工作日合规

SOC 1

适用于:Workday企业产品、Workday适应性规划华体会体育注册

服务组织控制(SOC) 1报告提供有关服务组织控制环境的信息，这些信息可能与客户对财务报告的内部控制有关。

我们的SOC 1 Type II报告是根据国际保证业务标准(ISAE) 3402(服务机构控制保证报告)发布的。SOC 1报告每半年发布一次，涵盖与Workday企业云应用程序相关的控制的设计和运行有效性，涵盖4月1日至9月30日和10月1日至3月31日的六个月。

SOC 2

适用于:Workday企业产品、Workday适应性规划、Wo华体会体育注册rkday战略采购、Workday peak员工声音

SOC 2 II型报告是由第三方对我们的控制环境进行的独立评估。

SOC 2报告基于AICPA的信托服务标准，并根据AICPA AT第101节(审计业务)每年发布。该报告涵盖了10月1日至9月30日的12个月期间，详细介绍了与工作日应用程序中包含客户数据的任何系统相关的控制的设计和运行有效性。Workday企业产品SOC 2报告涉及所有信华体会体育注册任服务标准(安全性、可用性、机密性、处理完整性和隐私)。此外，该报告将NIST网络安全框架和NIST 800-171作为SOC 2+附加主题事项流程的一部分，其中包括针对这些框架的Workday控制的审计映射。

SOC 3

适用于:Workday企业产品、Workday适应性规划华体会体育注册

美国注册会计师协会(AICPA)开发了SOC 3框架，用于保护在云中存储和处理的信息的机密性和隐私。

SOC 3报告是由第三方对我们的控制环境进行的独立评估，公开提供了与客户数据的安全性、可用性、机密性、处理完整性和隐私相关的控制环境的摘要。

看到我们的SOC 3报告用于Workday企业产品。华体会体育注册

看到我们的SOC 3报告用于工作日适应性规划。

看到我们的SOC 3报告Workday Peakon。

看到我们的SOC 3报告用于Workday战略采购。

ISO 27001

适用于:Workday企业产品，Workday适应性规划，Wo华体会体育注册rkday战略采购

我们的信息安全管理系统(ISMS)符合这一全球公认的、基于标准的安全方法所规定的要求。

看到我们的ISO 27001Workday企业产品证书。华体会体育注册

看到我们的ISO 27001工作日适应性计划证书。

看到我们的ISO 27001Workday战略采购证书。

ISO 27017

适用于:Workday企业产品、Workday适应性规划华体会体育注册

本标准为适用于提供和使用云服务的信息安全控制提供了控制和实施指南。

看到我们的ISO 27017Workday企业产品证书。华体会体育注册

看到我们的ISO 27017工作日适应性计划证书。

ISO 27018

适用于:Workday企业产品、Workday适应性规划华体会体育注册

本标准包含适用于处理个人数据的云服务提供商的指导方针。

看到我们的ISO 27018Workday企业产品证书。华体会体育注册

看到我们的ISO 27018工作日适应性计划证书。

ISO 27701

适用于:Workday企业产品、Workday适应性规划华体会体育注册

本标准作为ISO/IEC 27001的扩展，为组织隐私信息管理系统(PIMS)的实施和持续改进提供了要求和指南。

看到我们的ISO 27701Workday企业产品证书。华体会体育注册

看到我们的ISO 27701工作日适应性计划证书。

PCI DSS

适用于:Workday企业产品华体会体育注册

Workday在Workday安全信用卡环境的范围内支持PCI DSS合规性，这是一个隔离的环境，通过预定义的集成存储、处理和传输未屏蔽的持卡人数据。

该环境每年由合格安全评估人员根据当前PCI DSS要求进行评估。自2013年以来，Workday一直遵循PCI DSS。对于使用Workday安全信用卡环境的客户，Workday可以根据要求提供年度评估报告的副本。

TRUSTe企业隐私和数据治理认证

适用于:Workday企业产品，Workday适应性规划，Wo华体会体育注册rkday战略采购

Workday是TRUSTe企业隐私和数据治理实践项目的参与者。

该计划旨在使Workday等组织能够证明其个人信息隐私和数据治理实践符合基于公认法律和监管标准的标准，包括经合组织隐私指南、亚太经合组织隐私框架、欧盟通用数据保护条例(GDPR)、美国健康保险可携带性和责任法案(HIPAA)、ISO 27001国际信息安全管理体系标准以及全球其他隐私法律法规。

