보안과 신뢰
신뢰를 근간으로 하는 솔루션
Workday의 모든 활동 기반은 신뢰입니다. 고객의 데이터와 개인정보를 안전하게 보호하기 위해 업계 최고 수준의 보호 기능을 배포하고 계속 시스템을 모니터링합니다. 고객은 가장 민감한 데이터도 클라우드에서 연중무휴 24시간 확실히 보호받고 있음을 확신하면서 안심할 수 있습니다.
보안
Workday는 고객의 데이터 보안을 무엇보다 중요하게 여깁니다. 조직, 아키텍처, 운영 차원에서 엄격한 보안 장치를 마련하여 고객의 데이터, 어플리케이션, 인프라를 항상 안전하게 지킵니다.
조직 보안
Workday에서는 첫날부터 보안이 시작됩니다. 모든 직원은 입사와 동시에 보안, 개인정보 보호, 규정 준수에 관한 교육을 받습니다. 각자의 역할에 따라 참여 범위가 다를 수 있으나, 보안은 모든 Workday 구성원의 책임입니다.
임원진 역시 보안을 위해 어떤 노력도 아끼지 않습니다. 전사적 범위에서 다양한 부문의 임원들이 참여하는 Workday 보안 위원회에서 Workday 보안 프로그램을 구상하고, 모든 임원진의 지지를 확보하며, 보안 의식 및 이니셔티브가 조직 전반에 확산될 수 있게 합니다.
아키텍처 보안
데이터 처리의 관계
Workday가 데이터 처리자라면, 고객은 데이터 통제자의 역할을 합니다. 다시 말해 고객이 서비스에서 입력된 데이터뿐만 아니라 모든 설정 및 구성에 대한 완전한 통제권을 갖습니다. 고객이 각자의 데이터를 통제하고, Workday는 그 데이터를 처리할 뿐입니다. 따라서 고객은 Workday에 의존하지 않고 다음과 같은 일상적인 작업을 수행할 수 있습니다.
- 보안 권한 부여, 각종 역할 조정
- 새 리포트 및 Worklet 생성
- 비즈니스 프로세스 흐름, 알림, 규칙 등 구성
- Workday 유틸리티 또는 기존 도구와의 새로운 통합 개발
- 조직 구조 변경 또는 새로운 구조 생성
- 모든 비즈니스 트랜잭션 모니터링
- 모든 이력 데이터 및 구성 변경 확인
데이터 암호화
Workday는 고객 데이터의 모든 속성을 암호화한 다음 데이터베이스에 저장합니다. 이는 Workday 기술 설계의 기본적인 특징입니다. Workday는 디스크 기반 RDBMS가 아닌 인메모리, 객체 지향 어플리케이션이기 때문에 최고 수준의 암호화가 가능합니다. Workday는 AES(Advanced Encryption Standard) 알고리즘에서 크기가 256비트이고 각 고객에게 고유한 암호화 키를 사용합니다.
TLS(Transport Layer Security)로 인터넷을 통한 사용자 액세스를 보호하면서 네트워크 트래픽에 대한 수동적인 도청, 적극적인 변조, 메시지 위조 시도를 차단합니다. 파일 기반 통합은 PGP 방식으로, 즉 Workday에서 생성한 공개 키/개인 키 쌍과 고객이 생성한 인증서를 사용하여 암호화할 수 있습니다. Workday API와의 웹 서비스 통합을 위해 WS-Security도 지원됩니다.
논리적 보안
Workday 보안 액세스는 역할 기반 액세스 모델로서 사용자 및 웹 서비스 통합을 위해 LDAP 위임 인증, SAML SSO(Single Sign-On), x509 인증서를 지원합니다.
SSO 지원
SAML을 사용하여 고객사 내부 웹 포털과 Workday의 완전한 SSO(Single Sign-On) 경험을 구현할 수 있습니다. 고객이 회사에서 쓰는 사용자명과 비밀번호로 사내 웹 포털에 로그인한 다음 Workday로 연결하는 링크를 클릭하면, 다시 로그인 절차를 거치지 않고 자동으로 Workday에 액세스할 수 있습니다. Workday는 OIDC(OpenID Connect)도 지원합니다.
