Sécurité Workiva

Optimisez la sécurité et la confidentialité de vos données.

Workiva met en œuvre de nombreux procédés pour garantir une sécurité et une confidentialité optimales de vos données.

Main Spreadsheet 139720 AICPA SOC 2 AICPA SOC 1 Type II ISO 27001 GDPR **********

Notre engagement en matière de conformité.

 

logos de conformité

Certifications en matière de conformité et adhésions

SOC 1 Type II

Les rapports SOC démontrent et s'assurent que Workiva met en œuvre des mesures et des contrôles de sécurité cohérents et fiables en tant qu'hôte et sous-traitant des données de nos clients.

Pour satisfaire aux exigences particulières des clients en fin d’année, Workiva fournit des rapports SOC 1 assortis de périodes de contrôle variables.
SOC 2 Type II Le SOC 2 Type II de Workiva traite également des contrôles HIPAA ; il n’est pas admissible pendant la période de reporting allant de novembre à octobre.
ISO/CEI 27001:2013

Workiva est certifiée selon la norme ISO/CEI 27001:2013.

Télécharger le certificat
FedRAMP Moderate

Dans le cadre du programme fédéral de gestion des risques et des autorisations, Workiva a validé le niveau FedRAMP Moderate.

Détails de l'autorisation

 

HIPAA Workiva permet aux entreprises couvertes relevant du Health Insurance Portability and Accountability Act de 1996 aux États-Unis (loi HIPAA) d’utiliser la plateforme de productivité cloud de Workiva pour atténuer les risques, améliorer la productivité et faire en sorte que les utilisateurs aient confiance dans les décisions fondées sur les données.

 

Cloud Security Alliance

La Cloud Security Alliance (CSA) est la première organisation mondiale ayant pour mission de définir et de sensibiliser aux meilleures pratiques afin de contribuer à la mise en place d’un environnement de cloud computing sécurisé.

Merci de consulter notre CAIQ

 

Politique de confidentialité

Workiva a publié une politique de confidentialité assortie d'une certification Truste et d'un bouclier de protection des données. En savoir plus sur la confidentialité chez Workiva.

Pour en savoir plus sur la politique de confidentialité de Workiva, veuillez consulter :

Politique de confidentialité
Truste
Bouclier de protection des données
Conformité au RGPD

Sécurité du cloud

Installations

Les données clients sont conservées dans des locaux sûrs, sur des serveurs sécurisés et dans des applications sécurisées. Les bureaux de Workiva ne possèdent pas de centres de données ni d'accès aux centres de données. Workiva emploie un personnel de sécurité dûment formé au sein des installations. Les bureaux de Workiva sont des installations à accès restreint ; l'accès se fait par une porte appropriée. L'accès aux badges est nécessaire pour pénétrer dans le bâtiment et en sortir, avec un niveau d'accès supplémentaire requis pour sécuriser les zones. Les visiteurs doivent se connecter, signer un accord de confidentialité et être escortés dans des zones d'accès sécurisées. Les bureaux sont surveillés par des caméras. Des contrôles supplémentaires sont mis en œuvre dans les zones restreintes, notamment la gestion sécurisée des documents, la protection de l'écran pour atténuer les actes indiscrets comme le « shoulder surfing » et l'accès aux badges. Les pièces contenant des équipements de télécommunication et de réseau sont verrouillées et sous alarme.

Workiva s’est associée à Google et Amazon en ce qui concerne l’infrastructure et les services cloud. Workiva fonctionne sur Google App Engine (GAE) communément appelé PaaS (Plateforme en tant que Service). Workiva utilise Amazons Web Services (AWS) en ce qui concerne l'IaaS (Infrastructure en tant que Service).
Emplacement de l'hébergement des données Afin de garantir la conformité des données de nos clients ; la plateforme Workiva propose trois emplacements différents de stockage physique des données. Des sites de centres de données en Asie-Pacifique, en Amérique du Nord et en Europe.

