Bij Workday is betrouwbaarheid de rode draad in alles wat we doen. Om uw data veilig en privé te houden zetten we toonaangevende beveiligingsmaatregelen in en monitoren we ons systeem continu, zodat u erop kunt vertrouwen dat uw meest gevoelige data 24/7 is beschermd in de cloud.
Bij Workday heeft databeveiliging de hoogste prioriteit. We hanteren strenge beveiligingsmaatregelen op organisatorisch, architectonisch en operationeel niveau zodat we er zeker van zijn dat uw data, applicaties en infrastructuur veilig blijven.
We beschouwen beveiliging als de verantwoordelijkheid van iedereen, iets wat we vanaf de eerste werkdag meegeven aan onze mensen. Alle werknemers krijgen direct training op het gebied van beveiliging, privacy en compliance, opdat ze begrijpen wat er nodig is om zowel Workday- als klantdata te beschermen. Ons informatiebeveiligingsteam zorgt voor de kennis en vaardigheden die nodig zijn om beveiligingsrisico's te vermijden of te minimaliseren via een beveiligingstrainings- en bewustmakingsprogramma.
Deze commitment geldt voor de hele organisatie, inclusief onze executives. Het Executive Leadership Team, een cross-functionele groep van leidinggevenden uit alle afdelingen van onze organisatie, stimuleert de afstemming doorheen de hele organisatie en zorgt ervoor dat alle werknemers zich bewust zijn van het belang van beveiliging.
Onze klanten beheren de data, Workday verwerkt de data. Dit betekent dat u de volledige controle heeft over uw data, instellingen en configuraties. Omdat u de beheerder bent van uw data - en wij deze alleen verwerken - bent u niet afhankelijk van ons voor dagelijkse taken zoals het:
Workday versleutelt elk kenmerk van klantdata voordat het wordt bewaard in de tenant van de klant. Dit is fundamenteel in het ontwerp van de Workday-technologie. Aangezien Workday een in-memory, object-oriented applicatie is (en geen disk-based RDBMS) kunnen we het hoogste encryptieniveau realiseren. We maken gebruik van het AES-algoritme (Advanced Encryption Standard) met een sleutelgrootte van 256 bits en een unieke encryptiesleutel voor elke klant.
Transport Layer Security (TLS) beschermt gebruikerstoegang via internet, helpt om het netwerkverkeer te beveiligen tegen passief afluisteren, actieve sabotage of vervalsing van berichten. File-based integraties worden versleuteld via PGP of een public/private key pair dat door Workday wordt gegenereerd met een customer-generated certificaat. WS-Security wordt ook ondersteund voor webservices-integraties in de Workday-API.
De beveiligingstoegang van Workday is gebaseerd op rollen en biedt ondersteuning voor LDAP Delegated Authentication, SAML voor single sign-on (SSO) en x509-certificaatverificatie voor zowel gebruikers als webservices-integraties.
Ondersteuning van single sign-on
SAML zorgt voor een naadloze SSO-ervaring tussen de interne webportal van de klant en Workday. Klanten melden zich aan bij de interne webportal met hun gebruikersnaam en wachtwoord. Vervolgens krijgen ze een koppeling naar Workday te zien waarmee ze automatisch toegang krijgen zonder zich opnieuw te hoeven aanmelden. Workday ondersteunt ook OpenID Connect.
Workday Native Login
Voor klanten die onze native login willen gebruiken slaat Workday het wachtwoord op in de vorm van een beveiligde hash, in tegenstelling tot het wachtwoord zelf. Voor auditdoeleinden worden zowel niet-geslaagde als geslaagde in- en uitlogpogingen geregistreerd. Bij inactieve gebruikerssessies treedt na een bepaalde tijd automatisch een time-out op, wat kan worden geconfigureerd per gebruiker.
De door de klant te configureren wachtwoordregels omvatten lengte, complexiteit, vervaldatum en controlevragen bij een vergeten wachtwoord.
