ZGODNOŚĆ WORKDAY

SOC 1

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday VNDLY

Raporty Service Organization Controls (SOC 1) dostarczają informacji na temat środowiska kontroli organizacji usługowej, które mogą być istotne dla wewnętrznych kontroli klienta nad sprawozdawczością finansową.

Nasz raport SOC 1 typu II jest wydawany zgodnie z Międzynarodową normą dotyczącą usług atestacyjnych (ISAE) 3402 (Raporty atestacyjne dotyczące kontroli w organizacji usługowej). Raport SOC 1 obejmuje projekt i skuteczność operacyjną kontroli związanych z aplikacjami chmurowymi Workday dla przedsiębiorstw.

SOC 2

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY, HiredScore AI for Recruiting, HiredScore AI for Talent Mobility, Workday Contract Lifecycle Management ze wsparciem Evisort AI.

Raport SOC 2 typu II jest niezależną oceną naszego środowiska kontroli przeprowadzoną przez stronę trzecią.

Raport SOC 2 jest oparty na kryteriach usług zaufania Amerykańskiego Instytutu Biegłych Księgowych (American Institute of Certified Public Accountants, AICPA) i jest wydawany corocznie zgodnie z sekcją 101 AT (dot. usług atestacyjnych) AICPA. Raport SOC 2 wyszczególnia projekt i skuteczność operacyjną kontroli związanych z dowolnym systemem zawierającym dane klientów w ramach aplikacji Workday. Raport SOC 2 dla produktów Workday Enterprise uwzględnia wszystkie kryteria usług zaufania (bezpieczeństwo, dostępność, poufność, integralność przetwarzania i prywatność). Ponadto raport odnosi się do wytycznych NIST Cybersecurity Framework i normy NIST 800-171 w ramach procesu SOC 2 z dodatkowym zakresem tematycznym (SOC 2+), który obejmuje podlegające audytowi mapowanie mechanizmów kontroli Workday w odniesieniu do tych wytycznych.

SOC 3

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Peakon Employee Voice, Workday Strategic Sourcing

AICPA opracował ramy SOC 3 w celu zapewnienia poufności i prywatności informacji przechowywanych i przetwarzanych w chmurze.

Raport SOC 3, niezależna ocena naszego środowiska kontroli przeprowadzona przez stronę trzecią, jest publicznie dostępny i zawiera podsumowanie naszego środowiska kontroli w zakresie bezpieczeństwa, dostępności, poufności, integralności przetwarzania i prywatności danych klientów.

Uzyskaj dostęp do naszego raportu SOC 3 dla produktów Workday Enterprise.

Uzyskaj dostęp do naszego raportu SOC 3 dla Workday Adaptive Planning.

Uzyskaj dostęp do naszego raportu SOC 3 dla Workday Peakon Employee Voice. 

Uzyskaj dostęp do naszego raportu SOC 3 dla Workday Strategic Sourcing.

ISO 27001

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY i Workday Peakon Employee Voice.

Nasz system zarządzania bezpieczeństwem informacji (ISMS) spełnia wymagania określone przez uznane na całym świecie, oparte na normach podejście do bezpieczeństwa.

Uzyskaj dostęp do naszego skonsolidowanego certyfikatu ISO 27001 dla produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing i Workday Peakon Employee Voice.

Uzyskaj dostęp do naszego certyfikatu ISO 27001 dla VNDLY.

ISO 27017

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Niniejsza norma określa mechanizmy kontroli i wytyczne dotyczące wdrażania mechanizmów kontroli bezpieczeństwa informacji mających zastosowanie do świadczenia usług w chmurze i korzystania z nich.

Uzyskaj dostęp do naszego skonsolidowanego certyfikatu ISO 27017 dla produktów Workday Enterprise i Workday Adaptive Planning.

ISO 27018

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Niniejsza norma zawiera wytyczne mające zastosowanie do dostawców usług w chmurze, którzy przetwarzają dane osobowe.

Uzyskaj dostęp do naszego skonsolidowanego certyfikatu ISO 27018 dla produktów Workday Enterprise i Workday Adaptive Planning.

