Workday 규정 준수

SOC 1

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday VNDLY

SOC(Service Organization Controls) 1 리포트에서는 서비스 조직의 통제 환경에 관한 정보를 제공합니다. 여기서 고객의 재무 보고에 대한 내부 통제를 다룰 수도 있습니다.

SOC 1 Type II 리포트는 ISAE(International Standard on Assurance Engagements) 3402(서비스 조직의 통제에 관한 보증 리포트) 요건에 따라 발행됩니다. SOC 1 리포트는 Workday 엔터프라이즈 클라우드 어플리케이션에 적용되는 통제의 설계 및 운영 효율성을 다룹니다.

SOC 2

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY, HiredScore AI for Recruiting, HiredScore AI for Talent Mobility, Workday Contract Lifecycle Management, powered by Evisort AI

SOC 2 Type II 리포트에서는 제3자가 수행한 Workday 통제 환경에 관한 독립적인 평가의 결과를 제공합니다.

SOC 2 리포트는 미국공인회계사협회(AICPA) TSC(Trust Services Criteria)를 기준으로 하며, AICPA AT Section 101(인증 참여)에 의거하여 매년 발행됩니다. SOC 2 리포트는 Workday 어플리케이션의 일부인 고객 데이터를 저장하는 모든 시스템에 적용되는 통제의 설계 및 운영 효율성을 자세히 다룹니다. Workday 엔터프라이즈 제품 SOC 2 리포트는 모든 TSC 요건(보안, 가용성, 기밀 유지, 처리 무결성, 개인정보 보호)을 다룹니다. 또한, 이 리포트에서는 SOC 2+ Additional Subject Matter 프로세스의 일부인 NIST CSF(Cybersecurity Framework) 및 NIST 800-171을 다룹니다. 여기에는 이 프레임워크에 Workday 통제를 연계하고 감사하는 것이 포함됩니다.

SOC 3

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Peakon Employee Voice, Workday Strategic Sourcing

AICPA는 클라우드에서 저장하고 처리하는 정보에 관한 기밀 유지 및 개인정보 보호를 위해 SOC 3 프레임워크를 개발했습니다.

SOC 3 리포트는 Workday 통제 환경에 관한 독립적인 평가로서 제3자가 수행합니다. 공개적으로 이용 가능한 이 리포트에서는 고객 데이터의 보안, 가용성, 기밀 유지, 처리 무결성, 개인정보 보호를 위한 Workday 통제 환경을 개괄적으로 소개합니다.

Workday 엔터프라이즈 제품에 관한 SOC 3 리포트에 액세스하세요.

Workday Adaptive Planning에 관한 SOC 3 리포트에 액세스하세요.

Workday Peakon Employee Voice에 관한 SOC 3 리포트에 액세스하세요.

Workday Strategic Sourcing에 관한 SOC 3 리포트에 액세스하세요.

ISO 27001

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY, Workday Peakon Employee Voice

Workday의 정보 보안 관리 시스템(ISMS)은 전 세계에서 인정받는 이 표준 기반 보안 접근 방식의 요건을 충족합니다.

Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice에 대한 Workday의 통합 ISO 27001 인증에 액세스하세요.

VNDLY에 대한 Workday의 ISO 27001 인증에 액세스하세요.

ISO 27017

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning

이 표준은 클라우드 서비스 프로비저닝 및 사용에 적용되는 정보 보안 통제를 위해 통제 및 구현 지침을 제공합니다.

Workday 엔터프라이즈 제품 및 Workday Adaptive Planning에 대한 Workday의 통합 ISO 27017 인증에 액세스하세요.

ISO 27018

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning

이 표준은 개인 정보를 다루는 클라우드 서비스 제공자에 관한 지침입니다.

Workday 엔터프라이즈 제품 및 Workday Adaptive Planning에 대한 Workday의 통합 ISO 27018 인증에 액세스하세요.

ISO 27701

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning

이 표준은 ISO/IEC 27001의 연장선에서 개인정보 관리 시스템(PIMS) 구현 및 상시 개선에 관한 요건과 지침을 제공합니다.

Workday 엔터프라이즈 제품 및 Workday Adaptive Planning에 대한 Workday의 통합 ISO 27701 인증에 액세스하세요.

ISO 42001

적용 대상: Workday HCM(Human Capital Management), Workday 재무 관리, Workday 학생, Workday 지출 관리, Workday Adaptive Planning, Workday Peakon Employee Voice, Workday 급여, Workday 인력 관리, Workday 인재 관리, Workday 분석 및 보고, Workday 플랫폼 및 제품 확장

ISO 42001은 조직 내에서 AI 관리 시스템(AIMS)을 구축, 구현, 유지관리하고 계속 개선하기 위한 요건을 규정한 국제 표준입니다. AI 기반 제품이나 서비스를 제공하거나 활용하는 사업체를 위해 마련되었으며 책임 있는 AI 시스템 개발과 사용을 보장합니다.

통합 ISO 42001 리포트에 액세스하세요.

