Bij Workday is betrouwbaarheid de rode draad in alles wat we doen. Om uw data veilig en privé te houden zetten we toonaangevende beveiligingsmaatregelen in en monitoren we ons systeem continu, zodat u erop kunt vertrouwen dat uw meest gevoelige data 24/7 is beschermd in de cloud.
Bij Workday heeft databeveiliging de hoogste prioriteit. We hanteren strenge beveiligingsmaatregelen op organisatorisch, architectonisch en operationeel niveau zodat we er zeker van zijn dat uw data, applicaties en infrastructuur veilig blijven.
Beveiliging begint bij ons al op de eerste werkdag. Elke werknemer volgt op de eerste dag een training in beveiliging, privacy en compliance. Hoewel de impact per functie verschilt, is beveiliging een verantwoordelijkheid van elke werknemer bij Workday.
Deze commitment geldt voor de hele organisatie, inclusief onze executives. De Workday Security Council, een groep executives uit alle afdelingen van onze organisatie, geeft vorm aan onze beveiligingsprogramma's en zorgt ervoor dat alle werknemers zich bewust zijn van het belang van beveiliging.
Onze klanten beheren de data, Workday verwerkt de data. Dit betekent dat u de volledige controle heeft over uw data, instellingen en configuraties. Omdat u de beheerder bent van uw data - en wij deze alleen verwerken - bent u niet afhankelijk van ons voor dagelijkse taken zoals het:
Workday versleutelt elk datakenmerk voordat de data in een database wordt opgeslagen. Dit is fundamenteel in het ontwerp van de Workday-technologie. Aangezien Workday een in-memory, object-oriented applicatie is (en geen disk-based RDBMS) kunnen we het hoogste encryptieniveau realiseren. We maken gebruik van het AES-algoritme (Advanced Encryption Standard) met een sleutelgrootte van 256 bits en een unieke encryptiesleutel voor elke klant.
Transport Layer Security (TLS) beschermt gebruikerstoegang via internet, helpt om het netwerkverkeer te beveiligen tegen passief afluisteren, actieve sabotage of vervalsing van berichten. File-based integraties worden versleuteld via PGP of een public/private key pair dat door Workday wordt gegenereerd met een customer-generated certificaat. WS-Security wordt ook ondersteund voor webservices-integraties in de Workday-API.
De beveiligingstoegang van Workday is gebaseerd op rollen en biedt ondersteuning voor LDAP Delegated Authentication, SAML voor single sign-on (SSO) en x509-certificaatverificatie voor zowel gebruikers als webservices-integraties.
Ondersteuning van single sign-on
SAML zorgt voor een naadloze SSO-ervaring tussen de interne webportal van de klant en Workday. Klanten melden zich aan bij de interne webportal met hun gebruikersnaam en wachtwoord. Vervolgens krijgen ze een koppeling naar Workday te zien waarmee ze automatisch toegang krijgen zonder zich opnieuw te hoeven aanmelden. Workday ondersteunt ook OpenID Connect.
Workday Native Login
Voor klanten die onze native login willen gebruiken slaat Workday het wachtwoord op in de vorm van een beveiligde hash, in tegenstelling tot het wachtwoord zelf. Voor auditdoeleinden worden zowel niet-geslaagde als geslaagde in- en uitlogpogingen geregistreerd. Bij inactieve gebruikerssessies treedt na een bepaalde tijd automatisch een time-out op, wat kan worden geconfigureerd per gebruiker.
De door de klant te configureren wachtwoordregels omvatten lengte, complexiteit, vervaldatum en controlevragen bij een vergeten wachtwoord.
Multifactor Authentication
We adviseren onze klanten om multifactor authenticatie (MFA) te gebruiken. Met Workday kunnen klanten hun eigen MFA-provider gebruiken die wordt ondersteund door het TOTP-algoritme (Time-based One-Time Passcode). Met deze instelling integreren klanten MFA-providers eenvoudig met de native Workday login. Workday biedt eindgebruikers ook de mogelijkheid om een eenmalige wachtwoordcode te ontvangen via een email-to-SMS-gateway. Ten slotte ondersteunt Workday ook beveiligingsvragen als extra mechanisme om de identiteit van een gebruiker te bevestigen.
Step-Up Authentication
Wanneer iemand zijn console open laat, of als meerdere gebruikers toegang hebben tot Workday vanaf hetzelfde apparaat, hebben bedrijven die SAML als authenticatietype gebruiken de mogelijkheid om kritieke items binnen Workday te identificeren. Hiermee wordt een tweede authenticatie afgedwongen die gebruikers moeten invoeren om toegang tot die items te krijgen.
