WORKDAY COMPLIANCE

Unser Compliance-Programm

Unser strenges Compliance-Programm umfasst Audits und internationale Zertifizierungen durch Drittanbieter, um Datensicherheit und Datenschutz zu gewährleisten, vor Sicherheitsbedrohungen oder Datenschutzverletzungen zu schützen und den unbefugten Zugriff auf Ihre Daten zu verhindern.

Decorative

Compliance-Ressourcen für Ihr Unternehmen

AICPA SOC

SOC 1

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday VNDLY

Service Organisation Control 1 (SOC 1)-Berichte enthalten Informationen zur Kontrollumgebung eines Dienstleisters, die für die internen Kontrollen des Kunden hinsichtlich Finanzreporting von Bedeutung sein können.

Unser SOC 1-Bericht wird gemäß dem internationalen Prüfungsstandard für interne Kontrollsysteme ISAE 3402 (International Standard on Assurance Engagements No. 3402) ausgestellt. Der SOC 1-Bericht befasst sich mit der Gestaltung und operativen Wirksamkeit von Kontrollen hinsichtlich der Enterprise-Cloud-Anwendungen von Workday.

AICPA SOC

SOC 2

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Beim SOC 2 Typ II-Bericht handelt es sich um eine unabhängige, von einem Drittanbieter durchgeführte Beurteilung unserer Kontrollumgebung.

Der SOC 2-Bericht basiert auf den Trust Services Criteria des American Institute of Certified Public Accountants (AICPA) und wird jährlich in Übereinstimmung mit den in AT Section 101 (Attest Engagements) des AICPA festgelegten Richtlinien herausgegeben. Der SOC 2-Bericht erläutert die Gestaltung und betriebliche Wirksamkeit von Kontrollen hinsichtlich aller Lösungen, die als Teil der Workday-Anwendungen Kundendaten enthalten. Der SOC 2-Bericht von Workday Enterprise Products berücksichtigt sämtliche Trust Services Criteria (Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz). Darüber hinaus bezieht sich der Bericht auf das NIST Cybersecurity Framework und NIST 800-171 als Teil des SOC 2+ Additional Subject Matter-Prozesses. Dieser umfasst eine geprüfte Zuordnung der Workday-Kontrollen in Bezug auf diese Frameworks.

AICPA SOC

SOC 3

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Das American Institute of Certified Public Accountants (AICPA) hat das SOC 3-Framework entwickelt, um die Vertraulichkeit und den Datenschutz von in der Cloud gespeicherten und verarbeiteten Informationen sicherzustellen.

Der SOC 3-Bericht, eine unabhängige, von einem Drittanbieter durchgeführte Beurteilung unserer Kontrollumgebung, ist öffentlich verfügbar und enthält eine Übersicht über unsere Kontrollumgebung, die für die Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und den Datenschutz von Kundendaten maßgeblich ist.

Siehe unseren SOC 3-Bericht für Workday Enterprise Products.

Siehe unseren SOC 3-Bericht für Workday Adaptive Planning. 

Siehe unseren SOC 3-Bericht für Workday Peakon Employee Voice.

Siehe unseren SOC 3-Bericht für Workday Strategic Sourcing. 

Globus-Symbol

ISO 27001

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY

Unser Information Security Management System (ISMS) erfüllt die Anforderungen dieses international anerkannten, normenbasierten Sicherheitsansatzes. 

Siehe unser konsolidiertes ISO 27001-Zertifikat für Workday Enterprise Products, Workday Adaptive Planning und Workday Strategic Sourcing.

Siehe unser ISO 27001-Zertifikat für VNDLY.

Globus mit Schlosssymbol

ISO 27017

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Diese Norm liefert Kontrollen und Implementierungsleitlinien für Informationssicherheitskontrollen bei der Bereitstellung und Nutzung von Cloud-Services.

Siehe unser konsolidiertes ISO 27017-Zertifikat für Workday Enterprise Products und Workday Adaptive Planning.

Globus mit Schlosssymbol

ISO 27018

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday VNDLY

Diese Norm beschreibt Leitlinien für Cloud-Services-Anbieter, die personenbezogene Daten verarbeiten.

Siehe unser konsolidiertes ISO 27018-Zertifikat für Workday Enterprise Products und Workday Adaptive Planning.

Siehe unser ISO 27018-Zertifikat für VNDLY.

Globus mit Schlosssymbol

ISO 27701

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Diese Norm ist eine Erweiterung der ISO/IEC 27001 und spezifiziert die Bedingungen und Leitlinien für die Implementierung und kontinuierliche Verbesserung von Informationssicherheits-Managementsystemen (PIMS) im Unternehmen.

Siehe unser konsolidiertes ISO 27701-Zertifikat für Workday Enterprise Products und Workday Adaptive Planning.

