WORKDAY COMPLIANCE

SOC 1

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning

SOC 1-rapporten (Service Organization Controls) bevatten informatie over de controleomgeving van een serviceorganisatie die relevant kan zijn voor de interne controles van de klant op de financiële rapporten.

Ons SOC 1 Type II-rapport wordt uitgegeven in overeenstemming met de International Standard on Assurance Engagements (ISAE) 3402 (garantierapporten over controles bij een serviceorganisatie). Het SOC 1-rapport, dat betrekking heeft op het ontwerp en de operationele effectiviteit van de controles die relevant zijn voor de enterprise cloudapplicaties van Workday, wordt elk half jaar opgesteld en heeft betrekking op de perioden van 1 april tot en met 30 september en van 1 oktober tot en met 31 maart.

SOC 2

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice

Het SOC 2 Type II-rapport is een onafhankelijke beoordeling van onze controleomgeving die door een externe partij wordt uitgevoerd.

Het SOC 2-rapport是gebaseerd op voor de标准Trust Services van AICPA en wordt jaarlijks uitgegeven in overeenstemming met AT Section 101 (Attest Engagements) van AICPA. Het rapport betreft de periode van 1 oktober tot en met 30 september en bevat details over het ontwerp en de operationele effectiviteit van controles die relevant zijn voor elk systeem dat klantdata bevat als onderdeel van de Workday-applicaties. In het SOC 2-rapport van Workday Enterprise-producten worden alle criteria voor trust services (beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy) behandeld. Daarnaast bevat het rapport informatie over het NIST Cybersecurity Framework en NIST 800-171 als onderdeel van het SOC 2+ Additional Subject Matter-proces, dat een gecontroleerd overzicht van de Workday-controles bevat.

SOC 3

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning

Het American Institute of Certified Public Accountants (AICPA) heeft het SOC 3-framework ontwikkeld voor het waarborgen van de vertrouwelijkheid en privacy van informatie die wordt opgeslagen en verwerkt in de cloud.

Het SOC 3-rapport is een onafhankelijke beoordeling van onze controleomgeving die door een externe partij wordt uitgevoerd. Dit rapport is openbaar en bevat een samenvatting van onze controleomgeving die relevant is voor de beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy van klantdata.

Zie onsSOC 3-rapportvoor Workday Enterprise-producten.

Zie onsSOC 3-rapportvoor Workday Adaptive Planning.

Zie onsSOC 3-rapportvoor Workday Peakon.

Zie onsSOC 3-rapportvoor Workday Strategic Sourcing.

ISO 27001

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing

Ons Information Security Management System (ISMS) voldoet aan de vereisten van deze internationaal erkende, op standaarden gebaseerde benadering van beveiliging.

Zie onsISO 27001-certificaatvoor Workday Enterprise-producten.

Zie onsISO 27001-certificaatvoor Workday Adaptive Planning.

Zie onsISO 27001-certificaatvoor Workday Strategic Sourcing.

ISO 27017

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning

Deze norm voorziet in maatregelen en implementatierichtlijnen voor informatiebeveiliging die van toepassing zijn op het leveren en gebruiken van cloudservices.

Zie onsISO 27017-certificaatvoor Workday Enterprise-producten.

Zie onsISO 27017-certificaatvoor Workday Adaptive Planning.

ISO 27018

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning

Deze norm bevat richtlijnen die van toepassing zijn op providers van cloudservices die persoonlijke data verwerken.

Zie onsISO 27018-certificaatvoor Workday Enterprise-producten.

Zie onsISO 27018-certificaatvoor Workday Adaptive Planning.

ISO 27701

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning

Deze norm bevat de vereisten en richtlijnen voor de implementatie en continue verbetering van het Privacy Information Management System (PIMS) van een organisatie en is een uitbreiding op ISO/IEC 27001.

Zie onsISO 27701-certificaatvoor Workday Enterprise-producten.