Workday heeft zijn applicaties ondergebracht in geavanceerde datacenters die zijn ontworpen voor het beschermen van bedrijfskritische computersystemen met volledig meervoudige subsystemen en gescheiden beveiligingszones. Onze datacenters hanteren de strengste fysieke beveiligingsmaatregelen, inclusief, maar niet beperkt tot:
De fysieke toegang tot de datacenters is zeer beperkt en streng gereguleerd.
Workday heeft uitgebreid operationeel beleid, procedures en processen opgesteld voor het beheren van de algemene kwaliteit en integriteit van de Workday-omgeving. We hebben ook proactieve beveiligingsprocedures geïmplementeerd, zoals perimeterbeveiliging en systemen om het netwerk te beschermen tegen indringers (IPS's).
Netwerk-IPS's bewaken kritieke netwerksegmenten op afwijkende netwerkpatronen in de klantomgeving en het verkeer tussen de verschillende lagen en de service. Ons internationale 'Security Operations Center' is 24 uur per dag, 7 dagen per week, 365 dagen per jaar actief.
Workday heeft SDLC (Secure Software Development Life Cycle) geïmplementeerd om Workday-applicaties continu te beveiligen.
Dit programma omvat een diepgaande beveiligingsrisicobeoordeling en review van Workday-functies. Daarnaast worden zowel statische als dynamische broncode-analyses uitgevoerd om enterprise security te integreren in de development lifecycle. Het developmentproces wordt verder verbeterd door het trainen van ontwikkelaars in applicatiebeveiliging en het uitvoeren van penetratietesten.
Workday heeft gespecialiseerde bedrijven gecontracteerd voor het uitvoeren van onafhankelijke beoordelingen van kwetsbaarheden van het in- en externe netwerk, het systeem en de applicatie.
Applicatie
We werken samen met een toonaangevend extern beveiligingsbedrijf voor de uitvoering van een kwetsbaarheidsbeoordeling op applicatieniveau van onze web- en mobiele applicatie voorafgaand aan elke grote release. Dit bedrijf voert testprocedures uit om standaard en geavanceerde kwetsbaarheden in de applicatiebeveiliging op te sporen, inclusief, maar niet beperkt tot, het volgende:
Netwerk
Externe kwetsbaarheidsbeoordelingen scannen elke internettoepassing, inclusief firewalls, routers en webservers, op mogelijke zwakke punten die ongeoorloofde toegang tot het netwerk mogelijk maken. Daarnaast wordt een interne kwetsbaarheidsbeoordeling van het netwerk en het systeem uitgevoerd om potentiële zwakke punten en tegenstrijdigheden met het algemene beveiligingsbeleid van het systeem op te sporen.
Regelgeving rondom dataprivacy is ingewikkeld, verschilt van land tot land en brengt strenge eisen met zich mee. De keuze voor een HCM-, finance- of andere applicatie moet worden gebaseerd op de mogelijkheid om verplichtingen op het gebied van databescherming na te leven en de dataprivacy te beschermen. Met Workday beschikt u over toonaangevende privacyfunctionaliteiten waarmee u aan uw verplichtingen kunt voldoen.
Bovendien bieden we onze klanten uitgebreide resources en informatie om hen te helpen de privacy- en compliance-eisen voor hun organisatie te begrijpen, te valideren en om de waardevolle bijdrage van Workday op het gebied van compliance te demonstreren.
We hebben ons privacyprogramma gebaseerd op een strikt beleid en procedures inzake de toegang tot en het gebruik, de openbaarmaking en de overdracht van data van onze klanten. De kern van ons privacyprogramma is dat Workday-werknemers geen data van onze klanten kunnen openen, gebruiken, openbaar maken of overdragen, tenzij ze hiervoor toestemming hebben verkregen middels een contract of van de klant zelf.
Omdat dataprotectie en de wereldwijde wet- en regelgeving over dit onderwerp blijft evolueren (en steeds complexer wordt) begrijpt Workday het belang van een privacyprogramma dat is ingebed in de cultuur en services van ons bedrijf. Onze filosofie 'Privacy by Design' is hier een voorbeeld van en verzekert onze klanten van privacy en bescherming van hun data.
Het privacyprogramma wordt door het Workday Privacy, Ethics & Compliance-team beheerd en geanalyseerd op effectiviteit onder leiding van onze Chief Privacy Officer. Het team is verantwoordelijk voor het:
Privacy en dataprotectie vraagt om continue waakzaamheid. Mede daarom zijn we zeer toegewijd aan de bescherming van de persoonlijke data van onze klanten en werknemers. Lees meer over hoe we omgaan met de belangrijkste principes van privacy.