Workday 기본 로그인
Workday는 기본 로그인을 사용하려는 고객을 위해 Workday 비밀번호를 그대로 저장하지 않고 반드시 보안 해시 형식으로 저장합니다. 실패한 로그인 시도는 성공한 로그인/로그아웃 활동과 함께 기록되며, 이 데이터는 나중에 감사에 활용됩니다. 일정 기간 동안 사용자의 활동이 없으면 해당 사용자 세션은 자동으로 만료되는데, 이 기간은 사용자가 직접 구성할 수 있습니다.
고객은 비밀번호의 길이, 복잡성, 만료 시점, 비밀번호가 기억나지 않을 때를 위한 힌트 질문 등을 포함하는 규칙에 따라 비밀번호를 만들 수 있습니다.
다중 인증
Workday는 다중 인증(MFA) 사용을 권장합니다. Workday에서는 고객이 각자의 MFA 제공자를 가져올 수 있습니다. 단, TOTP(Time-Based One-Time Passcode) 알고리즘을 지원해야 합니다. 고객은 이 설정을 통해 MFA 제공자와 Workday 기본 로그인을 쉽게 통합할 수 있습니다. 또한, Workday 고객의 최종 사용자는 이메일-SMS 게이트웨이 메커니즘을 통해 OTP(일회용 비밀번호)를 받을 수 있습니다. 마지막으로, Workday는 사용자의 신원을 입증하는 추가 수단으로 힌트 질문을 지원합니다.
단계별 인증
직원이 콘솔을 연 상태에서 자리를 비우거나 여러 사용자가 같은 디바이스로 Workday에 액세스할 수도 있습니다. SAML 인증 유형을 사용하는 조직에서는 그런 경우에 대비하여 Workday 내에서 중요 항목을 식별하는 방법으로 무단 액세스를 방지할 수 있습니다. 즉 고객이 2차 인증을 강제로 시행하여 사용자가 반드시 인증 정보를 입력해야 액세스가 가능해집니다.
운영 보안
물리적 보안
Workday 어플리케이션을 호스팅하는 첨단 데이터 센터는 미션 크리티컬 컴퓨터 시스템을 확실히 보호하기 위해 완전히 이중화된 서브시스템 및 상호 격리된 보안 구역으로 구성되었습니다. Workday 데이터 센터는 다음을 비롯한 가장 엄격한 물리적 보안 조건을 충족합니다.
- 서버 영역 액세스에 다중 인증 적용
- 중요 구역에는 2중 생체 인식 인증 사용
- 내외부의 주요 진입 지점에 카메라 감시 시스템 설치
- 보안 인력이 24시간 상시 모니터링
데이터 센터에 대한 모든 물리적 액세스는 엄격히 제한되고 규제됩니다.
네트워크 보안
Workday는 상세한 운영 정책, 절차, 프로세스를 마련하여 Workday 환경의 전반적인 품질과 무결성을 효과적으로 관리합니다. 또한, 경계 방어, 네트워크 침입 차단 시스템(IPS) 등 선제적인 보안 절차도 구현했습니다.
네트워크 IPS로 중요 네트워크 세그먼트를 모니터링하면서 고객 환경에서 비정상적인 네트워크 패턴을 찾아냅니다. 여러 티어와 서비스가 주고받는 트래픽도 모니터링합니다. 연중무휴 24시간 상시 가동되는 글로벌 보안 운영 센터도 있습니다.
어플리케이션 보안
Workday는 Workday 어플리케이션의 지속적인 보안을 보장하기 위해 엔터프라이즈급 Secure SDLC(Secure Software Development Life Cycle)를 구현했습니다.
