LA SEGURIDAD DE WORKDAY
Cómo protegemos sus datos
Nos comprometemos a proteger sus datos y a mantener una comunicación transparente. Utilizamos medidas rigurosas para nuestro personal, nuestros procesos y nuestra tecnología, a fin de garantizar la seguridad de sus datos, aplicaciones e infraestructura.
Personas dignas de confianza
En Workday, la seguridad es cosa de todos. Tanto los empleados como los clientes contribuyen a cumplir nuestros objetivos de seguridad. Por eso Workday garantiza que todo el mundo reciba información, capacitación y apoyo para priorizar la seguridad y utilizar las mejores prácticas.
Líderes y empleados
Loslíderespriorizan la seguridad en cada nivel de nuestra empresa. Todos los empleados tienen la responsabilidad de proteger los datos de nuestros clientes y reciben formación sobre seguridad, privacidad y cumplimiento normativo desde que se incorporan a la empresa. Nuestro equipo de seguridad de la información proporciona formación constante para minimizar los riesgos. Y los promotores de seguridad de Workday propugnan las mejores prácticas al respecto haciendo que los empleados se sientan implicados ydisfruten.
Clientes
Nuestros clientes tienen pleno control de los datos que introducen en Workday, y también de todos los ajustes y configuraciones. Workday ofrece formación, apoyo experto, documentación detallada, comunicación oportuna y una comunidad de usuarios que le ayudarán a proteger sus datos y sacar el máximo provecho a nuestra robustas herramientas de seguridad.
"Gracias a Workday, hemos conseguido reducir 262 sistemas a una cuantas aplicaciones generales. Además, hemos incrementado la seguridad y obtenido nuevas funcionalidades, y seguimos innovando".
—Chief Information Officer
Procesos que garantizan una protección continua
A fin de proteger continuamente los datos de su empresa, Workday ha definido políticas, procedimientos y procesos operativos para nuestros centros de datos, nuestra red y nuestras aplicaciones.
Las aplicaciones de Workday están alojadas en centros de datos de última generación, dotados de subsistemas totalmente redundantes y zonas de seguridad compartimentadas. Los centros de datos cumplen las medidas de seguridad físicas y medioambientales más estrictas. Las instalaciones requieren diversos niveles de autenticación para acceder a la infraestructura esencial.
Hay sistemas de cámaras de vigilancia en los puntos de entrada internos y externos más importantes, y personal de seguridad que supervisa en todo momento los centros de datos. Los centros de datos cuentan con medidas redundantes de protección ambiental y sistemas de reserva para gestionar el consumo energético—entre ellos sistemas de control de incendios, gestión de alimentación, calefacción, ventilación y aire acondicionado— configurados con una redundancia mínima de N+1.
Protegemos nuestra red mediante políticas, procedimientos y procesos de eficacia demostrada, como la defensa perimetral, la prevención contra amenazas y herramientas de detección que identifican patrones de red atípicos en el entorno del cliente y vigilan el tráfico entre niveles y servicios. También contamos con un centro de operaciones de seguridad global que funciona ininterrumpidamente todos los días del año.
Diversas evaluaciones de vulnerabilidades externas, realizadas por terceros expertos, analizan todos los activos expuestos a Internet, incluidos los firewalls, los routers y los servidores web, a fin de impedir accesos no autorizados. Además, utilizamos una evaluación de la red y del sistema que busca vulnerabilidades internas de autenticación, para identificar posibles puntos débiles e incoherencias con las políticas de seguridad generales del sistema.
