CUMPLIMIENTO NORMATIVO DE WORKDAY
Nuestro programa de cumplimiento normativo
Nuestro estricto programa de cumplimiento normativo consta de auditorías de terceros y certificaciones internacionales destinadas a garantizar la seguridad y la privacidad de los datos, ofrecer protección frente a amenazas contra la seguridad o vulneraciones de datos, e impedir el acceso no autorizado a los datos.
Recursos de cumplimiento normativo para su empresa
SOC 1
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday VNDLY
Los informes de Control de organizaciones de servicios (SOC 1) proporcionan información sobre el entorno de control de una organización de servicios que puede ser pertinente para los controles internos del cliente sobre los informes financieros.
Nuestro informe SOC 1 Tipo II se publica de acuerdo con la Norma Internacional sobre Contratos de Aseguramiento (ISAE) 3402 (Informes de aseguramiento sobre los controles en las organizaciones de servicios). El informe SOC 1 abarca el diseño y la eficacia operativa de los controles relevantes para las aplicaciones cloud de Workday.
SOC 2
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
El informe SOC 2 Tipo II es una evaluación independiente de nuestro entorno de control realizada por un tercero.
El informe SOC 2 se basa en los Criterios de Servicios de Confianza del AICPA y se publica anualmente de acuerdo con la AT Sección 101 del AICPA (Compromisos de atestación). El informe SOC 2 detalla el diseño y la eficacia operativa de los controles relevantes para cualquier sistema que contenga datos de clientes incluidos en las aplicaciones de Workday. El informe SOC 2 de productos Workday Enterprise cubre todos los Criterios de Servicios de Confianza (seguridad, disponibilidad, confidencialidad, integridad del tratamiento y privacidad). Además, el informe cubre el Cybersecurity Framework del NIST y la publicación especial 800-171 del NIST incluidos en el proceso SOC 2+ Additional Subject Matter, que incluye un estudio auditado de los controles de Workday en referencia a estos marcos.
SOC 3
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
El Instituto Americano de Contables Públicos Certificados (AICPA) ha desarrollado el marco SOC 3 para salvaguardar la confidencialidad y la privacidad de la información almacenada y tratada en las plataformas cloud.
El informe SOC 3, una evaluación independiente de nuestro entorno de control realizada por un tercero, está disponible públicamente y proporciona un resumen de nuestro entorno de control con respecto a la seguridad, la disponibilidad, la confidencialidad, la integridad del tratamiento y la privacidad de los datos de los clientes.
Vea nuestro informe SOC 3 para productos Workday Enterprise.
Vea nuestro informe SOC 3 para Workday Adaptive Planning.
Vea nuestro informe SOC 3 para Workday Peakon Employee Voice.
Vea nuestro informe SOC 3 para Workday Strategic Sourcing.
ISO 27001
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday VNDLY
Nuestro Sistema de Gestión de la Seguridad de la Información (SGSI) cumple los requisitos establecidos en esta estrategia sobre seguridad basada en estándares y reconocida internacionalmente.
Vea nuestro certificado ISO 27001 consolidado para productos Workday Enterprise, Workday Adaptive Planning y Workday Strategic Sourcing.
Vea nuestro certificado ISO 27001 para VNDLY.
ISO 27017
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
El estándar proporciona orientaciones sobre controles e implementación relativas a los controles de seguridad de la información aplicables a la prestación y el uso de servicios cloud.
Vea nuestro certificado ISO 27017 consolidado para productos Workday Enterprise y Workday Adaptive Planning.
ISO 27018
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday VNDLY
Este estándar contiene pautas aplicables a los proveedores de servicios cloud que tratan datos personales.
Vea nuestro certificado ISO 27018 consolidado para productos Workday Enterprise y Workday Adaptive Planning.
Vea nuestro certificado ISO 27018 para VNDLY.
ISO 27701
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
Este estándar establece los requisitos y las directrices para la implementación y la mejora continua del sistema Privacy Information Management System (PIMS) en una empresa, como ampliación de ISO/IEC 27001.
