安全与信任
建立在信任的基础上。
在Workday,信任与我们所做的每件事都密不可分。为了确保您的数据安全和隐私,我们部署了业界领先的安全保障措施,并持续监控我们的系统,因此您可以放心地知道,您最敏感的数据在云端24/7受到保护。
语言选择
组织安全
这里的安保工作从第一天开始。所有员工从一开始就接受安全、隐私和合规培训。虽然参与的程度可能因角色而异,但在Workday,安全是每个人的责任。
这种对安全的承诺也延伸到了我们的高管身上。Workday安全委员会是一个跨企业跨职能的高管小组,负责制定我们的安全计划,推动整个组织的高管协调,并确保安全意识和行动在整个组织中渗透。
建筑安全
处理关系
我们的客户是数据控制器,Workday是数据处理器。这意味着您可以完全控制输入到服务中的数据,以及所有设置和配置。因为您可以控制您的数据,而我们只处理它,您不必依赖我们来执行日常任务,例如:
- 分配安全授权和操作角色
- 创建新的报告和工作单元
- 配置业务流程流、警报、规则等
- 创建与Workday实用工具或现有工具的新集成
- 改变或创造新的组织结构
- 监视所有业务事务
- 查看所有历史数据和配置更改
数据加密
工作日加密每一个客户数据在持久化到数据库之前的属性。这是Workday技术的一个基本设计特征。由于Workday是内存中的面向对象应用程序,而不是基于磁盘的RDBMS,因此我们可以实现最高级别的加密。我们使用高级加密标准(AES)算法,密钥大小为256位,每个客户都有一个唯一的加密密钥。
传输层安全(TLS)保护用户通过互联网访问,帮助保护网络流量免受被动窃听、主动篡改或消息伪造。基于文件的集成可以通过PGP或Workday使用客户生成的证书生成的公钥/私钥对进行加密。web服务安全性还支持web服务与Workday API的集成。
逻辑安全
工作日安全访问是基于角色的,支持LDAP委托身份验证、用于单点登录的SAML以及用于用户和web服务集成的x509证书身份验证。
单点登录支持
SAML允许在客户的内部web门户和Workday之间提供无缝的单点登录体验。客户使用企业用户名和密码登录到公司的内部门户网站,然后会看到Workday的链接,该链接会自动为客户提供访问权限,而无需再次登录。Workday还支持OpenID Connect。
工作日本地登录
对于希望使用我们本地登录的客户,Workday只以安全散列的形式存储Workday密码,而不是密码本身。不成功的登录尝试以及成功的登录/注销活动都会被记录下来,以便进行审计。不活跃的用户会话在指定时间后自动超时,这是用户可配置的。
用户可配置的密码规则包括长度、复杂性、有效期和遗忘密码挑战问题。
多因素身份验证
我们建议客户使用多因素身份验证(MFA)。Workday允许客户引入由TOTP(基于时间的一次性密码)算法支持的自己的MFA提供商。通过这种设置,客户可以轻松地将MFA提供商与Workday本地登录集成在一起。Workday还允许客户的最终用户通过电子邮件到短信网关机制接收一次性密码。最后,Workday支持将挑战问题作为证明用户身份的附加机制。
升压身份验证
如果有人不关闭控制台,或者多个用户从同一设备访问Workday,那么使用SAML作为身份验证类型的组织可以通过识别Workday中的关键项目来防止未经授权的访问。这允许客户强制用户输入次要身份验证因素才能访问这些项目。
操作安全
物理安全
工作日的应用程序托管在最先进的数据中心中,这些数据中心旨在通过完全冗余的子系统和划分的安全区域来保护关键任务的计算机系统。我们的数据中心奉行最严格的物理安全措施,包括但不限于以下措施:
- 服务器区域访问的多层认证
- 关键区域的双因素生物识别认证
- 在关键的内部和外部入口设置摄像头监控系统
- 由保安人员全天候监控
对数据中心的所有物理访问都受到高度限制和严格监管。
网络安全
Workday建立了详细的运营政策、流程和流程,旨在帮助管理Workday环境的整体质量和完整性。我们还实施了主动的安全程序,如周界防御和网络入侵防御系统(IPSs)。
网络ips监控关键网段,以了解客户环境中的非典型网络模式,以及层与服务之间的流量。我们还每年365天、24/7地维护一个全球安全运营中心。
App 保护
Workday实施了企业安全软件开发生命周期(SDLC),以帮助确保Workday应用程序的持续安全性。
本计划包括深入的安全风险评估和工作日功能审查。此外,执行静态和动态源代码分析,以帮助将企业安全性集成到开发生命周期中。通过对开发人员进行应用程序安全性培训和应用程序的渗透测试,进一步增强了开发过程。
漏洞评估
