安全与信任
建立在信任的基础上。
在Workday,信任已融入我们所做的一切。为了保证您的数据安全和隐私,我们部署了业界领先的安全措施,并持续监控我们的系统,因此您可以放心地知道,您最敏感的数据在云中全天候受到保护。
语言选择
组织安全
安全工作从第一天就开始了,我们认为这是每个人的责任。所有员工在开始确保工作日和客户数据安全可靠的时候,都会接受安全、隐私和合规培训。我们的信息安全团队通过我们的安全培训和意识计划提供持续避免或最小化安全风险所需的知识和技能。
这种对安全的承诺延伸到我们的高管。执行领导团队是由跨企业的执行人员组成的跨职能小组,推动整个组织的执行人员保持一致,并确保安全意识和主动性渗透到整个组织。
建筑安全
处理关系
我们的客户是数据控制者,而Workday是数据处理器。这意味着您可以完全控制输入到服务中的数据,以及所有设置和配置。因为您可以控制您的数据——我们只处理数据——您将不必依赖我们执行日常任务,例如:
- 分配安全授权和操作角色
- 创建新的报表和工作包
- 配置业务流程流、警报、规则等
- 创建与Workday实用程序或现有工具的新集成
- 改变或创建新的组织结构
- 监视所有业务事务
- 查看所有历史数据和配置更改
数据加密
工作日加密每一个在客户数据持久化到客户的租户之前,客户数据的属性。这是Workday技术的一个基本设计特征。因为Workday是一个内存中的、面向对象的应用程序,而不是基于磁盘的RDBMS,所以我们可以实现最高级别的加密。我们使用高级加密标准(AES)算法,密钥大小为256位,每个客户都有唯一的加密密钥。
传输层安全(TLS)通过互联网保护用户访问,帮助保护网络流量免受被动窃听、主动篡改或消息伪造。基于文件的集成可以通过PGP或Workday生成的公钥/私钥对加密,使用客户生成的证书。web服务集成到Workday API也支持WS-Security。
逻辑安全
Workday安全访问是基于角色的,支持LDAP委托认证,支持单点登录的SAML,支持用户和web服务集成的x509证书认证。
单点登录支持
SAML允许在客户的内部门户网站和Workday之间实现无缝的单点登录体验。客户使用自己的企业用户名和密码登录公司的内部门户网站,然后出现一个到Workday的链接,该链接会自动为客户提供访问权限,而无需再次登录。Workday还支持OpenID Connect。
Workday本地登录
对于希望使用我们本地登录的客户,Workday只以安全散列的形式存储我们的Workday密码,而不是密码本身。不成功的登录尝试以及成功的登录/注销活动都会被记录下来,以便进行审计。非活动用户会话将在指定时间后自动超时,该时间由用户自行配置。
用户可配置的密码规则包括长度、复杂性、过期和遗忘密码挑战问题。
多因素身份验证
我们建议客户使用多因素身份验证(MFA)。Workday允许客户引入他们自己的MFA提供商,该提供商由TOTP(基于时间的一次性密码)算法支持。通过此设置,客户可以轻松地将MFA提供者与本机Workday登录集成在一起。Workday还允许客户的最终用户通过电子邮件到短信网关机制接收一次性密码。最后,Workday支持质疑问题,作为证明用户身份的额外机制。
升压身份验证
使用SAML的组织可能需要对Workday中的关键功能进行额外级别的验证。阶梯式身份验证允许客户强制二次身份验证因素,用户必须输入该因素才能访问这些项目。
可配置的安全
Workday可配置安全性使客户安全管理员能够控制用户可以查看的项以及他们可以在客户租户中执行的操作。管理员可以决定如何通过安全组对用户进行分组。管理员可以通过安全策略指定安全组成员可以查看和执行的项目和操作。
操作安全
物理安全
Workday应用程序托管在最先进的数据中心,旨在通过完全冗余的子系统和划分的安全区域来保护任务关键型计算机系统。我们的数据中心坚持最严格的物理安全措施,包括但不限于以下:
- 服务器区域访问的多层身份验证
- 关键区域的双因素生物识别认证
- 在主要的内部和外部入口设置摄像头监控系统
- 安全人员全天候监控
对数据中心的所有物理访问都受到高度限制和严格监管。
网络安全
Workday已经建立了详细的操作政策、程序和流程,旨在帮助管理Workday环境的整体质量和完整性。我们还实施了主动的安全程序,如周界防御和网络入侵防御系统(ips)。
网络ips监视客户环境中的非典型网络模式的关键网段以及层和服务之间的流量。我们还拥有一个全天候24小时的全球安全运营中心。
App 保护
Workday已经实现了企业安全软件开发生命周期(SDLC),以帮助确保Workday应用程序的持续安全性。
该计划包括深入的安全风险评估和对Workday功能的审查。此外,还执行静态和动态源代码分析,以帮助将企业安全性集成到开发生命周期中。通过对开发人员的应用程序安全培训和应用程序的渗透测试,进一步增强了开发过程。
漏洞评估
