安全与信任
建立在信任的基础上。
在Workday,我们做的每一件事都离不开信任。为了保证您的数据安全和隐私,我们部署了业界领先的安全措施,并持续监控我们的系统,因此您可以放心地知道您最敏感的数据在云中得到24/7的保护。
语言选择
组织安全
保安工作从第一天就开始了。所有员工从一开始就接受安全、隐私和合规培训。尽管不同角色的参与程度可能有所不同,但在Workday,安全是每个人的责任。
这种对安全的承诺延伸到我们的高管。Workday安全委员会是一个跨职能的组织,由跨企业的高管组成,负责制定我们的安全计划,推动整个组织的高管保持一致,并确保安全意识和主动性渗透到整个组织中。
建筑安全
处理关系
我们的客户是数据控制器,而Workday是数据处理器。这意味着您可以完全控制输入到服务中的数据,以及所有的设置和配置。因为你控制着你的数据,而我们只处理数据,你就不必依赖我们来执行日常任务,比如:
- 分配安全授权和操作角色
- 创建新的报告和工作块
- 配置业务流程流、警报、规则等
- 创建与Workday实用工具或现有工具的新集成
- 改变或创建新的组织结构
- 监视所有业务事务
- 查看所有历史数据和配置更改
数据加密
工作日加密每一个客户数据在数据库中保存之前的属性。这是Workday技术的一个基本设计特征。因为Workday是一个内存中的、面向对象的应用程序,而不是基于磁盘的RDBMS,所以我们可以实现最高级别的加密。我们使用高级加密标准(AES)算法,密钥大小为256位,并为每个客户提供唯一的加密密钥。
传输层安全(TLS)保护用户通过互联网的访问,帮助保护网络流量免受被动窃听、主动篡改或消息伪造。基于文件的集成可以通过PGP或由Workday生成的公钥/私钥对加密,使用客户生成的证书。WS-Security还支持web服务集成到Workday API。
逻辑安全
Workday安全访问是基于角色的,支持LDAP委托身份验证,支持单点登录的SAML,以及用户和web服务集成的x509证书身份验证。
单点登录支持
SAML允许在客户的内部web门户和Workday之间实现无缝的单点登录体验。客户使用自己的企业用户名和密码登录公司的内部门户网站,然后会看到一个指向Workday的链接,该链接会自动为客户提供访问权限,而无需再次登录。Workday还支持OpenID Connect。
Workday本地登录
对于希望使用我们的本地登录的客户,Workday只以安全哈希的形式存储我们的Workday密码,而不是密码本身。不成功的登录尝试和成功的登录/注销活动都会被记录下来,以进行审计。未激活的用户会话将在指定时间后自动超时,该时间由用户自行配置。
用户可配置的密码规则包括长度、复杂性、过期时间和忘记密码挑战问题。
多因素身份验证
我们建议客户使用多因素身份验证(MFA)。Workday允许客户引入自己的MFA提供程序,该程序由TOTP(基于时间的一次性密码)算法支持。通过这个设置,客户可以轻松地将MFA提供者与原生的Workday登录集成在一起。Workday还允许客户的最终用户通过电子邮件到短信的网关机制接收一次性密码。最后,Workday支持挑战问题作为一种额外的机制来证明用户的身份。
升压身份验证
如果有人打开控制台,或者多个用户从同一设备访问Workday,使用SAML作为身份验证类型的组织可以通过识别Workday中的关键项目来防止未经授权的访问。这允许客户强制用户输入一个次要身份验证因素来访问这些项目。
操作安全
物理安全
Workday应用程序托管在最先进的数据中心中,其设计目的是通过完全冗余的子系统和划分的安全区域来保护关键任务计算机系统。我们的数据中心坚持最严格的物理安全措施,包括但不限于:
- 服务器区访问的多层身份验证
- 关键区域双因素生物识别认证
- 主要的内部和外部入口都有摄像头监控系统
- 安保人员全天候监控
所有对数据中心的物理访问都受到高度限制和严格监管。
网络安全
Workday建立了详细的操作策略、过程和流程,旨在帮助管理Workday环境的整体质量和完整性。我们还实施了主动的安全程序,如周边防御和网络入侵防御系统(ips)。
网络ips监视客户环境中的非典型网络模式以及层与服务之间的流量的关键网段。我们还拥有一个全球安全运营中心,全年无休,全年无休。
App 保护
Workday已经实现了企业安全软件开发生命周期(SDLC),以帮助确保Workday应用程序的持续安全性。
该计划包括深入的安全风险评估和对Workday功能的审查。此外,还执行静态和动态源代码分析,以帮助将企业安全性集成到开发生命周期中。通过对开发人员的应用程序安全培训和应用程序的渗透测试,开发过程得到了进一步的增强。