Multifactor Authentication
We adviseren onze klanten om multifactor authenticatie (MFA) te gebruiken. Met Workday kunnen klanten hun eigen MFA-provider gebruiken die wordt ondersteund door het TOTP-algoritme (Time-based One-Time Passcode). Met deze instelling integreren klanten MFA-providers eenvoudig met de native Workday login. Workday biedt eindgebruikers ook de mogelijkheid om een eenmalige wachtwoordcode te ontvangen via een email-to-SMS-gateway. Ten slotte ondersteunt Workday ook beveiligingsvragen als extra mechanisme om de identiteit van een gebruiker te bevestigen.
Step-Up Authentication
Organisaties die SAML gebruiken, kunnen een extra verificatieniveau instellen voor kritieke functionaliteiten in Workday. Met step-up authenticatie kunnen klanten een secundaire authenticatiefactor forceren die gebruikers moeten invoeren om toegang te krijgen tot die items.
Configureerbare beveiliging
Met de configureerbare beveiliging van Workday kunnen de beveiligingsadministrators bij onze klanten vastleggen welke items gebruikers mogen bekijken en welke acties ze mogen uitvoeren in hun tenant. Het zijn de administrators die door middel van beveiligingsgroepen bepalen hoe ze gebruikers willen groeperen. Deze administrators kunnen de items en acties specificeren die leden van beveiligingsgroepen mogen bekijken en uitvoeren via het beveiligingsbeleid.
Workday heeft zijn applicaties ondergebracht in geavanceerde datacenters die zijn ontworpen voor het beschermen van bedrijfskritische computersystemen met volledig meervoudige subsystemen en gescheiden beveiligingszones. Onze datacenters hanteren de strengste fysieke beveiligingsmaatregelen, inclusief, maar niet beperkt tot:
De fysieke toegang tot de datacenters is zeer beperkt en streng gereguleerd.
Workday heeft uitgebreid operationeel beleid, procedures en processen opgesteld voor het beheren van de algemene kwaliteit en integriteit van de Workday-omgeving. We hebben ook proactieve beveiligingsprocedures geïmplementeerd, zoals perimeterbeveiliging en systemen om het netwerk te beschermen tegen indringers (IPS's).
Netwerk-IPS's bewaken kritieke netwerksegmenten op afwijkende netwerkpatronen in de klantomgeving en het verkeer tussen de verschillende lagen en de service. Ons internationale 'Security Operations Center' is 24 uur per dag, 7 dagen per week, 365 dagen per jaar actief.
Workday heeft SDLC (Secure Software Development Life Cycle) geïmplementeerd om Workday-applicaties continu te beveiligen.
Dit programma omvat een diepgaande beveiligingsrisicobeoordeling en review van Workday-functies. Daarnaast worden zowel statische als dynamische broncode-analyses uitgevoerd om enterprise security te integreren in de development lifecycle. Het developmentproces wordt verder verbeterd door het trainen van ontwikkelaars in applicatiebeveiliging en het uitvoeren van penetratietesten.
Workday heeft gespecialiseerde bedrijven gecontracteerd voor het uitvoeren van onafhankelijke beoordelingen van kwetsbaarheden van het in- en externe netwerk, het systeem en de applicatie.
Applicatie
We werken samen met een toonaangevend extern beveiligingsbedrijf voor de uitvoering van een kwetsbaarheidsbeoordeling op applicatieniveau van onze web- en mobiele applicatie voorafgaand aan elke grote release. Dit bedrijf voert testprocedures uit om standaard en geavanceerde kwetsbaarheden in de applicatiebeveiliging op te sporen, inclusief, maar niet beperkt tot, het volgende:
Netwerk
Externe kwetsbaarheidsbeoordelingen scannen elke internettoepassing, inclusief firewalls, routers en webservers, op mogelijke zwakke punten die ongeoorloofde toegang tot het netwerk mogelijk maken. Daarnaast wordt een interne kwetsbaarheidsbeoordeling van het netwerk en het systeem uitgevoerd om potentiële zwakke punten en tegenstrijdigheden met het algemene beveiligingsbeleid van het systeem op te sporen.
