Hero Background Image
Beveiliging & vertrouwen

Gebouwd op een basis van vertrouwen.

Bij Workday is vertrouwen de rode draad in alles wat we doen. Om uw data veilig en privé te houden zetten we toonaangevende beveiligingsmaatregelen in en monitoren we ons systeem continu, zodat u erop kunt vertrouwen dat uw meest gevoelige data 24/7 is beschermd in de cloud.

Beveiliging

Bij Workday heeft de beveiliging van de data van onze klanten de hoogste prioriteit. We hanteren strenge beveiligingsmaatregelen op organisatorisch, architectonisch en operationeel niveau zodat we er zeker van zijn dat uw data, applicaties en infrastructuur veilig blijven.

Beveiliging & organisatie

Beveiliging begint bij ons al op de eerste werkdag. Alle medewerkers volgen op hun eerste dag een training in beveiliging, privacy en compliance. Hoewel de impact per functie verschilt is beveiliging een verantwoordelijkheid van elke werknemer bij Workday.

Deze commitment geldt voor de hele organisatie, inclusief onze executives. De Workday Security Council, een groep executives uit alle afdelingen van onze organisatie, geeft vorm aan onze beveiligingsprogramma's en zorgt ervoor dat alle werknemers bewust zijn van het belang van beveiliging.

Beveiliging & architectuur

'Data controller' versus 'data processor'

Onze klanten beheren de data, Workday verwerkt de data. Dit betekent dat u volledige controle heeft over de data, de instellingen en de configuraties. Omdat u de beheerder bent van uw data en wij deze alleen verwerken bent u niet afhankelijk van ons voor dagelijkse taken zoals het:

  • Toewijzen van beveiligingsautorisaties en het bewerken van rollen
  • Maken van nieuwe rapporten en worklets
  • Configureren van bedrijfsprocesstromen, waarschuwingen, regels en meer
  • Implementeren van nieuwe integraties met Workday of andere tools
  • Veranderen of opzetten van nieuwe organisatiestructuren
  • Monitoren van alle bedrijfstransacties
  • Bekijken van wijzigingen in historische data en configuraties

Data-encryptie

Workday versleutelt elk kenmerk van data van klanten voordat de data in een database wordt opgeslagen. Dit is een fundamenteel kenmerk van het ontwerp van de Workday-technologie. Aangezien Workday een in-memory object-oriented applicatie is en geen disk-based RDBMS kunnen we het hoogste encryptieniveau bereiken. We maken gebruik van het AES-algoritme (Advanced Encryption Standard) met een sleutelgrootte van 256 bits en een unieke encryptiesleutel voor elke klant.

Transport Layer Security (TLS) beschermt gebruikerstoegang via internet, helpt om het netwerkverkeer te beveiligen tegen passief afluisteren, actieve sabotage of vervalsing van berichten. Integraties op basis van bestanden worden versleuteld via PGP of een public/private key pair dat door Workday wordt gegenereerd met een customer-generated certificaat. WS-Security wordt ook ondersteund voor webservices-integraties in de Workday-API.

Beveiliging & logica

De beveiligingstoegang van Workday is gebaseerd op rollen en biedt ondersteuning voor LDAP Delegated Authentication, SAML voor single sign-on (SSO) en x509-certificaatverificatie voor zowel gebruikers als webservices-integraties.

Ondersteuning van single sign-on

SAML zorgt voor een naadloze SSO-ervaring tussen de interne webportal van de klant en Workday. Klanten melden zich aan bij de interne webportal met hun gebruikersnaam en wachtwoord. Vervolgens krijgen ze een koppeling naar Workday te zien waarmee ze automatisch opnieuw toegang krijgen zonder zich weer te hoeven aanmelden. Workday ondersteunt ook OpenID Connect.