이 프로그램에는 보안 위험 정밀 평가와 Workday 기능 검토가 포함됩니다. 또한, 개발 주기에 엔터프라이즈 보안을 통합할 수 있도록 정적 및 동적 소스 코드 분석을 모두 수행합니다. 개발자를 위한 어플리케이션 보안 교육 및 어플리케이션 침투 테스트로 개발 프로세스를 보강합니다.
취약성 평가
Workday는 제3자 전문 회사에 의뢰하여 사내외 네트워크, 시스템, 어플리케이션을 대상으로 독립적인 취약성 평가를 수행합니다.
어플리케이션
주요 릴리스의 출시에 앞서 늘 최고의 제3자 보안 업체를 고용하여 Workday 웹 및 모바일 어플리케이션을 대상으로 어플리케이션 차원의 보안 취약성을 평가합니다. 이 보안 업체는 절차에 따라 테스트를 진행하면서 다음 항목을 비롯하여 표준 및 고급 웹 어플리케이션의 보안 취약성을 밝혀냅니다.
- Flash, Flex, AJAX, ActionScript 관련 보안 취약점
- 사이트 간 요청 위조(CSRF)
- 부적절한 입력 처리(사이트 간 스크립트, SQL 인젝션, XML 인젝션, 사이트 간 플래시)
- XML 및 SOAP 공격
- 취약 세션 관리
- 취약한 데이터 검증, 일관성 없는 데이터 모델 제약 조건
- 미흡한 인증 또는 권한부여
- HTTP 응답 분할
- SSL/TLS 오용
- 안전하지 않은 HTTP 메소드 사용
- 암호화 오용
네트워크
외부 취약성 평가를 통해 방화벽, 라우터, 웹 서버 등 인터넷에 연결되는 모든 자산을 조사하여 네트워크 무단 액세스의 원인이 될 만한 잠재적 약점을 찾아냅니다. 또한, 내부적으로도 네트워크 및 시스템에 대해 정식으로 취약점 평가를 수행하여 잠재적 약점 및 종합 시스템 보안 정책에 위배되는 사항을 파악합니다.
개인정보 보호
데이터 보호 규정은 복잡하고, 국가마다 다르며, 엄격한 요건을 갖습니다. HCM, 재무, 기타 어플리케이션을 선택하려는 기업은 데이터 보호에 관한 의무를 이행하고 개인정보 보호를 보장하는 데 도움이 될 제품으로 결정해야 합니다. Workday 사용자는 가장 앞선 개인정보 보호 기능 및 실무 기법을 활용하여 개인정보 보호 의무를 이행할 수 있습니다.
아울러 Workday는 고객이 각자의 개인정보 보호 및 규정 준수 요건을 이해하고 검증할 수 있도록 필요한 리소스와 정보를 제공합니다. 더 나아가 Workday를 활용하여 규정 준수 실행 능력을 업그레이드할 방법도 제시합니다.
강력한 개인정보 보호 프로그램
Workday는 고객 데이터 액세스, 사용, 공개, 전송에 관한 엄격한 정책 및 절차를 근간으로 하는 개인정보 보호 프로그램을 마련했습니다. Workday의 개인정보 보호 프로그램은 Workday 직원이 반드시 계약을 통해 합의한 대로 또는 고객의 지시에 따라 고객 데이터에 액세스하고 사용, 공개, 전송해야 함을 핵심 원칙으로 합니다.
데이터 보호 문제 및 전 세계의 관련 법이 계속 발전하고 복잡해지는 가운데 Workday는 개인정보 보호 프로그램의 중요성을 인식하고 이를 기업 문화 및 서비스의 기본 요소로 포함시켰습니다. 이를 입증하는 '개인정보 보호를 염두에 둔 설계' 원칙에 따라 고객에게 데이터 안전 및 개인정보 보호를 보장합니다.
CPO가 지휘하는 Workday 개인정보 보호, 윤리, 규정 준수 팀이 개인정보 보호 프로그램을 관리하고 그 실효성을 평가합니다. 이 팀이 하는 일은 다음과 같습니다.