Lees ons privacybeleid voor meer informatie over hoe we de data van onze klanten beheren en beschermen.
We hebben een holistisch privacyprogramma in onze services ingebouwd; van het eerste ontwerp tot en met de release. Dit programma, dat voortvloeit uit onze Privacy-by-Design-filosofie, fungeert als richtlijn voor al onze producten en services.
We zijn transparant over de geografische regio's waar data van klanten wordt opgeslagen en verwerkt.
Workday en onze klanten moeten zich houden aan complexe internationale wet- en regelgeving op het gebied van privacy. Workday is compliant met internationale privacywetgeving door het onderhouden van een uitgebreid internationaal databeveiligingsprogramma. We nemen technische en administratieve maatregelen om onbevoegde toegang tot en gebruik of openbaarmaking van data van onze klanten te voorkomen. Workday blijft zich inzetten voor internationale privacynormen, zoals blijkt uit onze toewijding aan programma's als Privacy Shield, implementatie van Binding Corporate Rules (BCR) en Asia-Pacific Economic Cooperation Privacy Rules for Processors. Onze applicaties zijn ontworpen om gedifferentieerde configuraties te implementeren, zodat u kunt voldoen aan de landspecifieke wetgeving.
Het landschap voor EU-dataprivacy is aanzienlijk veranderd als gevolg van de General Data Protection Regulation (GDPR of AVG), die op 25 mei 2018 in werking is getreden. De GDPR heeft de diversiteit aan Europese databeschermingswetten in Europa geharmoniseerd. Workday heeft er vertrouwen in dat we de persoonlijke gegevens van onze klanten kunnen verwerken in overeenstemming met de GDPR.
Enkele hoogtepunten van hoe Workday's robuuste privacy- en beveiligingspraktijken de compliance met GDPR ondersteunen, zijn:
Bovendien zijn Privacy by Design en Privacy by Default concepten die diep verankerd zijn in de Workday Service. Workday blijft de richtlijnen van de toezichthoudende instanties binnen de EU monitoren om er zeker van te zijn dat ons complianceprogramma actueel is.
Workday begrijpt dat het niet alleen voor ons als dataverwerker belangrijk is om te voldoen aan de GDPR, maar ook voor onze klanten, zodat zij de Workday Service kunnen gebruiken voor hun eigen compliance. Daarom biedt Workday hulpmiddelen om onze klanten te helpen met hun GDPR-verplichtingen. Lees meer over hoe wij onze klanten in staat stellen om aan hun GDPR-verplichtingen te voldoen.
Workday biedt onze klanten verschillende mechanismen voor gegevensoverdracht. De overeenkomst van Workday omvat de modelcontractbepalingen van de Europese Commissie, die de doorgifte van persoonsgegevens van de Europese Economische Ruimte naar de Verenigde Staten mogelijk maken. Daarnaast biedt Workday klanten Processor Binding Corporate Rules (BCR's) als een extra overdrachtsmechanisme. De BCR's van Workday zijn hier beschikbaar.
Workday heeft zich aangemeld voor het Privacy Shield op de dag dat de U.S. Department of Commerce het Privacy Shield-certificeringsproces introduceerde. Dit geeft aan hoe toegewijd wij zijn aan de privacy en bescherming van de data van onze klanten. Hoewel het Privacy Shield geen geldig kader voor gegevensoverdracht meer is, blijft Workday aan het Department of Commerce certificeren dat Workday de beginselen van het Privacy Shield naleeft. Ondanks dat bedrijven zichzelf kunnen certificeren voor het Privacy Shield maakt Workday gebruik van TRUSTe om onze compliance verder te bekrachtigen. Lees meer over onze TRUSTe-verificatiestatus voor het Privacy Shield.
Workday was de eerste leverancier van cloudservices die verklaarde zich te houden aan de EU Cloud Code of Conduct (CCoC), die bestaat uit een reeks vereisten waarmee leveranciers van cloudservices (CSP's) kunnen aantonen dat zij in staat zijn te voldoen aan de GDPR. Jaarlijks vindt een evaluatie plaats door de onafhankelijke toezichthoudende instantie. Verifieer de compliance van Workday aan de CCoC.
Workday is gecertificeerd voor zowel de Asia-Pacific Economic Cooperation Cross-Border Privacy Rules (APEC CBPR) als de Privacy Rules for Processors (APEC PRP). De APEC-certificeringen zijn een vrijwillige reeks privacynormen die zijn ontwikkeld voor databeheerders en -verwerkers om de data-overdracht tussen de APEC-economieën soepeler te laten verlopen. Deze certificeringen waarborgen compliance met hoge normen op het gebied van privacy in de gehele Aziatisch-Pacifische regio.