Workday doet er alles aan om de dataprivacy van onze klanten te beschermen. Ook willen we onze klanten helpen om aan hun eigen privacyverplichtingen te voldoen. Bij het kiezen van een finance- of HCM-systeem moeten organisaties vooral voor een oplossing kiezen waarmee ze kunnen voldoen aan hun verplichtingen op het gebied van dataprotectie en dataprivacy. Met Workday beschikt u over toonaangevende privacyfunctionaliteiten waarmee u aan uw verplichtingen kunt voldoen.
Bovendien zijn we transparant over onze privacypraktijken. We bieden onze klanten resources en informatie om hen te helpen de privacy- en compliancevereisten voor hun organisatie te begrijpen en valideren - en om te laten zien hoe Workday op positieve wijze kan bijdragen aan hun compliance-inspanningen.
Omdat dataprotectie en de internationale wet- en regelgeving over dit onderwerp blijft evolueren (en steeds complexer wordt) begrijpt Workday het belang van een uitgebreid privacyprogramma dat is ingebed in de cultuur en services van ons bedrijf.
We zijn toegewijd aan het volgen van drie principes die onze kernwaarden weerspiegelen:
Onze filosofie van "privacy by design" is hier een bewijs van. Deze filosofie biedt onze klanten de zekerheid die ze nodig hebben voor de privacy en bescherming van hun data. Deze privacyprincipes bepalen hoe we onze werknemers opleiden, hoe we producten ontwerpen en bouwen en hoe we persoonlijke data verwerken.
Privacy en dataprotectie vraagt om continue waakzaamheid. Mede daarom zijn we zeer toegewijd aan de bescherming van de persoonlijke data van onze klanten en werknemers. Lees meer over hoe we omgaan met privacy-principes.
Lees ons privacybeleid voor meer informatie over hoe we de data van onze klanten beheren en beschermen.
Privacy blijft hoog op de internationale agenda staan, met de introductie van de GDPR (AVG) en het aanhoudende momentum voor privacywetgeving in Amerika, Azië en Latijns-Amerika. Bij Workday verwelkomen we deze aandacht, aangezien privacybescherming vanaf onze eerste dag een fundamenteel onderdeel van onze dienstverlening is. We begrijpen dat privacy een gedeelde verantwoordelijkheid is tussen ons en onze klanten.
Workday en onze klanten moeten willen voldoen aan complexe internationale wet- en regelgeving op het gebied van privacy. Workday blijft vooroplopen als het gaat om compliance met internationale privacyregelgeving. We doen dit door middel van een uitgebreid programma voor dataprotectie met uitgebreide technische, administratieve en organisatorische waarborgen. Onze klanten kunnen er zeker van zijn dat we ons inzetten voor internationale privacynormen, zoals blijkt uit onze implementatie van BCR's (Binding Corporate Rules for Processors) en door als eerste bedrijf te certificeren volgens de privacyvoorschriften voor verwerkers in het kader van de Asia-Pacific Economic Cooperation Privacy Rules for Processors.
Op 25 mei 2018 trad de General Data Protection Regulation (GDPR, in Nederland ook bekend onder AVG) in werking, wat het Europese landschap van dataprivacy aanzienlijk heeft veranderd door het harmoniseren van de lappendeken van databeschermingswetten in Europa. Sinds de GDPR van kracht werd verwerken we de persoonlijke gegevens van onze klanten in volledige overeenstemming met deze wet- en regelgeving. Zo veranderde er voor Workday-klanten bijvoorbeeld niet veel met betrekking tot grensoverschrijdende dataoverdrachtstromen van persoonsgegevens naar Workday voor verwerking. We hadden al robuuste voorwaarden voor dataprotectie en hebben deze proactief bijgewerkt om te voldoen aan de GDPR-vereisten.
Enkele hoogtepunten van hoe onze robuuste privacy- en beveiligingspraktijken de GDPR-compliance ondersteunen, zijn onder meer:
Bovendien zijn de 'Privacy by Design' en 'Privacy by Default'- concepten diep verankerd binnen Workday. We blijven de richtlijnen van de toezichthoudende instanties binnen de EU monitoren om er zeker van te zijn dat ons complianceprogramma actueel is.
