ZGODNOŚĆ WORKDAY Z PRZEPISAMI

SOC 1

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday VNDLY

Raporty Service Organization Controls (SOC 1) dostarczają informacji na temat środowiska kontroli organizacji usługowej, które mogą być istotne dla wewnętrznych kontroli klienta nad sprawozdawczością finansową.

Nasz raport SOC 1 typu II jest wydawany zgodnie z Międzynarodową normą dotyczącą usług atestacyjnych (ISAE) 3402 (Raporty atestacyjne dotyczące kontroli w organizacji usługowej). Raport SOC 1 obejmuje projekt i skuteczność operacyjną kontroli związanych z aplikacjami chmurowymi Workday dla przedsiębiorstw.

SOC 2

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY, HiredScore AI for Recruiting, HiredScore AI for Talent Mobility

Raport SOC 2 typu II jest niezależną oceną naszego środowiska kontroli przeprowadzoną przez stronę trzecią.

Raport SOC 2 jest oparty na kryteriach usług zaufania Amerykańskiego Instytutu Biegłych Księgowych (American Institute of Certified Public Accountants, AICPA) i jest wydawany corocznie zgodnie z sekcją 101 AT (dot. usług atestacyjnych) AICPA. Raport SOC 2 wyszczególnia projekt i skuteczność operacyjną kontroli związanych z dowolnym systemem zawierającym dane klientów w ramach aplikacji Workday. Raport SOC 2 dla produktów Workday Enterprise uwzględnia wszystkie kryteria usług zaufania (bezpieczeństwo, dostępność, poufność, integralność przetwarzania i prywatność). Ponadto raport odnosi się do wytycznych NIST Cybersecurity Framework i normy NIST 800-171 w ramach procesu SOC 2 z dodatkowym zakresem tematycznym (SOC 2+), który obejmuje podlegające audytowi mapowanie mechanizmów kontroli Workday w odniesieniu do tych wytycznych.

SOC 3

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Peakon Employee Voice, Workday Strategic Sourcing

AICPA opracował ramy SOC 3 w celu zapewnienia poufności i prywatności informacji przechowywanych i przetwarzanych w chmurze.

Raport SOC 3, niezależna ocena naszego środowiska kontroli przeprowadzona przez stronę trzecią, jest publicznie dostępny i zawiera podsumowanie naszego środowiska kontroli w zakresie bezpieczeństwa, dostępności, poufności, integralności przetwarzania i prywatności danych klientów.

Uzyskaj dostęp do naszego raportu SOC 3 dla produktów Workday Enterprise.

Uzyskaj dostęp do naszego raportu SOC 3 dla Workday Adaptive Planning.

Uzyskaj dostęp do naszego raportu SOC 3 dla Workday Peakon Employee Voice. 

Uzyskaj dostęp do naszego raportu SOC 3 dla Workday Strategic Sourcing.

ISO 27001

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY i Workday Peakon Employee Voice.

Nasz system zarządzania bezpieczeństwem informacji (ISMS) spełnia wymagania określone przez uznane na całym świecie, oparte na normach podejście do bezpieczeństwa.

Uzyskaj dostęp do naszego skonsolidowanego certyfikatu ISO 27001 dla produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing i Workday Peakon Employee Voice.

Uzyskaj dostęp do naszego certyfikatu ISO 27001 dla VNDLY.

ISO 27017

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Niniejsza norma określa mechanizmy kontroli i wytyczne dotyczące wdrażania mechanizmów kontroli bezpieczeństwa informacji mających zastosowanie do świadczenia usług w chmurze i korzystania z nich.

Uzyskaj dostęp do naszego skonsolidowanego certyfikatu ISO 27017 dla produktów Workday Enterprise i Workday Adaptive Planning.

ISO 27018

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Niniejsza norma zawiera wytyczne mające zastosowanie do dostawców usług w chmurze, którzy przetwarzają dane osobowe.

Uzyskaj dostęp do naszego skonsolidowanego certyfikatu ISO 27018 dla produktów Workday Enterprise i Workday Adaptive Planning.

ISO 27701

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Niniejsza norma zawiera wymagania i wytyczne dotyczące wdrażania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem danych osobowych (PIMS) organizacji jako rozszerzenie normy ISO/IEC 27001.

