Workday 컴플라이언스
Workday 컴플라이언스 프로그램
工作日의엄격한컴플라이언스프로그램은외부감사및국제인증으로구성되어있으며데이터 보안 및 개인정보 보호를 보장하고, 보안 위협이나 데이터 침해를 방지하고, 데이터의 무단 액세스를 차단합니다.
고객사를 위한 컴플라이언스 리소스
SOC 1
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning
SOC(Service Organization Controls) 1 리포트에서는 서비스 조직의 통제 환경에 관한 정보를 제공합니다. 여기서 고객의 재무 보고에 관한 내부 통제를 다룰 수도 있습니다.
SOC 1 Type II 리포트는 ISAE(International Standard on Assurance Engagements) 3402(서비스 조직의 통제에 관한 보증 리포트) 요건에 따라 발행됩니다. SOC 1 리포트는 Workday 엔터프라이즈 클라우드 어플리케이션 관련 통제의 설계 및 운영 효율성을 다룹니다. 4월 1일~9월 30일, 10월 1일~3월 31일의 6개월 단위로 연 2회 발행됩니다.
SOC 2
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
SOC 2 Type II 리포트에서는 제3자가 수행한 Workday 통제 환경에 관한 독립적인 평가의 결과를 제공합니다.
SOC 2 리포트는 미국공인회계사협회(AICPA) TSC(Trust Services Criteria)를 기준으로 하며, AICPA AT Section 101(인증 참여)에 의거하여 매년 발행됩니다. 이 리포트는 10월 1일~9월 30일의 12개월을 대상으로 합니다. Workday 어플리케이션의 일부인 고객 데이터를 저장하는 모든 시스템에 적용되는 통제의 설계 및 운영 효율성을 자세히 다룹니다. Workday 엔터프라이즈 제품 SOC 2 리포트는 모든 TSC 요건(보안, 가용성, 기밀 유지, 처리 무결성, 개인정보 보호)을 다룹니다. 또한, 이 리포트에서는 SOC 2+ Additional Subject Matter 프로세스의 일부인 NIST CSF(Cybersecurity Framework) 및 NIST 800-171을 다룹니다. 여기에는 이 프레임워크에 Workday 통제를 연계하고 감사하는 것이 포함됩니다.
SOC 3
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning
AICPA는 클라우드에서 저장하고 처리하는 정보에 관한 기밀 유지 및 개인정보 보호를 위해 SOC 3 프레임워크를 개발했습니다.
SOC 3 리포트는 Workday 통제 환경에 관한 독립적인 평가로서 제3자가 수행합니다. 공개적으로 이용 가능한 이 리포트에서는 고객 데이터의 보안, 가용성, 기밀 유지, 처리 무결성, 개인정보 보호를 위한 Workday 통제 환경을 개괄적으로 소개합니다.
Workday 엔터프라이즈 제품에 관한SOC 3 리포트를 읽어보세요.
Workday Adaptive Planning에 관한SOC 3 리포트를 읽어보세요.
Workday Peakon에 관한SOC 3 리포트를 읽어보세요.
Workday Strategic Sourcing에 관한SOC 3 리포트를 읽어보세요.
PCI DSS
적용 대상: Workday 엔터프라이즈 제품
Workday는 Workday 보안 신용카드 환경의 범위에서 PCI DSS 컴플라이언스를 지원합니다. 이 격리된 환경에서는 미리 정의된 통합 기능을 통해 마스킹 해제된 카드 소지자 데이터를 저장, 처리, 전송합니다.
매년 자격을 갖춘 보안 평가자가 최신 PCI DSS 요건을 적용하여 이 환경을 심사합니다. Workday는 2013년부터 PCI DSS 요건을 준수하고 있습니다. Workday는 Workday 보안 신용카드 환경을 이용하는 고객이 요청할 경우 이 연례 심사 리포트의 사본 1부를 제공합니다.
TRUSTe 엔터프라이즈 개인정보 보호 및 데이터 거버넌스 인증
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing
Workday는 TRUSTe 엔터프라이즈 개인정보 보호 및 데이터 거버넌스 프랙티스 프로그램에 참여하고 있습니다.
Workday와 같은 기업에서는 이 SIG 프로그램을 통해 자사의 개인정보 보호 및 데이터 거버넌스 프랙티스가 공인된 법에 근거한 기준 및 규제 기준, 이를테면 OECD 개인정보 보호 가이드라인, APEC 개인정보 보호 프레임워크, 유럽 일반 개인정보 보호법(GDPR), 미국 HIPAA(Health Insurance Portability and Accountability Act), ISO 27001 정보 보안 관리 시스템 국제 표준, 그 밖의 전 세계 개인정보 보호법 및 규정을 준수하고 있음을 입증할 수 있습니다.
Workday의 TRUSTe인증 현황을 확인하세요.
SIG 질문서
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
SIG(Standardized Information Gathering) 질문서는 다양한 위험 통제 영역의 전 범위에서 정보 기술 및 데이터 보안을 평가하는 데 사용되는 업계 표준의 질문을 정리한 것입니다.
SIG는 제3자 위험 보증 전문 글로벌 기관인 Shared Assessments에서 발행합니다. Workday는 매년 SIG 자율 평가를 수행하여 Workday 통제 환경에 관한 자세한 정보를 표준화된 질문서의 형식으로 고객에게 제공합니다. 고객은 Workday Community에서SIG 질문서에 액세스할 수 있습니다.
