SICHERHEIT BEI WORKDAY
So schützen wir Ihre Daten
Wir verpflichten uns zum Schutz Ihrer Daten und zu einer transparenten Kommunikation. Mit strengen Maßnahmen im Hinblick auf Mitarbeiter, Prozesse und Technologien sichern wir Ihre Daten, Anwendungen und Infrastruktur ab.
Eine Belegschaft, auf die Verlass ist
Bei Workday ist Sicherheit eine Gemeinschaftsaufgabe. Mitarbeitende und Kunden leisten gleichermaßen ihren Beitrag, damit wir unsere Sicherheitsziele erreichen. Deshalb sorgt Workday dafür, dass alle informiert, motiviert und dabei unterstützt werden, der Sicherheit oberste Priorität einzuräumen und Best Practices anzuwenden.
Führungsteam und Mitarbeiter
Unser Führungsteam räumt Sicherheit auf jeder Unternehmensebene Priorität ein. Alle Workmates sind für den Schutz der Daten unserer Kunden verantwortlich und werden vom ersten Tag an in Sachen Sicherheit, Datenschutz und Compliance geschult. Unser engagiertes Team für Informationssicherheit bietet kontinuierliche Sicherheitsschulungen zur Risikominimierung, während die Workday Security Champions durch Förderung von Mitarbeiter-Engagement und Spaß bei der Arbeit für Best Practice-Sicherheitsverfahren werben.
Kunden
Unsere Kunden haben die vollständige Kontrolle über die Daten, die sie in Workday eingeben, sowie über alle Setup-Einstellungen und Konfigurationen. Workday bietet Training, spezialisierten Support, detaillierte Dokumentation, zeitnahe Kommunikation und eine Peer Community, die Ihnen hilft, Ihre Daten zu schützen und unsere zuverlässigen Sicherheitslösungen optimal zu nutzen.
„Mit Workday konnten wir 262 Systeme auf einige wenige übergreifende Anwendungen reduzieren und gleichzeitig die Sicherheit erhöhen, den Funktionsumfang erweitern und Innovationen voranbringen.“
– Chief Information Officer
Schützende Prozesse
Zum Schutz Ihrer Daten hat Workday detaillierte operative Richtlinien, Verfahren und Prozesse für unsere Rechenzentren, unser Netzwerk und unsere Anwendungen implementiert.
Die Workday-Anwendungen werden in hochmodernen Rechenzentren mit vollständig redundanten Teilsystemen und unterteilten Sicherheitszonen gehostet. Für die Rechenzentren gelten strenge Maßnahmen für die physische und Umgebungssicherheit. Die Einrichtungen erfordern mehrere Authentifizierungsstufen für den Zugang zu kritischer Infrastruktur.
Die kritischen internen und externen Zugangspunkte sind durch Kameraüberwachungssysteme geschützt und die Rechenzentren werden rund um die Uhr von Sicherheitspersonal überwacht. In den Rechenzentren sind redundante Maßnahmen zum Schutz der Umgebung und Backup-Stromversorgungssysteme, u. a. für Brandunterdrückung, Energiemanagement, Heizung, Lüftung und Klimatisierung, mit der Mindestredundanz N+1 implementiert.
Wir sichern unser Netzwerk durch bewährte Richtlinien, Verfahren und Prozesse, beispielsweise durch Perimeterschutz, Bedrohungsabwehr und Tools zur Erkennung von Bedrohungen, die sowohl die Kundenumgebung auf atypische Netzwerkmuster als auch den Datenverkehr zwischen den einzelnen Schichten und Services überwachen. Darüber hinaus betreiben wir ein weltweites Security Operations Center, das täglich rund um die Uhr im Einsatz ist.
In mehreren externen Schwachstellenanalysen, die von unabhängigen Testunternehmen durchgeführt werden, werden alle mit dem Internet verbundenen Assets, darunter Firewalls, Router und Webserver, auf unbefugten Zugriff untersucht. Zusätzlich führen wir eine authentifizierte interne Netzwerk- und Systemprüfung durch, um potenzielle Schwachstellen und Inkonsistenzen zu den allgemeinen Systemsicherheitsrichtlinien zu ermitteln.
Sei es Entwicklung, Test oder Deployment unserer Anwendungen – jeder Prozessschritt ist auf die Absicherung unserer Produkte ausgelegt. Unsere Produkt- und Technologieteams setzen den unternehmensweiten Secure Software Development Life Cycle- (SSDLC) sowie DevSecOps-Praktiken ein. Unser Entwicklungsprozess umfasst eine detaillierte Sicherheitsrisikobewertung und -prüfung der Workday-Funktionen. Statische und dynamische Quellcodeanalysen sorgen dafür, dass sich Unternehmenssicherheit leichter in den Entwicklungszyklus integrieren lässt. Zur weiteren Verbesserung des Entwicklungsprozesses werden Entwickler in puncto Anwendungssicherheit geschult und die Anwendung diversen Penetrationstests unterzogen.