NIST AI 리스크 관리 프레임워크(NIST AI RMF)

적용 대상: Workday, Inc.

NIST AI 리스크 관리 프레임워크(AI RMF)는 개인, 조직, 사회 차원에서 AI의 잠재적 리스크를 관리하도록 돕고 신뢰할 만한 AI 시스템 개발 및 책임 있는 AI 시스템 사용을 장려하기 위해 마련되었습니다. 자발적인 사용을 지향하는 이 프레임워크는 AI 제품, 서비스, 시스템의 설계, 개발, 사용, 평가에 검증된 고려사항을 더 효과적으로 적용하게 하는 것을 목표로 합니다.

Workday의 NIST AI 리스크 관리 프레임워크 인증에 액세스하세요.

SIG 질문서

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

SIG(Standardized Information Gathering) 질문서는 다양한 리스크 통제 영역의 전 범위에서 정보 기술 및 데이터 보안을 평가하는 데 사용되는 업계 표준의 질문을 정리한 것입니다.

SIG는 제3자 리스크 보증 전문 글로벌 기관인 Shared Assessments에서 발행합니다. Workday는 매년 SIG 자율 평가를 수행하여 Workday 통제 환경에 관한 자세한 정보를 표준화된 질문서의 형식으로 고객에게 제공합니다. 고객은 Workday Community에서 SIG 질문서에 액세스할 수 있습니다.

NIST CSF와 NIST 800-171

적용 대상: Workday 엔터프라이즈 제품

NIST CSF는 기업에서 사이버 보안 리스크를 더 효과적으로 예방, 탐지, 대응할 방법에 관한 지침을 제공합니다. NIST 개인정보 보호 프레임워크는 조직의 개인정보 보호 프로그램을 평가하고 개선하는 데 필요한 지침을 제공합니다. NIST 800-171 표준은 연방 정부 관할이 아닌 정보 시스템 및 조직에서 다루는 통제 대상 일반 정보(Controlled Unclassified Information)의 보호에 관한 표준입니다.

Workday는 Workday의 SOC 2 통제를 NIST CSF, NIST PF 및 NIST 800-171 표준과 연계하고, 이 연계에 관한 감사를 Workday SOC 2+ 리포트에 포함했습니다.

데이터 보호 프레임워크

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY, HiredScore AI for Recruiting, HiredScore AI for Talent Mobility, Workday Contract Lifecycle Management, powered by Evisort AI

Workday는 데이터 보호 프레임워크 프로그램에 적극적으로 참여하고 있습니다. Workday는 데이터 보호 프레임워크 제3자 인증 기관으로 TRUSTe를 이용합니다.

Workday의 데이터 보호 프레임워크 인증에 액세스하세요.

엔터프라이즈 개인정보 보호 및 데이터 보호 거버넌스 프랙티스 인증

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY, HiredScore AI for Recruiting, HiredScore AI for Talent Mobility, Workday Contract Lifecycle Management, powered by Evisort AI

Workday와 같은 기업에서는 이 SIG 프로그램을 통해 자사의 개인정보 보호 및 데이터 거버넌스 프랙티스가 공인된 법에 근거한 기준 및 규제 기준, 이를테면 OECD 개인정보 보호 가이드라인, 유럽 일반 개인정보 보호법(GDPR), 미국 HIPAA(Health Insurance Portability and Accountability Act), APEC 개인정보 보호 프레임워크, ISO 27001 정보 보안 관리 시스템 국제 표준, 그 밖의 전 세계 개인정보 보호법 및 규정을 준수하고 있음을 입증할 수 있습니다.

Workday의 TRUSTe 인증 현황에 액세스하세요.

글로벌 국가 간 개인정보 보호 규칙(CBPR) 인증 및 글로벌 개인정보 보호 프로세서 인정(PRP) 인증

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY, HiredScore AI for Recruiting, HiredScore AI for Talent Mobility, Workday Contract Lifecycle Management, powered by Evisort AI

글로벌 CBPR 시스템은 기업에서 소비자가 자신의 개인 정보가 보호받고 있음을 신뢰할 수 있는 방식으로 관할권 간에 개인 정보를 이전하는 수단을 제공합니다. 글로벌 PRP 시스템의 목적은 데이터 처리자가 개인 정보를 제대로 처리할 능력을 입증하고 그 처리가 적어도 글로벌 CBPR 시스템에 따른 컨트롤러의 처리 요건에 부합함을 보장할 수 있게 하는 것입니다.

글로벌 CBPR 포럼에서 Workday의 인증에 액세스하세요.

EU 클라우드 행동강령

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning

EU 클라우드 행동강령(CCoC)은 클라우드 서비스 제공자(CSP)의 GDPR 규정 준수 역량을 입증하기 관한 일련의 요건으로 구성되어 있습니다.

준수 ID: 2019LVL02SCOPE001

Workday 인증에 액세스하세요.