Globus mit Schlosssymbol

PCI DSS

Anwendbar auf: Workday Enterprise Products

Workday unterstützt die PCI DSS-Compliance im Rahmen des Workday Secure Credit Card Environment. In dieser isolierten Umgebung werden unmaskierte Karteninhaberdaten durch vordefinierte Integrationen gespeichert, verarbeitet und übertragen.

Diese Umgebung wird jährlich von qualifizierten Sicherheitsgutachtern (Qualified Security Assessors) auf die Erfüllung der aktuellen PCI DSS-Anforderungen untersucht. Workday weist seit 2013 seine PCI DSS-Compliance nach. Den Kunden, die Workday Secure Credit Card Environment nutzen, kann Workday auf Anfrage eine Kopie des jährlichen Prüfberichts bereitstellen.

TRUSTe-zertifizierter Datenschutz

Enterprise Privacy & Data Governance-Zertifizierung von TRUSTe

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing

Workday nimmt am Enterprise Privacy & Data Governance Practices-Programm von TRUSTe teil.

Dieses Programm ermöglicht Unternehmen wie Workday den Nachweis, dass ihre Datenschutz- und Data-Governance-Praktiken für personenbezogene Daten bestimmte Standards auf der Basis anerkannter Gesetze sowie bestimmte regulatorische Standards erfüllen – einschließlich der Datenschutzleitlinien der OECD, des APEC Privacy Framework, der Datenschutz-Grundverordnung (DSGVO) der EU, des Health Insurance Portability and Accountability Act (HIPAA) der USA, der internationalen Norm ISO 27001 für Informationssicherheits-Managementsysteme sowie weiterer globaler Datenschutzgesetze und -vorschriften.

Siehe unseren TRUSTe-Zertifizierungsstatus.

Globus mit Schlosssymbol

SIG-Fragebogen

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Der SIG-Fragebogen (Standardized Information Gathering) beinhaltet eine branchenspezifische Zusammenstellung von Fragen zur Bewertung von Informationstechnologie- und Datensicherheit über ein breites Spektrum an Risikokontrollbereichen hinweg.

Herausgeber des SIG-Fragebogens ist Shared Assessments, eine globale Organisation, die unabhängige Risikobewertungen vornimmt. Workday führt jährlich auf Basis des SIG-Fragebogens eine Selbstbeurteilung durch, die unseren Kunden basierend auf einem standardisierten Fragenkatalog einen genauen Überblick über unsere Kontrollumgebung verschafft. Kunden können den SIG-Fragebogen in der Workday Community abrufen.

NIST

NIST CSF und NIST 800-171

Anwendbar auf: Workday Enterprise Products

Das NIST Cybersecurity Framework (CSF) gibt Unternehmen Leitlinien für eine bessere Prävention, Erkennung und Bewältigung von Cybersicherheitsrisiken vor. Das NIST Privacy Framework (PF) bietet Unternehmen Hilfestellungen zur Prüfung und Optimierung ihres Datenschutzprogramms. Der Standard NIST 800-171 bezieht sich auf den Schutz von kontrollierten nicht klassifizierten Informationen in nicht föderalen Informationssystemen und Organisationen.

Workday hat unsere maßgeblichen SOC 2-Kontrollen den Standards NIST CSF, NIST PF und NIST 800-171 zugeordnet. Dieser Abgleich wurde im Rahmen des SOC 2+-Berichts von Workday geprüft.

TRUSTe-zertifizierter Datenschutz

TrustArc und Privacy Shield

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing

Workday nimmt aktiv am Privacy Shield-Verifizierungsprogramm teil. Die Verifizierung von Workday für den Privacy Shield erfolgt über den unabhängigen Verifizierungsagenten TRUSTe.

Siehe unsere Privacy Shield-Zertifizierung.

EU Cloud COC

EU Cloud Code of Conduct

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning

Der EU Cloud Code of Conduct (CCoC) umfasst mehrere Rechtsinstrumente, durch die Cloud-Service-Anbieter ihre Einhaltung der DSGVO nachweisen können.

Verifizieren Sie die Workday-Zertifizierung.

HIPAA (Health Insurance Portability and Accountability Act)

HIPAA (HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT)

Anwendbar auf: Workday Enterprise Products

Workday hat eine unabhängige HIPAA-Bescheinigung für Workday Enterprise Products erhalten. Diese dient als Nachweis dafür, dass Workday über ein HIPAA-Konformitätsprogramm mit geeigneten Maßnahmen zur Speicherung, zum Zugriff und zur Weitergabe spezifischer medizinischer und personenbezogener Daten verfügt.

Workday stellt ein Whitepaper mit einer Zusammenfassung der Details zu dieser Bescheinigung zur Verfügung. Darüber hinaus schließt Workday bei Bedarf Geschäftspartnerverträge (Business Associate Agreements, BAAs) mit seinen Kunden ab. Durch diese Vereinbarungen wird sichergestellt, dass unsere Kunden ihre Anforderungen im Rahmen des HIPAA und des Health Information Technology for Economic and Clinical Health Act (HITECH) erfüllen können.

