WORKDAY COMPLIANCE
Ons complianceprogramma.
Ons strikte complianceprogramma bestaat uit externe audits en internationale certificeringen om de beveiliging en privacy van data te waarborgen, bescherming te bieden tegen beveiligingsbedreigingen en datalekken, en ongeautoriseerde toegang tot uw data te voorkomen.
Complianceresources voor uw organisatie.
SOC 1
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday VNDLY
SOC 1-rapporten (Service Organization Controls) bevatten informatie over de controleomgeving van een serviceorganisatie die relevant kan zijn voor de interne controles van de klant op de financiële rapporten.
Ons SOC 1 Type II-rapport wordt uitgegeven in overeenstemming met de International Standard on Assurance Engagements (ISAE) 3402 (garantierapporten over controles bij een serviceorganisatie). In het SOC 1-rapport komen het ontwerp en de operationele effectiviteit van de controles aan bod die relevant zijn voor cloudapplicaties van Workday Enterprise.
SOC 2
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
Het SOC 2 Type II-rapport is een onafhankelijke beoordeling van onze controleomgeving die door een externe partij wordt uitgevoerd.
Het SOC 2-rapport is gebaseerd op de criteria voor Trust Services van AICPA en wordt jaarlijks uitgegeven in overeenstemming met AT Section 101 (Attest Engagements) van AICPA. Het SOC 2-rapport bevat details over het ontwerp en de operationele effectiviteit van controles die relevant zijn voor elk systeem met klantdata als onderdeel van Workday-applicaties. In het SOC 2-rapport van Workday Enterprise-producten worden alle criteria voor trust services (beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy) behandeld. Daarnaast bevat het rapport informatie over het NIST Cybersecurity Framework en NIST 800-171 als onderdeel van het SOC 2+ Additional Subject Matter-proces, dat een gecontroleerd overzicht van de Workday-controles bevat.
SOC 3
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning
Het American Institute of Certified Public Accountants (AICPA) heeft het SOC 3-framework ontwikkeld voor het waarborgen van de vertrouwelijkheid en privacy van informatie die wordt opgeslagen en verwerkt in de cloud.
Het SOC 3-rapport is een onafhankelijke beoordeling van onze controleomgeving die door een externe partij wordt uitgevoerd. Dit rapport is openbaar en bevat een samenvatting van onze controleomgeving die relevant is voor de beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy van klantdata.
Zie ons SOC 3-rapport voor Workday Enterprise-producten.
Zie ons SOC 3-rapport voor Workday Adaptive Planning.
Zie ons SOC 3-rapport voor Workday Peakon Employee Voice.
Zie ons SOC 3-rapport voor Workday Strategic Sourcing.
ISO 27001
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY
Ons Information Security Management System (ISMS) voldoet aan de vereisten van deze internationaal erkende, op standaarden gebaseerde benadering van beveiliging.
Zie ons geconsolideerde ISO 27001-certificaat voor Workday Enterprise-producten, Workday Adaptive Planning en Workday Strategic Sourcing.
Zie ons ISO 27001-certificaat voor VNDLY.
ISO 27017
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning
Deze norm voorziet in maatregelen en implementatierichtlijnen voor informatiebeveiliging die van toepassing zijn op het leveren en gebruiken van cloudservices.
Zie ons geconsolideerde ISO 27017-certificaat voor Workday Enterprise-producten en Workday Adaptive Planning.
ISO 27018
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday VNDLY
Deze norm bevat richtlijnen die van toepassing zijn op providers van cloudservices die persoonlijke data verwerken.
Zie ons geconsolideerde ISO 27018-certificaat voor Workday Enterprise-producten en Workday Adaptive Planning.
Zie ons ISO 27018-certificaat voor VNDLY.
ISO 27701
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning
Deze norm bevat de vereisten en richtlijnen voor de implementatie en continue verbetering van het Privacy Information Management System (PIMS) van een organisatie en is een uitbreiding op ISO/IEC 27001.
Zie ons geconsolideerde ISO 27701-certificaat voor Workday Enterprise-producten en Workday Adaptive Planning.