- Workday 직원 또는 Workday를 대신하여 파트너가 취급하는 개인 정보를 보호하기 위해 내부 개인정보 보호 정책, 절차, 도구 개발, 유지, 업데이트
- 고객을 대상으로 하는 개인정보 보호 정책의 이행 현황 모니터링, 매년 제3자를 통해 정책 감사 실시
- 고객, 파트너, 직원에게 약속한 대로 개인정보를 보호하도록 관리 감독
- 인증 유지 및 규정 준수 의무 계속 이행
- Workday 직원을 대상으로 개인정보 보호 프로그램 교육, 전 세계 데이터 보호 관련 법의 변경사항 모니터링, 필요에 따라 개인정보 보호 프로그램 업데이트 및 수정
개인정보 및 데이터 보호는 연중 내내 관심과 주의를 기울여야 할 과제입니다. Workday는 고객과 직원의 개인정보 보호에 최선을 다하고 있습니다. Workday가 실천하는 개인정보 보호의 핵심 원칙을 자세히 알아보십시오.
Workday 개인정보 보호 정책에서 Workday가 고객 정보를 관리하고 보호하는 방법을 알아볼 수 있습니다.
개인정보 보호를 염두에 둔 설계
Workday는 최초 설계부터 출시까지의 전 범위에서 종합적인 개인정보 보호 프로그램을 Workday 서비스에 구현합니다. 이 프로그램은 '개인정보 보호를 염두에 둔 설계' 원칙에 따라 Workday 제품 개발 및 서비스 운용의 방향을 설정합니다.
데이터 투명성
Workday가 고객 데이터를 저장하고 처리하는 장소와 지역을 투명하게 공개하고 관리합니다.
글로벌 개인정보 보호
글로벌 데이터 보호
Workday와 Workday 고객은 전 세계의 복잡한 개인정보 보호 법 및 규정을 준수해야 합니다. Workday는 고객 데이터에 대한 무단 액세스, 사용, 공개를 막는 기술 및 조직 차원의 안전장치를 포함한 포괄적인 글로벌 데이터 보호 프로그램을 운영함으로써 국제 개인정보 보호 규정을 준수합니다. Workday는 프라이버시 실드와 같은 프로그램에 적극적으로 참여하고 BCR(Binding Corporate Rules) 및 아시아태평양 경제협력체(APEC) PRP(Privacy Rules for Processors)도 이행하는 등 글로벌 개인정보 보호 표준을 준수하기 위해 최선을 다하고 있습니다. Workday 어플리케이션에서는 차별화된 구성을 적용하여 국가별 법을 준수할 수 있습니다.
EU 데이터 보호
2018년 5월 25일부터 시행된 유럽 일반 개인정보 보호법(GDPR)은 유럽 데이터 보호 환경을 완전히 바꾸어 놓았습니다. 이 GDPR은 제각각이던 유럽의 데이터 보호법을 비슷하게 조정하고 통합했습니다. Workday는 고객의 개인 정보를 처리할 때 GDPR을 철저히 준수합니다.
GDPR 규정 준수를 뒷받침하는 Workday의 강력한 개인정보 보호 및 보안 방침 중 몇 가지를 소개합니다.
- 직원의 역할에 따라 보안 및 개인정보 보호 실무를 교육하는 정기 교육
- 개인정보 보호 영향 평가를 시행하고 결과를 수집하기 위한, 완성도 높은 프로세스
- Workday BCR을 비롯하여 유럽 경제 지역(EEC)이 아닌 곳에 합법적으로 개인 정보를 전송할 수 있는 데이터 전송 메커니즘
- 처리 활동 기록 및 유지관리
- 고객이 직접 구성할 수 있는 개인정보 보호 및 규정 준수 기능
또한, Workday 서비스에서는 개인정보 보호를 염두에 둔 설계 및 개인정보 수집 최소화를 핵심 원칙으로 삼습니다. Workday는 EU 감독 기관에서 발표하는 지침을 계속 모니터링하면서 Workday 규정 준수 프로그램을 최신 버전으로 유지합니다.