Vor jedem größeren Release beauftragen wir ein führendes externes Sicherheitsunternehmen damit, eine Schwachstellenanalyse unserer Web- und Mobilanwendungen auf Anwendungsebene durchzuführen, um mögliche Sicherheitslücken aufzudecken. Dieses externe Unternehmen führt Testverfahren durch, um Sicherheitslücken bei der Standard- und erweiterten Webanwendung zu ermitteln.
Technologie mit integrierter Sicherheit
Von der Architektur bis zu den Anwendungen steht die Sicherheit Ihrer Daten bei unsere Technologie im Mittelpunkt. So erfüllen wir die Sicherheitsanforderungen unserer Kunden, auch solcher mit geringer Risikotoleranz.
Wir verwenden leistungsstarke Verschlüsselungstechnologien, um Kundendaten sowohl bei der Speicherung als auch der Übertragung zu schützen. Dabei setzt Workday zur Data-at-Rest-Verschlüsselung den AES-Algorithmus (Advanced Encryption Standard) mit einer Schlüssellänge von 256 Bit ein.
Transport Layer Security (TLS) schützt den Benutzerzugriff über das Internet, sodass der Netzwerkverkehr gegen passive Lauschangriffe, aktive Manipulationen oder Nachrichtenfälschungen geschützt ist. Dateibasierte Integrationen können via PGP oder durch ein von Workday generiertes öffentlich-privates Schlüsselpaar anhand eines kundenseitigen Zertifikats verschlüsselt werden. WS-Sicherheit wird auch für Webservices-Integrationen in die Workday-API unterstützt.
Der Workday Key Management Service (KMS) deckt das komplette Lebenszyklusmanagement für kryptografische Schlüssel ab, die zur Ver- und Entschlüsselung gespeicherter Kundendaten verwendet werden. Kunden haben außerdem die Möglichkeit, die „Bring Your Own Key“-Funktion zu implementieren, um die volle Kontrolle über ihre Root-Verschlüsselungsschlüssel zu behalten.
Workday stellt Auditoren und Administratoren eine umfangreiche Reihe von Berichten darüber bereit, wie ihre Anwender den Workday-Mandanten nutzen. Die Berichte zu Audit-Trails, Protokollen der Benutzeraktivität und Anmeldungen zählen zu den Favoriten von Workday-Kunden und Auditoren. Mit Workday können Sie alle Ihre Geschäftstransaktionen überwachen und Ihre historischen Daten und Konfigurationsänderungen mühelos anzeigen.
Authentifizierung
Workday verfügt über Verfahren zur Authentifizierung aller Anwender und Systeme, die auf die Plattform zugreifen. Mit Workday können Kunden Endanwender-Identitäten in Workday erstellen oder aus externen Systemen wie Active Directory in Workday integrieren. Der Sicherheitszugriff bei Workday ist rollenbasiert. Er unterstützt SAML für einmaliges Anmelden (Single Sign-On) und X.509-Zertifikatauthentifizierung sowohl für Anwender- als auch für Webservices-Integrationen.
Single Sign-On
SAML ermöglicht eine nahtlose Single-Sign-On-Interaktion zwischen dem internen Webportal des Kunden und Workday. Workday unterstützt auch OpenID Connect.
Systemeigene Workday-Anmeldung
Bei der systemeigenen Anmeldung bei Workday-Unternehmensprodukten wird das Kennwort nur in Form eines sicheren Hashwerts anstelle des Kennworts selbst gespeichert. Erfolglose Anmeldeversuche und erfolgreiche Anmelde-/Abmeldeaktivitäten werden zu Audit-Zwecken protokolliert. Inaktive Anwendersitzungen werden nach einer bestimmten Zeit automatisch beendet. Die Zeit kann vom Kunden nach Anwender konfiguriert werden.
Zu den kundenseitig konfigurierbaren Kennwortregeln gehören Länge, Komplexität, Laufzeit und Sicherheitsfragen, wenn das Kennwort vergessen wurde.
Konfigurierbares Sicherheitsmodell
Ihr Workday-Sicherheitsadministrator kann steuern, worauf Datenanwender Zugriff haben und welche Aktionen sie in Ihrem Kunden-Mandanten ausführen können. Mit Tools wie Rollen, Sicherheitsgruppen und Geschäftsprozesskonfigurationen können Administratoren die Sicherheitsrichtlinien Ihres Unternehmens implementieren und sie in Skalierungsphasen aktualisieren.
Steigern Sie Ihre Anpassungsfähigkeit