possono essere crittografate tramite PGP o una coppia di chiavi pubblica/privata generata da Workday tramite un certificato generato dal cliente. La sicurezza può essere estesa alle integrazioni dei servizi Web con l'API Workday grazie a WS-Security.
In Workday la sicurezza degli accessi è basata sull'assegnazione di ruoli e supporta SAML per il Single Sign-On, l'Autenticazione delegata LDAP e l'Autenticazione con certificato X.509 per le integrazioni con utenti e servizi Web.
Supporto Single-Sign-On
SAML assicura un'esperienza Single Sign-On fluida tra il portale Web interno del cliente e Workday. I clienti accedono al portale Web interno utilizzando nome utente e password aziendali e visualizzano un link a Workday che permette di accedere direttamente all'applicazione senza dover inserire nuovamente le credenziali. Workday supporta anche OpenID Connect.
Login nativo di Workday
Per i clienti che desiderano accedere con il login nativo, le password di Workday vengono archiviate unicamente sotto forma di hash sicuro. I login non riusciti e l'attività dei login/logout effettuati vengono acquisiti a scopo di audit. Le sessioni utente inattive scadono automaticamente dopo un determinato periodo di tempo configurabile dall'utente.
Le regole per le password, configurabili dai clienti, includono lunghezza, complessità, scadenza e risposte segrete in caso di password dimenticata.
Autenticazione a più fattori
Workday consiglia ai clienti di utilizzare l'autenticazione a più fattori (MFA) e consente loro di utilizzare il provider MFA che preferiscono con il supporto dell'algoritmo TOTP (passcode unico a tempo). Con questa configurazione, i clienti possono facilmente integrare i provider MFA con il login nativo di Workday. Workday permette inoltre agli utenti finali dei clienti di ricevere un passcode temporaneo inviato da email su SMS. Infine, Workday utilizza le domande di sicurezza come meccanismo ulteriore per verificare l'identità degli utenti.
Autenticazione step-up
Le aziende che utilizzano SAML possono richiedere un ulteriore livello di verifica per accedere alle funzionalità più sensibili di Workday. Con l'autenticazione step-up, il cliente può infatti imporre l'utilizzo di un secondo fattore di autenticazione per l'accesso a tali informazioni.
Sicurezza configurabile
Gli amministratori della sicurezza del cliente possono decidere cosa mostrare agli utenti e cosa questi possono fare all'interno del tenant del cliente. Hanno inoltre facoltà di decidere come configurare i gruppi di sicurezza in cui classificare i vari utenti. Possono infatti mettere a punto criteri di sicurezza che stabiliscono quali informazioni possono visualizzare e quali operazioni possono svolgere gli appartenenti alle diverse categorie.
Le applicazioni Workday sono ospitate in data center all'avanguardia, progettati per proteggere sistemi informatici mission-critical con sottosistemi completamente ridondanti e zone di sicurezza compartimentalizzate. I nostri data center aderiscono alle più rigorose misure di sicurezza fisica, tra cui:
Tutti gli accessi fisici ai data center sono rigorosamente limitati e regolamentati.
Workday ha stabilito criteri, procedure e processi operativi dettagliati concepiti per assicurare la qualità e l'integrità complessive dell'ambiente Workday. Implementiamo inoltre procedure di sicurezza proattive, come i sistemi di difesa del perimetro e di prevenzione delle intrusioni in rete (IPS).
I sistemi IPS monitorano segmenti critici della rete per individuare schemi di comportamento atipici nell'ambiente del cliente e controllano il traffico tra i livelli e il servizio. Workday dispone inoltre di un Security Operations Center globale attivo tutti i giorni dell'anno, 24 ore su 24.
Workday ha adottato un Secure Software Development Life Cycle (SDLC) per assicurare la protezione continua delle sue applicazioni.
Questo processo di sviluppo sicuro include un'approfondita valutazione dei rischi e la revisione delle funzionalità. Il codice sorgente viene sottoposto ad analisi di tipo statico e dinamico per facilitare l'integrazione della sicurezza aziendale nel ciclo di sviluppo. Speciali corsi di formazione sulla sicurezza destinati agli sviluppatori e test di penetrazione delle applicazioni contribuiscono a migliorare ulteriormente il processo di sviluppo.
