Hero Background Image
보안과 신뢰

신뢰를 근간으로 하는 솔루션

Workday의 모든 활동 기반은 신뢰입니다. 고객의 데이터와 개인정보를 안전하게 보호하기 위해 업계 최고 수준의 보호 기능을 배포하고 지속적으로 시스템을 모니터링합니다. 고객은 가장 민감한 데이터도 클라우드에서 연중무휴 24시간 상시 보호받고 있음을 확신하면서 안심할 수 있습니다.

 

보안

Workday는 고객의 데이터 보안을 무엇보다 중요하게 여깁니다. 조직, 아키텍처, 운영 차원에서 엄격한 보안 장치를 마련하여 고객의 데이터, 어플리케이션, 인프라를 항상 안전하게 지킵니다.

조직 보안

Workday에서는 첫날부터 보안이 시작됩니다. 모든 직원은 입사와 동시에 보안, 개인정보 보호, 규정 준수에 관한 교육을 받습니다. 각자의 역할에 따라 참여 범위가 다를 수 있으나, 보안은 모든 Workday 구성원의 책임입니다.

임원진 역시 보안을 위해 어떤 노력도 아끼지 않습니다. 전사적 범위에서 다양한 부문의 임원들이 참여하는 Workday 보안 위원회에서 Workday 보안 프로그램을 구상하고, 모든 임원진의 지지를 확보하며, 보안 의식 및 이니셔티브가 조직 전반에 확산될 수 있게 합니다.

아키텍처 보안

데이터 처리의 관계

Workday가 데이터 처리자라면, 고객은 데이터 통제자의 역할을 합니다. 다시 말해 고객이 서비스에서 입력된 데이터뿐만 아니라 모든 설정 및 구성에 대한 완전한 통제권을 갖습니다. 고객이 각자의 데이터를 통제하고, Workday는 그 데이터를 처리할 뿐입니다. 따라서 고객은 Workday에 의존하지 않고 다음과 같은 일상적인 작업을 수행할 수 있습니다.

  • 보안 권한 부여, 각종 역할 조정
  • 새 리포트 및 Worklet 생성
  • 비즈니스 프로세스 흐름, 알림, 규칙 등 구성
  • Workday 유틸리티 또는 기존 도구와의 새로운 통합 개발
  • 조직 구조 변경 또는 새로운 구조 생성
  • 모든 비즈니스 트랜잭션 모니터링
  • 모든 이력 데이터 및 구성 변경 확인

데이터 암호화

Workday는 고객 데이터의 모든 속성을 암호화한 다음 데이터베이스에 저장합니다. 이는 Workday 기술 설계의 기본적인 특징입니다. Workday는 디스크 기반 RDBMS가 아닌 인메모리, 객체 지향 어플리케이션이기 때문에 최고 수준의 암호화가 가능합니다. Workday는 AES(Advanced Encryption Standard) 알고리즘에서 크기가 256비트이고 각 고객에게 고유한 암호화 키를 사용합니다.

TLS(Transport Layer Security)로 인터넷을 통한 사용자 액세스를 보호하면서 네트워크 트래픽에 대한 수동적인 도청, 적극적인 변조, 메시지 위조 시도를 차단합니다. 파일 기반 통합은 PGP 방식으로, 즉 Workday에서 생성한 공개 키/개인 키 쌍과 고객이 생성한 인증서를 사용하여 암호화할 수 있습니다. Workday API와의 웹 서비스 통합을 위해 WS-Security도 지원됩니다.

논리적 보안

Workday 보안 액세스는 역할 기반 액세스 모델로서 사용자 및 웹 서비스 통합을 위해 LDAP 위임 인증, SAML SSO(Single Sign-On), x509 인증서를 지원합니다.

SSO 지원

SAML을 사용하여 고객사 내부 웹 포털과 Workday의 완전한 SSO(Single Sign-On) 경험을 구현할 수 있습니다. 고객이 회사에서 쓰는 사용자명과 비밀번호로 사내 웹 포털에 로그인한 다음 Workday로 연결하는 링크를 클릭하면, 다시 로그인 절차를 거치지 않고 자동으로 Workday에 액세스할 수 있습니다. Workday는 OIDC(OpenID Connect)도 지원합니다.

