WORKDAY COMPLIANCE
Unser Compliance-Programm
Unser strenges Compliance-Programm umfasst Audits und internationale Zertifizierungen durch Drittanbieter, um Datensicherheit und Datenschutz zu gewährleisten, vor Sicherheitsbedrohungen oder Datenschutzverletzungen zu schützen und den unbefugten Zugriff auf Ihre Daten zu verhindern.
Compliance-Ressourcen für Ihr Unternehmen
SOC 1
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday VNDLY
Service Organisation Control 1 (SOC 1)-Berichte enthalten Informationen zur Kontrollumgebung eines Dienstleisters, die für die internen Kontrollen des Kunden hinsichtlich Finanzreporting von Bedeutung sein können.
Unser SOC 1-Bericht wird gemäß dem internationalen Prüfungsstandard für interne Kontrollsysteme ISAE 3402 (International Standard on Assurance Engagements No. 3402) ausgestellt. Der SOC 1-Bericht befasst sich mit der Gestaltung und operativen Wirksamkeit von Kontrollen hinsichtlich der Enterprise-Cloud-Anwendungen von Workday.
SOC 2
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
Beim SOC 2 Typ II-Bericht handelt es sich um eine unabhängige, von einem Drittanbieter durchgeführte Beurteilung unserer Kontrollumgebung.
Der SOC 2-Bericht basiert auf den Trust Services Criteria des American Institute of Certified Public Accountants (AICPA) und wird jährlich in Übereinstimmung mit den in AT Section 101 (Attest Engagements) des AICPA festgelegten Richtlinien herausgegeben. Der SOC 2-Bericht erläutert die Gestaltung und betriebliche Wirksamkeit von Kontrollen hinsichtlich aller Lösungen, die als Teil der Workday-Anwendungen Kundendaten enthalten. Der SOC 2-Bericht von Workday Enterprise Products berücksichtigt sämtliche Trust Services Criteria (Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz). Darüber hinaus bezieht sich der Bericht auf das NIST Cybersecurity Framework und NIST 800-171 als Teil des SOC 2+ Additional Subject Matter-Prozesses. Dieser umfasst eine geprüfte Zuordnung der Workday-Kontrollen in Bezug auf diese Frameworks.
SOC 3
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Das American Institute of Certified Public Accountants (AICPA) hat das SOC 3-Framework entwickelt, um die Vertraulichkeit und den Datenschutz von in der Cloud gespeicherten und verarbeiteten Informationen sicherzustellen.
Der SOC 3-Bericht, eine unabhängige, von einem Drittanbieter durchgeführte Beurteilung unserer Kontrollumgebung, ist öffentlich verfügbar und enthält eine Übersicht über unsere Kontrollumgebung, die für die Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und den Datenschutz von Kundendaten maßgeblich ist.
Siehe unseren SOC 3-Bericht für Workday Enterprise Products.
Siehe unseren SOC 3-Bericht für Workday Adaptive Planning.
Siehe unseren SOC 3-Bericht für Workday Peakon Employee Voice.
Siehe unseren SOC 3-Bericht für Workday Strategic Sourcing.
ISO 27001
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY
Unser Information Security Management System (ISMS) erfüllt die Anforderungen dieses international anerkannten, normenbasierten Sicherheitsansatzes.
Siehe unser konsolidiertes ISO 27001-Zertifikat für Workday Enterprise Products, Workday Adaptive Planning und Workday Strategic Sourcing.
Siehe unser ISO 27001-Zertifikat für VNDLY.
ISO 27017
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Diese Norm liefert Kontrollen und Implementierungsleitlinien für Informationssicherheitskontrollen bei der Bereitstellung und Nutzung von Cloud-Services.
Siehe unser konsolidiertes ISO 27017-Zertifikat für Workday Enterprise Products und Workday Adaptive Planning.
ISO 27018
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday VNDLY
Diese Norm beschreibt Leitlinien für Cloud-Services-Anbieter, die personenbezogene Daten verarbeiten.
Siehe unser konsolidiertes ISO 27018-Zertifikat für Workday Enterprise Products und Workday Adaptive Planning.
Siehe unser ISO 27018-Zertifikat für VNDLY.
ISO 27701
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Diese Norm ist eine Erweiterung der ISO/IEC 27001 und spezifiziert die Bedingungen und Leitlinien für die Implementierung und kontinuierliche Verbesserung von Informationssicherheits-Managementsystemen (PIMS) im Unternehmen.
Siehe unser konsolidiertes ISO 27701-Zertifikat für Workday Enterprise Products und Workday Adaptive Planning.