Workday begrijpt dat het niet alleen belangrijk is voor onze eigen rol als dataverwerker om compliant te zijn met de GDPR, het is ook belangrijk voor onze klanten om Workday te kunnen gebruiken voor hun compliancevereisten. Daarom ontwerpt Workday onze applicaties met configureerbaarheid in gedachten om u te helpen aan uw GDPR-verplichtingen te voldoen.
Hoewel er door de jaren heen veel uitdagingen zijn geweest voor grensoverschrijdende datastromen, hebben we bij Workday nooit getwijfeld over ons vermogen om onze klanten te ondersteunen. We hebben al vroeg een programma gebouwd dat onze klanten verschillende mechanismen voor dataoverdracht biedt. Onze overeenkomst omvat de modelcontractbepalingen van de Europese Commissie, die de overdracht van persoonsdata van de Europese Economische Ruimte naar de Verenigde Staten mogelijk maken. Daarnaast biedt Workday klanten Processor Binding Corporate Rules (BCR's) als een extra overdrachtsmechanisme. De BCR's van Workday zijn hier beschikbaar.
We werken samen met onze klanten aan 'Transfer Impact Assesments' voordat ze Europese persoonsgegevens overdragen naar landen buiten de EU. We delen proactief informatie, zoals veelgestelde vragen en whitepapers, om onze klanten te helpen navigeren door deze assessments. Daarnaast verbindt Workday zich ertoe om onze klanten transparantie te bieden in het geval we een geldig juridisch proces ontvangen van wetshandhavingsinstanties of andere overheidsinstanties voor toegang tot elektronische informatie die klanten indienen in de software-as-a-service-applicaties van Workday.
We investeren in certificering volgens toonaangevende industriestandaarden en -kaders, zodat onze klanten onze privacypraktijken gemakkelijk kunnen verifiëren. We zijn vaak de eersten die dat doen.
Zo hebben we ons direct aangemeld toen het Amerikaanse Department of Commerce het Privacy Shield-certificeringsproces lanceerde, wat onze constante toewijding aan dataprivacy en dataprotectie aantoont. Hoewel het Privacy Shield geen geldig kader voor gegevensoverdracht meer is, blijft Workday aan het Department of Commerce certificeren dat Workday de beginselen van het Privacy Shield naleeft. Ondanks dat bedrijven zichzelf kunnen certificeren voor het Privacy Shield maakt Workday gebruik van TRUSTe om onze compliance verder te bekrachtigen. Lees meer over onze TRUSTe-verificatiestatus voor het Privacy Shield.
Workday was de eerste leverancier van cloudservices die verklaarde zich te houden aan de EU Cloud Code of Conduct (CCoC), die bestaat uit een reeks vereisten waarmee leveranciers van cloudservices (CSP's) kunnen aantonen dat zij in staat zijn te voldoen aan de GDPR. Jaarlijks vindt een evaluatie plaats door de onafhankelijke toezichthoudende instantie. Verifieer de compliance van Workday aan de CCoC.
Workday is gecertificeerd volgens de Asia-Pacific Economic Cooperation Cross-Border Privacy Rules (APEC CBPR) en Privacy Rules for Processors (APEC PRP). De APEC-certificeringen zijn een vrijwillige reeks privacynormen die zijn ontwikkeld voor databeheerders en -verwerkers om de data-overdracht tussen de APEC-economieën soepeler te laten verlopen. Deze certificeringen waarborgen compliance met hoge normen op het gebied van privacy in de gehele Aziatisch-Pacifische regio.
Workday was een van de eerste bedrijven die in maart 2014 bij het APEC CBPR werd gecertificeerd en was het eerste bedrijf dat in september 2018 voor APEC PRP werd gecertificeerd. We hebben een externe certificering ontvangen van TRUSTe, de APEC Accountability Agent voor de Verenigde Staten.
Vandaag de dag moeten technologieleveranciers de data van klanten, werknemers en hun intellectuele eigendommen beveiligen en beschermen in een klimaat waarin de beveiligingsbedreigingen steeds complexer worden. Bedrijven moeten zich houden aan alle toepasselijke wetten, met inbegrip van de wetgeving inzake dataprivacy en de overdracht van persoonlijke data, zelfs wanneer een serviceprovider data namens hen opslaat en verwerkt.
