보과신뢰
신뢰를근간으로하는솔루션
Workday의모든활동기반은신뢰입니다。고객의데이터와개인정보를안전하게보호하기위해업계최고수준의보호기능을배포하고계속시스템을모니터링합니다。고객은가장민감한데이터도클라우드에서연중무휴24시간확실히보호받고있음을확신하면서안심할수있습니다。
언어 선택
조직보
Workday에서는첫날부터보이시작됩니다。모든직원은입사와동시에보,개정보보호,규정준수에관한교육을받습니다。각자의역할에따라참여범위가다를수있으나,보안은모든工作日구성원의책임입니다。
임원진역시보을위해어떤노력도아끼지않습니다。전사적범위에서다양한부문의임원들이참여하는工作日보안위원회에서工作日보안프로그램을구상하고,모든임원진의지지를확보하며,보안의식및이니셔티브가조직전반에확산될수있게합니다。
아키텍처보
데이터처리의관계
Workday가데이터처리자라면,고객은데이터통제자의역할을합니다。다시말해고객이서비스에서입력된데이터뿐만아니라모든설정및구성에대한완전한통제권을갖습니다。고객이각자의데이터를통제하고,Workday는그데이터를처리할뿐입니다。따라서고객은工作日에의존하지않고다음과같은일상적인작업을수행할수있습니다。
- 보권한부여,각종역할조정
- 새리포트및Worklet생성
- 비즈니스프로세스흐름,알림,규칙등구성
- Workday유틸리티또는기존도구와의새로운통합개발
- 조직구조변경또는새로운구조생성
- 모든비즈니스트랜잭션모니터링
- 모든이력데이터및구성변경확
데이터암호화
Workday는고객데이터의모든속성을암호화한다음데이터베이스에저장합니다。이는Workday기술설계의기본적通讯录특징입니다。工作日는디스크기반RDBMS가아닌인메모리,객체지향어플리케이션이기때문에최고수준의암호화가가능합니다。工作日는AES(高级加密标准)알고리즘에서크기가256비트이고각고객에게고유한암호화키를사용합니다。
TLS(传输层安全)로인터넷을통한사용자액세스를보호하면서네트워크트래픽에대한수동적인도청,적극적인변조,메시지위조시도를차단합니다。파일기반통합은PGP방식으로,즉工作日에서생성한공개키/개인키쌍과고객이생성한인증서를사용하여암호화할수있습니다。Workday API와의웹서비스통합을위해WS-Security도지원됩니다。
논리적보
工作日보안액세스는역할기반액세스모델로서사용자및웹서비스통합을위해LDAP위임인증,SAML SSO(单点登录),x509인증서를지원합니다。
Sso지원
SAML을사용하여고객사내부웹포털과工作日의완전한SSO(单点登录)경험을구현할수있습니다。고객이회사에서쓰는사용자명과비밀번호로사내웹포털에로그인한다음工作日로연결하는링크를클릭하면,다시로그인절차를거치지않고자동으로工作日에액세스할수있습니다。Workday는OIDC(OpenID连接)도지원합니다。
Workday기본로그
工作日는기본로그인을사용하려는고객을위해工作日비밀번호를그대로저장하지않고반드시보안해시형식으로저장합니다。실패한로그인시도는성공한로그인/로그아웃활동과함께기록되며,이데이터는나중에감사에활용됩니다。일정기간동안사용자의활동이없으면해당사용자세션은자동으로만료되는데,이기간은사용자가직접구성할수있습니다。
고객은비밀번호의길이,복잡성,만료시점,비밀번호가기억나지않을때를위한힌트질문등을포함하는규칙에따라비밀번호를만들수있습니다。
다중
Workday는다중外公外公(MFA)사용을권장합니다。Workday에서는고객이각자의MFA제공자를가져올수있습니다。단,你觉得(基于时间的一次性密码)알고리즘을지원해야합니다。고객은이설정을통해MFA제공자와工作日기본로그인을쉽게통합할수있습니다。또한,工作日고객의최종사용자는이메일sms게이트웨이메커니즘을통해OTP(일회용비밀번호)를받을수있습니다。마지막으로,工作日는사용자의신원을입증하는추가수단으로힌트질문을지원합니다。
단계별外公外公
직원이콘솔을연상태에서자리를비우거나여러사용자가같은디바이스로工作日에액세스할수도있습니다。SAML인증유형을사용하는조직에서는그런경우에대비하여工作日내에서중요항목을식별하는방법으로무단액세스를방지할수있습니다。즉고객이2차인증을강제로시행하여사용자가반드시인증정보를입력해야액세스가가능해집니다。
운보