NIST CSF와 NIST 800-171
적용 대상: Workday 엔터프라이즈 제품
NIST CSF는 기업에서 사이버 보안 위험을 더 효과적으로 예방, 탐지, 대응할 방법에 관한 지침을 제공합니다. NIST 개인정보 보호 프레임워크는 조직의 개인정보 보호 프로그램을 평가하고 개선하는 데 필요한 지침을 제공합니다. NIST 800-171 표준은 연방 정부 관할이 아닌 정보 시스템 및 조직에서 다루는 통제 대상 일반 정보(Controlled Unclassified Information)의 보호에 관한 표준입니다.
Workday는 Workday의 SOC 2 통제를 NIST CSF, NIST PF 및 NIST 800-171 표준과 연계하고, 이 연계에 관한 감사를 Workday SOC 2+ 리포트에 포함했습니다.
TrustArc 및 프라이버시 실드
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing
Workday는 프라이버시 실드에 참여하고 있습니다. Workday는 프라이버시 실드 제3자 인증 기관으로 TRUSTe를 이용합니다.
Workday의 프라이버시 실드인증을 확인하세요.
EU 클라우드 행동강령
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning
EU 클라우드 행동강령(CCoC)은 클라우드 서비스 제공자(CSP)의 GDPR 컴플라이언스 역량 입증에 관한 일련의 요건으로 구성되어 있습니다.
Workday인증을 확인하세요.
HIPAA
적용 대상: Workday 엔터프라이즈 제품
Workday는 Workday 엔터프라이즈 제품에 관한 HIPAA(Health Insurance Portability and Accountability Act) 제3자 평가를 완료했습니다. 이는 Workday가 HIPAA 컴플라이언스 프로그램을 통해 개인 의료 기록 및 개인 정보의 저장, 액세스, 공유와 관련된 적절한 조치를 이행하고 있음을 입증합니다.
Workday는 이 평가 내용을 요약한 백서를 제공합니다. 또한 고객이 요청할 경우 BAA(Business Associate Agreement)를 체결합니다. 고객은 이 계약을 통해 HIPAA 및 HITECH(Health Information Technology for Economic and Clinical Health Act) 요건을 충족할 수 있습니다.
FedRAMP Moderate
적용 대상: Workday 엔터프라이즈 제품
FedRAMP(Federal Risk and Authorization Management Program)는 연방 기관이 IT 환경에 클라우드 기반 시스템을 도입하도록 지원하는 미정부 프로그램입니다. FedRAMP는 클라우드 기술의 보안 및 위험을 평가하는 표준화된 방식을 제공합니다. 연방 기관은 이 프로그램을 통해 연방 데이터가 클라우드에서 최상위 수준으로 상시 보호받고 있음을 확인할 수 있습니다.
Workday는 Workday Government Cloud에 대한 보안 영향 평가에서 FedRAMP 인증 Moderate 레벨을 획득했습니다.
G-Cloud
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Peakon Employee Voice
G-Cloud 프레임워크는 영국 정부와 클라우드 기반 서비스 제공자 간 협약입니다.
G-Cloud는 클라우드 기반 서비스 제공자가 영국 공공 기관의 입찰에 참여하고 계약 수주 시 클라우드 서비스를 판매하는 과정을 지원합니다. G-Cloud 프레임워크는 관할 기관인 CSS(Crown Commercial Services)에서 연 1회 업데이트합니다.
현재 영국 공공 기관은 CCS 디지털 마켓플레이스를 통해 Workday 서비스 제품을 구매할 수 있습니다.
Cyber Essentials
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice
Cyber Essentials는 영국 정부가 지원하는 제도로서 기술 통제의 기준을 마련하여 기업의 사이버 보안 위협 차단을 돕기 위해 마련되었습니다.
Cyber Essentials인증을 확인하세요.
Australian IRAP
적용 대상: Workday 엔터프라이즈 제품
호주 정부는 클라우드 서비스를 포함한 ICT 서비스 이용에 관한 보안을 문서화하고 유지합니다. 이러한 문서화는 ISM(Information Security Manual) 및 PSPF(Protective Security Policy Framework)를 통해 이루어집니다. 호주 사이버 보안 센터(ACSC)가 관장하는 IRAP(Infosec Registered Assessors Program)에서 조직의 ISM 및 PSPF 통제가 실효성이 있는지를 심사할 개별 평가자를 승인합니다.
Workday는 제3자 평가자를 참여시켜 Workday 프로덕션 환경을 대상으로 PROTECTED 레벨에서 ISM 및 PSPF 통제의 적합성에 관한 IRAP 평가를 수행합니다.
TISAX
적용 대상: Workday 엔터프라이즈 제품, Workday Adaptive Planning, Workday Strategic Sourcing
독일자동차산업협회(VDA)를 대신하여ENX Association에서 TISAX(Trusted Information Security Assessment Exchange)를 관리합니다. 이 표준은 유럽 자동차 업계에 정보 보안 시스템에 관한 일관되고 표준화된 접근 방식을 제공합니다.
결과는ENX 포털에서 확인할 수 있습니다.
CCCS CSP ITS 평가
적용 대상: Workday 엔터프라이즈 제품
캐나다 사이버 보안 센터(CCCS)는 캐나다 정부(GC) 부처 및 기관의 CSP 서비스 평가를 지원하고자 클라우드 서비스 제공자(CSP) 정보 기술 보안(ITS) 평가 프로그램을 구축했습니다. CCCS는 CSP의 기술적, 운영적, 절차적 ITS 기능에 관한 조언과 지침을 제공합니다. 이 평가에서는 보안 프로세스 및 통제가 캐나다 정부의 퍼블릭 클라우드 정보/서비스 보안 요건에 부합하는지를 판단합니다. 이를 위해 캐나다 재무부 사무국(Treasury Board of Canada Secretariat)에서 발표하는 PB/M/M(Protected B, Medium Integrity, and Medium Availability) 기준을 적용합니다.