漏洞评估
Workday与第三方专家公司签订合同,进行独立的内部和外部网络、系统和应用程序漏洞评估。
应用程序
我们与领先的第三方安全公司签订合同,在每个主要发布之前对我们的web和移动应用程序进行应用级安全漏洞评估。该公司执行测试程序,以识别标准和高级web应用程序安全漏洞,包括但不限于以下:
- 与Flash、Flex、AJAX和ActionScript相关的安全弱点
- 跨站点请求伪造(CSRF)
- 不正确的输入处理(例如跨站点脚本、SQL注入、XML注入和跨站点闪烁)
- XML和SOAP攻击
- 交易日管理
- 数据验证缺陷和数据模型约束不一致
- 身份验证或授权不足
- HTTP响应拆分
- SSL/TLS错误使用
- 使用不安全的HTTP方法
- 误用密码学
网络
外部漏洞评估扫描所有面向互联网的资产,包括防火墙、路由器和web服务器,寻找可能允许未经授权访问网络的潜在弱点。此外,执行经过认证的内部漏洞网络和系统评估,以识别潜在的弱点和与一般系统安全策略的不一致之处。
隐私
数据隐私法规很复杂,各国不同,要求也很严格。在选择HCM、金融或其他应用程序时,企业应该选择使客户能够遵守其数据保护义务并保护其数据隐私的应用程序。使用Workday,您将获得领先的隐私功能和实践,使您能够履行自己的隐私义务。
此外,我们为客户提供必要的资源和信息,以帮助他们理解和验证其组织的隐私和合规要求,并展示Workday如何帮助他们的华体会体育彩票全站合规工作。
强大的隐私保护程序
Workday基于对客户数据的访问、使用、披露和转移的严格政策和程序建立了我们的隐私计划。我们隐私计划的核心是,除非根据合同协议或根据客户的指示,Workday员工不会访问、使用、披露或传输客户数据。
随着数据保护问题和全球法律的不断发展和变得越来越复杂,Workday明白隐私计划的重要性,它已经嵌入到我们公司的文化和服务中。我们的设计理念就是对这一点的证明,并为我们的客户提供他们所需要的数据隐私和保护的保证。
Workday的隐私、道德和合规团队由我们的首席隐私官领导,负责管理隐私计划并监督其有效性。团队负责:
- 制定、维护和更新我们的内部隐私政策、程序和工具,以保护代表Workday的员工和合作伙伴处理的个人数据的隐私
- 监控我们面向客户的隐私政策的合规性,该政策每年由第三方审核
- 确保履行对客户、合作伙伴和员工的隐私承诺
- 维护我们的认证和法规遵从义务
- 培训Workday员工我们的隐私项目,监控全球数据隐私法律的变化,并对我们的隐私项目进行必要的更新和修改
隐私和数据保护需要全年保持警惕,我们坚决致力于保护客户和员工的个人数据。阅读更多关于我们如何拥抱隐私的关键原则.
查看我们的隐私政策以了解更多信息关于我们如何管理和保护客户信息。
设计的私密性
从最初的设计到发布,我们已经在我们的服务中嵌入了全面的隐私保护程序。这个项目建立在我们的隐私设计理念之上,指导我们如何开发产品和运营我们的服务。华体会体育注册
数据透明度
我们提供客户数据存储和处理的地理区域的透明度。
全球隐私
全球数据私隐
Workday和我们的客户必须遵守复杂的全球隐私法律和法规。Workday维护了一个全面的全球数据保护计划,包括旨在防止未经授权访问、使用或泄露客户数据的技术和组织保障措施,以证明其遵守了国际隐私法规。Workday继续致力于全球隐私标准,这体现在我们致力于隐私盾、执行公司约束性规则(BCR)和亚太经合组织处理器隐私规则等项目上。我们的应用程序旨在让您实现差异化配置,以帮助您满足您国家的特定法律。
欧盟数据私隐
2018年5月25日,《通用数据保护条例》(GDPR)显著改变了欧洲的数据隐私格局。GDPR统一了欧洲五花八门的数据保护法律。Workday相信,我们能够按照GDPR的要求处理客户的个人数据。
Workday强大的隐私和安全实践支持GDPR合规的一些亮点包括:
- 重复进行基于角色的员工安全和隐私实践培训
- 获取隐私影响评估的良好开发流程
- 提供数据传输机制,使个人数据在欧洲经济区以外的传输合法化,包括Workday bcr
- 维护加工活动记录
- 为客户提供可配置的隐私和遵从性特性
此外,设计的私密性和默认隐私都是Workday服务中根深蒂固的概念。Workday将继续监测欧盟监管机构发布的指导意见,以确保我们的合规计划保持最新。
Workday明白,作为一个数据处理机构,不仅对我们自己的组织遵守GDPR很重要,对我们的客户来说,能够使用Workday服务帮助他们满足内部的合规需求也很重要。这就是为什么Workday提供工具来帮助客户履行GDPR义务。了解我们如何帮助客户履行GDPR义务的更多信息.