Workday collabora con terze parti esperte per condurre analisi indipendenti delle vulnerabilità interne ed esterne delle reti, dei sistemi e delle applicazioni.
Applicazione
Collaboriamo con un'importante azienda esterna esperta di sicurezza per stimare le vulnerabilità in materia di sicurezza dell'applicazione mobile e Web prima di ogni aggiornamento principale. Le verifiche svolte dall'azienda sono volte a individuare vulnerabilità standard e avanzate nell'applicazione Web, tra cui:
Rete
Le valutazioni delle vulnerabilità esterne prevedono l'analisi di tutte le risorse esposte a Internet, tra cui firewall, router e web server al fine di individuare potenziali punti deboli che potrebbero consentire accessi non autorizzati alla rete. Inoltre, viene eseguita una valutazione autenticata delle vulnerabilità interne della rete e del sistema per individuare la presenza di potenziali punti deboli e incoerenze nei criteri di sicurezza generali del sistema.
Workday fa della riservatezza dei dati dei clienti una vera e propria missione e li aiuta, a loro volta, ad ottemperare ai propri obblighi in questo ambito. All'atto di scegliere un gestionale per Finance o HCM, le aziende dovrebbero orientarsi su prodotti che permettano ai clienti di rispettare gli obblighi in materia di protezione dei dati e di tutela della privacy. Workday garantisce funzionalità all'avanguardia che permettono di rispettare la normativa sulla privacy.
Workday inoltre garantisce trasparenza sulle proprie prassi in tema di privacy. Non solo: mette a disposizione dei clienti risorse e informazioni per aiutarli a comprendere e a verificare i requisiti di privacy e conformità cui devono attenersi, mostrando come Workday può rafforzare il loro impegno.
L'evoluzione e la sempre maggiore complessità dei problemi di protezione dei dati e delle normative globali fanno sì che Workday conosca l'importanza di adottare un programma di privacy completo che sia integrato nella cultura e nei servizi dell'azienda.
Tutte le nostre azioni sono ispirate ai seguenti tre principi, che rispecchiano i nostri valori principali:
Da questi principi scaturisce la nostra filosofia di "privacy by design", che offre ai nostri clienti le garanzie che cercano per tutelare riservatezza e protezione dei propri dati. A questi principi si ispirano la formazione del nostro personale, la progettazione e realizzazione dei nostri prodotti e dunque anche le modalità con cui elaboriamo i dati personali.
La tutela dei dati e della privacy richiede una vigilanza costante e Workday considera la protezione dei dati personali di clienti e dipendenti una priorità assoluta. Scopri come abbiamo integrato i principi chiave per la privacy.
Leggi la nostra Informativa sulla privacy per scoprire come gestiamo e tuteliamo le informazioni dei clienti.
La privacy continua a far parlare di sé a livello globale, con l'avvento del Regolamento generale sulla protezione dei dati (GDPR), il continuo impulso alla legislazione USA in materia e le nuove leggi promulgate in diversi paesi dell'Asia e dell'America Latina. Workday accoglie con favore questa rinnovata attenzione per l'argomento, dal momento che le misure a tutela della riservatezza sono una componente fondamentale dei nostri servizi fin dalla nascita dell'azienda. Siamo inoltre consapevoli che la privacy è una responsabilità condivisa tra noi e i nostri clienti.
Workday e i suoi clienti devono rispettare complesse leggi e normative a livello internazionale che disciplinano la tutela della privacy. Workday si mantiene sempre al passo con le normative internazionali grazie al suo programma completo di tutela dei dati, che prevede una serie di misure di protezione a livello tecnico, amministrativo e aziendale. Il nostro impegno al rispetto della normativa fa sì che i nostri clienti possano stare tranquilli, come attestato dall'adozione da parte nostra delle Binding Corporate Rules (BCR) per i responsabili del trattamento e dal fatto che siamo la prima azienda a conseguire la certificazione Asia-Pacific Economic Cooperation Privacy Rules for Processors.