Uzyskaj dostęp do naszego skonsolidowanego certyfikatu ISO 27701 dla produktów Workday Enterprise i Workday Adaptive Planning.

Certyfikacja TRUSTe w zakresie ochrony danych osobowych w przedsiębiorstwie

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing

Workday jest uczestnikiem programu TRUSTe dotyczącego praktyk w zakresie zarządzania bezpieczeństwem danych osobowych w przedsiębiorstwie.

Program ten ma na celu umożliwienie organizacjom takim jak Workday wykazanie, że ich praktyki w zakresie zarządzania bezpieczeństwem danych osobowych są zgodne z normami opartymi na uznanych przepisach i normach regulacyjnych, w tym z wytycznymi OECD w zakresie ochrony prywatności, ramami ochrony prywatności APEC, ogólnym rozporządzeniem UE o ochronie danych RODO, amerykańską ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA), międzynarodową normą ISO 27001 dotyczącą systemów zarządzania bezpieczeństwem informacji oraz innymi przepisami i regulacjami dotyczącymi ochrony prywatności na całym świecie.

Uzyskaj dostęp do naszego statusu certyfikacji TRUSTe.

Kwestionariusz SIG

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Kwestionariusz Standardized Information Gathering (SIG) to standardowa w branży kompilacja pytań wykorzystywanych do oceny technologii informatycznych i bezpieczeństwa danych w szerokim spektrum obszarów kontroli ryzyka.

SIG jest wydawany przez Shared Assessments, globalną organizację zajmującą się zewnętrzną kontrolą ryzyka. Firma Workday corocznie dokonuje samooceny w odniesieniu do SIG, zapewniając naszym klientom dogłębny wgląd w nasze środowisko kontroli w odniesieniu do znormalizowanego zestawu zapytań. Klienci mogą uzyskać dostęp do kwestionariusza SIG w Workday Community.

NIST CSF oraz NIST 800-171

Dotyczy: produktów Workday Enterprise

Dokument NIST Cybersecurity Framework (CSF) zawiera wytyczne dla organizacji w zakresie poprawy ich zdolności do zapobiegania, wykrywania i reagowania na zagrożenia cyberbezpieczeństwa. NIST Privacy Framework zawiera wytyczne dotyczące monitorowania i ulepszania programu ochrony prywatności w organizacji. Norma NIST 800-171 odnosi się do ochrony kontrolowanych informacji jawnych w niefederalnych systemach i organizacjach informatycznych.

Firma Workday zmapowała nasze odpowiednie mechanizmy kontroli SOC 2 do norm NIST CSF, NIST PF i NIST 800-171. Mapowanie to zostało poddane audytowi w ramach raportu SOC 2+ dla Workday.

TrustArc i ramy ochrony danych osobowych

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing

Workday jest aktywnym uczestnikiem programu Data Privacy Framework dotyczącego ram ochrony danych osobowych. TRUSTe jest zewnętrznym agentem weryfikacyjnym Workday na potrzeby Data Privacy Framework.

Uzyskaj dostęp do naszego certyfikatu Data Privacy Framework.

Kodeks postępowania UE w zakresie przetwarzania danych osobowych w chmurze

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Unijny kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze (CCoC) składa się z zestawu wymogów, które dają dostawcom usług w chmurze możliwość wykazania swojej zdolności do przestrzegania ustawy o ochronie danych osobowych RODO.

Identyfikator zgodności: 2019LVL02SCOPE001

Uzyskaj dostęp do certyfikacji Workday.

HIPAA

Dotyczy: produktów Workday Enterprise

Firma Workday ukończyła certyfikację HIPAA (Health Insurance Portability and Accountability Act, Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych) dla produktów Workday Enterprise, która zapewnia, że Workday posiada program zgodności z HIPAA obejmujący odpowiednie środki w zakresie zapisywania, uzyskiwania dostępu i udostępniania indywidualnych danych medycznych i osobowych.

FedRAMP: poziom umiarkowany

Dotyczy: produktów Workday Enterprise

Federalny program zarządzania ryzykiem i autoryzacją (Federal Risk and Authorization Management Program, FedRAMP) to amerykański program rządowy, który umożliwia agencjom federalnym wdrażanie systemów opartych na chmurze w ich środowiskach IT. FedRAMP zapewnia znormalizowane podejście do oceny bezpieczeństwa i ryzyka dla technologii chmurowych i agencji federalnych w celu zapewnienia, że dane federalne w chmurze są stale chronione na najwyższym poziomie.

