LA SEGURIDAD DE WORKDAY
C¨®mo protegemos sus datos
Nos comprometemos a proteger sus datos y a una comunicaci¨®n transparente. Utilizamos medidas rigurosas para nuestro personal, nuestros procesos y nuestra tecnolog¨ªa, a fin de proteger sus datos, aplicaciones e infraestructura.
?
Personas dignas de confianza
La seguridad es responsabilidad de todos en Â鶹´«Ã½. Tanto los empleados como los clientes contribuyen a cumplir nuestros objetivos de seguridad. Por eso Â鶹´«Ã½ procura que todo el mundo reciba informaci¨®n, capacitaci¨®n y apoyo para priorizar la seguridad y utilizar las mejores pr¨¢cticas.
L¨ªderes y empleados
Los l¨ªderes priorizan la seguridad en todos los niveles de nuestra empresa. Todos los empleados tienen la responsabilidad de proteger los datos de nuestros clientes y reciben formaci¨®n sobre seguridad, privacidad y cumplimiento normativo desde que se incorporan a la empresa. Nuestro equipo de seguridad de la informaci¨®n proporciona formaci¨®n constante para minimizar los riesgos. Y los promotores de seguridad de Â鶹´«Ã½ propugnan las mejores pr¨¢cticas al respecto haciendo que los empleados se impliquen y disfruten.
Clientes
Nuestros clientes tienen pleno control de los datos que introducen en Â鶹´«Ã½, y tambi¨¦n de todos los ajustes y configuraciones. Â鶹´«Ã½ ofrece formaci¨®n, apoyo experto, documentaci¨®n detallada, comunicaci¨®n oportuna y una comunidad de usuarios que le ayudar¨¢n a proteger sus datos y sacar el m¨¢ximo provecho a nuestra robustas herramientas de seguridad.
"Con Â鶹´«Ã½ redujimos 262 sistemas a unas pocas aplicaciones generales, lo que nos permiti¨® aumentar la seguridad, mejorar la funcionalidad y avanzar gracias a la innovaci¨®n".
¡ªChief Information Officer
Procesos que protegen
Para proteger sus datos, Â鶹´«Ã½ cuenta con pol¨ªticas, procedimientos y procesos operativos detallados para nuestros centros de datos, redes y aplicaciones.
Las aplicaciones de Â鶹´«Ã½ est¨¢n alojadas en centros de datos de ¨²ltima generaci¨®n, dotados de subsistemas totalmente redundantes y zonas de seguridad compartimentadas. Los centros de datos cumplen estrictas medidas de seguridad f¨ªsicas y medioambientales. Las instalaciones requieren m¨²ltiples niveles de autenticaci¨®n para acceder a infraestructuras cr¨ªticas.
?
Los sistemas de c¨¢maras de vigilancia est¨¢n situados en los puntos de entrada internos y externos cr¨ªticos. Y el personal de seguridad vigila los centros de datos de forma ininterrumpida. Los centros de datos cuentan con medidas redundantes de protecci¨®n ambiental y sistemas de reserva para gestionar el consumo energ¨¦tico¡ªentre ellos sistemas de control de incendios, gesti¨®n de alimentaci¨®n, calefacci¨®n, ventilaci¨®n y aire acondicionado¡ª configurados con una redundancia m¨ªnima de N+1.
Protegemos nuestra red mediante pol¨ªticas, procedimientos y procesos de eficacia demostrada, como la defensa perimetral, la prevenci¨®n contra amenazas y herramientas de detecci¨®n que identifican patrones de red at¨ªpicos en el entorno del cliente y vigilan el tr¨¢fico entre niveles y servicios. Tambi¨¦n contamos con un centro de operaciones de seguridad global que funciona ininterrumpidamente todos los d¨ªas del a?o.
?
Las m¨²ltiples evaluaciones de vulnerabilidades externas realizadas por terceros analizan los activos expuestos en Internet, incluidos los firewalls, los routers y los servidores web que puedan permitir accesos no autorizados a la red. Adem¨¢s, utilizamos una evaluaci¨®n de la red y del sistema que busca vulnerabilidades internas de autenticaci¨®n, para identificar posibles puntos d¨¦biles e incoherencias con las pol¨ªticas de seguridad generales del sistema.
Cada uno de los pasos de desarrollo, prueba e implementaci¨®n de aplicaciones se ha dise?ado para proteger nuestros productos. Nuestros equipos de productos y tecnolog¨ªas utilizan el ciclo de vida de desarrollo de software seguro (SSDLC) para empresas, as¨ª como pr¨¢cticas DevSecOps de atribuci¨®n de responsabilidades. Nuestro proceso de desarrollo incluye una exhaustiva evaluaci¨®n de los riesgos de seguridad y la revisi¨®n de las funcionalidades de Â鶹´«Ã½. Los an¨¢lisis de c¨®digo fuente est¨¢ticos y din¨¢micos ayudan a integrar la seguridad empresarial en el ciclo de vida del desarrollo. El proceso de desarrollo se refuerza a¨²n m¨¢s con la formaci¨®n en seguridad de aplicaciones que reciben los desarrolladores y con las pruebas de penetraci¨®n de la aplicaci¨®n.
