Seguridad en Workiva

Maximice la seguridad y la privacidad.

Workiva aplica numerosas medidas para garantizar la máxima seguridad y privacidad de los datos.

Hoja de cálculo principal 139720 AICPA SOC 2 AICPA SOC 1 Tipo II ISO 27001 RGPD **********

Compromiso con el cumplimiento normativo.

 

logotipos de cumplimiento normativo

Certificaciones de cumplimiento normativo y afiliaciones

SOC 1 Tipo II

Los informes SOC demuestran y verifican que Workiva implementa medidas y controles de seguridad coherentes y fiables como host y procesador de los datos de nuestros clientes.

Para cumplir con los requisitos específicos de fin de año de los clientes, Workiva brinda informes SOC 1 con diferentes periodos de control.
SOC 2 Tipo II Los informes SOC 2 Tipo II de Workiva también abarcan los controles de la HIPAA; no está cualificado con un periodo de presentación de información de noviembre a octubre.
ISO/IEC 27001:2013

Workiva cuenta con la certificación ISO/IEC 27001:2013.

Descargar certificado
FedRAMP Moderado

Según el programa Federal Risk and Authorization Management, Workiva ha logrado la autorización FedRAMP Moderado.

Detalles de la autorización

 

HIPAA Workiva permite a las empresas sujetas a la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 de Estados Unidos (Health Insurance Portability and Accountability Act, HIPAA) utilizar la plataforma de productividad en la nube de Workiva para mitigar el riesgo, mejorar la productividad y dar confianza a los usuarios sobre las decisiones basadas en datos.

 

Cloud Security Alliance

La Cloud Security Alliance (CSA) es la principal organización del mundo dedicada a definir y aumentar la concienciación sobre las mejores prácticas para ayudar a garantizar un entorno informático en la nube seguro.

Consulte nuestro CAIQ

 

Política de Privacidad

Workiva tiene una política de privacidad publicada con certificación Truste y Escudo de Privacidad. Más información sobre privacidad en Workiva

Para obtener información adicional sobre la política de privacidad de Workiva, visite:

Política de Privacidad
TRUSTe
Escudo de Privacidad
Cumplimiento del RGPD

Seguridad en la nube

Instalaciones

Los datos de los clientes se almacenan en instalaciones seguras, en servidores seguros y en aplicaciones seguras. Las oficinas de Workiva no tienen centros de datos ni acceso a ellos. Workiva mantiene el personal de seguridad pertinente para las instalaciones. Las oficinas de Workiva son instalaciones de acceso restringido con puertas de seguridad adecuadas. Se requiere acceso con tarjetas de identificación para entrar y salir del edificio, con un acceso adicional requerido para las áreas seguras. Los visitantes deben firmar un acuerdo de confidencialidad y estar acompañados en las áreas de acceso seguro. Existen cámaras que vigilan las oficinas. Las áreas restringidas cuentan con controles adicionales que incluyen la gestión segura de documentos, la protección de pantallas para impedir pueda verse la información y el acceso adicional con tarjetas de identificación. Las salas que almacenan los equipos de telecomunicaciones y de red se mantienen cerradas y con alarma.

Workiva se ha asociado con Google y Amazon para la infraestructura y los servicios en la nube. Workiva se ejecuta en Google App Engine (GAE), comúnmente conocido como PaaS (plataforma como servicio). Workiva utiliza Amazon Web Services (AWS) para IaaS (infraestructura como servicio).
Ubicación del alojamiento de datos Para garantizar el cumplimiento en cuanto a los datos de nuestros clientes, la plataforma Workiva ofrece tres ubicaciones diferentes para el almacenamiento físico de datos. Ubicaciones de centros de datos en Asia-Pacífico, Norteamérica y Europa.