HIPAA

적용 대상: Workday 엔터프라이즈 제품

Workday는 Workday 엔터프라이즈 제품에 관한 HIPAA(Health Insurance Portability and Accountability Act) 제3자 평가를 완료했습니다. 이는 Workday가 HIPAA 규정 준수 프로그램을 통해 개인 의료 기록 및 개인 정보의 저장, 액세스, 공유와 관련된 적절한 조치를 이행하고 있음을 입증합니다.

FedRAMP Moderate

적용 대상: Workday 엔터프라이즈 제품

FedRAMP(Federal Risk and Authorization Management Program)는 연방 기관이 IT 환경에 클라우드 기반 시스템을 도입하도록 지원하는 미정부 프로그램입니다. FedRAMP는 클라우드 기술의 보안 및 리스크를 평가하는 표준화된 방식을 제공합니다. 연방 기관은 이 프로그램을 통해 연방 데이터가 클라우드에서 최상위 수준으로 상시 보호받고 있음을 확인할 수 있습니다.

Workday는 Workday Government Cloud에 대한 보안 영향 평가에서 FedRAMP 인증 Moderate 레벨을 획득했습니다.

G-Cloud

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Peakon Employee Voice

G-Cloud 프레임워크는 영국 정부와 클라우드 기반 서비스 제공자 간 협약입니다.

G-Cloud는 클라우드 기반 서비스 제공자가 영국 공공 기관의 입찰에 참여하고 계약 수주 시 클라우드 서비스를 판매하는 과정을 지원합니다. G-Cloud 프레임워크는 관할 기관인 CSS(Crown Commercial Services)에서 연 1회 업데이트합니다.

현재 영국 공공 기관은 CCS 디지털 마켓플레이스를 통해 Workday 서비스 제품을 구매할 수 있습니다.

Cyber Essentials Plus

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Cyber Essentials Plus는 영국 정부가 지원하는 제도로서 기술 통제의 기준을 마련하여 기업의 사이버 보안 위협 차단을 돕기 위해 마련되었습니다.

Workday의 Cyber Essentials Plus 인증에 액세스하세요.

Australian IRAP

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning

호주 정부는 클라우드 서비스를 포함한 ICT 서비스 사용에 관한 보안을 문서화하고 유지합니다. 이러한 문서화는 ISM(Information Security Manual) 및 PSPF(Protective Security Policy Framework)를 통해 이루어집니다. 호주 사이버 보안 센터(ACSC)가 관장하는 IRAP(Infosec Registered Assessors Program)에서 조직의 ISM 및 PSPF 통제가 실효성이 있는지를 심사할 개별 평가자를 승인합니다.

Workday는 제3자 평가자를 참여시켜 Workday 프로덕션 환경을 대상으로 PROTECTED 레벨에서 ISM 및 PSPF 통제의 적합성에 관한 IRAP 평가를 수행합니다.

CSA 인증 클라우드 공급업체

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

기존 CAS(Cloud Security Alliance) 프로그램을 기반으로 하는 클라우드 공급업체 인증 프로그램입니다. 여기에 참여하는 조직은 포괄적인 보안을 위한 노력을 입증함으로써 보안 요건을 충족하는 클라우드 공급업체를 찾으려는 고객에게 기준을 제시할 수 있습니다.

CSA STAR 자율 평가

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

CSA(Cloud Security Alliance) STAR(Security, Trust & Assurance Registry) CAIQ(Consensus Assessments Initiative Questionnaire)는 보안 리스크 및 통제에 관한 최신 정보를 단일 업계 표준 설문의 형태로 통합한 것입니다. 많은 Workday 고객이 자체 내부 벤더 평가 절차에 CSA의 설문을 사용합니다.

Workday는 CSA STAR Registry에서 STAR Level 1 인증을 받았습니다. STAR Registry에서 Workday 목록에 액세스하세요.

TISAX

적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing

독일자동차산업협회(VDA)를 대신하여 ENX Association에서 TISAX(Trusted Information Security Assessment Exchange)를 관리합니다. 이 표준은 유럽 자동차 업계에 정보 보안 시스템에 관한 일관되고 표준화된 접근 방식을 제공합니다.

결과는 ENX 포털에서 확인할 수 있습니다.

CCCS CSP ITS 평가

적용 대상: Workday 엔터프라이즈 제품

캐나다 사이버 보안 센터(CCCS)는 캐나다 정부(GC) 부처 및 기관의 CSP 서비스 평가를 지원하고자 클라우드 서비스 제공자(CSP) 정보 기술 보안(ITS) 평가 프로그램을 구축했습니다. CCCS는 CSP의 기술적, 운영적, 절차적 ITS 기능에 관한 조언과 지침을 제공합니다. 이 평가에서는 보안 프로세스 및 통제가 캐나다 정부의 퍼블릭 클라우드 정보/서비스 보안 요건에 부합하는지를 판단합니다. 이를 위해 캐나다 재무부 사무국(Treasury Board of Canada Secretariat)에서 발표하는 PB/M/M(Protected B, Medium Integrity, and Medium Availability) 기준을 적용합니다.