工作日与第三方专家公司签订合同,进行独立的内外部网络、系统和应用程序漏洞评估。
应用程序
我们与一家领先的第三方安全公司签订合同,在每次重大发布之前,对我们的web和移动应用程序进行应用程序级别的安全漏洞评估。该公司执行测试程序来识别标准和高级web应用程序安全漏洞,包括但不限于以下:
- 与Flash, Flex, AJAX和ActionScript相关的安全弱点
- 伪造跨站请求(CSRF)
- 错误的输入处理(如跨站脚本、SQL注入、XML注入和跨站闪烁)
- XML和SOAP攻击
- 交易日管理
- 数据验证缺陷和数据模型约束不一致
- 身份验证或授权不足
- HTTP响应分裂
- SSL / TLS的滥用
- 使用不安全的HTTP方法
- 滥用密码学
网络
外部漏洞评估会扫描所有面向互联网的资产,包括防火墙、路由器和网络服务器,以找出可能容许未经授权访问网络的潜在弱点。此外,还进行了经过认证的内部漏洞网络和系统评估,以识别潜在的弱点和与一般系统安全策略不一致的地方。
隐私
数据隐私法规复杂,各国不同,要求也很严格。在选择HCM、金融或其他应用程序时,企业应选择能够使客户遵守其数据保护义务并保护其数据隐私的应用程序。通过Workday,您可以获得领先的隐私保护功能和实践,从而满足您的隐私义务。
此外,我们还为客户提供必要的资源和信息,帮助他们理解和验证企业的隐私和合规要求,并向客户展示Workday将如何帮助华体会体育彩票全站他们加强合规工作。
健壮的隐私项目
Workday的隐私计划建立在有关获取、使用、披露和转移客户数据的严格政策和程序之上。我们的隐私保护计划的核心是,Workday员工不得访问、使用、披露或转移客户数据,除非根据合同协议或根据客户的指示。
随着数据保护问题和全球法律的不断发展和日益复杂,Workday深知隐私保护计划的重要性,并将其融入公司文化和服务中。我们的隐私设计理念是对这一点的证明,并为我们的客户提供他们需要的隐私和保护他们的数据的保证。
Workday隐私、道德和合规团队由首席隐私官领导,负责管理隐私计划并监控其有效性。团队主要负责:
- 制定、维护和更新我们的内部隐私政策、程序和工具,以保护员工和合作伙伴处理的个人数据的隐私
- 监控我们面向客户的隐私政策的合规性,这些政策每年由第三方审计
- 确保我们对客户、合作伙伴和员工的隐私承诺得到履行
- 维护我们的认证和合规义务
- 就我们的隐私计划对Workday员工进行培训,监测全球不断变化的数据隐私法律,并对我们的隐私计划进行必要的更新和修改
隐私和数据保护需要全年保持警惕,我们坚决致力于保护客户和员工的个人数据。阅读更多关于我们如何拥抱隐私的关键原则.
查看我们的隐私政策了解更多信息关于我们如何管理和保护客户信息。
隐私设计
我们已经在我们的服务中嵌入了一个整体的隐私程序,从最初的设计到发布。这一计划,建立在我们的设计隐私的理念,指导我们如何开发产品和运营我们的服务。华体会体育注册
数据透明度
我们对客户数据存储和处理的地理区域提供透明度。
全球隐私
全球数据隐私
Workday和我们的客户必须遵守复杂的全球隐私法律法规。Workday通过维护全面的全球数据保护计划,体现了对国际隐私法规的遵守,该计划包含旨在防止未经授权访问、使用或披露客户数据的技术和组织保障措施。Workday继续致力于全球隐私标准,这体现在我们致力于隐私盾(privacy Shield)、实施约束性企业规则(BCR)和亚太经合组织处理器隐私规则等项目。我们的应用程序旨在让您实现差异化的配置,以帮助您满足您的国家的具体法律。
欧盟数据隐私
2018年5月25日,《通用数据保护条例》(GDPR)显著改变了欧洲数据隐私状况。GDPR协调了欧洲零散的数据保护法。Workday相信,我们能够根据GDPR处理客户的个人数据。
Workday强大的隐私和安全实践支持GDPR合规的一些亮点包括:
- 反复对员工进行基于角色的安全和隐私实践培训
- 完善的程序来获取隐私影响评估
- 提供数据传输机制,使欧洲经济区以外的个人数据传输合法化,包括工作日bcr
- 维护处理活动的记录
- 为我们的客户提供可配置的隐私和遵从性特性
此外,隐私设计Workday的“默认隐私”(Privacy by Default)等概念已深入人心。Workday将继续监测欧盟监管机构发布的指导意见,以确保我们的合规计划保持最新。
Workday明白,作为数据处理器,不仅对我们自己的企业遵守GDPR很重要,而且对我们的客户能够使用Workday服务来帮助满足其内部合规要求也很重要。这就是为什么Workday提供工具帮助客户履行GDPR义务的原因。了解更多关于我们如何使我们的客户履行GDPR义务的信息.