FedRAMP

FedRAMP Moderate

Anwendbar auf: Workday Enterprise Products

Das Federal Risk and Authorization Management Program, kurz FedRAMP, ist ein Programm der US-Regierung, das Bundesbehörden die Einbindung cloudbasierter Systeme in ihre IT-Umgebungen ermöglicht. FedRAMP bietet einen standardisierten Ansatz zur Sicherheits- und Risikobewertung für Cloud-Technologien und Bundesbehörden, um sicherzustellen, dass die Daten der Bundesbehörden in der Cloud kontinuierlich auf höchstem Niveau geschützt sind.

Workday verfügt über den Status „FedRAMP Authorized“ für die Auswirkungsebene „Moderate“ (moderate Auswirkungen auf die Sicherheit) für Workday Government Cloud.

Globus mit Schlosssymbol

G-Cloud

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Peakon Employee Voice

Das G-Cloud-Framework ist eine Vereinbarung zwischen der britischen Regierung und Anbietern cloudbasierter Services.

Durch G-Cloud können Anbieter cloudbasierter Services bei Organisationen des öffentlichen Sektors in Großbritannien für ihre Cloud-Services werben und diese bei entsprechender Akzeptanz verkaufen. Das G-Cloud-Framework wird jährlich von der zuständigen Regierungsbehörde Crown Commercial Services (CCS) aktualisiert.

Organisationen des öffentlichen Sektors in Großbritannien können zurzeit Workday-Services über den CCS Digital Marketplace erwerben.

Cyber Essentials

Cyber Essentials

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Cyber Essentials ist ein von der britischen Regierung gefördertes Programm zum Schutz von Unternehmen vor Sicherheitsbedrohungen, das grundlegende technische Kontrollmechanismen vorschreibt.

Siehe unser Cyber Essentials-Zertifikat.

irap

IRAP (Australien)

Anwendbar auf: Workday Enterprise Products

Die australische Regierung unterhält eine Sicherheitsdokumentation für die Nutzung von ICT Services, einschließlich Cloud-Services. Dies wird durch das Information Security Manual (ISM) und das Protective Security Policy Framework (PSPF) dargestellt. Das vom Australian Cyber Security Centre (ACSC) verwaltete Infosec Registered Assessors Program (IRAP) sieht vor, dass die Effektivität einer Organisation im Hinblick auf Kontrollen im ISM und PSPF von Gutachtern bewertet wird.

Workday beauftragt einen unabhängigen Gutachter mit einer IRAP-Prüfung, um die Eignung der Kontrollen im ISM und PSPF für Workday-Produktionsumgebungen auf der Stufe PROTECTED zu bestätigen.

Globus mit Schlosssymbol

CSA STAR-Selbstbeurteilung

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY

Bei der Security, Trust & Assurance Registry (STAR)-Selbstbeurteilung der Cloud Security Alliance (CSA) werden aktuelle Informationen zu Sicherheitsrisiken und -kontrollen in einem branchenüblichen Fragebogen (CSA STAR CAIQ, Consensus Assessments Initiative Questionnaire) zusammengefasst.

Workday führt auf Basis der CSA STAR CAIQ alle zwei Jahre eine Selbstbeurteilung durch, bei der sich unsere Kunden einen genauen Überblick über unsere Kontrollumgebung verschaffen können. Dieses Dokument bietet Workday-Kunden einen detaillierten Einblick in die Kontrollumgebung von Workday.

TISAX



TISAX

Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing

TISAX (Trusted Information Security Assessment Exchange) wird von der ENX Association im Auftrag des deutschen Verbands der Automobilindustrie verwaltet. Dieser Standard bietet der europäischen Automobilindustrie einen einheitlichen, standardisierten Ansatz für Informationssicherheitssysteme.

Die Prüfungsergebnisse sind im ENX Portal verfügbar.

Globus mit Schlosssymbol

CCCS CSP ITS Assessment

Anwendbar auf: Workday Enterprise Products

Das Canadian Centre for Cyber Security (CCCS) hat das Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program etabliert, um die Ministerien und Behörden der kanadischen Regierung bei der Bewertung von CSP-Services zu unterstützen. Das CCCS bietet Beratung und Anleitung zu den technischen, betrieblichen und prozessbezogenen ITS-Funktionen von CSP-Services. Bei der Bewertung wird ermittelt, ob die Sicherheitsprozesse und -kontrollen die vom Treasury Board of Canada Secretariat veröffentlichten GC Public Cloud-Sicherheitsanforderungen für Informationen und Services bis zu den Kategorien „Protected B“, „Medium Integrity“ und „Medium Availability“ (PB/M/M) erfüllen.


Steigern Sie Ihre Anpassungsfähigkeit

Sind Sie bereit für Veränderungen? Kontaktieren Sie uns.