Workday 기본 로그인

Workday는 기본 로그인을 사용하려는 고객을 위해 Workday 비밀번호를 그대로 저장하지 않고 반드시 보안 해시 형식으로 저장합니다. 실패한 로그인 시도는 성공한 로그인/로그아웃 활동과 함께 기록되며, 이 데이터는 나중에 감사에 활용됩니다. 일정 기간 동안 사용자의 활동이 없으면 해당 사용자 세션은 자동으로 만료되는데, 이 기간은 사용자가 직접 구성할 수 있습니다.

고객은 비밀번호의 길이, 복잡성, 만료 시점, 비밀번호가 기억나지 않을 때를 위한 힌트 질문 등을 포함하는 규칙에 따라 비밀번호를 만들 수 있습니다.

다중 인증

Workday는 다중 인증(MFA) 사용을 권장합니다. Workday에서는 고객이 각자의 MFA 제공자를 가져올 수 있습니다. 단, TOTP(Time-Based One-Time Passcode) 알고리즘을 지원해야 합니다. 고객은 이 설정을 통해 MFA 제공자와 Workday 기본 로그인을 쉽게 통합할 수 있습니다. 또한, Workday 고객의 최종 사용자는 이메일-SMS 게이트웨이 메커니즘을 통해 OTP(일회용 비밀번호)를 받을 수 있습니다. 마지막으로, Workday는 사용자의 신원을 입증하는 추가 수단으로 힌트 질문을 지원합니다.

단계별 인증

직원이 콘솔을 연 상태에서 자리를 비우거나 여러 사용자가 같은 디바이스로 Workday에 액세스할 수도 있습니다. SAML 인증 유형을 사용하는 조직에서는 그런 경우에 대비하여 Workday 내에서 중요 항목을 식별하는 방법으로 무단 액세스를 방지할 수 있습니다. 즉 고객이 2차 인증을 강제로 시행하여 사용자가 반드시 인증 정보를 입력해야 액세스가 가능해집니다.

운영 보안

물리적 보안

Workday 어플리케이션을 호스팅하는 첨단 데이터 센터는 미션 크리티컬 컴퓨터 시스템을 확실히 보호하기 위해 완전히 이중화된 서브시스템 및 상호 격리된 보안 구역으로 구성되었습니다. Workday 데이터 센터는 다음을 비롯한 가장 엄격한 물리적 보안 조건을 충족합니다.

  • 서버 영역 액세스에 다중 인증 적용
  • 중요 구역에는 2중 생체 인식 인증 사용
  • 내외부의 주요 진입 지점에 카메라 감시 시스템 설치
  • 보안 인력이 24시간 상시 모니터링

데이터 센터에 대한 모든 물리적 액세스는 엄격히 제한되고 규제됩니다.

네트워크 보안

Workday는 상세한 운영 정책, 절차, 프로세스를 마련하여 Workday 환경의 전반적인 품질과 무결성을 효과적으로 관리합니다. 또한, 경계 방어, 네트워크 침입 차단 시스템(IPS) 등 선제적인 보안 절차도 구현했습니다.

네트워크 IPS로 중요 네트워크 세그먼트를 모니터링하면서 고객 환경에서 비정상적인 네트워크 패턴을 찾아냅니다. 여러 티어와 서비스가 주고받는 트래픽도 모니터링합니다. 연중무휴 24시간 상시 가동되는 글로벌 보안 운영 센터도 있습니다.

어플리케이션 보안

Workday는 Workday 어플리케이션의 지속적인 보안을 보장하기 위해 엔터프라이즈급 Secure SDLC(Secure Software Development Life Cycle)를 구현했습니다.

이 프로그램에는 보안 위험 정밀 평가와 Workday 기능 검토가 포함됩니다. 또한, 개발 주기에 엔터프라이즈 보안을 통합할 수 있도록 정적 및 동적 소스 코드 분석을 모두 수행합니다. 개발자를 위한 어플리케이션 보안 교육 및 어플리케이션 침투 테스트로 개발 프로세스를 보강합니다.

