安全与信任
建立在信任的基础上。
在Workday,信任已融入我们所做的一切。为了保证您的数据安全和隐私,我们部署了业界领先的安全措施,并持续监控我们的系统,因此您可以放心地知道,您最敏感的数据在云中全天候受到保护。
语言选择
组织安全
安保工作从第一天就开始了。所有员工一入职就接受安全、隐私和合规培训。尽管不同角色参与的程度不同,但在Workday,安全是每个人的责任。
这种对安全的承诺延伸到我们的高管。Workday安全委员会是一个由企业高管组成的跨职能小组,负责制定我们的安全计划,推动整个组织的高管保持一致,并确保安全意识和倡议渗透到整个组织中。
建筑安全
处理关系
我们的客户是数据控制者,而Workday是数据处理器。这意味着您可以完全控制输入到服务中的数据,以及所有设置和配置。因为您可以控制您的数据——而我们只处理数据——您将不必依赖我们执行日常任务,例如:
- 分配安全授权和操作角色
- 创建新的报表和工作包
- 配置业务流程流、警报、规则等
- 创建与Workday实用程序或现有工具的新集成
- 改变或创建新的组织结构
- 监视所有业务事务
- 查看所有历史数据和配置更改
数据加密
工作日加密每一个在将客户数据持久化到数据库之前。这是Workday技术的一个基本设计特征。因为Workday是一个内存中的、面向对象的应用程序,而不是基于磁盘的RDBMS,所以我们可以实现最高级别的加密。我们使用高级加密标准(AES)算法,密钥大小为256位,每个客户都有唯一的加密密钥。
传输层安全(TLS)通过互联网保护用户访问,帮助保护网络流量免受被动窃听、主动篡改或消息伪造。基于文件的集成可以通过PGP或Workday生成的公钥/私钥对加密,使用客户生成的证书。web服务集成到Workday API也支持WS-Security。
逻辑安全
Workday安全访问是基于角色的,支持LDAP委托身份验证,支持单点登录的SAML,支持用户和web服务集成的x509证书身份验证。
单点登录支持
SAML允许在客户的内部门户网站和Workday之间实现无缝的单点登录体验。客户使用自己的企业用户名和密码登录公司的内部门户网站,然后出现一个到Workday的链接,该链接会自动为客户提供访问权限,而无需再次登录。Workday还支持OpenID Connect。
Workday本地登录
对于希望使用我们本地登录的客户,Workday只以安全散列的形式存储我们的Workday密码,而不是密码本身。不成功的登录尝试以及成功的登录/注销活动都会被记录下来,以便进行审计。非活动用户会话将在指定时间后自动超时,该时间由用户自行配置。
用户可配置的密码规则包括长度、复杂度、有效期和遗忘密码挑战问题。
多因素身份验证
我们建议客户使用多因素身份验证(MFA)。Workday允许客户引入他们自己的MFA提供商,该提供商由TOTP(基于时间的一次性密码)算法支持。通过这种设置,客户可以轻松地将MFA提供者与本机Workday登录集成在一起。Workday还允许客户的最终用户通过电子邮件到短信网关机制接收一次性密码。最后,Workday支持质疑问题,作为证明用户身份的额外机制。
升压身份验证
如果有人打开控制台,或者多个用户从同一台设备访问Workday,使用SAML作为身份验证类型的组织可以通过识别Workday中的关键项目来防止未经授权的访问。这允许客户强制用户必须输入二次身份验证因素才能访问这些项目。
操作安全
物理安全
Workday应用程序托管在最先进的数据中心,旨在通过完全冗余的子系统和划分的安全区域来保护关键任务计算机系统。我们的数据中心遵循最严格的物理安全措施,包括但不限于以下措施:
- 服务器区域访问的多层身份验证
- 关键区域的双因素生物识别认证
- 在主要的内部和外部入口设置摄像头监控系统
- 安全人员全天候监控
对数据中心的所有物理访问都受到高度限制和严格监管。
网络安全
Workday已经建立了详细的运营政策、程序和流程,旨在帮助管理Workday环境的整体质量和完整性。我们还实施了主动的安全程序,如周界防御和网络入侵防御系统(ips)。
网络ips监视客户环境中的非典型网络模式的关键网段以及层和服务之间的流量。我们还拥有一个全年365天全天候的全球安全运营中心。
App 保护
Workday已经实现了企业安全软件开发生命周期(SDLC),以帮助确保Workday应用程序的持续安全性。
该计划包括深入的安全风险评估和对Workday功能的审查。此外,还执行静态和动态源代码分析,以帮助将企业安全性集成到开发生命周期中。通过对开发人员的应用程序安全培训和应用程序的渗透测试,进一步增强了开发过程。
