CONFORMITÉ WORKDAY
Notre programme de conformité
Notre programme de conformité strict repose sur des audits tiers et sur des certifications internationales afin de garantir la sécurité et la confidentialité des données, de les protéger des cybermenaces, et d'empêcher les accès indésirables à vos données.
Ressources liées à la conformité pour votre entreprise
SOC 1
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning
Les audits «Service Organization Controls» (SOC) 1 contiennent des informations sur l'environnement de contrôle d'une société de services susceptibles de concerner les audits internes du client sur les rapports financiers.
Notre rapport SOC 1 Type II est publié conformément à la norme ISAE 3402 («International Standard on Assurance Engagements») (audits d'assurance sur les contrôles au sein d'une société de services). Le rapport SOC 1, qui porte sur la conception et l'efficacité des contrôles relatifs aux applications Cloud d'entreprise de Workday, est publié chaque semestre et couvre une période de six mois, du 1eravril au 30 septembre et du 1eroctobre au 31 mars.
SOC 2
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
Le rapport SOC 2 Type II est une évaluation de notre environnement de contrôle réalisée par un tiers.
Le rapport SOC 2 est basé sur les critères de services de confiance de l'AICPA («American Institute of Certified Public Accountants») et publié chaque année conformément à la section 101 AT («Attest Engagements») de l'AICPA. Il couvre une période de 12 mois, du 1eroctobre au 30 septembre, et détaille la conception et l'efficacité des contrôles relatifs à un système contenant des données client dans le cadre des solutions Cloud Workday. Le rapport SOC 2 relatif aux produits d'entreprise Workday porte sur l'ensemble des critères des services de confiance (sécurité, disponibilité, confidentialité, intégrité du traitement et protection des données). Il porte par ailleurs sur le référentiel de cybersécurité et la norme 800-171 du NIST dans le cadre du processus SOC 2+ «Additional Subject Matter», qui comprend un alignement audité des contrôles de Workday sur ces référentiels.
SOC 3
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning
L'AICPA («American Institute of Certified Public Accountants») a mis en place le référentiel SOC 3 destiné à garantir la confidentialité des informations stockées et traitées dans le Cloud.
Le rapport SOC 3, évaluation indépendante réalisée par un tiers, est accessible à tous et fournit une description succincte de notre environnement de contrôle sur la sécurité, la disponibilité, la confidentialité, l'intégrité du traitement et la protection des données.
Consultez notrerapport SOC 3pour les produits d'entreprise Workday.
Consultez notrerapport SOC 3pour Workday Adaptive Planning.
Consultez notrerapport SOC 3pour Workday Peakon.
Consultez notrerapport SOC 3pour Workday Strategic Sourcing.
ISO 27001
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing
Notre système de management de la sécurité de l'information («Information Security Management System»– SGSI) répond aux exigences de cette approche de la sécurité standardisée et mondialement reconnue.
Consultez notre certificatISO 27001pour les produits d'entreprise Workday.
Consultez notre certificatISO 27001pour Workday Adaptive Planning.
Consultez notre certificatISO 27001pour Workday Strategic Sourcing.
ISO 27017
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning
Cette norme prévoit des contrôles et donne des conseils de mise en œuvre pour la sécurité de l'information qui s'appliquent à la fourniture et à l'utilisation de services Cloud.
Consultez notre certificatISO 27017pour les produits d'entreprise Workday.
Consultez notre certificatISO 27017pour Workday Adaptive Planning.
ISO 27018
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning
Cette norme contient les directives applicables aux fournisseurs de services Cloud qui traitent des données personnelles.
Consultez notre certificatISO 27018pour les produits d'entreprise Workday.
Consultez notre certificatISO 27018pour Workday Adaptive Planning.
ISO 27701
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning
Cette norme dicte les exigences et les lignes directrices pour la mise en place et l'amélioration continue d'un système de gestion des informations personnelles (PIMS) en tant qu'extension de la norme ISO/IEC 27001.
Consultez notre certificatISO 27701pour les produits d'entreprise Workday.