PCI DSS
Geldt voor: Workday Enterprise-producten
Workday ondersteunt PCI DSS compliance binnen het bereik van de Workday Secure Credit Card Environment. Dit is een geïsoleerde omgeving waarin ongemaskerde data van kaarthouders worden opgeslagen, verwerkt en via vooraf gedefinieerde integraties worden doorgestuurd.
Deze omgeving wordt elk jaar beoordeeld door Qualified Security Assessors aan de hand van de huidige PCI DSS-vereisten. Workday is al sinds 2013 compliant met PCI DSS. Klanten die de Workday Secure Credit Card-omgeving gebruiken, kunnen een kopie van het jaarlijkse beoordelingsrapport aanvragen bij Workday.
TRUSTe Enterprise Privacy and Data Governance Certification
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing
Workday neemt deel aan het TRUSTe Enterprise Privacy & Data Governance Practices Program.
Dit programma is ontworpen om organisaties zoals Workday in staat te stellen aan te tonen dat hun practices voor privacy- en datamanagement voor persoonlijke informatie in overeenstemming zijn met normen die zijn gebaseerd op erkende wet- en regelgeving, waaronder de privacyrichtlijnen van de OESO, het APEC Privacy Framework, de EU General Data Protection Regulation (GDPR), de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA), de ISO 27001 International Standard for Information Security Management Systems en andere internationale wet- en regelgeving op het gebied van privacy.
Zie onze TRUSTe-certificeringsstatus.
SIG-vragenlijst
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
De SIG-vragenlijst (Standardized Information Gathering) is een compilatie van vragen over informatietechnologie en databeveiliging over een breed spectrum van controlegebieden, in één vragenlijst die als industriestandaard dient.
De SIG wordt uitgegeven door Shared Assessments, een internationale organisatie die zich bezighoudt met risicoverzekering voor derden. Workday voert elke twee jaar een self-assesment uit op basis van de SIG, zodat onze klanten een beeld van onze controleomgeving krijgen gebaseerd op een reeks standaardvragen. Klanten hebben toegang tot de SIG-vragenlijst op Workday Community.
NIST CSF en NIST 800-171
Geldt voor: Workday Enterprise-producten
Het NIST Cybersecurity Framework (CSF) biedt richtlijnen voor organisaties waarmee het eenvoudiger wordt om cyberbeveiligingsrisico's te voorkomen, op te sporen en erop te reageren. Het NIST Privacy Framework biedt richtlijnen voor het meten en verbeteren van het privacyprogramma van een organisatie. De norm NIST 800-171 heeft betrekking op de bescherming van gecontroleerde niet-gerubriceerde informatie in niet-federale informatiesystemen en organisaties.
Workday heeft onze relevante SOC 2-controles in kaart gebracht volgens de normen NIST CSF, NIST PF en NIST 800-171. Dit is gecontroleerd als onderdeel van het Workday SOC 2+ rapport.
TrustArc en Privacy Shield
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing
Workday is een actieve deelnemer aan het Privacy Shield-programma. Workday gebruikt TRUSTe als onafhankelijke verificatieagent voor het Privacy Shield.
Zie onze Privacy Shield-certificering.
EU Cloud Code of Conduct
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning
De EU Cloud Code of Conduct (CCoC) bestaat uit een reeks vereisten waarmee leveranciers van cloudservices (CSP's) kunnen aantonen dat ze in staat zijn te voldoen aan de GDPR.
Zie de Workday-certificering.
HIPAA
Geldt voor: Workday Enterprise-producten
Workday heeft een getuigschrift van een externe partij van de Health Insurance Portability and Accountability Act (HIPAA) voor Workday Enterprise-producten voltooid. Dit biedt de zekerheid dat Workday een HIPAA-complianceprogramma heeft geïmplementeerd met afdoende maatregelen voor het opslaan, openen en delen van individuele medische en persoonlijke informatie.
Workday biedt een whitepaper waarin de details van deze beoordeling zijn samengevat. Bovendien zal Workday op aanvraag Business Associate Agreements (BAA's) met onze klanten ondertekenen. Met deze overeenkomsten kunnen onze klanten voldoen aan de compliancevereisten van hun HIPAA en Health Information Technology for Economic and Clinical Health Act (HITECH).