Vea nuestro certificado ISO 27701 consolidado para productos Workday Enterprise y Workday Adaptive Planning.
PCI DSS
Aplicable a: productos Workday Enterprise
Workday permite el cumplimiento del PCI DSS dentro del ámbito del entorno seguro para tarjetas de crédito de Workday, que es un entorno aislado que almacena, trata y transmite datos desenmascarados de titulares de tarjetas mediante integraciones predefinidas.
Este entorno lo evalúan anualmente Asesores de Seguridad Cualificados para comprobar que cumple los requisitos del PCI DSS. Workday ha mantenido el cumplimiento del PCI DSS desde 2013. Workday puede proporcionar a los clientes que usan el entorno seguro para tarjetas de crédito de Workday una copia del informe de evaluación anual, si la solicitan.
Certificación TRUSTe de privacidad empresarial y gobierno de datos
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing
Workday participa en el programa de prácticas de privacidad empresarial y gobierno de datos TRUSTe.
Este programa está diseñado para que empresas como Workday puedan demostrar que sus prácticas de privacidad y gobierno de datos relativas a la información personal cumplen con estándares basados en leyes y normativas reglamentarias reconocidas, entre ellas las directrices de privacidad de la OCDE, el marco de privacidad APEC, el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de EE. UU., la norma internacional ISO 27001 sobre sistemas de gestión de la seguridad de la información y otras leyes y reglas de privacidad internacionales.
Vea nuestra certificación de TRUSTe.
Cuestionario SIG
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
El cuestionario SIG (Standardized Information Gathering), estándar del sector, compila preguntas que se utilizan para evaluar la tecnología de la información y la seguridad de los datos que abarcan un amplio abanico de áreas de control de riesgos.
Su emisión corre a cargo de Shared Assessments, una empresa internacional de seguros de riesgos de terceros. Workday se autoevalúa anualmente de acuerdo con el SIG, lo que proporciona a los clientes una visión detallada de nuestro entorno de control con relación a una serie de requerimientos estandarizados. Los clientes pueden acceder al cuestionario SIG en la Comunidad Workday.
CSF del NIST y publicación especial 800-171 del NIST
Aplicable a: productos Workday Enterprise
El Cybersecurity Framework (CSF) del NIST proporciona orientación a las empresas sobre cómo mejorar sus capacidades a la hora de prevenir y detectar riesgos de ciberseguridad y responder a ellos. El marco de privacidad del NIST ofrece asesoramiento para medir y mejorar el programa de privacidad de una empresa. El estándar de la publicación especial 800-171 del NIST guarda relación con la protección de información no clasificada controlada en organizaciones y sistemas de información no federales.
Workday ha vinculado los controles SOC 2 pertinentes a los estándares del CSF del NIST, PF del NIST y la publicación especial NIST 800-171. Esa vinculación se ha auditado como parte del informe de Workday SOC 2+.
TrustArc y Privacy Shield
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing
Workday es un participante activo en Privacy Shield. TRUSTe es el agente de verificación externo de Workday en Privacy Shield.
Vea nuestra certificación de Privacy Shield.
Código de conducta en la nube de la UE
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning
El Cloud Code of Conduct (CCoC) de la UE estipula los requisitos que permiten a los proveedores de servicios cloud (CSP) demostrar su capacidad de cumplir el Reglamento General de Protección de Datos (RGPD).
Verifique la certificación de Workday.
HIPAA
Aplicable a: productos Workday Enterprise
Workday ha adquirido una certificación externa sobre la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en relación con los productos Workday Enterprise, lo que garantiza que Workday cuenta con un programa de cumplimiento de la HIPAA con medidas adecuadas para guardar información personal y médica individual, acceder a ella y compartirla.
Workday ofrece un whitepaper en el que se resumen los detalles de esta evaluación. Además, Workday firmará acuerdos de socios comerciales (BAA, por sus siglas en inglés) con los clientes cuando así se requiera. Estos acuerdos garantizan que nuestros clientes pueden cumplir los requisitos de la HIPAA y la Health Information Technology for Economic and Clinical Health Act (HITECH).