查看我们的TRUSTe认证状态．

团体问卷调查

适用于:Workday企业产品、Workday适应性规划、Wo华体会体育注册rkday战略采购、Workday peak员工声音

标准化信息收集(SIG)问卷是一个行业标准的问题汇编，用于在广泛的风险控制领域评估信息技术和数据安全。

SIG由Shared Assessments发布，这是一个致力于第三方风险保证的全球性组织。Workday每年根据SIG进行自我评估，根据一组标准化的查询，为我们的客户提供对我们的控制环境的深入了解。客户可登入团体问卷调查在Workday社区。

NIST CSF和NIST 800-171

适用于:Workday企业产品华体会体育注册

NIST网络安全框架(CSF)为组织提供了如何提高预防、检测和响应网络安全风险的能力的指导。NIST隐私框架提供了衡量和改进组织隐私计划的指导。NIST 800-171标准涉及保护非联邦信息系统和组织中的受控非机密信息。

Workday已将相关SOC 2控制映射到NIST CSF、NIST PF和NIST 800-171标准。此映射已作为Workday SOC 2+报告的一部分进行审计。

TrustArc和Privacy Shield

适用于:Workday企业产品，Workday适应性规划，Wo华体会体育注册rkday战略采购

Workday是Privacy Shield的积极参与者。TRUSTe是Workday为Privacy Shield提供的第三方验证代理。

查看我们的隐私盾认证．

欧盟云行为准则

适用于:Workday企业产品、Workday适应性规划华体会体育注册

欧盟云行为准则(CCoC)由一系列要求组成，这些要求使云服务提供商(csp)能够证明其遵守GDPR的能力。

确认工作日认证．

HIPAA

适用于:Workday企业产品华体会体育注册

Workday已完成对Workday企业产品的《健康保险携带与责任法案》(HIPAA)第三方认证，该认证可确保Workday拥有符合HIPAA的计划，并采取适当措施保存、访问和共享个人医疗和个人信息。华体会体育注册

Workday提供了一份总结评估细节的白皮书。此外，Workday还将在客户提出要求时与客户签订业务合作协议(BAAs)。这些协议确保我们的客户能够满足其HIPAA和经济与临床卫生法(HITECH)卫生信息技术合规要求。

FedRAMP温和

适用于:Workday企业产品华体会体育注册

联邦风险和授权管理计划(FedRAMP)是美国政府的一个计划，使联邦机构能够在其IT环境中采用基于云的系统。FedRAMP为云技术和联邦机构提供了一种标准化的安全和风险评估方法，以确保联邦数据在云中持续受到最高级别的保护。

Workday的FedRAMP授权状态为Workday政府云的中等安全影响级别。

G-Cloud

适用于:Workday企业产品、Workday Adaptiv华体会体育注册e Planning、Workday Peakon员工语音

G-Cloud框架是英国政府和云服务提供商之间的协议。

G-Cloud允许基于云的服务提供商申请，一旦被接受，就可以将其云服务出售给英国公共部门组织。G-Cloud框架每年由管理机构皇冠商业服务(CCS)更新。

英国的公共部门组织目前可以通过CCS数字市场购买Workday提供的服务。

网络生活必需品

适用于:Workday企业产品、Workday适应性规划、Wo华体会体育注册rkday战略采购、Workday peak员工声音

Cyber Essentials是英国政府支持的一项计划，旨在通过设定基准技术控制来帮助组织抵御网络安全威胁。

查看我们的网络要点证书．

澳大利亚IRAP

适用于:Workday企业产品华体会体育注册

澳大利亚政府维护与使用信息通信技术服务(包括云服务)有关的安全文件。这通过信息安全手册(ISM)和保护性安全策略框架(PSPF)来表示。由澳大利亚网络安全中心(ACSC)维护的信息安全注册评估员计划(IRAP)支持个人评估员审查组织对ISM和PSPF控制的有效性。

Workday聘请第三方评估人员对ISM和PSPF中的控件在受保护级别上对Workday Production环境的适用性进行IRAP评估。