취약성 평가

Workday는 제3자 전문 회사에 의뢰하여 사내외 네트워크, 시스템, 어플리케이션을 대상으로 독립적인 취약성 평가를 수행합니다.

어플리케이션

주요 릴리스의 출시에 앞서 늘 최고의 제3자 보안 업체를 고용하여 Workday 웹 및 모바일 어플리케이션을 대상으로 어플리케이션 차원의 보안 취약성을 평가합니다. 이 보안 업체는 절차에 따라 테스트를 진행하면서 다음 항목을 비롯하여 표준 및 고급 웹 어플리케이션의 보안 취약성을 밝혀냅니다.

  • Flash, Flex, AJAX, ActionScript 관련 보안 취약점
  • 사이트 간 요청 위조(CSRF)
  • 부적절한 입력 처리(사이트 간 스크립트, SQL 인젝션, XML 인젝션, 사이트 간 플래시)
  • XML 및 SOAP 공격
  • 취약 세션 관리
  • 취약한 데이터 검증, 일관성 없는 데이터 모델 제약 조건
  • 미흡한 인증 또는 권한부여
  • HTTP 응답 분할
  • SSL/TLS 오용
  • 안전하지 않은 HTTP 메소드 사용
  • 암호화 오용

네트워크

외부 취약성 평가를 통해 방화벽, 라우터, 웹 서버 등 인터넷에 연결되는 모든 자산을 조사하여 네트워크 무단 액세스의 원인이 될 만한 잠재적 약점을 찾아냅니다. 또한, 내부적으로도 네트워크 및 시스템에 대해 정식으로 취약점 평가를 수행하여 잠재적 약점 및 종합 시스템 보안 정책에 위배되는 사항을 파악합니다.

개인정보 보호

데이터 보호 규정은 복잡하고, 국가마다 다르며, 엄격한 요건을 갖습니다. HCM, 재무, 기타 어플리케이션을 선택하려는 기업은 데이터 보호에 관한 의무를 이행하고 개인정보 보호를 보장하는 데 도움이 될 제품으로 결정해야 합니다. Workday 사용자는 가장 앞선 개인정보 보호 기능 및 실무 기법을 활용하여 개인정보 보호 의무를 이행할 수 있습니다.

아울러 Workday는 고객이 각자의 개인정보 보호 및 규정 준수 요건을 이해하고 검증할 수 있도록 필요한 리소스와 정보를 제공합니다. 더 나아가 Workday를 활용하여 규정 준수 실행 능력을 업그레이드할 방법도 제시합니다.

 

   

강력한 개인정보 보호 프로그램

Workday는 고객 데이터 액세스, 사용, 공개, 전송에 관한 엄격한 정책 및 절차를 근간으로 하는 개인정보 보호 프로그램을 마련했습니다. Workday의 개인정보 보호 프로그램은 Workday 직원이 반드시 계약을 통해 합의한 대로 또는 고객의 지시에 따라 고객 데이터에 액세스하고 사용, 공개, 전송해야 함을 핵심 원칙으로 합니다.

데이터 보호 문제 및 전 세계의 관련 법이 계속 발전하고 복잡해지는 가운데 Workday는 개인정보 보호 프로그램의 중요성을 인식하고 이를 기업 문화 및 서비스의 기본 요소로 포함시켰습니다. 이를 입증하는 '개인정보 보호를 염두에 둔 설계' 원칙에 따라 고객에게 데이터 안전 및 개인정보 보호를 보장합니다.

CPO가 지휘하는 Workday 개인정보 보호, 윤리, 규정 준수 팀이 개인정보 보호 프로그램을 관리하고 그 실효성을 평가합니다. 이 팀이 하는 일은 다음과 같습니다.