Workday onderhoudt een formeel en uitgebreid beveiligingsprogramma dat is ontworpen om de beveiliging en integriteit van de data van onze klanten te garanderen, te beschermen tegen beveiligingsbedreigingen of data-inbreuken en het voorkomen van ongeautoriseerde toegang. Onze externe beveiligingsaudits en internationale certificeringen omvatten de details van ons beveiligingsprogramma.
Om uw compliance- en juridische teams te helpen de compliancevereisten voor uw organisatie te begrijpen en te valideren, hebben we de volgende resources voor u verzameld.
SOC 1-rapporten (Service Organization Controls) bevatten informatie over de controleomgeving van een serviceorganisatie die relevant kan zijn voor de interne controles van de klant op de financiële rapporten.
Het SOC 2 Type II-rapport van Workday is een onafhankelijke beoordeling van onze controleomgeving die door een externe partij wordt uitgevoerd.
Het American Institute of Certified Public Accountants (AICPA) heeft het framework Service Organization Control (SOC 3) ontwikkeld voor het waarborgen van de vertrouwelijkheid en privacy van informatie die is opgeslagen en verwerkt in de cloud.
ISO 27001 is een wereldwijd erkende, op standaarden gebaseerde benadering van beveiliging waarin de vereisten worden vermeld voor de Information Security Management Systems (ISMS) van een organisatie.
ISO 27017 werd gepubliceerd in 2015 en is een aanvulling op ISO 27001.
ISO 27018 werd gepubliceerd in 2014 en is een aanvulling op ISO 27001.
ISO 27701 werd gepubliceerd in 2019 en is een aanvulling op ISO 27001.
Workday ondersteunt PCI DSS compliance binnen het bereik van de Workday Secure Credit Card Environment. Dit is een geïsoleerde omgeving waarin ongemaskerde data van kaarthouders worden opgeslagen, verwerkt en via vooraf gedefinieerde integraties worden doorgestuurd.
Workday heeft een getuigschrift van een externe partij van de Health Insurance Portability and Accountability Act (HIPAA) voor Workday enterprise cloudapplicaties voltooid, wat de zekerheid biedt dat Workday een HIPAA-complianceprogramma heeft geïmplementeerd, met afdoende maatregelen voor het opslaan, openen en delen van individuele medische en persoonlijke informatie.
Het NIST Cybersecurity Framework (CSF) biedt richtlijnen voor organisaties waarmee ze beter cyberbeveiligingsrisico's kunnen voorkomen, opsporen en actie kunnen ondernemen. De norm NIST 800-171 heeft betrekking op de bescherming van gecontroleerde niet-gerubriceerde informatie in niet-federale informatiesystemen en -organisaties.
Het G-Cloud-framework is een overeenkomst tussen de overheid van het Verenigd Koninkrijk en cloudserviceproviders.
De self-assesment van Cloud Security Alliance (CSA) Security, Trust & Assurance Registry (STAR) consolideert huidige informatie over beveiligingsrisico's en controles in één standaard vragenlijst (CSA STAR CAIQ).
Workday is een actieve deelnemer aan het Privacy Shield-programma. Workday gebruikt TRUSTe als onafhankelijke verificatieagent voor het Privacy Shield.
De EU Cloud Code of Conduct (CCoC) bestaat uit een reeks vereisten waarmee leveranciers van cloudservices (CSP's) kunnen aantonen dat ze in staat zijn te voldoen aan de GDPR.
Workday neemt deel aan het TRUSTe Enterprise Privacy & Data Governance Practices Program.
De Standardized Information Gathering (SIG)-vragenlijst is een compilatie van informatietechnologie- en databeveiligingsvragen over een breed spectrum van controlegebieden in één standaardvragenlijst voor de branche.
Cyber Essentials is een door de Britse overheid gesteunde regeling om organisaties te helpen zich te beschermen tegen cyberbedreigingen door technische basiscontroles uit te voeren.