Consultez notre certificatISO 27701pour Workday Adaptive Planning.
PCI DSS
Périmètre d'application : produits d'entreprise Workday
Workday respecte la norme PCI DSS régissant l'environnement sécurisé Workday des cartes de crédit («Workday Secure Credit Card Environment»), environnement isolé qui stocke, traite et transmet les données non masquées des titulaires de cartes via des intégrations prédéfinies.
Cet environnement fait l'objet d'un examen annuel du respect de la norme PCI DSS réalisé par des évaluateurs qualifiés. Workday se conforme à la norme PCI DSS depuis 2013. Les clients qui utilisent l'environnement sécurisé Workday des cartes de crédit ont la possibilité de demander une copie du rapport d'évaluation annuelle.
认证TRUSTe德公司德盟项目bonne gouvernance et de protection des données des entreprises
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing
Participation Workday au programme de bonne gouvernance et de protection des données des entreprises de TRUSTe.
Ce programme est conçu pour permettre à des entreprises telles que Workday de faire la preuve de leur conformité aux bonnes pratiques de gouvernance des données et de confidentialité des données personnelles. Les normes appliquées se basent sur les lois et réglementations en vigueur, notamment les directives de l'OCDE, celles de l'APEC, le RGPD en Europe, la loi HIPAA aux États-Unis, la norme internationale ISO 27001 de sécurité des systèmes d'information, ainsi que d'autres lois et réglementations internationales.
Consultez notrecertification TRUSTe.
Questionnaire SIG
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
Le questionnaire SIG («Standardized Information Gathering») est une compilation de questions normalisées visant à évaluer la technologie de l'information et la sécurité des données, à travers un large spectre de zones de contrôle des risques.
Le questionnaire SIG est publié par Shared Assessments, une organisation internationale dédiée à l'assurance anti-risque des entreprises tierces. Workday autoévalue 2 fois par an son environnement par rapport au SIG et fournit à ses clients une présentation détaillée de son environnement de contrôle par rapport à un ensemble normalisé de questions. Les clients peuvent accéder auquestionnaire SIGsur Workday Community.
NIST CSF et NIST 800-171
Périmètre d'application : produits d'entreprise Workday
Le référentiel de cybersécurité (CSF) du NIST fournit des lignes directrices aux entreprises pour améliorer leur capacité à éviter, détecter les risques de cyberattaques et à y répondre. Le référentiel de confidentialité du NIST fournit des directives concernant la mesure et l'amélioration du programme de confidentialité d'une entreprise. La norme NIST 800-171 régit la protection des informations non classifiées contrôlées dans les systèmes d'informations et les organisations non fédéraux.
Workday a aligné ses contrôles SOC 2 sur les normes NIST CSF, NIST PF et NIST 800-171. Cet alignement a fait l'objet d'un audit dans le cadre du rapport SOC2+ de Workday.
TrustArc et Bouclier de Protection des Données («Privacy Shield»)
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing
Workday est enregistré comme participant « actif » au Bouclier de Protection des Données («Privacy Shield»). TRUSTe est l'agent de vérification par un tiers utilisé par Workday dans le cadre du Bouclier de Protection des Données («Privacy Shield»).
Consultez notrecertificationBouclier de Protection des Données («Privacy Shield»).
Code de conduite de l'UE sur le Cloud
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning
Le Code de conduite de l'UE sur le Cloud (CCoC) propose un ensemble d'exigences permettant aux prestataires de services Cloud de démontrer leur capacité à se conformer au RGPD.
Vérifiez lacertificationWorkday.
HIPAA
Périmètre d'application : produits d'entreprise Workday
Workday a reçu une attestation de conformité avec la loi «Health Insurance Portability and Accountability Act» (HIPAA) pour ses produits d'entreprise. Cet agrément démontre que le programme de mise en conformité avec la loi HIPAA prévoit des mesures adéquates pour sauvegarder, consulter et partager des informations personnelles et médicales.