  • Workday 직원 또는 Workday를 대신하여 파트너가 취급하는 개인 정보를 보호하기 위해 내부 개인정보 보호 정책, 절차, 도구 개발, 유지, 업데이트
  • 고객을 대상으로 하는 개인정보 보호 정책의 이행 현황 모니터링, 매년 제3자를 통해 정책 감사 실시
  • 고객, 파트너, 직원에게 약속한 대로 개인정보를 보호하도록 관리 감독
  • 인증 유지 및 규정 준수 의무 계속 이행
  • Workday 직원을 대상으로 개인정보 보호 프로그램 교육, 전 세계 데이터 보호 관련 법의 변경사항 모니터링, 필요에 따라 개인정보 보호 프로그램 업데이트 및 수정

개인정보 및 데이터 보호는 연중 내내 관심과 주의를 기울여야 할 과제입니다. Workday는 고객과 직원의 개인정보 보호에 최선을 다하고 있습니다. Workday가 실천하는 개인정보 보호의 핵심 원칙이 궁금하다면 여기를 클릭하십시오.

Workday 개인정보 보호 정책에서 Workday가 고객 정보를 관리하고 보호하는 방법을 알아볼 수 있습니다.

개인정보 보호를 염두에 둔 설계

Workday는 최초 설계부터 출시까지의 전 범위에서 종합적인 개인정보 보호 프로그램을 Workday 서비스에 구현합니다. 이 프로그램은 '개인정보 보호를 염두에 둔 설계' 원칙에 따라 Workday 제품 개발 및 서비스 운용의 방향을 설정합니다.

데이터 투명성

Workday가 고객 데이터를 저장하고 처리하는 장소와 지역을 투명하게 공개하고 관리합니다.

   

글로벌 개인정보 보호

글로벌 데이터 보호

Workday와 Workday 고객은 전 세계의 다양한 개인정보 보호 법 및 규정을 준수해야 합니다. 모든 지역에서 공통으로 시행되는 개인정보 보호 원칙에는 고지, 선택, 액세스, 사용, 공개, 보안에 관한 내용이 포함됩니다. Workday 어플리케이션은 차별화된 구성을 적용하여 국가별 법을 준수할 수 있도록 설계되었습니다. 또한, Workday는 고객 데이터에 대한 무단 액세스, 사용, 공개를 막는 기술 및 조직 차원의 안전장치를 포함한 포괄적이고 문서화된 정보 보안 프로그램을 운영함으로써 국제 개인정보 보호 규정을 준수합니다. Workday는 프라이버시 실드와 같은 프로그램에 적극적으로 참여하고 BCR(Binding Corporate Rules) 및 아시아태평양 경제협력체(APEC) CBPR(Cross-Border Privacy Rules)도 이행하는 등 글로벌 개인정보 보호 표준을 준수하기 위해 최선을 다하고 있습니다.

EU 데이터 보호

EU 데이터 보호 환경은 2018년 5월 25일부터 시행된 유럽 일반 개인정보 보호법(GDPR)을 계기로 크게 달라졌습니다. 이 GDPR은 제각각이던 유럽의 데이터 보호법을 비슷하게 조정하고 통합했습니다. Workday는 고객의 개인 정보를 처리할 때 GDPR을 철저히 준수합니다. 아울러 이 문제에 관한 EU 감독 기관의 지침을 늘 모니터링하고 있습니다. 따라서 변경이 필요할 경우 신속하게 조치할 수 있습니다.

Workday는 GDPR 요건을 분석하고 이를 기준으로 삼아 Workday의 여러 개인정보 보호 및 보안 실무 기법을 평가함으로써 GDPR이 발효되는 즉시 이행하기 시작했습니다. 여기에는 다음 활동도 포함되었습니다.

  • 직원을 대상으로 보안 및 개인정보 보호 실무 교육 실시
  • 개인정보 보호 영향 평가 실행
  • Workday BCR을 비롯하여 유럽 경제 지역(EEC)이 아닌 곳에 합법적으로 개인 정보를 전송할 수 있는 데이터 전송 메커니즘 제공
  • 처리 활동 기록 및 유지관리
  • 고객이 직접 구성할 수 있는 개인정보 보호 및 규정 준수 기능 제공

Workday 서비스에서는 개인정보 보호에 기반한 설계 및 개인정보 수집 최소화를 핵심 원칙으로 삼습니다. Workday는 GDPR 준수가 전 세계의 Workday 고객에게 매우 중요한 비즈니스 과제임을 잘 알고 있습니다. 따라서 EU 감독 기관에서 발표하는 GDPR 관련 지침을 지속적으로 모니터링하면서 Workday 규정 준수 프로그램을 최신 버전으로 유지합니다.