Workday与第三方专家公司签订合同,进行独立的内部和外部网络、系统和应用程序漏洞评估。
应用程序
我们与领先的第三方安全公司签订合同,在每次主要发布之前对我们的web和移动应用程序执行应用程序级安全漏洞评估。该公司执行测试程序以识别标准和高级web应用程序安全漏洞,包括但不限于以下内容:
- 与Flash、Flex、AJAX和ActionScript相关的安全弱点
- 跨站请求伪造(CSRF)
- 不恰当的输入处理(例如跨站点脚本编写、SQL注入、XML注入和跨站点闪烁)
- XML和SOAP攻击
- 交易日管理
- 数据验证缺陷和数据模型约束不一致
- 身份验证或授权不足
- HTTP响应分割
- 误用SSL/TLS
- 使用不安全的HTTP方法
- 误用密码
网络
外部漏洞评估扫描所有面向互联网的资产,包括防火墙、路由器和web服务器,以寻找可能允许未经授权访问网络的潜在弱点。此外,还会执行经过认证的内部漏洞网络和系统评估,以识别潜在的弱点和与一般系统安全策略的不一致之处。
隐私
Workday坚定地致力于保护客户数据的隐私,并帮助客户履行自己的隐私义务。在选择财务或HCM系统时,企业应选择能够使客户遵守其数据保护义务并保护其数据隐私的系统。使用Workday,您将获得领先的隐私保护功能和实践,使您能够履行隐私保护义务。
此外,我们对我们的隐私做法是透明的。我们还为客户提供必要的资源和信息,以帮助他们理解和验证其组织的隐私和合规要求,并展示Workday华体会体育彩票全站如何帮助推动他们的合规工作。
隐私原则
随着数据保护问题和全球法律的不断发展和变得越来越复杂,Workday理解维护一个全面的隐私计划的重要性,该计划已嵌入到我们公司的文化和服务中。
我们致力于遵循三个反映我们核心价值观的原则:
- 我们把隐私放在第一位。
- 我们负责地创新。
- 我们维护公平和信任。
我们的“通过设计来保护隐私”的理念证明了这一点,并为我们的客户提供了他们所需的隐私和数据保护的保证。这些隐私原则决定了我们如何培训员工、如何设计和制造产品,最终决定了我们如何处理个人数据。华体会体育注册
隐私和数据保护需要全年保持警惕,我们坚定地致力于保护客户和员工的个人数据。阅读更多关于我们如何拥抱隐私的关键原则。
请查看我们的隐私政策以了解更多信息关于我们如何管理和保护客户信息。
全球隐私
全球数据隐私
随着。的出现,隐私继续在全球舞台上处于前沿和中心位置一般保障资料规例美国隐私立法的持续势头,以及亚洲和拉丁美洲的新法律。在Workday,我们欢迎这种新的关注,因为隐私保护从一开始就是我们服务的基本组成部分。我们也明白,隐私是我们和客户之间的共同责任。
Workday和我们的客户必须准备好遵守复杂的全球隐私法律法规。Workday通过维护一个全面的全球数据保护计划,包括全面的技术、管理和组织保障措施,领先于国际隐私法规。我们的客户可以放心,我们致力于全球隐私标准,这体现在我们实施了《处理者约束性企业规则》(BCRs),并且是第一家认证《亚太经济合作组织处理者隐私规则》的公司。
欧盟数据私隐
为了突显Workday如何为不断变化的法规做准备,2018年5月25日,通用数据保护条例(GDPR)通过协调欧洲数据保护法律的拼凑,极大地改变了欧洲的数据隐私格局。在GDPR生效后,我们仍然对自己按照GDPR处理客户个人数据的能力充满信心。例如,对于Workday客户而言,将个人数据传输到Workday进行处理的任何适用的跨境数据传输流程都没有太大变化。我们已经有了强有力的数据保护条款,但正在积极更新,以满足GDPR的要求。
我们稳健的隐私和安全实践如何支持GDPR合规的一些亮点包括:
- 关于安全和隐私实践的定期基于角色的员工培训
- 完善的流程以获取隐私影响评估
- 提供数据传输机制,使个人数据在欧洲经济区以外的传输合法化,包括Workday bcr
- 维护处理活动的记录
- 为客户提供可配置的隐私和合规功能
- 将GDPR要求映射到我们的SOC2控制
此外,设计隐私和默认隐私都是深深嵌入到Workday中的概念。我们继续监督欧盟监管机构发布的指导意见,以确保我们的合规计划保持最新。
Workday明白,作为数据处理者,不仅对我们自己的组织符合GDPR很重要,对我们的客户来说,能够使用Workday来帮助他们满足内部合规要求也很重要。这就是为什么Workday在设计应用程序时考虑到可配置性,以帮助您履行GDPR义务。
跨境数据传输
尽管多年来跨境数据流遇到了许多挑战,但Workday仍然有信心为客户提供支持。我们在早期构建了一个程序,为客户提供各种数据传输机制。我们的协议包括欧盟委员会的协议标准合约条款(SCC),允许个人数据从欧洲经济区转移到美国。此外,Workday还为客户提供处理器绑定企业规则(BCRs)作为额外的传输机制。Workday的BCR可以在这里找到。