数据传输机制
Workday为我们的客户提供各种数据传输机制。Workday的协议包括欧盟委员会的标准合同条款(SCC),该条款允许将个人数据从欧洲经济区转移到美国。此外,Workday还向客户提供处理器绑定企业规则(BCRs)作为额外的传输机制。Workday的BCR可以在这里找到.
其他合规承诺
Workday在美国商务部启动Privacy Shield认证程序的第一天就签署了Privacy Shield,这显示了我们对隐私和保护客户数据的坚定、持续的承诺。尽管“隐私盾”不再是有效的数据传输框架,但Workday继续向美国商务部证明我们遵守“隐私盾原则”。虽然公司可以自我认证隐私盾,但Workday使用TRUSTe作为我们的第三方验证代理,以进一步证明我们的合规。阅读更多关于我们的TRUSTe验证状态到Privacy Shield.
Workday是第一个宣布遵守的云服务提供商欧盟云行为准则(CCoC),该准则由一系列要求组成,使云服务提供商(CSPs)能够证明其符合GDPR的能力。年度审查由独立的监测机构进行。验证Workday对CCoC的遵守.
Workday已通过《亚太经合组织跨境隐私规则》(APEC CBPR)和《亚太经合组织处理程序隐私规则》(APEC PRP)认证。亚太经合组织认证是一套自愿制定的隐私标准,分别为数据控制者和处理者制定,以促进亚太经合组织经济体之间的数据传输。这些认证证明了亚太地区在隐私合规方面的高标准。
Workday于2014年3月成为首批通过亚太经合组织CBPR认证的公司之一,并于2018年9月成为首家通过亚太经合组织PRP认证的公司。我们已获得TRUSTe的第三方认证该机构是美国的亚太经合组织问责机构。
合规
在安全威胁日益复杂的环境中,当今的技术领导者负责保护其公司的客户、员工和知识产权数据。公司也有责任遵守所有适用的法律,包括与数据隐私和个人数据传输有关的法律,即使服务提供商代表其持有和处理公司的数据。
Workday维护正式和全面的安全计划,旨在确保客户数据的安全和完整性,防止安全威胁或数据泄露,并防止未经授权的访问我们的客户数据。我们的安全计划细节在我们的第三方安全审计和国际认证中有详细说明。
为了帮助您的法规遵循和法律团队理解和验证您的组织的法规遵循需求,我们收集了以下法规遵循资源。华体会体育彩票全站
第三方审核与认证
SOC 1
服务组织控制(SOC 1)报告提供了有关服务组织控制环境的信息,这些信息可能与客户对财务报告的内部控制有关。
SOC 2
Workday SOC 2 Type II报告是由第三方对我们的控制环境进行的独立评估。
SOC 3
美国注册会计师协会(AICPA)开发了服务组织控制(SOC 3)框架,以保护存储和处理在云中的信息的机密性和私密性。
ISO 27001
ISO 27001是全球公认的、基于标准的安全方法,概述了组织的信息安全管理系统(ISMS)的要求。
ISO 27017
ISO 27017于2015年发布,是ISO 27001的补充标准。
ISO 27018
ISO 27018于2014年发布,是ISO 27001的补充标准。
ISO 27701
ISO 27701于2019年发布,是ISO 27001的补充标准。
PCI DSS
在Workday安全信用卡环境的范围内,Workday支持遵从PCI DSS,这是一个隔离的环境,通过预定义的集成存储、处理和传输未屏蔽的持卡人数据。
HIPAA
Workday已为Workday企业云应用程序完成了《健康保险便携与责任法案》(HIPAA)的第三方认证,这确保了Workday具有符合HIPAA的计划,并为保存、访问和共享个人医疗和个人信息提供了充分的措施。
NIST CSF和NIST 800-171
NIST网络安全框架(CSF)为组织提供了关于如何提高其预防、检测和应对网络安全风险的能力的指导。NIST 800-171标准涉及保护非联邦信息系统和组织中的受控非机密信息。
G-Cloud
G-Cloud框架是英国政府和基于云的服务提供商之间的一项协议。
自我评估
云安全联盟(CSA)安全、信任和保证登记处(STAR)自我评估将当前关于安全风险和控制的信息整合到一个行业标准问卷(CSA STAR CAIQ)中。
隐私保护
Workday是Privacy Shield的积极参与者。TRUSTe是Workday为Privacy Shield提供的第三方验证代理。
欧盟云行为准则
欧盟云行为准则(CCoC)由一系列要求组成,这些要求使云服务提供商(CSPs)能够证明其符合GDPR的能力。
TRUSTe企业隐私和数据治理认证
Workday是TRUSTe企业隐私与数据治理实践项目的参与者。
团体问卷调查
标准化信息收集(SIG)问卷是一份信息技术和数据安全问题的汇编,涵盖了广泛的控制领域,成为一个行业标准问卷。
网络生活必需品
“网络要件”是英国政府支持的一项计划,旨在通过设定基本技术控制来帮助组织抵御网络安全威胁。