PCI DSS
Anwendbar auf: Workday Enterprise Products
Workday unterstützt die PCI DSS-Compliance im Rahmen des Workday Secure Credit Card Environment. In dieser isolierten Umgebung werden unmaskierte Karteninhaberdaten durch vordefinierte Integrationen gespeichert, verarbeitet und übertragen.
Diese Umgebung wird jährlich von qualifizierten Sicherheitsgutachtern (Qualified Security Assessors) auf die Erfüllung der aktuellen PCI DSS-Anforderungen untersucht. Workday weist seit 2013 seine PCI DSS-Compliance nach. Den Kunden, die Workday Secure Credit Card Environment nutzen, kann Workday auf Anfrage eine Kopie des jährlichen Prüfberichts bereitstellen.
Enterprise Privacy & Data Governance-Zertifizierung von TRUSTe
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing
Workday nimmt am Enterprise Privacy & Data Governance Practices-Programm von TRUSTe teil.
Dieses Programm ermöglicht Unternehmen wie Workday den Nachweis, dass ihre Datenschutz- und Data-Governance-Praktiken für personenbezogene Daten bestimmte Standards auf der Basis anerkannter Gesetze sowie bestimmte regulatorische Standards erfüllen – einschließlich der Datenschutzleitlinien der OECD, des APEC Privacy Framework, der Datenschutz-Grundverordnung (DSGVO) der EU, des Health Insurance Portability and Accountability Act (HIPAA) der USA, der internationalen Norm ISO 27001 für Informationssicherheits-Managementsysteme sowie weiterer globaler Datenschutzgesetze und -vorschriften.
Siehe unseren TRUSTe-Zertifizierungsstatus.
SIG-Fragebogen
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
Der SIG-Fragebogen (Standardized Information Gathering) beinhaltet eine branchenspezifische Zusammenstellung von Fragen zur Bewertung von Informationstechnologie- und Datensicherheit über ein breites Spektrum an Risikokontrollbereichen hinweg.
Herausgeber des SIG-Fragebogens ist Shared Assessments, eine globale Organisation, die unabhängige Risikobewertungen vornimmt. Workday führt jährlich auf Basis des SIG-Fragebogens eine Selbstbeurteilung durch, die unseren Kunden basierend auf einem standardisierten Fragenkatalog einen genauen Überblick über unsere Kontrollumgebung verschafft. Kunden können den SIG-Fragebogen in der Workday Community abrufen.
NIST CSF und NIST 800-171
Anwendbar auf: Workday Enterprise Products
Das NIST Cybersecurity Framework (CSF) gibt Unternehmen Leitlinien für eine bessere Prävention, Erkennung und Bewältigung von Cybersicherheitsrisiken vor. Das NIST Privacy Framework (PF) bietet Unternehmen Hilfestellungen zur Prüfung und Optimierung ihres Datenschutzprogramms. Der Standard NIST 800-171 bezieht sich auf den Schutz von kontrollierten nicht klassifizierten Informationen in nicht föderalen Informationssystemen und Organisationen.
Workday hat unsere maßgeblichen SOC 2-Kontrollen den Standards NIST CSF, NIST PF und NIST 800-171 zugeordnet. Dieser Abgleich wurde im Rahmen des SOC 2+-Berichts von Workday geprüft.
TrustArc und Privacy Shield
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing
Workday nimmt aktiv am Privacy Shield-Verifizierungsprogramm teil. Die Verifizierung von Workday für den Privacy Shield erfolgt über den unabhängigen Verifizierungsagenten TRUSTe.
Siehe unsere Privacy Shield-Zertifizierung.
EU Cloud Code of Conduct
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning
Der EU Cloud Code of Conduct (CCoC) umfasst mehrere Rechtsinstrumente, durch die Cloud-Service-Anbieter ihre Einhaltung der DSGVO nachweisen können.
Verifizieren Sie die Workday-Zertifizierung.
HIPAA (HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT)
Anwendbar auf: Workday Enterprise Products
Workday hat eine unabhängige HIPAA-Bescheinigung für Workday Enterprise Products erhalten. Diese dient als Nachweis dafür, dass Workday über ein HIPAA-Konformitätsprogramm mit geeigneten Maßnahmen zur Speicherung, zum Zugriff und zur Weitergabe spezifischer medizinischer und personenbezogener Daten verfügt.
Workday stellt ein Whitepaper mit einer Zusammenfassung der Details zu dieser Bescheinigung zur Verfügung. Darüber hinaus schließt Workday bei Bedarf Geschäftspartnerverträge (Business Associate Agreements, BAAs) mit seinen Kunden ab. Durch diese Vereinbarungen wird sichergestellt, dass unsere Kunden ihre Anforderungen im Rahmen des HIPAA und des Health Information Technology for Economic and Clinical Health Act (HITECH) erfüllen können.