물리적보
工作日어플리케이션을호스팅하는첨단데이터센터는미션크리티컬컴퓨터시스템을확실히보호하기위해완전히이중화된서브시스템및상호격리된보안구역으로구성되었습니다。Workday데이터센터는다음을비롯한가장엄격한물리적보조건을충족합니다。
- 서버역액세스에다중적용
- 중구역에는2중생체식사용
- 내외부의주진입지점에카메라감시시스템설치
- 보력이24시간상시모니터링
데이터센터에대한모든물리적액세스는엄격히제한되고규제됩니다。
네트워크보
工作日는상세한운영정책,절차,프로세스를마련하여工作日환경의전반적인품질과무결성을효과적으로관리합니다。또한경,계방어,네트워크침입차단시스템(IPS)등선제적인보안절차도구현했습니다。
IPS네트워크로중요네트워크세그먼트를모니터링하면서고객환경에서비정상적인네트워크패턴을찾아냅니다。여러티어와서비스가주고받는트래픽도모니터링합니다。연중무휴24시간상시가동되는글로벌보운센터도있습니다。
어플리케이션보
工作日的工作日는어플리케이션의지속적인보안을보장하기위해엔터프라이즈급安全SDLC(安全软件开发生命周期)를구현했습니다。
이프로그램에는보证明书위험정밀평가와工作日기능검토가포함됩니다。또한,개발주기에엔터프라이즈보안을통합할수있도록정적및동적소스코드분석을모두수행합니다。개발자를위한어플리케이션보안교육및어플리케이션침투테스트로개발프로세스를보강합니다。
취약성평가
工作日는제3자전문회사에의뢰하여사내외네트워크,시스템,어플리케이션을대상으로독립적인취약성평가를수행합니다。
어플리케이션
주요릴리스의출시에앞서늘최고의자제3보안업체를고용하여工作日웹및모바일어플리케이션을대상으로어플리케이션차원의보안취약성을평가합니다。이보안업체는절차에따라테스트를진행하면서다음항목을비롯하여표준및고급웹어플리케이션의보안취약성을밝혀냅니다。
- Flash, Flex, AJAX, ActionScript관련보취약점
- 사이트간청위조(csrf)
- 부적절한입력처리(사이트간스크립트,SQL인젝션,XML인젝션,사이트간플래시)
- XML및soap공격
- 취약세션관리
- 취약한데이터검,일관성없는데이터모델제약조건
- 미흡한外公外公또는권한부여
- HTTP응답분할
- Ssl / tls오용
- 전하지않은HTTP메소드사용
- 암호화오용
네트워크
외부취약성평가를통해방화벽,라우터,웹서버등인터넷에연결되는모든자산을조사하여네트워크무단액세스의원인이될만한잠재적약점을찾아냅니다。또한,내부적으로도네트워크및시스템에대해정식으로취약점평가를수행하여잠재적약점및종합시스템보안정책에위배되는사항을파악합니다。
개정보보호
데이터보호규정은복잡하고,국가마다다르며,엄격한건을갖습니다。, HCM,재무기타어플리케이션을선택하려는기업은데이터보호에관한의무를이행하고개인정보보호를보장하는데도움이될제품으로결정해야합니다。工作日사용자는가장앞선개인정보보호기능및실무기법을활용하여개인정보보호의무를이행할수있습니다。
아울러工作日는고객이각자의개인정보보호및규정준수요건을이해하고검증할수있도록필요한리소스와정보를제공합니다。工作日더나아가를활용하여규정준수실행능력을업그레이드할방법도제시합니다。
강력한개정보보호프로그램
工作日는고객데이터액세스,사용,공개,전송에관한엄격한정책및절차를근간으로하는개인정보보호프로그램을마련했습니다。工作日의개인정보보호프로그램은工作日직원이반드시계약을통해합의한대로또는고객의지시에따라고객데이터에액세스하고사용,공개,전송해야함을핵심원칙으로합니다。
데이터보호문제및전세계의관련법이계속발전하고복잡해지는가운데工作日는개인정보보호프로그램의중요성을인식하고이를기업문화및서비스의기본요소로포함시켰습니다。이를입증하는'개인정보보호를염두에둔설계'원칙에따라고객에게데이터안전및개인정보보호를보장합니다。
CPO가지휘하는工作日개인정보보호,윤리,규정준수팀이개인정보보호프로그램을관리하고그실효성을평가합니다。이팀이하는일은다음과같습니다。
- 工作日직원또는工作日를대신하여파트너가취급하는개인정보를보호하기위해내부개인정보보호정책,절차,도구개발,유지,업데이트
- 고객을대상으로하는개인정보보호정책의이행현황모니터링,매년제3자를통해정책감사실시