 

Équipe de sécurité dédiée Workiva dispose d'un programme de sécurité et d'une équipe dédiée avec un directeur de la sécurité.
Analyse des vulnérabilités du réseau Workiva utilise divers outils de sécurité internes pour effectuer des analyses de vulnérabilité hebdomadaires du réseau interne dans tous les environnements de production. En outre, des analyses des réseaux externes sont effectuées au moyen d’outils open source dans le cadre de nos tests d’intrusion tiers.
Tests d’intrusion tiers En plus de nos tests internes, Workiva fait appel à une société de sécurité tierce pour effectuer des tests de vulnérabilité et d’intrusion deux fois par an.
Gestion des incidents de sécurité Workiva a recours à la gestion des informations et des événements de sécurité (outil SIEM). L’équipe de sécurité de l’information de Workiva examine les journaux et les alertes pour les besoins de la performance et de la sécurité, y compris les journaux relatifs à l’authentification, au point de terminaison, à l’application en ligne, etc.
Détection et prévention des intrusions Workiva déploie un antivirus nouvelle génération sur tous les terminaux des utilisateurs et sur l’infrastructure Windows pour assurer une protection active contre les menaces identifiées et émergentes. En outre, les outils Cloud Security Posture Management et Cloud Workload Protection sont déployés dans l'infrastructure d'applications pour permettre une détection des intrusions basée sur l'hôte. La plateforme Workiva tire parti des capacités de journalisation et des systèmes de soutien pour contrôler les éventuelles menaces. Dans l'application, les clients peuvent consulter les journaux et configurer des alertes à envoyer par courrier électronique si certaines activités se produisent, comme l'échec d'une tentative de connexion ou le téléchargement puis l'exportation d'un document.
Réduction des DDoS Workiva exploite un pare-feu d’application Web (WAF) pour effectuer un filtrage d’entrée à la périphérie du réseau et empêche l’accès direct aux ressources internes en ayant recours à des outils privés, à savoir des virtual private clouds (VPC). En outre, les solutions sont utilisées pour apporter une protection contre les dénis de service distribués (DDoS) pour toutes les applications exécutées dans l’environnement cloud.
Réponse aux incidents de sécurité Workiva dispose d’une politique, d’une norme et de procédures de réponse aux incidents qui décrivent les actions, les notifications et les étapes de résolution en cas d’incident de tout type sortant du cadre des opérations commerciales normales. Ce plan est testé chaque année pour identifier des événements de sécurité.

 

Chiffrement lors du transit Workiva utilise les versions 1.2 et 1.3 du protocole TLS en combinaison avec l'identification des certificats numériques. En outre, la plateforme Workiva utilise HTTP Strict Transport Security (HSTS) pour renforcer la protection.
Chiffrement en veille Toutes les données de la plateforme Workiva sont chiffrées au moyen de l'algorithme AES (Advanced Encryption Standard) de 256 bits.

 

Disponibilité Workiva fournit un statut via notre site internet https://status.workiva.com/. Grâce à notre accord de niveau de service (SLA) intégré aux contrats, Workiva s'engage à offrir une disponibilité de 99,5 %.
Redondance Workiva s’appuie sur plusieurs centres de données et bureaux pour garantir la redondance opérationnelle. Nous garantissons la fiabilité en distribuant et en répliquant les données sur nos multiples systèmes en cas de défaillance affectant un point unique.
Reprise après sinistre La plateforme Workiva offre une disponibilité élevée grâce à son infrastructure redondante.

 

Sécurité de l'application

Formation en matière de code sécurisé Workiva propose une formation obligatoire en matière de sécurité destinée aux personnes ayant accès aux systèmes Workiva. La formation est requise au début de l'accès et chaque année par la suite. La formation inclut les politiques, les normes, la confidentialité, la sécurité physique, la sécurité des systèmes, l'utilisation acceptable, l'ingénierie sociale et d'autres éléments.
Contrôles de la sécurité du cadre Workiva s'appuie sur des cadres open source modernes et sécurisés assortis de contrôles de sécurité pour limiter l'exposition aux 10 principaux risques de sécurité de l'OWASP. Ces contrôles inhérents réduisent notamment notre exposition au SQL Injection(SQLi), au Cross Site Scripting (XSS) et au Cross Site Request Forgery (CSRF).
Quality Assurance

Le processus détaillé de contrôle des modifications de Workiva imposé par la Politique de sécurité de l’information s’applique à toutes les modifications apportées à l’environnement, y compris aux mises à jour de la configuration, du système d’exploitation et de l’application. Les nouvelles versions de Wdesk, ou les mises à jour désignées pour publication, sont déplacées de l’environnement de développement et déployées dans un environnement de production en miroir où notre équipe d’assurance qualité effectue des tests rigoureux des systèmes, d’intégration, de régression et d’acceptation. Des tests d’intrusion et des analyses de vulnérabilité continus y sont aussi effectués.

