Direkt zum Hauptinhalt

Sicherheit ohne Kompromisse

Sicherheit und Datenschutz auf höchstem Niveau.

Workiva sorgt mit einer Vielzahl an Maßnahmen für ein Höchstmaß an Datensicherheit und Datenschutz.

Main Spreadsheet 139720 AICPA SOC 2 AICPA SOC 1 Type II ISO 27001 GDPR **********

Unser Compliance-Selbstverständnis

 

Compliance-Logos

Compliance-Zertifizierungen und Mitgliedschaften

SOC 1 Typ II

Die SOC-Berichte zeigen und belegen, dass Workiva als Hoster und Verarbeiter von Kundendaten konsistente und verlässliche Sicherheitsmaßnahmen und -kontrollen einsetzt.

Um den spezifischen Anforderungen der Kunden zum Jahresende gerecht zu werden, bietet Workiva SOC 1-Berichte mit unterschiedlichen Kontrollzeiträumen an.

SOC 2 Typ II Workiva SOC 2 Typ II deckt auch die HIPAA-Kontrollen ab, ist uneingeschränkt und hat einen Berichtszeitraum von November bis Oktober.
ISO/IEC 27001:2013

Workiva ist nach ISO/IEC 27001:2013 zertifiziert.

FedRAMP Moderate

Im Rahmen des Federal Risk and Authorization Management Program hat Workiva FedRAMP Moderate erreicht.

 

HIPAA Workiva ermöglicht es Unternehmen, die dem Health Insurance Portability and Accountability Act von 1996 (HIPAA) in den USA unterliegen, die Cloud-Produktivitätsplattform von Workiva zu nutzen, um Risiken zu minimieren, die Produktivität zu steigern und den Nutzern Vertrauen in datengesteuerte Entscheidungen zu geben.

 

Cloud Security Alliance

Die Cloud Security Alliance (CSA) ist die weltweit führende Organisation, die sich der Definition und Sensibilisierung von Best Practices widmet, um eine sichere Cloud-Computing-Umgebung zu gewährleisten.

 

Datenschutzrichtlinien

Workiva hat eine veröffentlichte Datenschutzrichtlinie mit einer TRUSTe-Zertifizierung und einem Privacy Shield. Erfahren Sie mehr über Datenschutz bei Workiva.

Für weitere Informationen über die Datenschutzrichtlinie von Workiva besuchen Sie bitte unsere Website:

Cloud-Sicherheit

Einrichtungen

Kundendaten werden in sicheren Einrichtungen, auf sicheren Servern und in sicheren Anwendungen gespeichert. Die Workiva-Bürostandorte haben keine Datenzentren oder Zugang zu Datenzentren. Workiva unterhält ein angemessenes Sicherheitspersonal für die Einrichtungen. Die Workiva-Bürostandorte sind zugangsbeschränkte Einrichtungen mit entsprechendem Türzugang. Für das Betreten und Verlassen des Gebäudes ist ein Ausweis erforderlich, für den Zugang zu den Sicherheitsbereichen ist eine zusätzliche Zutrittsberechtigung erforderlich. Besucher müssen sich anmelden, eine Vertraulichkeitserklärung unterschreiben und werden in die sicheren Zugangsbereiche begleitet. Kameras überwachen die Bürostandorte. Für Sperrbereiche gibt es zusätzliche Kontrollen, wie z. B. die sichere Handhabung von Dokumenten, einen Bildschirmschutz, der das Schulter-Surfen verhindert, und zusätzliche Zugangsausweise. Räume, in denen Telekommunikations- und Netzwerkgeräte aufbewahrt werden, sind verriegelt und alarmgesichert.

Workiva ist Partnerschaften mit Google und Amazon für Infrastruktur- und Cloud-Dienste eingegangen. Workiva läuft auf der Google App Engine (GAE), die gemeinhin als PaaS (Platform as a Service) bezeichnet wird. Workiva nutzt Amazons Web Services (AWS) für IaaS (Infrastructure as a Service).

Standort des Daten-Hostings Um die Einhaltung der Vorschriften für die Daten unserer Kunden zu gewährleisten, bietet die Workiva-Plattform drei verschiedene physische Datenspeicherorte. Rechenzentrumsstandorte im asiatisch-pazifischen Raum, in Nordamerika und Europa.