- 고객,파트너,직원에게약속한대로개marketing정보를보호하도록관리감독
- 인증유지및규정준수의무계속이행
- 工作日직원을대상으로개인정보보호프로그램교육,전세계데이터보호관련법의변경사항모니터링,필요에따라개인정보보호프로그램업데이트및수정
개정보및데이터보호는연중내내관심과주의를기울여야할과제입니다。Workday는고객과직원의개护栏정보보호에최선을다하고있습니다。Workday가실천하는개护栏정보보호의핵심원칙을자세히알아보십시오。
Workday개护栏정보보호정책에서工作日가고객정보를관리하고보호하는방법을알아볼수있습니다。
개정보보호를염두에둔설계
工作日는최초설계부터출시까지의전범위에서종합적인개인정보보호프로그램을工作日서비스에구현합니다。이프로그램은'개인정보보호를염두에둔설계'원칙에따라工作日제품개발및서비스운용의방향을설정합니다。
데이터명성
工作日가고객데이터를저장하고처리하는장소와지역을투명하게공개하고관리합니다。
글로벌개정보보호
글로벌데이터보호
工作日와工作日고객은전세계의복잡한개인정보보호법및규정을준수해야합니다。工作日는고객데이터에대한무단액세스,사용,공개를막는기술및조직차원의안전장치를포함한포괄적인글로벌데이터보호프로그램을운영함으로써국제개인정보보호규정을준수합니다。工作日는프라이버시실드와같은프로그램에적극적으로참여하고BCR(绑定企业规则)및아시아태평양경제협력체(APEC) PRP(隐私规则处理器)도이행하는등글로벌개인정보보호표준을준수하기위해최선을다하고있습니다。工作日어플리케이션에서는차별화된구성을적용하여국가별법을준수할수있습니다。
Eu데이터보호
2018년월25일부터시행된유럽일반개인정보보호법(GDPR)은유럽데이터보호환경을완전히바꾸어놓았습니다。이gdpr은제각각이던유럽의데이터보호법을비슷하게조정하고통합했습니다。Workday는고객의개marketing정보를처리할때GDPR을철저히준수합니다。
GDPR규정준수를뒷받침하는工作日의강력한개인정보보호및보안방침중몇가지를소개합니다。
- 직원의역할에따라보및개정보보호실무를교육하는정기교육
- 개정보보호향평가를시행하고결과를수집하기위한,완성도높은프로세스
- 工作日BCR을비롯하여유럽경제지역(EEC)이아닌곳에합법적으로개인정보를전송할수있는데이터전송메커니즘
- 처리활동기록및유지관리
- 고객이직접구성할수있는개정보보호및규정준수기능
또한,Workday서비스에서는개정보보호를염두에둔설계및개정보수집최소화를핵심원칙으로삼습니다。工作日는欧盟감독기관에서발표하는지침을계속모니터링하면서工作日규정준수프로그램을최신버전으로유지합니다。
工作日는데이터처리자가인工作日GDPR을준수하는것만큼고객이工作日서비스를통해각자의규정준수요건을이행하는것도중요함을이해하고있습니다。따라서고객이GDPR의무를이행할수있도록다양한도구를통해지원합니다。Workday가고객의GDPR이행을지원하는방법을자세히알아보십시오。
데이터전송메커니즘
Workday는고객에게다양한데이터전송메커니즘을제공합니다。工作日의계약에는유럽경제지역과미국간의개인데이터전송을지원하는유럽위원회의표준계약조항(SCC)이포함됩니다。또한工作日는고객에게추가적인전송메커니즘으로프로세서BCR(绑定企业规则)을제공합니다。Workday의BCR은여기에서사용할수있습니다.
그밖의규정준수현황
工作日는미상무부가프라이버시실드인증제도를시행한첫날에프라이버시실드인증을취득했습니다。이가는工作日개인정보보호및고객데이터보호를위해계속최선을다하고있음을입증합니다。프라이버시실드가더이상유효한데이터전송프레임워크는아니지만,工作日는프라이버시실드원칙준수기업으로미국상무부의인증을계속받고있습니다。프라이버시실드는기업에서자율적으로인증할수있지만,工作日는TRUSTe를통해제3자검증을받고있습니다。프라이버시실드에대한Workday의TRUSTe에대해자세히알아보십시오。
欧盟클라우드행동강령(CCoC)은클라우드서비스제공자(CSP)가GDPR준수역량을입증할수있는일련의요구사항으로구성되어있습니다。Workday는이행동강령을준수한다고선언한첫번째클라우드서비스제공자였습니다.매년독립적감시기구의심사를받습니다。Workday의CCoC규정준수를확해보십시오.