 

Equipo de seguridad específico Workiva cuenta con un programa de seguridad y un equipo específico con un director de seguridad de la información (CISO).
Análisis de vulnerabilidad de la red Workiva utiliza diversas herramientas de seguridad internas para efectuar análisis semanales de vulnerabilidad de la red interna en todos los entornos de producción. Además, los análisis de redes externas se realizan utilizando herramientas de código abierto en el marco de nuestras pruebas rutinarias de penetración de terceros.
Pruebas de penetración de terceros Además de nuestras pruebas internas, Workiva contrata a una empresa de seguridad externa para que realice pruebas de vulnerabilidad y penetración dos veces al año.
Gestión de incidentes de seguridad Workiva recurre a la gestión de seguridad de la información y eventos (herramienta SIEM). El equipo de Seguridad de la Información de Workiva revisa los registros y las alertas en relación con el rendimiento y la seguridad, incluidos los registros relacionados con la autenticación, el punto final y la aplicación web, entre otros.
Detección y prevención de intrusiones Workiva implementa AV de última generación en todos los puntos finales de usuario y en la infraestructura de Windows para brindar protección activa contra amenazas conocidas y emergentes. Además, implementamos las herramientas Cloud Security Posture Management y Cloud Workload Protection en toda la infraestructura de la aplicación para detectar intrusiones basada en host. La plataforma Workiva aprovecha las capacidades de registro y los sistemas de apoyo para monitorizar las posibles amenazas. Dentro de la aplicación, los clientes pueden revisar los registros y configurar alertas para que se envíen por correo electrónico si se producen ciertas actividades, como un intento de inicio de sesión fallido o si se ha descargado o exportado un documento.
Mitigación de DDoS Workiva utiliza un cortafuegos de aplicaciones web (WAF) para efectuar el filtrado de entradas en el límite de la red y evita el acceso directo a los recursos internos mediante el uso de nubes virtuales privadas (VPC). Además, se utilizan soluciones para brindar protección contra ataques de denegación de servicio distribuido (DDoS) para todas las aplicaciones que se ejecutan en el entorno de la nube.
Respuesta a incidentes de seguridad Workiva cuenta con una política de respuesta ante incidentes establecida, estándares y procedimientos que describe las acciones, las notificaciones y los pasos de cara a la reparación en caso de que se produzca cualquier tipo de incidente más allá de las operaciones comerciales habituales. Este plan se prueba anualmente para eventos de seguridad.

 

Cifrado en tránsito Workiva utiliza las versiones 1.2 y 1.3 de TLS con identificación de certificado digital. Además, la plataforma Workiva utiliza HTTP Strict Transport Security (HSTS) para una mayor protección.
Cifrado en reposo Todos los datos de la plataforma Workiva se almacenan encriptados con el algoritmo Advanced Encryption Standard (AES) de 256 bits.

 

Tiempo de actividad Workiva informa sobre el estado a través de nuestra página web https://status.workiva.com/. A través de nuestro ANS en los contratos, Workiva forja el compromiso del 99,5% de tiempo de actividad.
Redundancia Workiva confía en múltiples centros de datos y ubicaciones de oficinas para brindar redundancia operativa. Garantizamos la fiabilidad distribuyendo y replicando datos en nuestros múltiples sistemas de cara a cualquier fallo en cualquier punto.
Recuperación después de un desastre La plataforma Workiva incluye una elevada disponibilidad a través de nuestra infraestructura redundante.

 

Seguridad de las aplicaciones

Formación en materia de código seguro Workiva cuenta con programas de formación obligatoria en materia de seguridad para cualquier persona que tenga acceso a los sistemas de Workiva. Se requiere formación en el momento inicial de incorporación y anualmente a partir de entonces. La formación abarca políticas, estándares, confidencialidad y privacidad, seguridad física, seguridad del sistema, uso aceptable, ingeniería social y otros ámbitos.
Marco de controles de seguridad Workiva hace uso de marcos de código abierto modernos y seguros con controles de seguridad para limitar la exposición a los diez principales riesgos de seguridad de OWASP. Estos controles inherentes reducen nuestra exposición a la inyección SQL (SQLi), la secuencia de comandos en sitios cruzados (XSS) y la falsificación de solicitud en sitios cruzados (CSRF), entre otros.
Garantía de calidad

El proceso detallado de control de cambios de Workiva dictado por la Política de Seguridad de la Información se aplica a todos los cambios en el entorno, incluida la configuración, el sistema operativo y las actualizaciones de aplicaciones. Las nuevas versiones de Wdesk, o las actualizaciones designadas para su lanzamiento, se trasladan desde el entorno de desarrollo y se ubican en un entorno de producción duplicado donde nuestro equipo de Control de Calidad realiza rigurosas pruebas de sistema, integración, regresión y aceptación. Este entorno también es donde se realizan las pruebas de penetración y los análisis de vulnerabilidad.