Workday Native Login

Voor klanten die onze native login willen gebruiken slaat Workday het wachtwoord op in de vorm van een beveiligde hash, en dus niet het wachtwoord zelf. Voor auditdoeleinden worden zowel niet-geslaagde als geslaagde aan-/afmeldingspogingen geregistreerd. Bij inactieve gebruikerssessies treedt na een bepaalde tijd automatisch een time-out op wat kan worden geconfigureerd per gebruiker.

De door de klant te configureren wachtwoordregels omvatten lengte, complexiteit, vervaldatum en controlevragen bij een vergeten wachtwoord.

Multifactor Authentication

We adviseren onze klanten gebruik te maken van multifactor authentication (MFA). Met Workday kunnen klanten hun eigen MFA-provider gebruiken die wordt ondersteund door het TOTP-algoritme (Time-based One-Time Passcode). Met deze instelling integreren klanten MFA-providers eenvoudig met de native Workday login. Workday biedt eindgebruikers ook de mogelijkheid om een eenmalige wachtwoordcode te ontvangen via een email-to-SMS-gateway. Ten slotte ondersteunt Workday ook beveiligingsvragen als extra mechanisme om de identiteit van een gebruiker te bevestigen.

Step-Up Authentication

Wanneer iemand zijn console open laat, of als meerdere gebruikers toegang hebben tot Workday vanaf hetzelfde apparaat, hebben bedrijven die SAML als authenticatietype gebruiken de mogelijkheid om kritieke items binnen Workday te identificeren. Hiermee wordt een tweede authenticatie afgedwongen die gebruikers moeten invoeren om toegang tot die items te krijgen.

Beveiliging & operatie

Fysieke beveiliging

Workday heeft zijn applicaties ondergebracht in geavanceerde datacenters die zijn ontworpen voor het beschermen van bedrijfskritische computersystemen met volledig meervoudige subsystemen en gescheiden beveiligingszones. Onze datacenters hanteren de strengste fysieke beveiligingsmaatregelen, inclusief, maar niet beperkt tot:

  • Meerdere authenticatielagen voor toegang tot de serverruimte
  • Biometrische authenticatie voor toegang tot kritieke ruimtes
  • Camerabewakingssystemen op cruciale in- en externe toegangspunten
  • 24/7 bewaking door beveiligingspersoneel

De fysieke toegang tot de datacenters is zeer beperkt en streng gereguleerd.

Netwerkbeveiliging

Workday heeft uitgebreid operationeel beleid, procedures en processen opgesteld voor het beheren van de algemene kwaliteit en integriteit van de Workday-omgeving. We hebben ook proactieve beveiligingsprocedures geïmplementeerd, zoals perimeterbeveiliging en systemen om het netwerk te beschermen tegen indringers (IPS's).

Netwerk-IPS's bewaken kritieke netwerksegmenten op afwijkende netwerkpatronen in de klantomgeving en het verkeer tussen de verschillende lagen en de service. Ons internationale 'Security Operations Center' is 24 uur per dag, 7 dagen per week, 365 dagen per jaar actief.

Applicatiebeveiliging

Workday heeft SDLC (Secure Software Development Life Cycle) geïmplementeerd om Workday-applicaties continu te beveiligen.

Dit programma omvat een diepgaande beveiligingsrisicobeoordeling en review van Workday-functies. Daarnaast worden zowel statische als dynamische broncode-analyses uitgevoerd om enterprise security te integreren in de development lifecycle. Het developmentproces wordt verder verbeterd door het trainen van ontwikkelaars in applicatiebeveiliging en het uitvoeren van penetratietesten.

Beoordeling van kwetsbaarheden

Workday heeft gespecialiseerde bedrijven gecontracteerd voor het uitvoeren van onafhankelijke in- en externe beoordelingen van kwetsbaarheden van het netwerk, het systeem en de applicatie.