Il grado di preparazione di Workday di fronte ai cambiamenti delle normative si è visto il 25 maggio 2018, giorno dell'entrata a regime del Regolamento generale sulla protezione dei dati (GDPR). Il nuovo regolamento ha rivoluzionato il panorama europeo in materia di privacy armonizzando il mosaico delle normative nazionali. Con l'entrata a regime del GDPR, la capacità di Workday di trattare i dati personali dei clienti in ottemperanza alla normativa non è stata intaccata. Ad esempio, è cambiato poco per i clienti di Workday per quanto riguarda i flussi transfrontalieri di dati personali destinati al trattamento da parte di Workday. Disponevamo già di robuste condizioni per la protezione dei dati, ma le avevamo aggiornate in maniera proattiva per allinearci ai requisiti imposti dal GDPR.
Le solide pratiche di sicurezza e privacy di Workday supportano la conformità al GDPR in diversi modi, tra cui:
In più, in Workday sono profondamente radicati i concetti di Privacy by Design e Privacy by Default. Workday continua a monitorare le indicazioni emesse dalle autorità di supervisione dell'UE per fare in modo che il programma di conformità rimanga aggiornato.
Oltre a essere importante per Workday in qualità di responsabile del trattamento dei dati, la conformità al GDPR è importante anche per i clienti che devono poter utilizzare Workday per ottemperare alla normativa internamente. Per questo Workday progetta le sue applicazioni in modo che siano configurabili, per dare modo ai clienti di adempiere agli obblighi imposti dal GDPR.
Malgrado i numerosi ostacoli che si sono presentati nel corso degli anni ai flussi transfrontalieri di dati, Workday continua a supportare con ottimismo i propri clienti in questo ambito. L'azienda ha messo a punto fin dall'inizio un programma che offre ai clienti diversi meccanismi per il trasferimento dei dati. Il nostro contratto include le clausole contrattuali tipo (Standard Contractual Clauses, SCC) della Commissione europea, che permettono il trasferimento di dati personali dallo Spazio economico europeo agli Stati Uniti. In aggiunta a ciò, Workday offre ai clienti le Processor Binding Corporate Rules (BCR) come ulteriore meccanismo di trasferimento. Le BCR sono disponibili qui.
Collaboriamo con i clienti a livello globale per svolgere valutazioni sull'impatto del trasferimento dei dati (Transfer Impact Assessment) prima di trasferire dati personali europei verso paesi terzi. Forniamo ai clienti informazioni quali Domande frequenti e white paper in maniera proattiva, per aiutarli a orientarsi in questo tipo di valutazioni. In più, Workday si impegna a garantire trasparenza ai clienti qualora riceva una richiesta legalmente valida da parte delle forze dell'ordine o di altre istituzioni statali, per accedere ai dati elettronici che i clienti inviano alle applicazioni Workday Software as a Service.
Workday investe nel conseguimento di certificazioni e framework al top del settore, in modo che i clienti possano verificare in semplicità le nostre prassi sulla privacy. E spesso siamo i primi ad ottenerle.
Workday ha aderito al Privacy Shield nel primo giorno in cui il Department of Commerce degli Stati Uniti ha avviato il processo di certificazione, dimostrando il suo deciso e costante impegno per la tutela della privacy e la protezione dei dati dei clienti. Anche se il Privacy Shield non è più un quadro valido per il trasferimento dei dati, Workday continua a certificare al Department of Commerce la piena conformità ai principi del Privacy Shield. Nonostante le aziende possano aderire al Privacy Shield con un meccanismo di autocertificazione, Workday ha scelto di affidarsi a TRUSTe per offrire un'ulteriore dimostrazione di conformità. Scopri di più sui nostri standard di verifica TRUSTe per Privacy Shield.
Workday è stato il primo fornitore di servizi cloud a dichiarare l'adesione al Cloud Code of Conduct (CCoC) dell'UE, che consiste in una serie di requisiti che consentono ai fornitori di servizi cloud (CSP) di dimostrare la loro capacità di rispettare il GDPR. Un ente di monitoraggio indipendente effettua revisioni annuali. Verifica il rispetto di Workday del CCoC.
Workday ha ottenuto le certificazioni APEC CBPR (Asia-Pacific Economic Cooperation Cross-Border Privacy Rules) e APEC PRP (Privacy Rules for Processors). Le certificazioni APEC sono costituite da una serie di norme sulla tutela della privacy a carattere volontario, elaborate rispettivamente per i titolari e i responsabili del trattamento dei dati al fine di agevolare il trasferimento di dati tra i mercati dell'area APEC. Tali certificazioni dimostrano la conformità agli elevati standard di tutela della privacy che caratterizzano l'area dell'Asia-Pacifico.
