LA SICUREZZA IN WORKDAY

Come proteggiamo i tuoi dati

Ci impegniamo a proteggere i tuoi dati e a comunicare in modo trasparente. Adottiamo misure rigorose a livello di personale, processi e tecnologie per garantire la sicurezza dei tuoi dati, delle tue applicazioni e della tua infrastruttura.

 

''

Persone di cui ti puoi fidare

In Workday, la sicurezza è una responsabilità condivisa. I dipendenti e i clienti contribuiscono in egual misura al raggiungimento dei nostri obiettivi di sicurezza. Ecco perché Workday fa il possibile per fornire a tutti le informazioni, gli strumenti e il supporto di cui hanno bisogno per mettere la sicurezza al centro delle loro attività e applicare le best practice.

Leadership e dipendenti

La nostra leadership mette la sicurezza al primo posto a tutti i livelli aziendali. Tutti i Workmate sono responsabili della protezione dei dati dei clienti e fin dal primo giorno seguono corsi di formazione in materia di sicurezza, privacy e conformità. Il team di Information Security elabora continuamente corsi di formazione sulla sicurezza per minimizzare i rischi, mentre i Security Champion di Workday promuovono le best practice in materia di sicurezza attraverso l'employee engagement e il divertimento.

Clienti

I nostri clienti hanno il pieno controllo dei dati inseriti in Workday, oltre che delle impostazioni e configurazioni. Per aiutarti a proteggere i tuoi dati e a ottenere il massimo dai nostri potenti strumenti di sicurezza, Workday mette a disposizione formazione, supporto specializzato, una documentazione dettagliata, comunicazioni tempestive e una community di utenti.

"Con Workday, siamo passati da 262 sistemi a poche applicazioni versatili, riuscendo contemporaneamente a migliorare la sicurezza, ad acquisire nuove funzionalità e a portare avanti il nostro percorso di innovazione."

—Chief Information Officer

illustration-man-holding-lock-UI-elements

Processi di protezione

Per proteggere i tuoi dati, Workday ha definito una serie di politiche, procedure e processi operativi dettagliati per data center, rete e applicazioni.

Data center

Le applicazioni Workday sono ospitate in data center all'avanguardia con sottosistemi completamente ridondanti e zone di sicurezza compartimentalizzate. I data center aderiscono a rigorose misure di sicurezza fisica e ambientale. L'accesso all'infrastruttura critica richiede più livelli di autenticazione.

 

In corrispondenza dei punti di ingresso interni ed esterni critici sono stati attivati sistemi di videosorveglianza, mentre il personale addetto alla sicurezza monitora i data center 24 ore su 24, 7 giorni su 7. Nei data center sono stati implementati meccanismi di protezione ambientale e sistemi di gestione dell'alimentazione di emergenza ridondanti, tra cui sistemi antincendio, di gestione energetica e sistemi di riscaldamento, ventilazione e climatizzazione con ridondanza minima N+1.

Garantiamo la sicurezza della nostra rete mediante politiche, procedure e processi di efficacia comprovata, come strumenti di difesa del perimetro e di prevenzione e rilevamento delle minacce, che monitorano la rete per individuare schemi di comportamento atipici nell'ambiente del cliente e controllano il traffico tra livelli e servizi. Workday dispone inoltre di un Security Operations Center globale attivo tutti i giorni dell'anno, 24 ore su 24.

 

Molteplici valutazioni delle vulnerabilità esterne condotte da esperti terzi prevedono l'analisi di tutte le risorse esposte a Internet, tra cui firewall, router e web server al fine di individuare accessi non autorizzati. Inoltre, viene eseguita una valutazione autenticata delle vulnerabilità interne della rete e del sistema per individuare la presenza di potenziali punti deboli e incoerenze nei criteri di sicurezza generali del sistema.