Firma Workday posiada autoryzację FedRAMP na poziomie umiarkowanego wpływu na bezpieczeństwo dla Workday Government Cloud.

G-Cloud

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Peakon Employee Voice

Umowa ramowa G-Cloud to porozumienie między rządem Wielkiej Brytanii a dostawcami usług w chmurze.

G-Cloud umożliwia dostawcom usług w chmurze ubieganie się o dopuszczenie do sprzedaży oraz sprzedaż (po akceptacji) swoich usług organizacjom sektora publicznego w Wielkiej Brytanii. Ramy G-Cloud są corocznie aktualizowane przez organ zarządzający Crown Commercial Services (CCS).

Organizacje sektora publicznego w Wielkiej Brytanii mogą obecnie nabywać usługi Workday za pośrednictwem CCS Digital Marketplace.

Cyber Essentials Plus

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Cyber Essentials Plus to wspierany przez brytyjski rząd program mający na celu pomoc organizacjom w ochronie przed zagrożeniami dla cyberbezpieczeństwa poprzez określenie podstawowych mechanizmów kontroli technicznej.

Uzyskaj dostęp do naszego certyfikatu Cyber Essentials Plus.

Australijski IRAP

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Rząd Australii prowadzi dokumentację bezpieczeństwa dotyczącą korzystania z usług technologii informacyjno-komunikacyjnych, w tym usług w chmurze. Stanowią ją Podręcznik bezpieczeństwa informacji (Information Security Manual, ISM) i Ramy polityki bezpieczeństwa (Protective Security Policy Framework, PSPF). Program zarejestrowanych asesorów ds. bezpieczeństwa informacji (Infosec Registered Assessors Program, IRAP), prowadzony przez Australijskie Centrum Cyberbezpieczeństwa (Australian Cyber Security Centre, ACSC), zatwierdza indywidualnych asesorów do przeglądu skuteczności organizacji pod kątem mechanizmów kontroli w ISM i PSPF.

Firma Workday angażuje zewnętrznego asesora do przeprowadzenia oceny IRAP w zakresie adekwatności mechanizmów kontroli w ISM i PSPF w stosunku do środowisk produkcyjnych Workday dla poziomu zasobów chronionych.

Samoocena CSA STAR

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Kwestionariusz Consensus Assessments Initiative Questionnnaire w ramach programu STAR prowadzonego przez organizację Cloud Security Alliance (CSA) konsoliduje aktualne informacje dotyczące zagrożeń dla bezpieczeństwa i mechanizmów kontroli w jednym kwestionariuszu zgodnym ze standardami branżowymi. Wielu klientów Workday korzysta z kwestionariuszy CSA w swoich wewnętrznych procedurach oceny dostawców.

Firma Workday posiada certyfikat STAR na poziomie 1 w rejestrze CSA STAR. Uzyskaj dostęp do wpisu nt. Workday w rejestrze STAR.

TISAX

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing

Norma Trusted Information Security Assessment Exchange (TISAX) jest zarządzana przez Stowarzyszenie ENX w imieniu Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego. Niniejsza norma zapewnia europejskiemu przemysłowi motoryzacyjnemu spójne, znormalizowane podejście do systemów bezpieczeństwa informacji.

Wynik dostępny na portalu ENX.

Ocena CCCS w zakresie bezpieczeństwa usług chmurowych

Dotyczy: produktów Workday Enterprise

Kanadyjskie Centrum Cyberbezpieczeństwa (CCCS) ustanowiło program oceny bezpieczeństwa technologii informatycznych (ITS) dostawców usług w chmurze (CSP), aby pomóc departamentom i agencjom rządu Kanady w ocenie usług w chmurze. CCCS zapewnia porady i wskazówki dotyczące technicznych, operacyjnych i proceduralnych możliwości dostawców usług w chmurze w zakresie bezpieczeństwa technologii informatycznych. Ocena określa, czy procesy i mechanizmy kontroli bezpieczeństwa spełniają wymagania rządu Kanady w zakresie bezpieczeństwa chmury publicznej dla informacji i usług do poziomu: Chronione B, umiarkowana integralność i umiarkowana dostępność (PB/M/M), opublikowane przez Sekretariat Rady Skarbu Kanady.