Workday è stata tra le prime aziende a ricevere la certificazione APEC CBPR a marzo 2014 e la prima a ricevere la certificazione APEC PRP a settembre 2018, entrambe attestate da TRUSTe, il responsabile delle certificazioni APEC per gli Stati Uniti.
I responsabili IT di oggi hanno l'arduo compito di proteggere e garantire la sicurezza dei dati di clienti, dipendenti e la proprietà intellettuale delle aziende in un ambiente dove le minacce alla sicurezza si fanno sempre più complesse. Le aziende hanno inoltre la responsabilità di rispettare tutte le leggi vigenti, incluse quelle relative alla privacy e al trasferimento dei dati personali, anche quando tali dati vengono gestiti e trattati da provider di servizi esterni.
Workday implementa un programma di sicurezza ufficiale approfondito concepito per garantire la protezione e l'integrità dei dati dei clienti, per neutralizzare le minacce e le violazioni e per prevenire l'accesso non autorizzato ai dati dei clienti. Le specifiche del programma di sicurezza sono descritte in dettaglio negli audit di sicurezza condotti da terze parti e nelle certificazioni internazionali.
Per aiutare i team legali e di conformità dei nostri clienti a comprendere e a verificare i requisiti di conformità per le loro aziende, abbiamo raccolto le seguenti risorse.
I report SOC 1 (Service Organization Controls) valutano l'efficacia dei controlli di una società di servizi che possono interessare i controlli interni del cliente rispetto alla reportistica finanziaria.
Il report SOC 2 Type II di Workday è una valutazione indipendente del nostro ambiente di controllo eseguita da una terza parte.
L'AICPA (American Institute of Certified Public Accountants) ha elaborato il framework SOC 3 per tutelare la riservatezza e la privacy dei dati archiviati e trattati nel cloud.
ISO 27001 è una norma basata su standard e riconosciuta a livello internazionale che definisce i requisiti dei sistemi di gestione della sicurezza delle informazioni delle aziende.
ISO 27017, pubblicato nel 2015, è uno standard complementare di ISO 27001.
ISO 27018, pubblicato nel 2014, è uno standard complementare di ISO 27001.
ISO 27701, pubblicato nel 2019, è uno standard complementare di ISO 27001.
Workday supporta la conformità allo standard PCI DSS nell'ambito del Workday Secure Credit Card Environment, un ambiente isolato per l'archiviazione, l'elaborazione e la trasmissione di dati non mascherati dei titolari di carte attraverso integrazioni predefinite.
Workday ha ottenuto l'attestato esterno HIPAA (Health Insurance Portability and Accountability Act) per le applicazioni cloud aziendali, che garantisce che Workday salva, tratta e condivide dati personali e sanitari in base a un programma conforme alla normativa HIPAA.
Il NIST Cybersecurity Framework (CSF) fornisce indicazioni alle aziende su come migliorare la capacità di prevenire, rilevare e reagire alle minacce informatiche. Lo standard NIST 800-171 regola la protezione delle informazioni non classificate in sistemi informatici e organizzazioni non federali.
Il framework G-Cloud è un accordo tra il governo del Regno Unito e i provider di servizi cloud.
L'autovalutazione STAR (Security, Trust & Assurance Registry) di CSA (Cloud Security Alliance) combina le informazioni attuali in merito ai controlli e ai rischi per la sicurezza in un unico questionario standard di settore.
Workday è un membro attivo del Privacy Shield. TRUSTe è l'agente di verifica indipendente utilizzato da Workday per la certificazione Privacy Shield.
Il Cloud Code of Conduct (CCoC) dell'UE consiste in una serie di requisiti che consentono ai fornitori di servizi cloud (CSP) di dimostrare la loro capacità di rispettare il GDPR.
Workday partecipa all'Enterprise Privacy & Data Governance Practices Program di TRUSTe.
Il questionario Standardized Information Gathering (SIG) è una serie di domande che unifica a livello di settore una vasta gamma di aree di controllo relative alle tecnologie informatiche e alla protezione dei dati.
Cyber Essentials è un sistema supportato dal governo del Regno Unito per assistere le organizzazioni nella protezione dalle minacce di cyber security tramite la definizione di controlli tecnici di base.