Ogni fase del processo di sviluppo, test e distribuzione delle applicazioni è progettata per garantire la sicurezza dei nostri prodotti. I nostri team che si occupano di prodotti e tecnologia adottano un ciclo di sviluppo del software sicuro (SSDLC) e pratiche di sicurezza DevSecOps. Questo processo di sviluppo include un'approfondita valutazione dei rischi e la revisione delle funzionalità. Il codice sorgente viene sottoposto ad analisi di tipo statico e dinamico per facilitare l'integrazione della sicurezza aziendale nel ciclo di sviluppo. Speciali corsi di formazione sulla sicurezza destinati agli sviluppatori e test di penetrazione delle applicazioni contribuiscono a migliorare ulteriormente il processo di sviluppo.

 

Prima di ogni aggiornamento principale, collaboriamo con un'importante azienda esterna esperta di sicurezza per stimare le vulnerabilità in materia di sicurezza dell'applicazione mobile e Web. Le verifiche svolte dall'azienda esterna sono volte a individuare vulnerabilità standard e avanzate nell'applicazione Web.

''

Tecnologia pensata per la sicurezza

La nostra tecnologia, dall'architettura alle applicazioni, mette al primo posto la sicurezza dei dati e punta a soddisfare le esigenze di sicurezza di tutti i nostri clienti, compresi quelli meno propensi al rischio.

Crittografia dei dati

Usiamo potenti tecnologie di crittografia per proteggere i dati dei clienti, sia inattivi che in transito. Workday usa l'algoritmo AES (Advanced Encryption Standard) con una chiave a 256 bit per la crittografia per dati inattivi.

 

Il protocollo TLS (Transport Layer Security) protegge l'accesso tramite Internet degli utenti e il traffico di rete dall'ascolto indiscreto passivo, dalla manomissione attiva e dalla contraffazione dei messaggi. Le integrazioni basate su file possono essere crittografate tramite PGP o una coppia di chiavi pubblica/privata generata da Workday tramite un certificato generato dal cliente. La sicurezza può essere estesa alle integrazioni dei servizi Web con l'API Workday grazie a WS-Security.

 

Il sistema di gestione delle chiavi (KMS) supporta l'intero ciclo di vita delle chiavi di crittografia usate per crittografare e decrittografare i dati inattivi dei clienti. Inoltre, i clienti hanno la possibilità di implementare le proprie chiavi, per avere il pieno controllo delle chiavi di crittografia root.

Workday mette a disposizione di revisori e amministratori una vasta serie di report con cui tenere traccia dell'uso del tenant Workday da parte degli utenti. L'audit trail, i log di attività dell'utente e i report di accesso sono molto apprezzati dai clienti e dai revisori di Workday. Workday consente di monitorare tutte le transazioni aziendali e visualizzare in tutta semplicità i dati storici e le modifiche della configurazione.

Autenticazione

Workday dispone di procedure per l'autenticazione di ogni utente o sistema che accede alla piattaforma. Ai clienti è consentito creare o integrare identità di utente finale in Workday da sistemi esterni, come Active Directory. In Workday la sicurezza degli accessi è basata sull'assegnazione di ruoli e supporta SAML per il Single Sign-On e l'Autenticazione con certificato X.509 per le integrazioni con utenti e servizi Web.

 

Supporto Single-Sign-On

SAML assicura un'esperienza Single Sign-On fluida tra il portale Web interno del cliente e Workday. Workday supporta anche OpenID Connect.

 

Login nativo di Workday

Il login nativo per i prodotti enterprise di Workday memorizza la password solo sotto forma di hash sicuro. I login non riusciti e le attività di login/logout effettuate vengono acquisiti a scopo di audit. Le sessioni utente inattive scadono automaticamente dopo un determinato periodo di tempo configurabile dall'utente.

 

Le regole per le password, configurabili dai clienti, includono lunghezza, complessità, scadenza e risposte segrete in caso di password dimenticata.

 

Sicurezza configurabile

Gli amministratori della sicurezza Workday possono decidere cosa gli utenti possono visualizzare e fare all'interno del customer tenant. Grazie a strumenti quali i ruoli, i gruppi di sicurezza e le configurazioni dei processi aziendali, gli amministratori possono implementare i criteri di sicurezza dell'azienda e aggiornarli man mano che il business cresce.


Impara la capacità di adattamento

Sei pronto per il cambiamento? Contattaci