La seguridad forma parte de todas las fases del desarrollo del producto. El código relativo a la gestión de sesiones, al control de acceso, a las API que realizan conexiones entre plataformas, a la autenticación, a la validación de entradas, a la codificación de salidas, a la transmisión segura, al registro de auditorías, a la carga de archivos, a la protección contra XSS/CSRF, o al cifrado/hashing es objeto de una revisión de seguridad por parte del equipo de InfoSec o de desarrolladores formados y autorizados en revisiones de seguridad. Los cambios y adiciones de código se monitorizan, se revisan y se aprueban por parte de la aplicación de producción de seguridad. El equipo de seguridad de la información utiliza OWASP Top 10, entre otras normas del sector, para la codificación segura.

Durante las fases de diseño y creación de prototipos de cualquier conjunto de características, se presta especial atención para identificar la arquitectura y la implantación que puedan requerir una consideración de seguridad. Los nuevos conjuntos de características que requieran una consideración de seguridad están sujetos a la revisión y aprobación del código antes de la aplicación de producción.
Entornos separados Los entornos de desarrollo y pruebas están separados del entorno de producción. Además, se implementan principios de segregación de las tareas en Workiva para velar por controles y los balances y minimizar el riesgo.

 

Análisis dinámico de vulnerabilidades Workiva ha configurado una herramienta Dynamic Application Security Testing (DAST) para efectuar un análisis dinámico de vulnerabilidades programado regularmente. Además del análisis automatizado, Workiva realiza pruebas de seguridad en el marco del proceso de publicación SDLC.
Análisis estático del código Workiva ha configurado una herramienta Static Application Security Testing (SAST) para efectuar análisis regulares programados para identificar posibles debilidades en el código de aplicación. Además del análisis automatizado, Workiva realiza revisiones de código seguro en el marco del proceso de aplicación SDLC.
Pruebas de penetración de terceros Además de nuestras pruebas internas de seguridad, Workiva contrata a una empresa de seguridad externa para que realice pruebas de vulnerabilidad y penetración dos veces al año.
Divulgación responsable / Programa de recompensa por identificación de errores

Workiva aprovecha una plataforma de recompensa por identificación de errores, que mantiene un conjunto selecto de analistas profesionales de seguridad activos que ofrecen cobertura de seguridad continua en la plataforma Workiva. Workiva también mantiene una página security.txt para orientar a las partes interesadas externas sobre la divulgación responsable.

 

Informar de una vulnerabilidad

 

 

 

 

Seguridad de los productos

Opciones de autenticación

El acceso de los usuarios se rige por la pertenencia a una organización y, a continuación, por pertenencias a espacios de trabajo, donde el contenido se almacena y administra. Además, el contenido puede ser autorizado tanto para una persona como para un grupo de espacios de trabajo. A través de nuestra aplicación de administración, los clientes pueden autogestionar los nombres de usuario, las contraseñas y las políticas de contraseñas.

Las funciones de autenticación de la plataforma también incluyen:

  • Inicio de sesión único mediante SAML 2.0

  • Aprovisionamiento de usuarios a través de SCIM 2.0

  • Validación de navegador

  • Autenticación de varios factores

  • Restricciones de dirección IP
Política de contraseñas configurables La plataforma Workiva tiene un estándar mínimo de ocho caracteres, carácter especial, letra y número. Los clientes pueden seleccionar una longitud mínima de contraseña mayor, limitar el número de cambios de contraseña por día y prolongar o acortar el periodo de caducidad de la contraseña. La plataforma Workiva también puede imponer que las contraseñas no se reutilicen.
Autenticación de varios factores (MFA) La plataforma Workiva admite software y contraseñas de un solo uso por tiempo (TOTP) a través de aplicaciones como Google Authenticator, Microsoft Authenticator, Duo Authenticator u Okta Verify.