 

Dediziertes Sicherheitsteam Workiva hat ein Sicherheitsprogramm und ein dediziertes Team mit einem CISO.
Scannen von Schwachstellen im Netzwerk Workiva verwendet verschiedene interne Sicherheitstools, um wöchentlich interne Netzwerk-Schwachstellen-Scans in allen Produktionsumgebungen durchzuführen. Darüber hinaus werden im Rahmen unserer Penetrationstests von Drittanbietern routinemäßig Scans externer Netzwerke mit Open-Source-Tools durchgeführt.
Penetrationstests von Drittanbietern Zusätzlich zu unseren internen Tests beauftragt Workiva zweimal im Jahr ein externes Sicherheitsunternehmen mit der Durchführung von Schwachstellen- und Penetrationstests.
Verwaltung von Sicherheitsvorfällen Workiva verwendet ein Sicherheitsinformations- und Ereignisverwaltungs-Tool (SIEM). Das Informationssicherheitsteam von Workiva prüft Protokolle und Warnungen auf Leistung und Sicherheitsaspekte, einschließlich Protokolle in Bezug auf Authentifizierung, Endpunkte, Webanwendungen und mehr.
Eindringungserkennung und Prävention Workiva setzt Next Generation AV auf allen Benutzerendpunkten und der Windows-Infrastruktur ein, um aktiven Schutz vor bekannten und neuen Bedrohungen zu bieten. Darüber hinaus werden in der gesamten Anwendungsinfrastruktur Tools für Cloud Security Posture Management und Cloud Workload Protection eingesetzt, um eine hostbasierte Eindringungserkennung zu ermöglichen. Die Workiva-Plattform nutzt Protokollierungsfunktionen und unterstützende Systeme, um potenzielle Bedrohungen zu überwachen. Innerhalb der Anwendung können Kunden die Protokolle überprüfen und Warnmeldungen einrichten, die per E-Mail verschickt werden, wenn bestimmte Aktivitäten auftreten, z. B. ein fehlgeschlagener Anmeldeversuch oder wenn ein Dokument heruntergeladen oder exportiert wurde.
DDoS-Minimierung Workiva nutzt eine Web Application Firewall (WAF), um eine Ingress-Filterung an der Netzwerkgrenze durchzuführen und verhindert durch den Einsatz von privaten Virtual Private Clouds (VPCs) den direkten Zugriff auf interne Ressourcen. Darüber hinaus werden Lösungen eingesetzt, die einen DDoS-Schutz (Distributed Denial of Service) für alle in der Cloud-Umgebung ausgeführten Anwendungen bieten.
Reaktion auf Sicherheitsvorfälle Workiva verfügt über eine etablierte Incident Response Policy [Richtlinie über Vorfallsreaktionen], Standards und Verfahren, die Maßnahmen, Benachrichtigungen und Schritte zur Abhilfe im Falle von Vorfällen jeglicher Art außerhalb des normalen Geschäftsbetriebs festlegen. Dieser Plan wird jährlich auf Sicherheitsereignisse getestet.

 

Verschlüsselung im Transit Workiva verwendet die TLS Versionen 1.2 und 1.3 mit digitaler Zertifikatsidentifikation. Darüber hinaus verwendet die Workiva-Plattform HTTP Strict Transport Security (HSTS) für weiteren Schutz.
Verschlüsselung im Ruhezustand Alle Daten der Workiva-Plattform werden mit dem Advanced Encryption Standard (AES) 256-bit Algorithmus verschlüsselt gespeichert.

 

Betriebszeit Workiva bietet einen Status über unsere Website https://status.workiva.com/. Durch unser SLA in den Verträgen verpflichtet sich Workiva zu einer Betriebszeit von 99,5%.
Redundanz Workiva stützt sich auf mehrere Rechenzentren und Bürostandorte, um betriebliche Redundanz zu gewährleisten. Wir stellen die Zuverlässigkeit sicher, indem wir die Daten über unsere verschiedenen Systeme verteilen und replizieren, falls es an einem einzelnen Punkt zu einem Ausfall kommt.
Notfallwiederherstellung Die Workiva-Plattform bietet eine hohe Verfügbarkeit durch unsere redundante Infrastruktur.

 

Anwendungssicherheit

Schulung für sicheren Code Workiva hat ein obligatorisches Sicherheitstraining für alle, die Zugang zu den Workiva-Systemen haben. Eine Schulung ist beim ersten Zugriff und danach jährlich erforderlich. Die Schulung umfasst Richtlinien, Standards, Vertraulichkeit und Datenschutz, physische Sicherheit, Systemsicherheit, akzeptable Nutzung, Social Engineering und andere Themen.
Rahmenwerk Sicherheitskontrollen Workiva nutzt moderne und sichere Open-Source-Rahmenwerke mit Sicherheitskontrollen, um das Risiko der OWASP Top 10 Sicherheitsrisiken zu begrenzen. Diese inhärenten Kontrollen verringern unter anderem die Anfälligkeit für SQL Injection (SQLi), Cross Site Scripting (XSS) und Cross Site Request Forgery (CSRF).
Quality Assurance

Workivas detailliertes Änderungskontrollverfahren, das von der Informationssicherheitsrichtlinie vorgeschrieben wird, gilt für alle Änderungen an der Umgebung, einschließlich Konfiguration, Betriebssystem und Anwendungsupdates. Neue Versionen von Wdesk oder zur Freigabe vorgesehene Updates werden aus der Entwicklungsumgebung in eine gespiegelte Produktionsumgebung verlagert, in der unser Qualitätssicherungsteam strenge System-, Integrations-, Regressions- und Akzeptanztests durchführt. In dieser Umgebung werden auch laufend Penetrationstests und Schwachstellenscans durchgeführt.