Applicatie

We werken samen met een toonaangevend extern beveiligingsbedrijf voor de uitvoering van een kwetsbaarheidsbeoordeling op applicatieniveau van onze web- en mobiele applicatie voorafgaand aan elke grote release. Dit bedrijf voert testprocedures uit om standaard en geavanceerde kwetsbaarheden in de applicatiebeveiliging op te sporen, inclusief, maar niet beperkt tot, het volgende:

  • Zwakke plekken in de beveiliging in verband met Flash, Flex, AJAX en ActionScript
  • CSRF (Cross-Site Request Forgery)
  • Ongeldige invoerverwerking (zoals cross-site scripting, SQL-injectie, XML-injectie en cross-site flashing)
  • XML- en SOAP-aanvallen
  • Weak-session management
  • Fouten in datavalidatie en tegenstrijdigheden in datamodellen
  • Onvoldoende authenticatie of autorisatie
  • HTTP response splitting
  • Verkeerd gebruik van SSL/TLS
  • Gebruik van onveilige HTTP-methoden
  • Verkeerd gebruik van cryptografie

Netwerk

Externe kwetsbaarheidsbeoordelingen scannen elke internettoepassing, inclusief firewalls, routers en webservers, op mogelijke zwakke punten die ongeoorloofde toegang tot het netwerk mogelijk maken. Daarnaast wordt een geauthentiseerde interne kwetsbaarheidsbeoordeling van het netwerk en het systeem uitgevoerd om potentiële zwakke punten en tegenstrijdigheden met het algemene beveiligingsbeleid van het systeem op te sporen.

Aanbevolen informatiebronnen over beveiliging

Betere beveiliging realiseren, binnen en buiten de organisatie
Blog lezen
Behind the Cloud: Het creëren van een 'Culture of Security'
Video bekijken
Waarom multi-factor authenticatie zo belangrijk is
Blog lezen

  

Privacy

Regelgeving rondom dataprivacy is ingewikkeld, verschilt van land tot land en brengt strenge eisen met zich mee. De keuze voor een HCM-, finance- of andere applicatie moet worden gebaseerd op de mogelijkheid om verplichtingen op het gebied van databescherming na te leven en de dataprivacy te beschermen. Met Workday beschikt u over toonaangevende privacyfunctionaliteiten waarmee u aan uw privacyverplichtingen kunt voldoen.

Bovendien bieden we onze klanten uitgebreide resources en informatie om hen te helpen de privacy- en compliance-eisen voor hun organisatie te begrijpen, te valideren en om de waardevolle bijdrage van Workday op het gebied van compliance te demonstreren.

 

   

Robuust privacyprogramma

We hebben ons privacyprogramma gebaseerd op een strikt beleid en procedures inzake de toegang tot en het gebruik, de openbaarmaking en de overdracht van data van onze klanten. De kern van ons privacyprogramma is dat Workday-werknemers geen data van onze klanten kunnen openen, gebruiken, openbaar maken of overdragen, tenzij ze hiervoor toestemming hebben verkregen middels een contract of van de klant zelf.

Omdat dataprotectie en de wereldwijde wet- en regelgeving over dit onderwerp blijft evolueren (en steeds complexer wordt) begrijpt Workday het belang van een privacyprogramma dat is ingebed in de cultuur en services van ons bedrijf. Onze filosofie 'Privacy by Design' is hier een voorbeeld van en verzekert onze klanten van privacy en bescherming van hun data.

Het privacyprogramma wordt door het Workday Privacy, Ethics & Compliance-team beheerd en geanalyseerd op effectiviteit onder leiding van onze Chief Privacy Officer. Het team is verantwoordelijk voor het:

  • Opstellen, onderhouden en bijwerken van het interne privacybeleid, de procedures en de tools om de privacy van persoonlijke data die door werknemers en partners namens Workday wordt verwerkt te beschermen
  • Toezicht houden op de compliance van ons privacybeleid, dat jaarlijks door een externe partij wordt gecontroleerd
  • Controleren of de privacybeloftes aan onze klanten, partners en werknemers worden nagekomen
  • Onderhouden van onze certificeringen en wettelijke complianceverplichtingen
  • Trainen van Workday-medewerkers in ons privacyprogramma, het bijhouden van de veranderende internationale wetgeving op het gebied van dataprivacy en de nodige updates en aanpassingen in ons privacyprogramma doorvoeren