Workday was een van de eerste bedrijven die in maart 2014 bij het APEC CBPR werd gecertificeerd en was het eerste bedrijf dat in september 2018 voor APEC PRP werd gecertificeerd. We hebben een externe certificering ontvangen van TRUSTe, de APEC Accountability Agent voor de Verenigde Staten.
Vandaag de dag moeten technologieleveranciers de data van klanten, werknemers en hun intellectuele eigendommen beveiligen en beschermen in een klimaat waarin de beveiligingsbedreigingen steeds complexer worden. Bedrijven moeten zich houden aan alle toepasselijke wetten, met inbegrip van de wetgeving inzake dataprivacy en de overdracht van persoonlijke data, zelfs wanneer een serviceprovider data namens hen opslaat en verwerkt.
Workday onderhoudt een formeel en uitgebreid beveiligingsprogramma dat is ontworpen om de beveiliging en integriteit van de data van onze klanten te garanderen, te beschermen tegen beveiligingsbedreigingen of data-inbreuken en het voorkomen van ongeautoriseerde toegang. Onze externe beveiligingsaudits en internationale certificeringen omvatten de details van ons beveiligingsprogramma.
Om uw compliance- en juridische teams te helpen de compliancevereisten voor uw organisatie te begrijpen en te valideren, hebben we de volgende resources voor u verzameld.
SOC 1-rapporten (Service Organization Controls) bevatten informatie over de controleomgeving van een serviceorganisatie die relevant kan zijn voor de interne controles van de klant op de financiële rapporten.
Het SOC 2 Type II-rapport van Workday is een onafhankelijke beoordeling van onze controleomgeving die door een externe partij wordt uitgevoerd.
Het American Institute of Certified Public Accountants (AICPA) heeft het framework Service Organization Control (SOC 3) ontwikkeld voor het waarborgen van de vertrouwelijkheid en privacy van informatie die is opgeslagen en verwerkt in de cloud.
ISO 27001 is een wereldwijd erkende, op standaarden gebaseerde benadering van beveiliging waarin de vereisten worden vermeld voor de Information Security Management Systems (ISMS) van een organisatie.
ISO 27017 werd gepubliceerd in 2015 en is een aanvulling op ISO 27001.
ISO 27018 werd gepubliceerd in 2014 en is een aanvulling op ISO 27001.
ISO 27701 werd gepubliceerd in 2019 en is een aanvulling op ISO 27001.
Workday ondersteunt PCI DSS compliance binnen het bereik van de Workday Secure Credit Card Environment. Dit is een geïsoleerde omgeving waarin ongemaskerde data van kaarthouders worden opgeslagen, verwerkt en via vooraf gedefinieerde integraties worden doorgestuurd.
Workday heeft een getuigschrift van een externe partij van de Health Insurance Portability and Accountability Act (HIPAA) voor Workday enterprise cloudapplicaties voltooid. Dit biedt de zekerheid dat Workday een HIPAA-complianceprogramma heeft geïmplementeerd met afdoende maatregelen voor het opslaan, openen en delen van individuele medische en persoonlijke informatie.
Het NIST Cybersecurity Framework (CSF) biedt richtlijnen voor organisaties waarmee ze beter cyberbeveiligingsrisico's kunnen voorkomen, opsporen en actie kunnen ondernemen. De norm NIST 800-171 heeft betrekking op de bescherming van gecontroleerde niet-gerubriceerde informatie in niet-federale informatiesystemen en -organisaties.
Het G-Cloud-framework is een overeenkomst tussen de overheid van het Verenigd Koninkrijk en cloudserviceproviders.
De self-assesment van Cloud Security Alliance (CSA) Security, Trust & Assurance Registry (STAR) consolideert huidige informatie over beveiligingsrisico's en controles in één standaard vragenlijst (CSA STAR CAIQ).
Workday is een actieve deelnemer aan het Privacy Shield-programma. Workday gebruikt TRUSTe als onafhankelijke verificatieagent voor het Privacy Shield.
De EU Cloud Code of Conduct (CCoC) bestaat uit een reeks vereisten waarmee leveranciers van cloudservices (CSP's) kunnen aantonen dat zij in staat zijn te voldoen aan de GDPR.
Workday neemt deel aan het TRUSTe Enterprise Privacy & Data Governance Practices Program.
De Standardized Information Gathering (SIG) Questionnaire is een compilatie van vragen over informatietechnologie en databeveiliging over een breed spectrum van controlegebieden, in één vragenlijst die als industriestandaard dient.
Cyber Essentials is een door de Britse overheid gesteunde regeling om organisaties te helpen zich te beschermen tegen cyberbedreigingen door technische basiscontroles uit te voeren.