Sicherheit ist Teil aller Phasen der Produktentwicklung. Code, der sich auf Sitzungsverwaltung, Zugriffskontrolle, APIs mit plattformübergreifenden Aufrufen, Authentifizierung, Eingabevalidierung, Ausgabeverschlüsselung, sichere Übertragung, Audit-Protokollierung, Datei-Uploads, XSS/CSRF-Schutz oder Verschlüsselung/Hashing bezieht, unterliegt einer Sicherheitsüberprüfung durch das InfoSec-Team oder durch Entwickler, die im Bereich Sicherheitsüberprüfungen geschult und autorisiert sind. Code-Änderungen und Ergänzungen werden von der Sicherheitsproduktionsfreigabe verfolgt, überprüft und genehmigt. Das Informationssicherheitsteam verwendet die OWASP Top 10 und andere Industriestandards für sichere Kodierung.

Während der Entwurfs- und Prototyping-Phase eines jeden Funktionssatzes wird sehr sorgfältig darauf geachtet, Architektur und Implementierung zu identifizieren, die möglicherweise Sicherheitsüberlegungen erfordern. Neue Funktionssätze, die Sicherheitsüberlegungen erfordern, werden vor der Produktionsfreigabe einer Codeüberprüfung und -genehmigung unterzogen.

Separate Umgebungen Entwicklungs- und Testumgebungen sind von der Produktionsumgebung getrennt. Darüber hinaus werden in Workiva die Grundsätze der Aufgabentrennung angewandt, um gegenseitige Kontrolle durchzusetzen und Risiken zu minimieren.

 

Dynamisches Schwachstellen-Scanning Workiva hat ein Dynamic Application Security Testing (DAST) Tool konfiguriert, um regelmäßig dynamische Schwachstellen-Scans durchzuführen. Zusätzlich zum automatischen Scannen führt Workiva Sicherheitstests als Teil des SDLC-Release-Prozesses durch.
Statische Code-Analyse Workiva hat ein Static Application Security Testing (SAST) Tool konfiguriert, das regelmäßig geplante Scans durchführt, um potenzielle Schwachstellen im Anwendungscode zu identifizieren. Zusätzlich zum automatischen Scannen führt Workiva sichere Code-Überprüfungen als Teil des SDLC-Freigabeprozesses durch.
Penetrationstests Dritter Zusätzlich zu unseren internen Sicherheitstests beauftragt Workiva zweimal im Jahr ein externes Sicherheitsunternehmen mit der Durchführung von Schwachstellen- und Penetrationstests.
Verantwortungsvolle Offenlegung / Bug-Bounty-Programm

Workiva nutzt eine Bug-Bounty-Plattform, die eine kuratierte Gruppe aktiver professioneller Sicherheitsforscher unterhält, die wiederum eine kontinuierliche Sicherheitsabdeckung der Workiva-Plattform gewährleisten. Workiva unterhält auch eine security.txt Seite, um interessierten externen Parteien Hinweise zur verantwortungsvollen Offenlegung zu geben.

 

 

 

 

Produktsicherheit

Authentifizierungsoptionen

Der Benutzerzugriff wird durch eine Mitgliedschaft in einer Organisation und dann durch Mitgliedschaften in Arbeitsbereichen geregelt, in denen Inhalte gespeichert und verwaltet werden. Außerdem können Inhalte sowohl für eine Einzelperson als auch für eine Arbeitsbereichsgruppe freigegeben werden. Über unsere Verwaltungsanwendung können Kunden Benutzernamen, Passwörter und Passwortrichtlinien selbst verwalten.

Zu den Authentifizierungsfunktionen der Plattform gehören auch:

  • Single Sign-On über SAML 2.0

  • Benutzerbereitstellung über SCIM 2.0

  • Browser-Validierung

  • Multi-Faktor-Authentifizierung

  • IP-Adressbeschränkungen

Konfigurierbare Passwort-Richtlinie Die Workiva-Plattform hat einen Mindeststandard von acht Zeichen, Sonderzeichen, Buchstaben und Zahlen. Kunden können eine größere Mindestlänge des Passworts wählen, die Anzahl der Passwortänderungen pro Tag begrenzen und die Gültigkeitsdauer des Passworts verlängern oder verkürzen. Die Workiva-Plattform kann auch erzwingen, dass Passwörter nicht wiederverwendet werden.
Multi-Faktor-Authentifizierung (MFA) Die Workiva-Plattform unterstützt Software, zeitbasierte Einmal-Passwörter (TOTP) durch Apps wie Google Authenticator, Microsoft Authenticator, Duo Authenticator oder Okta Verify.