Workday는 데이터 처리자인 Workday가 GDPR을 준수하는 것 만큼 고객이 Workday 서비스를 통해 각자의 규정 준수 요건을 이행하는 것도 중요함을 이해하고 있습니다. 따라서 고객이 GDPR 의무를 이행할 수 있도록 다양한 도구를 통해 지원합니다. Workday가 고객의 GDPR 이행을 지원하는 방법을 자세히 알아보십시오.
데이터 전송 메커니즘
Workday는 고객에게 다양한 데이터 전송 메커니즘을 제공합니다. Workday의 계약에는 유럽 경제 지역과 미국 간의 개인 데이터 전송을 지원하는 유럽 위원회의 표준 계약 조항(SCC)이 포함됩니다. 또한 Workday는 고객에게 추가적인 전송 메커니즘으로 프로세서 BCR(Binding Corporate Rule)을 제공합니다. Workday의 BCR은 여기에서 사용할 수 있습니다.
그 밖의 규정 준수 현황
Workday는 미 상무부가 프라이버시 실드 인증 제도를 시행한 첫날에 프라이버시 실드 인증을 취득했습니다. 이는 Workday가 개인정보 보호 및 고객 데이터 보호를 위해 계속 최선을 다하고 있음을 입증합니다. 프라이버시 실드가 더 이상 유효한 데이터 전송 프레임워크는 아니지만, Workday는 프라이버시 실드 원칙 준수 기업으로 미국 상무부의 인증을 계속 받고 있습니다. 프라이버시 실드는 기업에서 자율적으로 인증할 수 있지만, Workday는 TRUSTe를 통해 제3자 검증을 받고 있습니다. 프라이버시 실드에 대한 Workday의 TRUSTe 인증에 대해 자세히 알아보십시오.
EU 클라우드 행동강령(CCoC)은 클라우드 서비스 제공자(CSP)가 GDPR 준수 역량을 입증할 수 있는 일련의 요구사항으로 구성되어 있습니다. Workday는 이 행동강령을 준수한다고 선언한 첫 번째 클라우드 서비스 제공자였습니다. 매년 독립적인 감시 기구의 심사를 받습니다. Workday의 CCoC 규정 준수를 확인해보십시오.
Workday는 아시아태평양경제협력체(APEC)가 주관하는 CBPR(Cross-Border Privacy Rules) 및 PRP(Privacy Rules for Processors) 인증을 모두 받았습니다. 이 APEC 인증은 APEC 국가 간 원활한 데이터 전송을 위해 데이터 통제자 및 처리자 각각에 대해 개발된 자발적 개인정보 보호 표준의 모음입니다. 이러한 인증은 아시아태평양 지역 전반에서 엄격한 개인정보 보호 규정을 따르고 있음을 보여줍니다.
Workday는 2014년 3월에 APEC CBPR 인증을, 2018년 9월에는 APEC PRP 인증을 취득한 선두 주자입니다. Workday는 미국 내 APEC 책임 대행 기관인 TRUSTe로부터 제3자 인증을 받았습니다.
규정 준수
오늘날의 기술 리더는 갈수록 복잡해지는 보안 위협으로부터 회사의 고객, 직원, 지적 자산 데이터를 보호해야 합니다. 기업 역시 데이터 보호 및 개인 정보 전송에 관한 법을 비롯한 각종 규정을 준수할 책임이 있으며, 이는 서비스 제공자에게 데이터 보관 및 처리를 맡기는 경우에도 해당됩니다.
Workday는 공식적이고 종합적인 보안 프로그램을 유지관리하면서 고객 데이터의 보안 및 무결성을 보장하고, 보안 위협이나 데이터 유출 위험을 해소하며, 고객 데이터에 대한 무단 접근을 차단합니다. Workday 보안 프로그램의 자세한 내용은 제3자 보안 감사 및 국제 인증에서 확인할 수 있습니다.