Zie onsISO 27701-certificaatvoor Workday Adaptive Planning.

PCI DSS

Geldt voor: Workday Enterprise-producten

Workday ondersteunt PCI DSS compliance binnen het bereik van de Workday Secure Credit Card Environment. Dit is een geïsoleerde omgeving waarin ongemaskerde data van kaarthouders worden opgeslagen, verwerkt en via vooraf gedefinieerde integraties worden doorgestuurd.

Deze omgeving wordt elk jaar beoordeeld door Qualified Security Assessors aan de hand van de huidige PCI DSS-vereisten. Workday is al sinds 2013 compliant met PCI DSS. Klanten die de Workday Secure Credit Card-omgeving gebruiken, kunnen een kopie van het jaarlijkse beoordelingsrapport aanvragen bij Workday.

TRUSTe Enterprise Privacy and Data Governance Certification

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing

Workday neemt deel aan het TRUSTe Enterprise Privacy & Data Governance Practices Program.

Dit programma is ontworpen om organisaties zoals Workday in staat te stellen aan te tonen dat hun practices voor privacy- en datamanagement voor persoonlijke informatie in overeenstemming zijn met normen die zijn gebaseerd op erkende wet- en regelgeving, waaronder de privacyrichtlijnen van de OESO, het APEC Privacy Framework, de EU General Data Protection Regulation (GDPR), de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA), de ISO 27001 International Standard for Information Security Management Systems en andere internationale wet- en regelgeving op het gebied van privacy.

Zie onzeTRUSTe-certificeringsstatus.

SIG-vragenlijst

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice

De SIG-vragenlijst (Standardized Information Gathering) is een compilatie van vragen over informatietechnologie en databeveiliging over een breed spectrum van controlegebieden, in één vragenlijst die als industriestandaard dient.

De SIG wordt uitgegeven door Shared Assessments, een internationale organisatie die zich bezighoudt met risicoverzekering voor derden. Workday voert elke twee jaar een self-assesment uit op basis van de SIG, zodat onze klanten een beeld van onze controleomgeving krijgen gebaseerd op een reeks standaardvragen. Klanten hebben toegang tot deSIG-vragenlijstop Workday Community.

NIST CSF en NIST 800-171

Geldt voor: Workday Enterprise-producten

Het NIST Cybersecurity Framework (CSF) biedt richtlijnen voor organisaties waarmee het eenvoudiger wordt om cyberbeveiligingsrisico's te voorkomen, op te sporen en erop te reageren. Het NIST Privacy Framework biedt richtlijnen voor het meten en verbeteren van het privacyprogramma van een organisatie. De norm NIST 800-171 heeft betrekking op de bescherming van gecontroleerde niet-gerubriceerde informatie in niet-federale informatiesystemen en organisaties.

Workday heeft onze relevante SOC 2-controles in kaart gebracht volgens de normen NIST CSF, NIST PF en NIST 800-171. Dit is gecontroleerd als onderdeel van het Workday SOC 2+ rapport.

TrustArc en Privacy Shield

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing

工作日是即使actieve河畔deelnemer het隐私hield-programma. Workday gebruikt TRUSTe als onafhankelijke verificatieagent voor het Privacy Shield.

Zie onze Privacy Shield-certificering.

EU Cloud Code of Conduct

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning

De EU Cloud Code of Conduct (CCoC) bestaat uit een reeks vereisten waarmee leveranciers van cloudservices (CSP's) kunnen aantonen dat ze in staat zijn te voldoen aan de GDPR.

Zie de Workday-certificering.

HIPAA

Geldt voor: Workday Enterprise-producten

Workday heeft een getuigschrift van een externe partij van de Health Insurance Portability and Accountability Act (HIPAA) voor Workday Enterprise-producten voltooid. Dit biedt de zekerheid dat Workday een HIPAA-complianceprogramma heeft geïmplementeerd met afdoende maatregelen voor het opslaan, openen en delen van individuele medische en persoonlijke informatie.