漏洞评估
Workday与第三方专家公司签订合同,进行独立的内部和外部网络、系统和应用程序漏洞评估。
应用程序
我们与领先的第三方安全公司签订合同,在每次主要发布之前对我们的web和移动应用程序执行应用程序级安全漏洞评估。该公司执行测试程序以识别标准和高级web应用程序安全漏洞,包括但不限于以下内容:
- 与Flash、Flex、AJAX和ActionScript相关的安全弱点
- 跨站请求伪造(CSRF)
- 输入处理不当(如跨站脚本编写、SQL注入、XML注入、跨站闪烁)
- XML和SOAP攻击
- 交易日管理
- 数据验证缺陷和数据模型约束不一致
- 身份验证或授权不足
- HTTP响应分割
- 误用SSL/TLS
- 使用不安全的HTTP方法
- 误用密码
网络
外部漏洞评估扫描所有面向互联网的资产,包括防火墙、路由器和web服务器,以寻找可能允许未经授权访问网络的潜在弱点。此外,还会执行经过认证的内部漏洞网络和系统评估,以识别潜在的弱点和与一般系统安全策略的不一致之处。
隐私
数据隐私法规很复杂,各国各不相同,要求也很严格。在选择HCM、金融或其他应用程序时,企业应选择能够使客户遵守其数据保护义务并保护其数据隐私的应用程序。使用Workday,您将获得领先的隐私保护功能和实践,使您能够履行隐私保护义务。
此外,我们还为客户提供必要的资源和信息,帮助他们理解和验证其组织的隐私和合规要求,并展示Workday如何帮助推动他华体会体育彩票全站们的合规工作。
健全的隐私保护计划
Workday在访问、使用、披露和转移客户数据方面建立了严格的隐私政策和程序。我们隐私保护计划的核心是,工作日员工不访问、使用、披露或转移客户数据,除非是根据合同协议或客户的指示。
随着数据保护问题和全球法律的不断发展和变得越来越复杂,Workday了解嵌入公司文化和服务的隐私计划的重要性。我们的隐私设计理念证明了这一点,并为我们的客户提供了他们需要的隐私和数据保护的保证。
Workday的隐私、道德和合规团队由我们的首席隐私官领导,管理隐私计划并监督其有效性。团队主要负责:
- 制定、维护和更新我们的内部隐私政策、程序和工具,以保护员工和合作伙伴代表Workday处理的个人数据的隐私
- 监控我们面向客户的隐私政策的遵守情况,这些政策每年由第三方进行审计
- 确保我们履行对客户、合作伙伴和员工的隐私承诺
- 维护我们的认证和法规遵从义务
- 就我们的隐私计划对Workday员工进行培训,监测全球数据隐私法律的变化,并对我们的隐私计划进行必要的更新和修改
隐私和数据保护需要全年保持警惕,我们坚定地致力于保护客户和员工的个人数据。阅读更多关于我们如何拥抱隐私的关键原则.
请查看我们的隐私政策以了解更多信息关于我们如何管理和保护客户信息。
设计的隐私
从最初的设计到发布,我们已经在我们的服务中嵌入了一个全面的隐私计划。该计划建立在我们的隐私设计理念之上,指导我们如何开发产品和运营我们的服务。华体会体育注册
数据透明度
我们提供客户数据存储和处理的地理区域的透明度。
全球隐私
全球数据隐私
Workday和我们的客户必须遵守复杂的全球隐私法律法规。Workday通过维护一个全面的全球数据保护计划来证明遵守国际隐私法规,该计划包含技术和组织保障措施,旨在防止未经授权的访问、使用或披露客户数据。Workday仍然致力于全球隐私标准,这体现在我们致力于隐私盾、实施约束性企业规则(BCR)和亚太经济合作组织处理者隐私规则等项目上。我们的应用程序旨在让您实现差异化配置,以帮助您满足您所在国家的特定法律。
欧盟数据私隐
2018年5月25日,《通用数据保护条例》(GDPR)显著改变了欧洲的数据隐私格局。GDPR统一了欧洲零散的数据保护法律。Workday相信,我们可以按照GDPR的要求处理客户的个人数据。
Workday强大的隐私和安全实践支持GDPR合规的一些亮点包括:
- 关于安全和隐私实践的定期基于角色的员工培训
- 完善的流程以获取隐私影响评估
- 提供数据传输机制,使个人数据在欧洲经济区以外的传输合法化,包括Workday bcr
- 维护处理活动的记录
- 为客户提供可配置的隐私和合规功能
此外,设计的隐私和默认隐私是深深体现在Workday服务中的概念。Workday将继续监控欧盟监管机构发布的指导意见,以确保我们的合规计划保持最新。
Workday明白,作为数据处理者,不仅对我们自己的组织符合GDPR很重要,对我们的客户来说,能够使用Workday服务来帮助他们满足内部合规要求也很重要。这就是为什么Workday提供工具来帮助客户履行GDPR义务的原因。了解更多关于我们如何帮助客户履行GDPR义务的信息.