Workday는 고객의 규정 준수 및 법무 팀이 해당 기업에 적용되는 규정 준수 요건을 이해하고 검증하는 데 도움이 되도록 다음과 같은 규정 준수 리소스를 마련했습니다.
제3자 감사 및 인증
SOC 1
SOC(Service Organization Controls) 1 리포트에서는 서비스 조직의 통제 환경에 대한 정보를 제공합니다. 여기서 고객의 재무 보고에 대한 내부 통제를 다룰 수도 있습니다.
SOC 2
Workday SOC 2 Type II 리포트에서는 제3자가 수행한 Workday 통제 환경에 대한 독립적인 평가 결과를 제공합니다.
SOC 3
ICPA는 클라우드에서 저장하고 처리하는 정보에 대한 기밀 유지 및 개인정보 보호를 위해 SOC 3 프레임워크를 개발했습니다.
ISO 27001
ISO 27001은 전 세계에서 인정받는 표준 기반 보안 접근 방식이며, 조직의 정보 보안 관리 시스템(ISMS)이 갖춰야 할 요건을 제시합니다.
ISO 27017
2015년에 발표된 ISO 27017은 ISO 27001을 보완하는 표준입니다.
ISO 27018
2014년에 발표된 ISO 27018은 ISO 27001을 보완하는 표준입니다.
ISO 27701
2019년에 발표된 ISO 27701은 ISO 27001을 보완하는 표준입니다.
PCI DSS
Workday는 Workday 보안 신용카드 환경의 범위에서 PCI DSS 규정 준수를 지원합니다. 이 격리된 환경에서는 마스킹 해제된 카드 소지자 데이터를 저장, 처리, 전송합니다.
HIPAA
Workday는 Workday 엔터프라이즈 클라우드 어플리케이션에 대해 HIPAA(Health Insurance Portability and Accountability Act) 제3자 평가를 완료했습니다. 이는 Workday가 HIPAA 규정 준수 프로그램을 통해 개인 의료 기록 및 개인 정보의 저장, 액세스, 공유를 위한 적절한 조치를 이행하고 있음을 입증합니다.
NIST CSF와 NIST 800-171
NIST CSF는 조직이 사이버보안 위험을 더 효과적으로 예방, 탐지, 대응할 방법에 관한 지침을 제공합니다. NIST 800-171 표준은 연방 정부 관할이 아닌 정보 시스템 및 조직의 통제 대상 일반 정보(Controlled Unclassified Information)의 보호에 관한 표준입니다.
G-Cloud
G-Cloud 프레임워크는 영국 정부와 클라우드 기반 서비스 제공자 간 협약입니다.
CSA STAR 자율 평가
CSA(Cloud Security Alliance) STAR(Security, Trust & Assurance Registry) 자율 평가는 보안 위험 및 통제에 관한 최신 정보를 단일 업계 표준 설문(CSA STAR CAIQ)의 형태로 통합한 것입니다.
프라이버시 실드
Workday는 프라이버시 실드에 참여하고 있습니다. Workday는 프라이버시 실드에 대한 제3자 인증 기관으로 TRUSTe를 이용합니다.
EU 클라우드 행동강령
EU 클라우드 행동강령(CCoC)은 클라우드 서비스 제공자(CSP)가 GDPR 준수 역량을 입증하는 일련의 요건으로 구성되어 있습니다.
TRUSTe 엔터프라이즈 개인정보 보호 및 데이터 거버넌스 인증
Workday는 TRUSTe 엔터프라이즈 개인정보 보호 및 데이터 거버넌스 프랙티스 프로그램에 참여하고 있습니다.
SIG 질문서
SIG(Standardized Information Gathering) 질문서는 광범위한 통제 영역 전반의 정보 기술 및 데이터 보안에 관한 질문을 단일 업계 표준 질문서로 통합하여 정리한 것입니다.
Cyber Essentials
Cyber Essentials는 영국 정부가 지원하는 제도로서 기술 통제의 기준을 마련하여 기업의 사이버 보안 위협 차단을 돕기 위해 마련되었습니다.