ISO 27701

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Niniejsza norma zawiera wymagania i wytyczne dotyczące wdrażania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem danych osobowych (PIMS) organizacji jako rozszerzenie normy ISO/IEC 27001.

Uzyskaj dostęp do naszego skonsolidowanego certyfikatu ISO 27701 dla produktów Workday Enterprise i Workday Adaptive Planning.

ISO 42001

Dotyczy: Workday Human Capital Management, Workday Financial Management, Workday Student, Workday Spend Management, Workday Adaptive Planning, Workday Peakon Employee Voice, Workday Payroll, Workday Workforce Management, Workday Talent Management, Workday Analytics and Reporting oraz rozszerzeń platformy i produktów Workday.

ISO 42001 to międzynarodowa norma określająca wymagania w zakresie ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania sztuczną inteligencją (AIMS) w organizacjach. Jest przeznaczona dla podmiotów dostarczających lub wykorzystujących produkty lub usługi oparte na sztucznej inteligencji, zapewniając, że rozwój i wykorzystanie systemów AI odbywają się w sposób odpowiedzialny.

Uzyskaj dostęp do naszego skonsolidowanego raportu ISO 42001.

Ramowy system zarządzania ryzykiem związanym z AI NIST (NIST AI RMF)

Dotyczy: Workday, Inc.

Ramowy system zarządzania ryzykiem związanym z AI NIST (NIST AI Risk Management Framework, AI RMF) został opracowany, aby pomóc osobom, organizacjom i społeczeństwu zarządzać potencjalnym ryzykiem związanym ze sztuczną inteligencją oraz promować godny zaufania rozwój i odpowiedzialne korzystanie z systemów AI. Jest przeznaczony do dobrowolnego wykorzystania i ma na celu poprawę zdolności do uwzględniania kwestii wiarygodności w projektowaniu, rozwoju, użytkowaniu i ocenie produktów, usług oraz systemów AI.

Uzyskaj dostęp do atestu NIST AI Risk Management Framework.

Kwestionariusz SIG

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Kwestionariusz Standardized Information Gathering (SIG) to standardowa w branży kompilacja pytań wykorzystywanych do oceny technologii informatycznych i bezpieczeństwa danych w szerokim spektrum obszarów kontroli ryzyka.

SIG jest wydawany przez Shared Assessments, globalną organizację zajmującą się zewnętrzną kontrolą ryzyka. Firma Workday corocznie dokonuje samooceny w odniesieniu do SIG, zapewniając naszym klientom dogłębny wgląd w nasze środowisko kontroli w odniesieniu do znormalizowanego zestawu zapytań. Klienci mogą uzyskać dostęp do kwestionariusza SIG w Workday Community.

NIST CSF oraz NIST 800-171

Dotyczy: produktów Workday Enterprise

Dokument NIST Cybersecurity Framework (CSF) zawiera wytyczne dla organizacji w zakresie poprawy ich zdolności do zapobiegania, wykrywania i reagowania na zagrożenia cyberbezpieczeństwa. NIST Privacy Framework zawiera wytyczne dotyczące monitorowania i ulepszania programu ochrony prywatności w organizacji. Norma NIST 800-171 odnosi się do ochrony kontrolowanych informacji jawnych w niefederalnych systemach i organizacjach informatycznych.

Firma Workday zmapowała nasze odpowiednie mechanizmy kontroli SOC 2 do norm NIST CSF, NIST PF i NIST 800-171. Mapowanie to zostało poddane audytowi w ramach raportu SOC 2+ dla Workday.

Program Data Privacy Framework

Dotyczy produktów: Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY, HiredScore AI for Recruiting, HiredScore AI for Talent Mobility, Workday Contract Lifecycle Management ze wsparciem Evisort AI.

Workday jest aktywnym uczestnikiem programu Data Privacy Framework dotyczącego ram ochrony danych osobowych. TRUSTe jest zewnętrznym agentem weryfikacyjnym Workday na potrzeby Data Privacy Framework.