Workday biedt een whitepaper waarin de details van deze beoordeling zijn samengevat. Bovendien zal Workday op aanvraag Business Associate Agreements (BAA's) met onze klanten ondertekenen. Met deze overeenkomsten kunnen onze klanten voldoen aan de compliancevereisten van hun HIPAA en Health Information Technology for Economic and Clinical Health Act (HITECH).

FedRAMP Moderate

Geldt voor: Workday Enterprise-producten

Het Federal Risk and Authorization Management Program, of FedRAMP, is een programma van de Amerikaanse overheid waarmee federale instanties cloudgebaseerde systemen in hun IT-omgeving kunnen opnemen. FedRAMP biedt een gestandaardiseerde benadering van beveiliging en risicobeoordeling voor cloudtechnologieën en federale instanties zodat federale gegevens continu op het hoogste niveau in de cloud worden beschermd.

Workday heeft de status FedRAMP Authorized op het beveiligingsniveau Moderate voor Workday Government Cloud.

G-Cloud

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Peakon Employee Voice

Het G-Cloud-framework is een overeenkomst tussen de overheid van het Verenigd Koninkrijk en cloudserviceproviders.

G-Cloud stelt cloudserviceproviders in staat om hun cloudservices toe te passen en, na acceptatie, te verkopen aan overheidsorganisaties in het Verenigd Koninkrijk. Het G-Cloud-framework wordt jaarlijks bijgewerkt door het bestuursorgaan Crown Commercial Services (CCS).

Overheidsorganisaties in het Verenigd Koninkrijk kunnen de services van Workday aanschaffen via de CCS Digital Marketplace.

Cyber Essentials

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice

Cyber Essentials is een door de Britse overheid gesteunde regeling om organisaties te helpen bij de bescherming tegen cyberbedreigingen door technische basiscontroles in te stellen.

Zie ons Cyber Essentials-certificaat.

Australische IRAP

Geldt voor: Workday Enterprise-producten

De Australische overheid onderhoudt beveiligingsdocumentatie over het gebruik van ICT-services, waaronder cloudservices. Dit wordt vertegenwoordigd door de Information Security Manual (ISM) en het Protective Security Policy Framework (PSPF). Het door het Australian Cyber Security Centre (ACSC) onderhouden Infosec Registered Assessors Program (IRAP) erkent individuele beoordelaars om de doeltreffendheid van een organisatie te toetsen aan de controles in het ISM en het PSPF.

Workday schakelt een externe beoordelaar in om een IRAP-beoordeling uit te voeren van de geschiktheid van de controles in de ISM en PSPF op basis van de Workday Production-omgevingen op het PROTECTED-niveau.

TISAX

Geldt voor: Workday Enterprise-producten, Workday Adaptive Planning, Workday Strategic Sourcing

De Trusted Information Security Assessment Exchange (TISAX) wordt beheerd door deENX Associationnamens de Duitse vereniging voor de automobielindustrie. Deze norm biedt de Europese automobielindustrie een consistente, gestandaardiseerde benadering van informatiebeveiligingssystemen.

Resultaat beschikbaar op deENX-portal.

CCCS CSP ITS Assessment

Geldt voor: Workday Enterprise-producten

Het Canadian Centre for Cyber Security (CCCS) heeft het 'Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program' opgezet om de departementen en instanties van de Government of Canada (GC, Canadese regering) te helpen bij hun evaluatie van CSP-diensten. Het CCCS geeft advies over de technische, operationele en procedurele ITS-capaciteiten van de CSP's. De beoordeling bepaalt of de beveiligingsprocessen en -controles voldoen aan de GC publieke cloud-beveiligingseisen voor informatie en diensten tot Protected B, Medium Integrity en Medium Availability (PB/M/M), volgens de publicatie van het Treasury Board of Canada Secretariat.