Workday fournit un livre blanc qui présente les grandes lignes de cette évaluation. En outre, Workday signera des contrats de partenariat («Business Associate Agreement» – BAA) avec les clients qui en font la demande. Ces contrats permettent à nos clients de respecter les exigences imposées par les lois HIPAA et «Health Information Technology for Economic and Clinical Health Act»(HITECH).
FedRAMP Moderate
Périmètre d'application : produits d'entreprise Workday
Le programme fédéral de gestion des risques et des autorisations (FedRAMP – «Federal Risk and Authorization Management Program») est un programme du gouvernement américain qui autorise les agences fédérales à intégrer des systèmes Cloud dans leurs environnements IT. Le FedRAMP octroie une approche normalisée pour l'évaluation des risques et de la sécurité pour les technologies Cloud et les agences fédérales, afin de garantir en permanence le degré le plus élevé de protection des données dans le Cloud.
Workday a reçu du FedRAMP le statut « Autorisé » concernant la catégorie « Niveau d'impact modéré sur la sécurité » pour Workday Government Cloud.
G-Cloud
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning, Workday Peakon Employee Voice
Le référentiel de normes G-Cloud est un accord entre le gouvernement britannique et les fournisseurs de services Cloud.
G-Cloud permet à ces entreprises de postuler auprès des organismes publics britanniques et de leur vendre des services Cloud une fois leur offre acceptée. Le référentiel G-Cloud est mis à jour chaque année par le «Crown Commercial Services»(CCS), compétent en la matière.
Les administrations publiques britanniques peuvent actuellement acheter des services de Workday via leCCS Digital Marketplace.
Cyber Essentials
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
Cyber Essentials est un modèle soutenu par le gouvernement britannique qui aide les entreprises à se protéger des cyber-attaques en programmant des contrôles techniques de base.
Consultez notrecertificatCyber Essentials.
IRAP (Australie)
Périmètre d'application : produits d'entreprise Workday
Le gouvernement australien met à jour une documentation relative à la sécurité d'utilisation des services ICT, notamment des services Cloud. De cette documentation sont issus le manuel sur la sécurité de l'information (ISM – «Information Security Manual») et le référentiel des directives liées à la sécurité et la protection (PSPF – «Protective Security Policy Framework»). Le programme IRAP («信息安全注册为sessors Program»),mis的par勒中心de cybersecurite欧斯特ralien (ACSC – «Australian Cyber Security Centre») charge les évaluateurs individuels d'examiner l'efficacité d'une entreprise par rapport aux contrôles réalisés par l'ISM et le PSPF.
Workday mobilise un évaluateur tiers afin qu'il procède à une évaluation de l'adéquation des contrôles réalisés par l'ISM et le PSPF qui soit conforme au programme IRAP, par rapport aux environnements de production de Workday possédant le niveau « PROTÉGÉ ».
TISAX
Périmètre d'application : produits d'entreprise Workday, Workday Adaptive Planning, Workday Strategic Sourcing
La norme «Trusted Information Security Assessment Exchange» (TISAX) est régie par l'Association ENXpour le compte de l'association allemande de l'industrie automobile. Elle fournit à l'industrie automobile européenne une approche cohérente et normalisée des systèmes de sécurité de l'information.
Résultat disponible sur leportail ENX.
Évaluation STI des CSP par le CCCS
Périmètre d'application : produits d'entreprise Workday
Le Centre canadien pour la cybersécurité (CCCS) a mis en place le Programme d'évaluation de la sécurité des technologies de l'information (ITS) des fournisseurs de services d'informatique Cloud afin d'aider les ministères et organismes du gouvernement du Canada (GC) à évaluer les services des fournisseurs de services d'informatique Cloud (CSP). Le CCCS fournit des conseils et des lignes directrices sur les capacités techniques, opérationnelles et procédurales des CSP en matière d'ITS. L'évaluation détermine si les processus et les contrôles de sécurité répondent aux exigences de sécurité de l'informatique dans le Cloud du GC pour les renseignements et les services jusqu'au profil Protégé B/Intégrité moyenne/Disponibilité moyenne (PB/M/M), telles que publiées par le Secrétariat du Conseil du Trésor du Canada.