我们与全球客户合作,让他们在将欧洲个人数据转移到第三方国家之前进行转移影响评估。我们主动分享信息,如常见问题解答和白皮书,以帮助他们进行这些评估。此外,Workday承诺提供透明度如果我们收到来自执法部门或其他政府机构的有效法律程序,允许我们访问客户提交到Workday的软件即服务应用程序中的电子信息,则向我们的客户发出通知。
达标情况
我们投资于领先的行业标准和框架认证,以便我们的客户可以轻松验证我们的隐私实践。我们经常是第一个这么做的人。
Workday在美国商务部启动隐私盾认证程序的第一天就签署了隐私盾认证协议,这表明了我们对隐私和保护客户数据的坚定、持续的承诺。尽管隐私盾不再是有效的数据传输框架,但Workday继续向美国商务部证明,我们遵守隐私盾原则。虽然公司可以向Privacy Shield自我认证,但Workday使用TRUSTe作为我们的第三方验证代理,以进一步证明我们的合规性。阅读更多关于我们的TRUSTe验证状态到隐私盾。
Workday是第一个宣布遵守的云服务提供商欧盟云行为准则(CCoC),该准则由一系列要求组成,使云服务提供商(csp)能够证明其遵守GDPR的能力。年度审查由独立监督机构进行。验证Workday对CCoC的遵守情况。
Workday已通过亚太经济合作组织跨境隐私规则(APEC CBPR)和处理者隐私规则(APEC PRP)认证。亚太经合组织认证是一套自愿制定的隐私标准,分别为数据控制者和处理者制定,以促进亚太经合组织经济体之间的数据传输。这些认证证明了在整个亚太地区遵守高标准的隐私合规。
Workday于2014年3月成为首批获得APEC CBPR认证的公司之一,并于2018年9月成为首家获得APEC PRP认证的公司。我们已经获得TRUSTe的第三方认证该组织是亚太经合组织负责美国事务的机构。
合规
当今的技术领导者肩负着在日益复杂的安全威胁环境中保护其公司的客户、员工和知识产权数据的责任。公司也有责任遵守所有适用法律,包括与数据隐私和个人数据传输有关的法律,即使服务提供商代表公司持有和处理公司数据。
Workday维护了正式和全面的安全计划,旨在确保客户数据的安全性和完整性,防止安全威胁或数据泄露,并防止未经授权的访问客户数据。我们的安全计划的细节在我们的第三方安全审计和国际认证中有详细说明。
为了帮助您的法规遵循和法律团队理解和验证您组织的法规遵循需求,我们收集了以下法规遵循资源。华体会体育彩票全站
第三方审核与认证
SOC 1
服务组织控制(SOC 1)报告提供有关服务组织控制环境的信息,这些信息可能与客户对财务报告的内部控制有关。
SOC 2
Workday SOC 2 Type II报告是由第三方对我们的控制环境进行的独立评估。
SOC 3
美国注册会计师协会(AICPA)开发了服务组织控制(SOC 3)框架,用于保护在云中存储和处理的信息的机密性和隐私。
ISO 27001
ISO 27001是全球公认的、基于标准的安全方法,概述了组织的信息安全管理系统(ISMS)的要求。
ISO 27017
ISO 27017于2015年发布,是ISO 27001的补充标准。
ISO 27018
ISO 27018于2014年发布,是ISO 27001的补充标准。
ISO 27701
ISO 27701于2019年发布,是ISO 27001的补充标准。
PCI DSS
Workday在Workday安全信用卡环境的范围内支持PCI DSS合规性,这是一个隔离的环境,通过预定义的集成存储、处理和传输未屏蔽的持卡人数据。
HIPAA
Workday已完成了针对Workday企业云应用程序的《健康保险携带与责任法案》(HIPAA)第三方认证,该认证确保Workday拥有符合HIPAA的计划,并为保存、访问和共享个人医疗和个人信息提供了充分的措施。
NIST CSF和NIST 800-171
NIST网络安全框架(CSF)为组织提供了如何提高预防、检测和响应网络安全风险的能力的指导。NIST 800-171标准涉及保护非联邦信息系统和组织中的受控非机密信息。
G-Cloud
G-Cloud框架是英国政府和云服务提供商之间的协议。
CSA STAR自我评估
云安全联盟(CSA)安全、信任与保证注册中心(STAR)自我评估将当前有关安全风险和控制的信息整合为一份行业标准问卷(CSA STAR CAIQ)。
隐私保护
Workday是Privacy Shield的积极参与者。TRUSTe是Workday为Privacy Shield提供的第三方验证代理。
欧盟云行为准则
欧盟云行为准则(CCoC)由一系列要求组成,这些要求使云服务提供商(csp)能够证明其遵守GDPR的能力。
TRUSTe企业隐私和数据治理认证
Workday是TRUSTe企业隐私和数据治理实践项目的参与者。
团体问卷调查
标准化信息收集(SIG)问卷是将广泛的控制领域的信息技术和数据安全问题汇编成一个行业标准问卷。
网络生活必需品
Cyber Essentials是英国政府支持的一项计划,旨在通过设定基准技术控制来帮助组织抵御网络安全威胁。