?
Antes de cada lanzamiento principal, una acreditada empresa externa de seguridad lleva a cabo una evaluaci¨®n de la seguridad de nuestra aplicaci¨®n web y m¨®vil, para detectar posibles vulnerabilidades. Esa empresa externa aplica procedimientos de control para identificar vulnerabilidades de seguridad de aplicaciones web est¨¢ndar y avanzadas.
°Õ±ð³¦²Ô´Ç±ô´Ç²µ¨ª²¹ hecha para ser segura
Nuestra tecnolog¨ªa, desde la arquitectura hasta las aplicaciones, da prioridad a la seguridad de sus datos y trata de satisfacer las necesidades de seguridad de nuestros clientes, incluidos los m¨¢s reticentes.
Utilizamos tecnolog¨ªas eficaces de cifrado para proteger los datos (tanto en reposo como en tr¨¢nsito) de los clientes. Â鶹´«Ã½ utiliza el algoritmo Advanced Encryption Standard (AES) con un tama?o de clave de 256 bits para el cifrado en reposo.
?
Transport Layer Security (TLS) protege el acceso del usuario a trav¨¦s de Internet, lo que contribuye a proteger el tr¨¢fico de red de la interceptaci¨®n pasiva, la manipulaci¨®n activa o la falsificaci¨®n de mensajes. Las integraciones basadas en archivos pueden cifrarse mediante PGP o con un par de claves p¨²blica y privada generado por Â鶹´«Ã½, usando un certificado generado por el cliente. Tambi¨¦n se admite WS-Security en las integraciones de servicios web realizadas en la API de Â鶹´«Ã½.
?
El servicio Key Management Service (KMS) de Â鶹´«Ã½ abarca todo el ciclo de vida de la gesti¨®n de claves criptogr¨¢ficas usadas para cifrar y descifrar datos en reposo del cliente. Los clientes disponen tambi¨¦n de la opci¨®n de implementar sus propias claves, para tener un control total de sus claves de cifrado ra¨ªz.
Â鶹´«Ã½ ofrece a auditores y administradores una amplia serie de informes que muestran c¨®mo utilizan los usuarios el entorno de Â鶹´«Ã½. El registro de auditor¨ªa, los registros de actividad de los usuarios y los informes de inicio de sesi¨®n son las funciones favoritas de los clientes y auditores de Â鶹´«Ã½. Â鶹´«Ã½ le permite supervisar todas sus transacciones de negocio y consultar f¨¢cilmente sus datos previos y los cambios de configuraci¨®n.
´¡³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®²Ô
Â鶹´«Ã½ dispone de procedimientos para autenticar a cada usuario o sistema que accede a la plataforma. Nuestros clientes pueden crear identidades de usuario final dentro de Â鶹´«Ã½ o integrarlas en Â鶹´«Ã½ desde sistemas externos, como Active Directory. El acceso de seguridad de Â鶹´«Ã½ est¨¢ basado en roles y admite SAML para inicio de sesi¨®n ¨²nico y autenticaci¨®n mediante certificados x509 para integraciones de usuario y servicios web.
?
Compatibilidad con inicio de sesi¨®n ¨²nico
SAML permite una experiencia de inicio de sesi¨®n ¨²nico fluida entre el portal web interno del cliente y Â鶹´«Ã½. Â鶹´«Ã½ tambi¨¦n admite OpenID Connect.
?
Inicio de sesi¨®n nativo de Â鶹´«Ã½
Nuestro inicio de sesi¨®n nativo para productos Â鶹´«Ã½ Enterprise solo almacena la contrase?a como hash seguro, no como contrase?a propiamente dicha. Todo intento de inicio de sesi¨®n fallido, as¨ª como toda actividad relacionada con los inicios y cierres de sesi¨®n correctos, se registra con fines de auditor¨ªa. Las sesiones de usuario inactivas caducan de forma autom¨¢tica despu¨¦s de un tiempo especificado, que puede configurar el usuario.
?
Entre las reglas de contrase?a que puede configurar el cliente se incluyen la longitud, la complejidad, la caducidad y las preguntas para recuperar una contrase?a olvidada.
?
Seguridad configurable
Su administrador de seguridad de Â鶹´«Ã½ puede controlar a qu¨¦ datos pueden acceder los usuarios y las acciones que pueden realizar en su entorno de cliente. Con herramientas como roles, grupos de seguridad y configuraciones de procesos de gesti¨®n, los administradores pueden implementar las pol¨ªticas de seguridad de su empresa y actualizarlas de manera progresiva.
Adquiera la capacidad de adaptarse