Workday는 데이터 처리자인 Workday가 GDPR을 준수하는 것 만큼 고객이 Workday 서비스를 통해 각자의 규정 준수 요건을 이행하는 것도 중요함을 이해하고 있습니다. 따라서 고객이 GDPR 의무를 이행할 수 있도록 다양한 도구를 통해 지원합니다. Workday 서비스에서는 고객이 각자의 전용 테넌트에서 개인 정보를 처리할 수 있습니다.Workday가 고객의 GDPR 이행을 지원하는 방법을 자세히 알아보려면 여기를 클릭하십시오.

프라이버시 실드

Workday는 미 상무부가 프라이버시 실드 인증 제도를 시행한 첫날에 프라이버시 실드 인증을 취득했습니다. 이는 Workday가 개인정보 보호 및 고객 데이터 보호를 위해 계속 최선을 다하고 있음을 입증합니다.

프라이버시 실드 프레임워크에서는 EU에서 미국으로, 그리고 스위스에서 미국으로 개인 데이터를 전송할 수 있습니다. 각 기업에서 자율적으로 프라이버시 실드 인증을 진행할 수도 있으나, Workday는 독립적인 검증 기관인 TRUSTe를 통한 인증으로 더 확실하게 프라이버시 실드 준수를 입증합니다. Workday의 데이터 보호 프로그램에 대한 제3자 검토를 계속 정기적으로 수행하면서 고객에게 최고 수준의 데이터 및 개인정보 보호 환경을 제공합니다. Workday의 프라이버시 실드에 자세히 알아보려면 여기를 클릭하시기 바랍니다.

BCR

Workday는 프라이버시 실드 자율 인증과 더불어 유럽 데이터 보호 관할 기관으로부터 처리자 BCR 승인도 받았습니다. Workday EU 본사가 더블린에 있으므로, 아일랜드 데이터 보호 위원회가 Workday의 주 관할 기관이었습니다. 영국과 네덜란드의 데이터 보호 위원회가 공동 관할 기관의 역할을 맡았습니다. Workday가 데이터 주체인 고객에 대해 BCR 요건을 이행하는 방법에 대해서는 여기를 클릭하여 자세히 알아보십시오.

APEC CBPR과 PRP

Workday는 아시아태평양경제협력체(APEC)가 주관하는 CBPR(Cross-Border Privacy Rules) 및 PRP(Privacy Rules for Processors) 인증을 모두 받았습니다. 이 APEC 인증은 APEC 국가 간 원활한 데이터 전송을 위해 데이터 통제자 및 처리자 각각에 대해 개발된 자발적 개인정보 보호 표준의 모음입니다. 이러한 인증은 아시아태평양 지역 전반에서 엄격한 개인정보 보호 규정을 따르고 있음을 보여줍니다.

Workday는 2014년 3월에 APEC CBPR 인증을, 2018년 9월에는 APEC PRP 인증을 취득한 선두 주자입니다. Workday는 미국 내 APEC 책임 대행 기관인 TRUSTe로부터 제3자 인증을 받았습니다.

Workday는 APEC CBPR 및 PRP 인증을 유지하고 유럽 경제 지역(EEC) 개인정보 보호 요건을 준수하면서 강력한 글로벌 개인정보 보호 프레임워크를 따르고 있음을 입증합니다.

규정 준수

오늘날의 기술 리더는 갈수록 복잡해지는 보안 위협으로부터 회사의 고객, 직원, 지적 자산 데이터를 보호해야 합니다. 기업 역시 데이터 보호 및 개인 정보 전송에 관한 법을 비롯한 각종 규정을 준수할 책임이 있으며, 이는 서비스 제공자에게 데이터 보관 및 처리를 맡기는 경우에도 해당됩니다.

Workday는 공식적이고 종합적인 보안 프로그램을 유지관리하면서 고객 데이터의 보안 및 무결성을 보장하고, 보안 위협이나 데이터 유출 위험을 해소하며, 고객 데이터에 대한 무단 접근을 차단합니다. Workday 보안 프로그램의 자세한 내용은 제3자 보안 감사 및 국제 인증에서 확인할 수 있습니다.