Uzyskaj dostęp do naszego certyfikatu Data Privacy Framework.

Certyfikacja praktyk w zakresie nadzoru nad prywatnością przedsiębiorstwa i danych

Dotyczy produktów: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY, HiredScore AI for Recruiting, HiredScore AI for Talent Mobility, Workday Contract Lifecycle Management, powered by Evisort AI.

Program ten ma na celu umożliwienie organizacjom takim jak Workday wykazanie, że ich praktyki w zakresie zarządzania bezpieczeństwem danych osobowych są zgodne z normami opartymi na uznanych przepisach i normach regulacyjnych, w tym z wytycznymi OECD w zakresie ochrony prywatności, ogólnym rozporządzeniem UE o ochronie danych RODO, amerykańską ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA), ramami ochrony prywatności APEC, międzynarodową normą ISO 27001 dotyczącą systemów zarządzania bezpieczeństwem informacji oraz innymi przepisami i regulacjami dotyczącymi ochrony prywatności na całym świecie.

Uzyskaj dostęp do naszego statusu certyfikacji TRUSTe.

Certyfikacja Global Cross Border Privacy Rules (CBPRs) i Global Privacy Recognition for Processors (PRP)

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY, HiredScore AI for Recruiting, HiredScore AI for Talent Mobility, Workday Contract Lifecycle Management ze wsparciem Evisort AI.

System Global CBPR zapewnia organizacjom środki do przekazywania danych osobowych między jurysdykcjami w sposób dający konsumentom pewność, że ich dane osobowe są chronione. System Global PRP został stworzony, aby pomóc podmiotom przetwarzającym dane wykazać zdolność do przetwarzania danych osobowych i zapewnić, że jest ono co najmniej zgodne z obowiązującymi wymogami administratora danych dotyczącymi przetwarzania w ramach systemu Global CBPR.

Uzyskaj dostęp do naszych certyfikatów na stronie Global CBPR Forum.

Kodeks postępowania UE w zakresie przetwarzania danych osobowych w chmurze

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Unijny kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze (CCoC) składa się z zestawu wymogów, które dają dostawcom usług w chmurze możliwość wykazania swojej zdolności do przestrzegania ustawy o ochronie danych osobowych RODO.

Identyfikator zgodności: 2019LVL02SCOPE001

Uzyskaj dostęp do certyfikacji Workday.

HIPAA

Dotyczy: produktów Workday Enterprise

Firma Workday ukończyła certyfikację HIPAA (Health Insurance Portability and Accountability Act, Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych) dla produktów Workday Enterprise, która zapewnia, że Workday posiada program zgodności z HIPAA obejmujący odpowiednie środki w zakresie zapisywania, uzyskiwania dostępu i udostępniania indywidualnych danych medycznych i osobowych.

FedRAMP: poziom umiarkowany

Dotyczy: produktów Workday Enterprise

Federalny program zarządzania ryzykiem i autoryzacją (Federal Risk and Authorization Management Program, FedRAMP) to amerykański program rządowy, który umożliwia agencjom federalnym wdrażanie systemów opartych na chmurze w ich środowiskach IT. FedRAMP zapewnia znormalizowane podejście do oceny bezpieczeństwa i ryzyka dla technologii chmurowych i agencji federalnych w celu zapewnienia, że dane federalne w chmurze są stale chronione na najwyższym poziomie.

Firma Workday posiada autoryzację FedRAMP na poziomie umiarkowanego wpływu na bezpieczeństwo dla Workday Government Cloud.

G-Cloud

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Peakon Employee Voice

Umowa ramowa G-Cloud to porozumienie między rządem Wielkiej Brytanii a dostawcami usług w chmurze.

G-Cloud umożliwia dostawcom usług w chmurze ubieganie się o dopuszczenie do sprzedaży oraz sprzedaż (po akceptacji) swoich usług organizacjom sektora publicznego w Wielkiej Brytanii. Ramy G-Cloud są corocznie aktualizowane przez organ zarządzający Crown Commercial Services (CCS).