FedRAMP Moderate
Anwendbar auf: Workday Enterprise Products
Das Federal Risk and Authorization Management Program, kurz FedRAMP, ist ein Programm der US-Regierung, das Bundesbehörden die Einbindung cloudbasierter Systeme in ihre IT-Umgebungen ermöglicht. FedRAMP bietet einen standardisierten Ansatz zur Sicherheits- und Risikobewertung für Cloud-Technologien und Bundesbehörden, um sicherzustellen, dass die Daten der Bundesbehörden in der Cloud kontinuierlich auf höchstem Niveau geschützt sind.
Workday verfügt über den Status „FedRAMP Authorized“ für die Auswirkungsebene „Moderate“ (moderate Auswirkungen auf die Sicherheit) für Workday Government Cloud.
G-Cloud
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Peakon Employee Voice
Das G-Cloud-Framework ist eine Vereinbarung zwischen der britischen Regierung und Anbietern cloudbasierter Services.
Durch G-Cloud können Anbieter cloudbasierter Services bei Organisationen des öffentlichen Sektors in Großbritannien für ihre Cloud-Services werben und diese bei entsprechender Akzeptanz verkaufen. Das G-Cloud-Framework wird jährlich von der zuständigen Regierungsbehörde Crown Commercial Services (CCS) aktualisiert.
Organisationen des öffentlichen Sektors in Großbritannien können zurzeit Workday-Services über den CCS Digital Marketplace erwerben.
Cyber Essentials
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
Cyber Essentials ist ein von der britischen Regierung gefördertes Programm zum Schutz von Unternehmen vor Sicherheitsbedrohungen, das grundlegende technische Kontrollmechanismen vorschreibt.
Siehe unser Cyber Essentials-Zertifikat.
IRAP (Australien)
Anwendbar auf: Workday Enterprise Products
Die australische Regierung unterhält eine Sicherheitsdokumentation für die Nutzung von ICT Services, einschließlich Cloud-Services. Dies wird durch das Information Security Manual (ISM) und das Protective Security Policy Framework (PSPF) dargestellt. Das vom Australian Cyber Security Centre (ACSC) verwaltete Infosec Registered Assessors Program (IRAP) sieht vor, dass die Effektivität einer Organisation im Hinblick auf Kontrollen im ISM und PSPF von Gutachtern bewertet wird.
Workday beauftragt einen unabhängigen Gutachter mit einer IRAP-Prüfung, um die Eignung der Kontrollen im ISM und PSPF für Workday-Produktionsumgebungen auf der Stufe PROTECTED zu bestätigen.
CSA STAR-Selbstbeurteilung
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
Bei der Security, Trust & Assurance Registry (STAR)-Selbstbeurteilung der Cloud Security Alliance (CSA) werden aktuelle Informationen zu Sicherheitsrisiken und -kontrollen in einem branchenüblichen Fragebogen (CSA STAR CAIQ, Consensus Assessments Initiative Questionnaire) zusammengefasst.
Workday führt auf Basis der CSA STAR CAIQ alle zwei Jahre eine Selbstbeurteilung durch, bei der sich unsere Kunden einen genauen Überblick über unsere Kontrollumgebung verschaffen können. Dieses Dokument bietet Workday-Kunden einen detaillierten Einblick in die Kontrollumgebung von Workday.
TISAX
Anwendbar auf: Workday Enterprise Products, Workday Adaptive Planning, Workday Strategic Sourcing
TISAX (Trusted Information Security Assessment Exchange) wird von der ENX Association im Auftrag des deutschen Verbands der Automobilindustrie verwaltet. Dieser Standard bietet der europäischen Automobilindustrie einen einheitlichen, standardisierten Ansatz für Informationssicherheitssysteme.
Die Prüfungsergebnisse sind im ENX Portal verfügbar.
CCCS CSP ITS Assessment
Anwendbar auf: Workday Enterprise Products
Das Canadian Centre for Cyber Security (CCCS) hat das Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program etabliert, um die Ministerien und Behörden der kanadischen Regierung bei der Bewertung von CSP-Services zu unterstützen. Das CCCS bietet Beratung und Anleitung zu den technischen, betrieblichen und prozessbezogenen ITS-Funktionen von CSP-Services. Bei der Bewertung wird ermittelt, ob die Sicherheitsprozesse und -kontrollen die vom Treasury Board of Canada Secretariat veröffentlichten GC Public Cloud-Sicherheitsanforderungen für Informationen und Services bis zu den Kategorien „Protected B“, „Medium Integrity“ und „Medium Availability“ (PB/M/M) erfüllen.
Steigern Sie Ihre Anpassungsfähigkeit