   

   

Workday는 고객의 규정 준수 및 법무 팀이 해당 기업에 적용되는 규정 준수 요건을 이해하고 검증하는 데 도움이 되도록 다음과 같은 규정 준수 리소스를 마련했습니다.

제3자 감사 및 인증

Profile image
SOC 1

SOC(Service Organization Controls) 1 리포트에서는 서비스 조직의 통제 환경에 대한 정보를 제공합니다. 여기서 고객의 재무 보고에 대한 내부 통제를 다룰 수도 있습니다.

Profile image
SOC 2

Workday SOC 2 Type II 리포트에서는 제3자가 수행한 Workday 통제 환경에 대한 독립적인 평가 결과를 제공합니다.

Profile image
SOC 3

ICPA는 클라우드에서 저장하고 처리하는 정보에 대한 기밀 유지 및 개인정보 보호를 위해 SOC 3 프레임워크를 개발했습니다.

Profile image
ISO 27001

ISO 27001은 전 세계에서 인정받는 표준 기반 보안 접근 방식이며, 조직의 정보 보안 관리 시스템(ISMS)이 갖춰야 할 요건을 제시합니다.

Profile image
ISO 27017

2015년에 발표된 ISO 27017은 ISO 27001을 보완하는 표준입니다.

Profile image
ISO 27018

2014년에 발표된 ISO 27018은 ISO 27001을 보완하는 표준입니다.

Profile image
PCI DSS

Workday는 Workday 보안 신용카드 환경의 범위에서 PCI DSS 규정 준수를 지원합니다. 이 격리된 환경에서는 마스킹 해제된 카드 소지자 데이터를 저장, 처리, 전송합니다.

Profile image
HIPAA

Workday는 Workday 엔터프라이즈 클라우드 어플리케이션에 대해 HIPAA(Health Insurance Portability and Accountability Act) 제3자 평가를 완료했습니다. 이는 Workday가 HIPAA 규정 준수 프로그램을 통해 개인 의료 기록 및 개인 정보의 저장, 액세스, 공유를 위한 적절한 조치를 이행하고 있음을 입증합니다.

Profile image
NIST CSF와 NIST 800-171

NIST CSF는 조직이 사이버보안 위험을 더 효과적으로 예방, 탐지, 대응할 방법에 관한 지침을 제공합니다. NIST 800-171 표준은 연방 정부 관할이 아닌 정보 시스템 및 조직의 통제 대상 일반 정보(Controlled Unclassified Information)의 보호에 관한 표준입니다.

Profile image
G-Cloud

G-Cloud 프레임워크는 영국 정부와 클라우드 기반 서비스 제공자 간 협약입니다.

Profile image
CSA STAR 자율 평가

CSA(Cloud Security Alliance) STAR(Security, Trust & Assurance Registry) 자율 평가는 보안 위험 및 통제에 관한 최신 정보를 단일 업계 표준 설문(CSA STAR CAIQ)의 형태로 통합한 것입니다.

Profile image
프라이버시 실드

EU-미국 프라이버시 실드 및 스위스-미국 프라이버시 실드는 EU 및 스위스와 미국 간의 개인 데이터 전송을 허용하는 데이터 전송 프레임워크입니다.

Profile image
TRUSTe 엔터프라이즈 개인정보 보호 및 데이터 거버넌스 인증

Workday는 TRUSTe 엔터프라이즈 개인정보 보호 및 데이터 거버넌스 프랙티스 프로그램에 참여하고 있습니다.

Profile image
SIG 질문서

SIG(Standardized Information Gathering) 질문서는 광범위한 통제 영역 전반의 정보 기술 및 데이터 보안에 관한 질문을 단일 업계 표준 질문서로 통합하여 정리한 것입니다.

Profile image
Cyber Essentials

Cyber Essentials는 영국 정부가 지원하는 제도로서 기술 통제의 기준을 마련하여 기업의 사이버 보안 위협 차단을 돕기 위해 마련되었습니다.