工作日는아시아태평양경제협력체(APEC)가주관하는《跨境隐私规则体系》(跨境隐私规则)및PRP(隐私规则处理器)인증을모두받았습니다。이APEC인증은APEC국가간원활한데이터전송을위해데이터통제자및처리자각각에대해개발된자발적개인정보보호표준의모음입니다。이러한인증은아시아태평양지역전반에서엄격한개인정보보호규정을따르고있음을보여줍니다。
工作日는2014년월에亚太经合组织《跨境隐私规则体系》인증을,2018년월에는APEC PRP인증을취득한선두주자입니다。Workday는미국내APEC책임대행기관teresa로부터제3자teresa을받았습니다。
규정 준수
오늘날의기술리더는갈수록복잡해지는보안위협으로부터회사의고객,직원,지적자산데이터를보호해야합니다。기업역시데이터보호및개인정보전송에관한법을비롯한각종규정을준수할책임이있으며,이는서비스제공자에게데이터보관및처리를맡기는경우에도해당됩니다。
工作日는공식적이고종합적인보안프로그램을유지관리하면서고객데이터의보안및무결성을보장하고,보안위협이나데이터유출위험을해소하며,고객데이터에대한무단접근을차단합니다。工作日보안프로그램의자세한내용은제3자보안감사및국제인증에서확인할수있습니다。
工作日는고객의규정준수및법무팀이해당기업에적용되는규정준수요건을이해하고검증하는데도움이되도록다음과같은규정준수리소스를마련했습니다。
제3자감사및外公外公
SOC 1
SOC(服务机构控制)1리포트에서는서비스조직의통제환경에대한정보를제공합니다。여기서고객의재무보고에대한내부통제를다룰수도있습니다。
SOC 2
工作日SOC 2 II型리포트에서는제3자가수행한工作日통제환경에대한독립적인평가결과를제공합니다。
SOC 3
ICPA는클라우드에서저장하고처리하는정보에대한기밀유지및개인정보보호를위해SOC 3프레임워크를개발했습니다。
ISO 27001
ISO 27001은전세계에서인정받는표준기반보안접근방식이며,조직의정보보안관리시스템(主义)이갖춰야할요건을제시합니다。
ISO 27017
2015년에발open open된iso 27017은iso 27001을보완하는open open준입니다。
ISO 27018
2014년에발open open된iso 27018은iso 27001을보완하는open open준입니다。
ISO 27701
2019년에발open open된iso 27701은iso 27001을보완하는open open준입니다。
PCI DSS
工作日는工作日보안신용카드환경의범위에서PCI DSS규정준수를지원합니다。이격리된환경에서는마스킹해제된카드소지자데이터를저장,처리,전송합니다。
HIPAA
工作日는工作日엔터프라이즈클라우드어플리케이션에대해HIPAA(健康保险携带与责任法案)제3자평가를완료했습니다。이가는工作日HIPAA규정준수프로그램을통해개인의료기록및개인정보의저장,액세스,공유를위한적절한조치를이행하고있음을입증합니다。
Nist csf와Nist 800-171
NIST CSF는조직이사이버보안위험을더효과적으로예방,탐지,대응할방법에관한지침을제공합니다。NIST 800 - 171표준은연방정부관할이아닌정보시스템및조직의통제대상일반정보(控制非保密信息)의보호에관한표준입니다。
G-Cloud
G-Cloud프레임워크는국정부와클라우드기반서비스제공자간협약입니다。
Csa星자율평가
CSA(云安全联盟)明星(安全、信任和保证注册)자율평가는보안위험및통제에관한최신정보를단일업계표준설문(CSA明星CAIQ)의형태로통합한것입니다。
프라이버시실드
Workday는프라이버시실드에참여하고있습니다。Workday는프라이버시실드에대한제3자기관으로TRUSTe를이용합니다。
Eu클라우드행동강령
欧盟클라우드행동강령(CCoC)은클라우드서비스제공자(CSP)가GDPR준수역량을입증하는일련의요건으로구성되어있습니다。
TRUSTe엔터프라이즈개정보보호및데이터거버넌스
工作日는TRUSTe엔터프라이즈개인정보보호및데이터거버넌스프랙티스프로그램에참여하고있습니다。
Sig질문서
SIG(标准化的信息收集)질문서는광범위한통제영역전반의정보기술및데이터보안에관한질문을단일업계표준질문서로통합하여정리한것입니다。
网络生活必需品
网络要素는영국정부가지원하는제도로서기술통제의기준을마련하여기업의사이버보안위협차단을돕기위해마련되었습니다。