数据传输机制
Workday为我们的客户提供各种数据传输机制。Workday的协议包括欧盟委员会的标准合同条款(SCC),该条款允许将个人数据从欧洲经济区转移到美国。此外,Workday还为客户提供处理器绑定企业规则(BCRs)作为额外的传输机制。Workday的BCR可以在这里找到.
其他合规承诺
Workday在美国商务部启动隐私盾认证程序的第一天就签署了隐私盾认证协议,这表明了我们对隐私和保护客户数据的坚定、持续的承诺。尽管隐私盾不再是有效的数据传输框架,但Workday继续向美国商务部证明,我们遵守隐私盾原则。虽然公司可以向Privacy Shield自我认证,但Workday使用TRUSTe作为我们的第三方验证代理,以进一步证明我们的合规性。阅读更多关于我们的TRUSTe验证状态到隐私盾.
Workday是第一个宣布遵守的云服务提供商欧盟云行为准则(CCoC),该准则由一系列要求组成,使云服务提供商(csp)能够证明其遵守GDPR的能力。年度审查由独立监督机构进行。验证Workday对CCoC的遵守情况.
Workday已通过亚太经济合作组织跨境隐私规则(APEC CBPR)和处理者隐私规则(APEC PRP)的认证。亚太经合组织认证是一套自愿制定的隐私标准,分别为数据控制者和处理者制定,以促进亚太经合组织经济体之间的数据传输。这些认证证明了在整个亚太地区遵守高标准的隐私合规。
Workday于2014年3月成为首批获得APEC CBPR认证的公司之一,并于2018年9月成为首家获得APEC PRP认证的公司。我们已经获得TRUSTe的第三方认证该组织是亚太经合组织负责美国事务的机构。
合规
当今的技术领导者肩负着在日益复杂的安全威胁环境中保护客户、员工和公司知识产权数据的责任。公司也有责任遵守所有适用法律,包括与数据隐私和个人数据传输有关的法律,即使服务提供商代表公司持有和处理公司数据。
Workday维护了正式和全面的安全计划,旨在确保客户数据的安全性和完整性,防止安全威胁或数据泄露,并防止未经授权访问客户数据。我们的安全计划的细节在我们的第三方安全审核和国际认证中有详细说明。
为了帮助您的合规和法律团队理解和验证您组织的合规要求,我们收集了以下合规资源。华体会体育彩票全站
第三方审核与认证
SOC 1
服务组织控制(SOC 1)报告提供有关服务组织控制环境的信息,这些信息可能与客户对财务报告的内部控制有关。
SOC 2
Workday SOC 2 Type II报告是由第三方对我们的控制环境进行的独立评估。
SOC 3
美国注册会计师协会(AICPA)开发了服务组织控制(SOC 3)框架,用于保护在云中存储和处理的信息的机密性和隐私。
ISO 27001
ISO 27001是全球公认的、基于标准的安全方法,概述了组织的信息安全管理系统(ISMS)的要求。
ISO 27017
ISO 27017于2015年发布,是ISO 27001的补充标准。
ISO 27018
ISO 27018于2014年发布,是ISO 27001的补充标准。
ISO 27701
ISO 27701于2019年发布,是ISO 27001的补充标准。
PCI DSS
Workday在Workday安全信用卡环境的范围内支持PCI DSS合规,这是一个隔离的环境,通过预定义的集成存储、处理和传输未屏蔽的持卡人数据。
HIPAA
Workday已完成了针对Workday企业云应用程序的《健康保险携带与责任法案》(HIPAA)第三方认证,该认证确保Workday拥有符合HIPAA的计划,并采取适当措施保存、访问和共享个人医疗和个人信息。
NIST CSF和NIST 800-171
NIST网络安全框架(CSF)为组织提供了如何提高其预防、检测和应对网络安全风险的能力的指导。NIST 800-171标准涉及保护非联邦信息系统和组织中的受控非机密信息。
G-Cloud
G-Cloud框架是英国政府和云服务提供商之间的协议。
CSA STAR自我评估
云安全联盟(CSA)安全、信任与保证注册中心(STAR)自我评估将当前有关安全风险和控制的信息整合为一份行业标准问卷(CSA STAR CAIQ)。
隐私保护
EU-U.S。隐私盾和瑞士-美国。Privacy Shield是数据传输框架,允许个人数据在欧盟和瑞士之间传输到美国
欧盟云行为准则
欧盟云行为准则(CCoC)由一系列要求组成,这些要求使云服务提供商(csp)能够证明其遵守GDPR的能力。
TRUSTe企业隐私和数据治理认证
Workday是TRUSTe企业隐私和数据治理实践项目的参与者。
团体问卷调查
标准化信息收集(SIG)问卷是将广泛的控制领域的信息技术和数据安全问题汇编成一个行业标准问卷。
网络生活必需品
Cyber Essentials是英国政府支持的一项计划,旨在通过设定基本技术控制来帮助组织抵御网络安全威胁。