数据传输机制
Workday为客户提供各种数据传输机制。Workday的协议包括欧盟委员会的标准合同条款(SCC),该条款允许将个人数据从欧洲经济区转移到美国。此外,Workday还为客户提供处理器绑定公司规则(Processor Binding Corporate Rules, bcr)作为一种额外的传输机制。点击这里查看Workday的BCR.
额外的遵守承诺
Workday在美国商务部启动Privacy Shield认证程序的第一天就注册了Privacy Shield,这表明了我们对隐私和保护客户数据的坚定、持续的承诺。尽管Privacy Shield不再是一个有效的数据传输框架,但Workday继续向商务部证明,我们遵守了Privacy Shield原则。虽然企业可以自行向Privacy Shield认证,但Workday使用TRUSTe作为第三方验证代理,进一步证明我们的合规行为。阅读更多关于我们的TRUSTe验证状态隐私盾.
Workday是第一家宣布遵守该协议的云服务提供商欧盟云行为准则(CCoC),该准则由一系列要求组成,使云服务提供商(CSPs)能够证明其符合GDPR的能力。年度审查由独立的监督机构进行。验证Workday是否遵守CCoC.
Workday已通过《亚太经合组织跨境隐私规则》(APEC CBPR)和《加工者隐私规则》(APEC PRP)认证。亚太经合组织认证是一套自愿性的隐私标准,分别为数据控制者和处理者制定,以促进亚太经合组织经济体之间的数据传输。这些认证证明了在整个亚太地区符合高标准的隐私遵从性。
Workday于2014年3月率先获得亚太经合组织CBPR认证,2018年9月率先获得亚太经合组织PRP认证。我们已获得TRUSTe第三方认证该机构是美国的亚太经合组织问责机构。
合规
在安全威胁日益复杂的环境中,当今的技术领袖们肩负着确保和保护客户、员工和公司知识产权数据的责任。公司也有责任遵守所有适用的法律,包括与数据隐私和个人数据传输有关的法律,即使服务提供商代表其持有和处理公司的数据。
Workday维护正式而全面的安全计划,旨在确保客户数据的安全和完整性,防范安全威胁或数据泄露,并防止客户数据被未经授权的访问。我们的安全计划的细节在我们的第三方安全审计和国际认证中有详细说明。
为了帮助您的法规遵循和法律团队理解并验证您的组织的法规遵循要求,我们收集了以下法规遵循资源。华体会体育彩票全站
第三方审核和认证
SOC 1
服务组织控制(SOC 1)报告提供了服务组织控制环境的信息,这些信息可能与客户对财务报告的内部控制有关。
SOC 2
Workday SOC 2 II型报告是由第三方对我们的控制环境进行的独立评估。
SOC 3
美国注册会计师协会(AICPA)开发了服务组织控制(SOC 3)框架,以保护在云存储和处理的信息的机密性和隐私。
ISO 27001
ISO 27001是全球公认的、以标准为基础的安全方法,概述了组织的信息安全管理系统(ISMS)的要求。
ISO 27017
ISO 27017于2015年发布,是ISO 27001的补充标准。
ISO 27018
ISO 27018发布于2014年,是ISO 27001的补充标准。
ISO 27701
ISO 27701于2019年发布,是ISO 27001的补充标准。
PCI DSS
Workday在Workday安全信用卡环境(Workday Secure Card Environment)的范围内支持PCI DSS合规,该环境是一个通过预定义集成存储、处理和传输未屏蔽持卡人数据的隔离环境。
HIPAA
Workday已经完成了针对企业云应用程序的《健康保险便携与责任法案》(HIPAA)第三方认证,确保Workday拥有符合HIPAA的计划,并有足够的措施保存、访问和共享个人医疗和个人信息。
NIST CSF和NIST 800-171
NIST网络安全框架(CSF)为组织如何提高其预防、检测和应对网络安全风险的能力提供指导。NIST 800-171标准涉及保护非联邦信息系统和组织中的受控非机密信息。
G-Cloud
G-Cloud框架是英国政府和云服务提供商之间的一项协议。
CSA明星自我评估
云安全联盟(CSA)安全、信任与保证注册中心(STAR)自我评估将当前有关安全风险和控制的信息整合到一个行业标准问卷(CSA STAR CAIQ)中。
隐私保护
Workday是Privacy Shield的积极参与者。TRUSTe是Workday为Privacy Shield提供的第三方验证代理。
欧盟云行为准则
欧盟云行为准则(CCoC)由一系列要求组成,这些要求使云服务提供商(CSPs)能够证明其符合GDPR的能力。
TRUSTe企业隐私和数据治理认证
Workday是TRUSTe企业隐私与数据治理实践项目的参与者。
团体问卷调查
标准化信息收集(SIG)问卷是将信息技术和数据安全问题跨广泛的控制领域汇编成一个行业标准问卷。
网络生活必需品
Cyber Essentials是英国政府支持的一项计划,旨在通过设定基本技术控制来帮助组织抵御网络安全威胁。