Organizacje sektora publicznego w Wielkiej Brytanii mogą obecnie nabywać usługi Workday za pośrednictwem CCS Digital Marketplace.

Cyber Essentials Plus

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Cyber Essentials Plus to wspierany przez brytyjski rząd program mający na celu pomoc organizacjom w ochronie przed zagrożeniami dla cyberbezpieczeństwa poprzez określenie podstawowych mechanizmów kontroli technicznej.

Uzyskaj dostęp do naszego certyfikatu Cyber Essentials Plus.

Australijski IRAP

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning

Rząd Australii prowadzi dokumentację bezpieczeństwa dotyczącą korzystania z usług technologii informacyjno-komunikacyjnych, w tym usług w chmurze. Stanowią ją Podręcznik bezpieczeństwa informacji (Information Security Manual, ISM) i Ramy polityki bezpieczeństwa (Protective Security Policy Framework, PSPF). Program zarejestrowanych asesorów ds. bezpieczeństwa informacji (Infosec Registered Assessors Program, IRAP), prowadzony przez Australijskie Centrum Cyberbezpieczeństwa (Australian Cyber Security Centre, ACSC), zatwierdza indywidualnych asesorów do przeglądu skuteczności organizacji pod kątem mechanizmów kontroli w ISM i PSPF.

Firma Workday angażuje zewnętrznego asesora do przeprowadzenia oceny IRAP w zakresie adekwatności mechanizmów kontroli w ISM i PSPF w stosunku do środowisk produkcyjnych Workday dla poziomu zasobów chronionych.

Zaufany dostawca usług w chmurze CSA

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Program zaufanych dostawców usług w chmurze (Trusted Cloud Provider) opiera się na istniejących programach Cloud Security Alliance i pozwala organizacjom zademonstrować swoje wysiłki na rzecz całościowego podejścia do kwestii bezpieczeństwa. Służy też jako punkt odniesienia dla klientów poszukujących dostawców usług w chmurze, którzy spełniają ich wymagania w zakresie bezpieczeństwa.

Samoocena CSA STAR

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Kwestionariusz Consensus Assessments Initiative Questionnnaire w ramach programu STAR prowadzonego przez organizację Cloud Security Alliance (CSA) konsoliduje aktualne informacje dotyczące zagrożeń dla bezpieczeństwa i mechanizmów kontroli w jednym kwestionariuszu zgodnym ze standardami branżowymi. Wielu klientów Workday korzysta z kwestionariuszy CSA w swoich wewnętrznych procedurach oceny dostawców.

Firma Workday posiada certyfikat STAR na poziomie 1 w rejestrze CSA STAR. Uzyskaj dostęp do wpisu nt. Workday w rejestrze STAR.

TISAX

Dotyczy: produktów Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing

Norma Trusted Information Security Assessment Exchange (TISAX) jest zarządzana przez Stowarzyszenie ENX w imieniu Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego. Niniejsza norma zapewnia europejskiemu przemysłowi motoryzacyjnemu spójne, znormalizowane podejście do systemów bezpieczeństwa informacji.

Wynik dostępny na portalu ENX.

Ocena CCCS w zakresie bezpieczeństwa usług chmurowych

Dotyczy: produktów Workday Enterprise

Kanadyjskie Centrum Cyberbezpieczeństwa (CCCS) ustanowiło program oceny bezpieczeństwa technologii informatycznych (ITS) dostawców usług w chmurze (CSP), aby pomóc departamentom i agencjom rządu Kanady w ocenie usług w chmurze. CCCS zapewnia porady i wskazówki dotyczące technicznych, operacyjnych i proceduralnych możliwości dostawców usług w chmurze w zakresie bezpieczeństwa technologii informatycznych. Ocena określa, czy procesy i mechanizmy kontroli bezpieczeństwa spełniają wymagania rządu Kanady w zakresie bezpieczeństwa chmury publicznej dla informacji i usług do poziomu: Chronione B, umiarkowana integralność i umiarkowana dostępność (PB/M/M), opublikowane przez Sekretariat Rady Skarbu Kanady.