 

Rollenbasierte Zugriffskontrollen

Innerhalb der Workiva-Plattform kann die Rollenzuweisung genutzt werden, um den Zugang zu Funktionen und Funktionalitäten zu kontrollieren. Jedes Mitglied eines Arbeitsbereichs hat eine Rolle, die jeweils eine eigene Zugriffsebene auf Funktionen hat. Je nach der für einen Arbeitsbereich festgelegten Lösung haben Sie Zugriff auf verschiedene Rollen.

Administrative Rollen:

  • Die Rolle des Arbeitsbereichseigentümers ist nur auf der Ebene des Arbeitsbereichs verfügbar.

  • Org-Admin-Rollen sind auf Organisationsebene verfügbar, können aber auch einige Funktionen auf Arbeitsbereichsebene ausführen.

Nicht-administrative Rollen:

  • Wenn Ihr Unternehmen nicht das derzeitige lösungsbasierte Lizenzierungsmodell verwendet, gibt es verschiedene nicht-administrative Rollen wie Editor, Viewer usw.

Funktionsspezifische Rollen:

  • Zusätzlich zu den oben genannten Rollen gibt es Rollen, die den Zugriff auf bestimmte Funktionen in einem Arbeitsbereich ermöglichen. Zu diesen Rollen gehören z. B. Content Manager, Copy Manager, Task Admins und Einreichungsfunktionen.

IP-Einschränkungen

Die Verwaltungsanwendung der Workiva-Plattform enthält eine Logik, die es den Kunden ermöglicht, Benutzer durch Sicherheitseinstellungen für die Authentifizierung und ein granulares Berechtigungssystem für den Datenzugriff zu verwalten.

Workiva empfiehlt seinen Kunden die Verwendung von Single Sign On, das sich über das SAML 2.0 Protokoll mit einem SCIM integrieren lässt.

Workiva bietet Kunden außerdem

  • konfigurierbare Passworteinstellungen

  • IP-Einschränkungen

  • Browser-Validierung

  • Multi-Faktor-Authentifizierung

E-Mail-Signatur (DKIM/DMARC) Die Workiva-Plattform signiert ausgehende Nachrichten mit DKIM, hält sich an eine Hardfail-SPF-Richtlinie und betreibt DMARC im Reject-Modus. Daten und Anhänge werden niemals direkt im Rahmen von Benachrichtigungen der Workiva-Plattform versendet. Workiva sendet alle Benachrichtigungen von einer festen Anzahl dedizierter IP-Adressen, und wir empfehlen unseren Kunden dringend, jegliche Art von Nachrichtenüberprüfung oder Filterung von Nachrichten, die von unserer Plattform stammen, zu deaktivieren.

 

Personalsicherheit

Regeln Workiva hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Vertragspartnern, die Zugang zu Workiva-Informationen haben, mitgeteilt und zur Verfügung gestellt.
Ausbildung Workiva hat ein obligatorisches Sicherheitstraining für alle, die Zugang zu den Workiva-Systemen haben. Eine Schulung ist beim ersten Zugriff und danach jährlich erforderlich. Die Schulung umfasst Richtlinien, Standards, Vertraulichkeit und Datenschutz, physische Sicherheit, Systemsicherheit, akzeptable Nutzung, Social Engineering und andere Themen.

 

Hintergrundprüfungen Workiva führt für alle Mitarbeiter in Übereinstimmung mit den lokalen Gesetzen und Vorschriften Hintergrundprüfungen durch, soweit dies gesetzlich zulässig ist. Die Hintergrundprüfung umfasst eine Überprüfung des Bundesstrafregisters, der Beschäftigung, der Ausbildung und der Referenzen.
Vertraulichkeitsvereinbarungen Workiva hat eine Geheimhaltungsvereinbarung mit Mitarbeitern und Dritten, die logischen Zugang zu Systemen und/oder Informationen mit der Klassifizierung „Öffentlich", „Privat", „Sensibel" und/oder „Eingeschränkt" haben, wie im Informationsklassifizierungsstandard dargelegt.

 

Zusätzliche Sicherheitsressourcen.

Sicherheits- und Compliance-Portal
Sicherheitsbulletin
Statusseite

Eine Online-Registrierung ist derzeit nicht möglich.

Bitte senden Sie eine E-Mail an events@workiva, um sich zu dieser Veranstaltung anzumelden.

Unsere Formulare sind derzeit nicht verfügbar.

Bitte kontaktieren Sie uns unter info@workiva.com.

Unsere Formulare sind derzeit nicht verfügbar.

Bitte kontaktieren Sie uns unter info@workiva.com.