Privacy en dataprotectie vraagt om continue waakzaamheid. Mede daarom zijn we zeer toegewijd aan de bescherming van de persoonlijke data van onze klanten en werknemers. Lees hier meer over hoe we omgaan met de belangrijkste principes van privacy.

Lees ons privacybeleid voor meer informatie over hoe we de informatie van onze klanten beheren en beschermen.

Privacy by Design

We hebben een holistisch privacyprogramma in onze services ingebouwd; van het eerste ontwerp tot en met de release. Dit programma, dat voortvloeit uit onze Privacy-by-Design-filosofie, fungeert als richtlijn voor al onze producten en services.

Datatransparantie

We zijn transparant over de geografische regio's waar data van klanten wordt opgeslagen en verwerkt.

Wereldwijde privacy

Internationale dataprivacy

Workday en onze klanten moeten zich houden aan verschillende internationale privacywetten en -regelgeving. De algemene privacybeginselen in de verschillende jurisdicties omvatten kennisgeving, keuze, toegang, gebruik, openbaarmaking en beveiliging. Onze applicatie is ontworpen om gedifferentieerde configuraties te implementeren, zodat u kunt voldoen aan de landspecifieke wetgeving. Workday is compliant met internationale privacywetgeving door het onderhouden van een uitgebreid informatiebeveiligingsprogramma met technische en administratieve maatregelen om onbevoegde toegang tot en gebruik of openbaarmaking van data van onze klanten te voorkomen. Workday blijft zich inzetten voor internationale privacynormen, zoals blijkt uit onze toewijding aan programma's als Privacy Shield, implementatie van Binding Corporate Rules (BCR) en Asia-Pacific Economic Cross-Border Privacy Rules.

Dataprivacy in de EU

Het landschap voor EU-dataprivacy is aanzienlijk veranderd als gevolg van de General Data Protection Regulation (GDPR), die op 25 mei 2018 in werking is getreden. De GDPR heeft de diverse Europese databeschermingswetten in Europa geharmoniseerd. Workday heeft er vertrouwen in dat we de persoonlijke data van onze klanten blijvend verwerken in overeenstemming met de GDPR. We volgen hierin de richtlijnen die de toezichthoudende autoriteiten van de EU over dit onderwerp uitvaardigen. Als we wijzigingen moeten doorvoeren, zullen we direct actie ondernemen.

Workday heeft de GDPR-eisen en haar eigen privacy- en beveiligingspraktijken geëvalueerd om er zeker van te zijn dat de GDPR vanaf het eerste moment wordt nageleefd. Deze omvatten:

  • Werknemers trainen op het gebied van beveiliging en privacy
  • Privacy Impact Assessments uitvoeren
  • Data-overdrachtsystemen leveren om de overdracht van persoonlijke data buiten de Europese Economische Ruimte te legaliseren, inclusief de Workday BCR's
  • Bijhouden van records van verwerkingsactiviteiten
  • Het bieden van configureerbare privacy- en compliancefuncties

Privacy by Design en Privacy by Default zijn concepten die diep verankerd zijn in de Workday Service. Workday erkent dat de GDPR een hoge prioriteit heeft voor onze internationale klanten. Workday blijft de richtlijnen die de toezichthoudende instanties van de EU uitgeven met betrekking tot de GDPR controleren om er zeker van te zijn dat ons complianceprogramma actueel is.