FedRAMP de nivel moderado
Aplicable a: productos Workday Enterprise
El Federal Risk and Authorization Management Program (FedRAMP) es un programa del gobierno estadounidense que permite a las agencias federales del país adoptar sistemas cloud en sus entornos de TI. FedRAMP ofrece un enfoque estandarizado en lo relativo a la seguridad y la evaluación de riesgos, para que las tecnologías cloud y las agencias federales garanticen que los datos federales están continuamente protegidos al más alto nivel en cloud.
Workday cuenta con la autorización de FedRAMP a nivel de impacto de seguridad moderado para Workday Government Cloud.
G-Cloud
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Peakon Employee Voice
El marco G-Cloud es un acuerdo entre el gobierno del Reino Unido y los proveedores de servicios basados en tecnología cloud.
G-Cloud permite a los proveedores de servicios basados en tecnología cloud ofrecer sus servicios cloud a organizaciones del sector público del Reino Unido y, una vez aceptada la oferta, vendérselos. El marco G-Cloud lo actualiza anualmente el órgano rector, Crown Commercial Service (CCS).
Actualmente, las organizaciones del sector público del Reino Unido pueden comprar los servicios ofertados por Workday a través del Digital Marketplace de CCS.
Cyber Essentials
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
Cyber Essentials es un programa gubernamental británico para ayudar a las empresas a protegerse contra las amenazas a la ciberseguridad mediante controles técnicos básicos.
Vea nuestro certificado de Cyber Essentials.
IRAP (Australia)
Aplicable a: productos Workday Enterprise
El gobierno australiano mantiene documentación de seguridad relativa al uso de servicios de tecnología de la información y comunicaciones, entre ellos servicios cloud. La información figura en el Information Security Manual (ISM) y el Protective Security Policy Framework (PSPF). El Infosec Registered Assessors Program (IRAP), mantenido por el Australian Cyber Security Centre (ACSC), permite que asesores individuales comprueben la eficiencia de una empresa, basada en los controles del ISM y el PSPF.
Workday utiliza un asesor de terceros para realizar una evaluación IRAP de la idoneidad de los controles en el ISM y el PSPF con relación a los entornos de producción de Workday en el nivel protegido.
Autoevaluación para el STAR de CSA
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing, Workday Peakon Employee Voice, Workday VNDLY
La autoevaluación mediante el cuestionario de la iniciativa de evaluación de consenso para el registro de seguridad, confianza y garantía (STAR) de Cloud Security Alliance (CSA) consolida la información actual sobre controles y riesgos de seguridad en un cuestionario estándar del sector (CAIQ del STAR de CSA).
Workday se autoevalúa de acuerdo con el CAIQ del STAR de CSA cada dos años, lo que proporciona a los clientes una visión detallada de su entorno de control. Este documento proporciona a los clientes de Workday una visión detallada del entorno de control de Workday.
TISAX
Aplicable a: productos Workday Enterprise, Workday Adaptive Planning, Workday Strategic Sourcing
El Trusted Information Security Assessment Exchange (TISAX) lo administra la ENX Association en nombre de la asociación del sector automotriz alemán. Esta norma ofrece al sector automotriz europeo una estrategia uniforme y estandarizada en lo relativo a los sistemas de seguridad.
Resultado disponible en el Portal de ENX.
Evaluación CSP ITS del CCCS
Aplicable a: productos Workday Enterprise
El Canadian Centre for Cyber Security (CCCS) estableció el programa de evaluación Cloud Service Provider (CSP) Information Technology Security (ITS) para ayudar a los departamentos y agencias gubernamentales canadienses a evaluar los servicios CSP. El CCCS proporciona asesoramiento sobre las capacidades técnicas, operativas y de procedimientos de los proveedores CSP. La evaluación determina si los procesos y controles de seguridad cumplen los requisitos de entornos cloud públicos del gobierno canadiense para información y servicios, a niveles Protected B, Medium Integrity y Medium (PB/M/M) conforme a lo publicado por el Treasury Board of Canada Secretariat.
Adquiera la capacidad de adaptarse