 

Controles de acceso basados en funciones

En la plataforma Workiva, se puede utilizar la asignación de funciones para controlar el acceso a las características y funcionalidades. Cada miembro de un espacio de trabajo tiene una función, cada una con su propio nivel de acceso a las funcionalidades. Con base en la solución establecida para un espacio de trabajo, tendrá acceso a diferentes funciones.

Funciones administrativas:—

  • La función del titular del espacio de trabajo solo está disponible en el nivel del espacio de trabajo.

  • Las funciones de administrador de la organización están disponibles en el nivel de la organización, pero pueden realizar algunas funciones en el nivel del espacio de trabajo.

Funciones no administrativas:

  • Si su organización no está incluida en el modelo de licencia actual basado en soluciones, existen diferentes funciones no administrativas, como editor, observador, etc.

Funciones específicas para funcionalidades:

  • Además de las funciones anteriores, existen otras que proporcionan acceso a funcionalidades específicas en un espacio de trabajo. Estas funciones incluyen los gestores de contenidos, los gestores de copy, los administradores de tareas y las funciones de presentación de información.
Restricciones de dirección IP

La aplicación administrativa de la plataforma Workiva contiene una lógica que permite a los clientes administrar a los usuarios a través de la configuración de seguridad para la autenticación y un sistema de permisos al detalle para el acceso a los datos.

Workiva recomienda a los clientes usar el inicio de sesión único, que puede integrarse con un SCIM a través del protocolo SAML 2.0.

Workiva también ofrece a los clientes

  • Configuración de contraseñas

  • Restricciones de dirección IP

  • Validación de navegador

  • Autenticación de varios factores
Firma de correos electrónicos (DKIM/DMARC) La plataforma Workiva firma mensajes salientes con DKIM, cumple una política de SPF y ejecuta DMARC en modo de rechazo. Los datos y archivos adjuntos nunca se envían directamente en el marco de las notificaciones de la plataforma Workiva. Workiva envía todas las notificaciones desde un conjunto fijo de direcciones IP específicas, y recomendamos encarecidamente a los clientes que desactiven cualquier tipo de comprobación o filtrado de mensajes que se originen en nuestra plataforma.

 

Seguridad en Recursos Humanos

Policies Workiva ha desarrollado un amplio conjunto de políticas de seguridad que abarcan una serie de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Workiva.
Formación Workiva cuenta con programas de formación obligatoria en materia de seguridad para cualquier persona que tenga acceso a los sistemas de Workiva. Se requiere formación en el momento inicial de incorporación y anualmente a partir de entonces. La formación abarca políticas, estándares, confidencialidad y privacidad, seguridad física, seguridad del sistema, uso aceptable, ingeniería social y otros ámbitos.

 

Comprobaciones de antecedentes Workiva lleva a cabo comprobaciones de antecedentes en la medida permitida por la ley para todos los empleados de conformidad con las leyes y reglamentos locales. La comprobación de antecedentes incluye una verificación de antecedentes penales federales, de empleo, de educación y de referencias.
Contratos de confidencialidad Workiva mantiene un contrato de no divulgación con los empleados y terceros con acceso lógico a los sistemas y/o a la información con la clasificación de Pública, Privada, Sensible y o Restringida, como se indica en la Norma de Clasificación de la Información.

 

Recursos adicionales de seguridad.

Portal de Seguridad y Cumplimiento Normativo
MÁS INFORMACIÓN
Boletín de seguridad
MÁS INFORMACIÓN
Página de estado
MÁS INFORMACIÓN

El registro online no está disponible actualmente.

Envíe un correo electrónico a events@workiva para registrarse en este evento.

Nuestros formularios están actualmente inactivos.

Póngase en contacto con nosotros en info@workiva.com

Nuestros formularios están actualmente inactivos.

Póngase en contacto con nosotros en info@workiva.com