Workday begrijpt dat het niet alleen belangrijk voor ons als dataverwerker is om te voldoen aan de GDPR, maar dat onze klanten ook de Workday Service kunnen gebruiken voor hun eigen compliance. Daarom biedt Workday hulpmiddelen om onze klanten te helpen met hun GDPR-verplichtingen. De Workday Service stelt klanten in staat om persoonlijke data in hun eigen tenant te verwerken. U leest hier meer over hoe wij onze klanten in staat stellen om aan hun GDPR-verplichtingen te voldoen.

Privacy Shield

In 2016 meldde Workday zich aan voor het Privacy Shield op de dag dat de U.S. Department of Commerce het Privacy Shield-certificeringsproces introduceerde. Dit geeft aan hoe toegewijd wij zijn aan de privacy en bescherming van de data van onze klanten. Het Privacy Shield is een kader voor overdracht van persoonlijke data tussen de EU en de VS, alsook tussen Zwitserland en de VS. Het Privacy Shield omvat vier belangrijke principes:

  • Duidelijke waarborgen en transparantieverplichtingen inzake toegang door de Amerikaanse overheid
  • Strikte verplichtingen voor bedrijven die data verwerken
  • Effectieve bescherming van individuele rechten, inclusief beroepsmogelijkheden voor burgers uit de EU
  • Een jaarlijkse beoordeling door de Europese Commissie en het U.S. Department of Commerce

Ondanks dat bedrijven zichzelf kunnen certificeren voor het Privacy Shield maakt Workday gebruik van TRUSTe als externe verificatiemethode. Daarnaast beoordelen externe partijen in opdracht van Workday regelmatig ons dataprivacyprogramma om te garanderen dat onze klanten het hoogst mogelijke niveau van databescherming en privacy genieten. Lees hier meer over onze certificering voor het Privacy Shield.

Binding Corporate Rules (BCR)

Naast de certificering voor het Privacy Shield heeft Workday goedkeuring van de Europese databeschermingsautoriteiten gekregen voor onze Processor BCR. De Ierse databeschermingsautoriteit was de leidende autoriteit voor Workday, aangezien ons EU-hoofdkantoor in Dublin is gevestigd. De databeschermingsautoriteiten in het Verenigd Koninkrijk en Nederland traden op als 'co-lead authorities'. U kunt hier de BCR-commitments van Workday bekijken.

APEC CBPR & APEC PRP

Workday is gecertificeerd voor zowel de Asia-Pacific Economic Cooperation Cross-Border Privacy Rules (APEC CBPR) als de Privacy Rules for Processors (APEC PRP). De APEC-certificeringen zijn een vrijwillige reeks privacynormen die zijn ontwikkeld voor databeheerders en -verwerkers om de data-overdracht tussen de APEC-economieën soepeler te laten verlopen. Deze certificeringen waarborgen compliance met hoge normen op het gebied van privacy in de gehele Aziatisch-Pacifische regio.

Workday was een van de eerste bedrijven die in maart 2014 bij het APEC CBPR werd gecertificeerd en was het eerste bedrijf dat in september 2018 voor APEC PRP werd gecertificeerd. We hebben een extern getuigschrift ontvangen van TrustArc, de APEC Accountability Agent voor de Verenigde Staten.

Door compliance met APEC CBPR en PRP te handhaven en te voldoen aan de privacyvereisten in de Europese Economische Ruimte toont Workday aan dat robuuste internationale privacy frameworks worden gevolgd.

Aanbevolen informatiebronnen over privacy

Workday-functies die de GDPR ondersteunen
Blog lezen
Workday wordt lid van de 'General Assembly of the EU Cloud Code of Conduct'
Blog lezen
GDPR: Privacy by Design bij Workday
Blog lezen

  

Compliance

Technologieleiders moeten de data van klanten, werknemers en hun intellectuele eigendommen beveiligen en beschermen in een klimaat waarin de beveiligingsbedreigingen steeds complexer worden. Bedrijven moeten zich houden aan alle toepasselijke wetten, met inbegrip van de wetten inzake dataprivacy en de overdracht van persoonlijke data, zelfs wanneer een serviceprovider data namens hen opslaat en verwerkt.