FedRAMP Moderate
Geldt voor: Workday Enterprise-producten
Het Federal Risk and Authorization Management Program, of FedRAMP, is een programma van de Amerikaanse overheid waarmee federale instanties cloudgebaseerde systemen in hun IT-omgeving kunnen opnemen. FedRAMP biedt een gestandaardiseerde benadering van beveiliging en risicobeoordeling voor cloudtechnologieën en federale instanties zodat federale gegevens continu op het hoogste niveau in de cloud worden beschermd.
Workday heeft de status FedRAMP Authorized op het beveiligingsniveau Moderate voor Workday Government Cloud.
G-Cloud
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Peakon Employee Voice
Het G-Cloud-framework is een overeenkomst tussen de overheid van het Verenigd Koninkrijk en cloudserviceproviders.
G-Cloud stelt cloudserviceproviders in staat om hun cloudservices toe te passen en, na acceptatie, te verkopen aan overheidsorganisaties in het Verenigd Koninkrijk. Het G-Cloud-framework wordt jaarlijks bijgewerkt door het bestuursorgaan Crown Commercial Services (CCS).
Overheidsorganisaties in het Verenigd Koninkrijk kunnen de services van Workday aanschaffen via de CCS Digital Marketplace.
Cyber Essentials
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
Cyber Essentials is een door de Britse overheid gesteunde regeling om organisaties te helpen bij de bescherming tegen cyberbedreigingen door technische basiscontroles in te stellen.
Zie ons Cyber Essentials-certificaat.
Australische IRAP
Geldt voor: Workday Enterprise-producten
De Australische overheid onderhoudt beveiligingsdocumentatie over het gebruik van ICT-services, waaronder cloudservices. Dit wordt vertegenwoordigd door de Information Security Manual (ISM) en het Protective Security Policy Framework (PSPF). Het door het Australian Cyber Security Centre (ACSC) onderhouden Infosec Registered Assessors Program (IRAP) erkent individuele beoordelaars om de doeltreffendheid van een organisatie te toetsen aan de controles in het ISM en het PSPF.
Workday schakelt een externe beoordelaar in om een IRAP-beoordeling uit te voeren van de geschiktheid van de controles in de ISM en PSPF op basis van de Workday Production-omgevingen op het PROTECTED-niveau.
CSA STAR Self-Assessment
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
De self-assessment van Cloud Security Alliance (CSA), Security, Trust and Assurance Registry (STAR) en Consensus Assessments Initiative Questionnaire (CAIQ) consolideert huidige informatie over beveiligingsrisico's en controles in één standaard vragenlijst (CSA STAR CAIQ).
Workday voert elke twee jaar een self-assesment uit op basis van de CSA STAR CAIQ, zodat onze klanten een beeld van onze controleomgeving krijgen. Dit document geeft klanten van Workday uitgebreid inzicht in de controle-omgeving van Workday.
TISAX
Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing
De Trusted Information Security Assessment Exchange (TISAX) wordt beheerd door de ENX Association namens de Duitse vereniging voor de automobielindustrie. Deze norm biedt de Europese automobielindustrie een consistente, gestandaardiseerde benadering van informatiebeveiligingssystemen.
Resultaat beschikbaar op de ENX-portal.
CCCS CSP ITS Assessment
Geldt voor: Workday Enterprise-producten
Het Canadian Centre for Cyber Security (CCCS) heeft het 'Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program' opgezet om de departementen en instanties van de Government of Canada (GC, Canadese regering) te helpen bij hun evaluatie van CSP-diensten. Het CCCS geeft advies over de technische, operationele en procedurele ITS-capaciteiten van de CSP's. De beoordeling bepaalt of de beveiligingsprocessen en -controles voldoen aan de GC publieke cloud-beveiligingseisen voor informatie en diensten tot Protected B, Medium Integrity en Medium Availability (PB/M/M), volgens de publicatie van het Treasury Board of Canada Secretariat.
Vergroot het aanpassingsvermogen.