Cada uno de los pasos de desarrollo, prueba e implementación de aplicaciones se ha diseñado para garantizar la seguridad en nuestros productos. Nuestros equipos de productos y tecnologías utilizan el ciclo de vida de desarrollo de software seguro (SSDLC) para empresas, así como prácticas DevSecOps de atribución de responsabilidades. Nuestro proceso de desarrollo incluye una exhaustiva evaluación de los riesgos de seguridad y la revisión de las funcionalidades de Workday. Los análisis de código fuente estáticos y dinámicos ayudan a integrar la seguridad empresarial en el ciclo de vida del desarrollo. El proceso de desarrollo se refuerza aún más con la formación en seguridad de aplicaciones que reciben los desarrolladores y con las pruebas de penetración de la aplicación.
Antes de cada lanzamiento importante, una empresa externa de seguridad acreditada realiza una evaluación dirigida a identificar posibles vulnerabilidades de seguridad de nuestra aplicación web y móvil. Esa empresa externa aplica procedimientos de control para identificar vulnerabilidades de seguridad de aplicaciones web estándar y avanzadas.
Tecnología hecha para ser segura
Nuestra tecnología —desde la de la arquitectura a la de las aplicaciones— prioriza la seguridad de sus datos y proporciona herramientas configurables que permiten satisfacer las necesidades de seguridad de cada cliente, incluidos los más reticentes.
我们tecnologias eficaces de cifrado para公关oteger los datos (tanto en reposo como en tránsito) de los clientes. Workday utiliza el algoritmo Advanced Encryption Standard (AES) con una clave de cifrado en reposo de 256 bits.
Transport Layer Security (TLS) protege el acceso del usuario a través de Internet, lo que contribuye a proteger el tráfico de red de la interceptación pasiva, la manipulación activa o la falsificación de mensajes. Las integraciones basadas en archivos pueden cifrarse mediante PGP o con un par de claves pública y privada generado por Workday, usando un certificado generado por el cliente. También se admite WS-Security en las integraciones de servicios web realizadas en la API de Workday.
El servicio Key Management Service (KMS) de Workday abarca todo el ciclo de vida de la gestión de claves criptográficas usadas para cifrar y descifrar datos en reposo del cliente. Los clientes disponen también de la opción de implementar sus propias claves, para tener un control total de sus claves de cifrado raíz.
Ofrecemos a auditores y administradores una amplia serie de informes que muestran cómo utilizan los usuarios el entorno de Workday. El registro de auditoría, los registros de actividad de los usuarios y los informes de inicio de sesión son las funciones favoritas de los clientes y auditores de Workday. Workday le permite supervisar todas sus transacciones de negocio y consultar fácilmente sus datos previos y los cambios de configuración.
Autenticación
Workday autentica a todos y cada uno de los usuarios o sistemas que acceden a la plataforma. Nuestros clientes pueden crear identidades de usuario final dentro de Workday o integrarlas en Workday desde sistemas externos, como Active Directory. El acceso de seguridad de Workday está basado en roles y ofrece soporte para SAML para inicio de sesión único y autenticación mediante certificados x509 para integraciones de usuario y servicios web.
Compatibilidad con inicio de sesión único
SAML permite una experiencia fluida de inicio de sesión único entre el portal web interno del cliente y Workday. Workday también admite OpenID Connect.
Inicio de sesión nativo de Workday
Nuestro inicio de sesión nativo para productos Workday Enterprise solo almacena la contraseña en forma de hash seguro, no como contraseña propiamente dicha. Todo intento de inicio de sesión fallido, así como toda actividad relacionada con los inicios y cierres de sesión correctos, se registra con fines de auditoría. Las sesiones de usuario inactivas caducan de forma automática después de un tiempo especificado, que puede configurar el usuario.
Entre las reglas de contraseña que puede configurar el cliente se incluyen la longitud, la complejidad, la caducidad y las preguntas para recuperar una contraseña olvidada.
Seguridad configurable
Su administrador de seguridad de Workday puede controlar a qué datos pueden acceder los usuarios y qué acciones pueden realizar en su entorno de cliente Con herramientas como roles, grupos de seguridad y configuraciones de procesos de gestión, los administradores pueden implementar las políticas de seguridad de su empresa y actualizarlas de manera progresiva.