Workday onderhoudt een formeel en uitgebreid beveiligingsprogramma dat is ontworpen om de beveiliging en integriteit van de data van onze klanten te garanderen, te beschermen tegen beveiligingsbedreigingen of data-inbreuken en het voorkomen van ongeautoriseerde toegang. Onze externe beveiligingsaudits en internationale certificeringen omvatten de details van ons beveiligingsprogramma.

   

Om uw compliance- en juridische teams te helpen de compliance-vereisten voor uw organisatie te begrijpen en te valideren, hebben we de volgende resources voor u verzameld.

Third-party audits & certificeringen

Profile image
SOC 1

SOC 1-rapporten (Service Organization Controls) bevatten informatie over de controleomgeving van een serviceorganisatie die relevant kan zijn voor de interne controles van de klant op de financiële rapporten.

Profile image
SOC 2

Het SOC 2 Type II-rapport van Workday is een onafhankelijke beoordeling van onze controleomgeving die door een externe partij wordt uitgevoerd.

Profile image
SOC 3

Het American Institute of Certified Public Accountants (AICPA) heeft het framework Service Organization Control (SOC 3) ontwikkeld voor het waarborgen van de vertrouwelijkheid en privacy van informatie die is opgeslagen en verwerkt in de cloud.

Profile image
ISO 27001

ISO 27001 is een wereldwijd erkende, op standaarden gebaseerde benadering van beveiliging waarin de vereisten worden vermeld voor de Information Security Management Systems (ISMS) van een organisatie.

Profile image
ISO 27017

ISO 27017 werd gepubliceerd in 2015 en is een aanvulling op ISO 27001.

Profile image
ISO 27018

ISO 27018 werd gepubliceerd in 2014 en is een aanvulling op ISO 27001.

Profile image
PCI DSS

Workday ondersteunt PCI DSS compliance binnen het bereik van de Workday Secure Credit Card Environment. Dit is een geïsoleerde omgeving waarin ongemaskerde data van kaarthouders worden opgeslagen, verwerkt en via vooraf gedefinieerde integraties worden doorgestuurd.

Profile image
HIPAA

Workday heeft een getuigschrift van een externe partij van de Health Insurance Portability and Accountability Act (HIPAA) voor Workday enterprise cloudapplicaties voltooid, wat de zekerheid biedt dat Workday een HIPAA-complianceprogramma heeft geïmplementeerd met afdoende maatregelen voor het opslaan, openen en delen van individuele medische en persoonlijke informatie.

Profile image
NIST CSF en NIST 800-171

Het NIST Cybersecurity Framework (CSF) biedt richtlijnen voor organisaties waarmee ze beter cyberbeveiligingsrisico's kunnen voorkomen, opsporen en actie kunnen ondernemen. De norm NIST 800-171 heeft betrekking op de bescherming van gecontroleerde niet-gerubriceerde informatie in niet-federale informatiesystemen en -organisaties.

Profile image
G-Cloud

Het G-Cloud-framework is een overeenkomst tussen de overheid van het Verenigd Koninkrijk en cloudserviceproviders.

Profile image
Privacy Shield

Het EU-U.S. Privacy Shield en het Swiss-U.S. Privacy Shield zijn frameworks voor dataoverdracht die de overdracht van persoonlijke data tussen de EU en de VS mogelijk maken. 

Profile image
TRUSTe

De certificeringsnormen van TRUSTe omvatten principes van privacy frameworks die door APEC, OESO en FTC zijn vastgesteld.

Profile image
CSA STAR Self-Assessment

De self-assesment van Cloud Security Alliance (CSA) Security, Trust & Assurance Registry (STAR) consolideert huidige informatie over beveiligingsrisico's en controles in één standaard vragenlijst (CSA STAR CAIQ).