La sécurité fait partie de toutes les étapes du développement de produits. Le code relatif à la gestion des sessions, au contrôle des accès, aux API qui exécutent des appels inter-plateformes, à l'authentification, à la validation des saisies, à l'encodage des sorties, à la transmission sécurisée, à la journalisation des audits, aux téléchargements de fichiers, à la protection XSS/CSRF ou au chiffrement/hachage fait l'objet d'un examen de sécurité effectué par l'équipe InfoSec ou les développeurs formés et autorisés en matière d'examen de sécurité. Les modifications et ajouts de code sont suivis, examinés et approuvés par la version de production de sécurité. L'équipe de sécurité de l'information utilise l'OWASP Top 10 parmi les autres normes du secteur en matière de codage sécurisé.

Lors des étapes de conception et de prototypage de tout ensemble de fonctionnalités, un grand soin est apporté à l’identification de l’architecture et du déploiement qui peuvent nécessiter de prendre des précautions en matière de sécurité. Les nouveaux ensembles de fonctionnalités nécessitant des précautions en matière de sécurité donneront lieu à la révision et à l’approbation du code avant la publication en production.
Environnements distincts Les environnements de développement et de test sont séparés de l’environnement de production. En outre, des principes de séparation des tâches sont appliqués dans l'ensemble de la plateforme Workiva pour faire respecter les contrôles et les équilibres, et minimiser les risques.

 

Analyse dynamique des vulnérabilités Workiva a configuré un outil de test dynamique de sécurité des applications (DAST) afin de procéder à une analyse dynamique des vulnérabilités planifiée régulièrement. En plus de l’analyse automatisée, Workiva effectue des tests de sécurité dans le cadre du processus de publication de SDLC.
Analyse de code statique Workiva a configuré un outil SAST (Static Application Security Testing) pour procéder à des analyses régulièrement planifiées afin d'identifier les éventuelles vulnérabilités du code de l'application. En plus de l'analyse automatisée, Workiva effectue des revues de code sécurisées dans le cadre du processus de validation SDLC.
Tests d’intrusion tiers Outre nos tests de sécurité internes, Workiva a recours aux services d'une société de sécurité tierce qui effectue des tests de vulnérabilité et d’intrusion deux fois par an.
Divulgation responsable/Programme de prime aux bogues

Workiva exploite une plateforme de prime aux bogues, qui est animée par un ensemble organisé de chercheurs professionnels actifs en sécurité apportant une couverture de sécurité continue de la plateforme Workiva. Workiva gère également une page de sécurité.txt pour orienter les parties externes intéressées sur la divulgation responsable.

 

Signaler une vulnérabilité

 

 

 

 

Sécurité des produits

Options d’authentification

L'accès utilisateur est régi par une adhésion à une organisation, puis par les adhésions aux espaces de travail, dans lesquels le contenu est stocké et géré. En outre, le contenu peut être autorisé au profit à la fois d'un individu et d'un groupe d'espaces de travail. Grâce à notre application d’administration, les clients peuvent auto-administrer les noms d’utilisateur, les mots de passe et les stratégies de mot de passe.

Parmi les fonctionnalités d'authentification de la plateforme figurent également :

  • Authentification unique via SAML 2.0

  • Provisionnement des utilisateurs via SCIM 2.0

  • Validation du navigateur

  • Authentification multifacteur

  • Restrictions d'adresse IP
Police de mot de passe configurable

La plateforme Workiva intègre une limite minimale de seize caractères, sans restriction concernant les chiffres ou les caractères spéciaux. Nous avons ajouté un nouvel indicateur de mot de passe pour montrer la force du mot de passe de l’utilisateur. Cet indicateur n’est pas appliqué de notre côté. Nous vérifions également les mots de passe par rapport aux mots de passe connus du public. Ces modifications ont été apportées afin de s’aligner plus étroitement sur OWASP Application Security Verification Standard 4.0.
Authentification multifacteur (MFA) L’authentification multifacteur de la plateforme Workiva se fait par courrier électronique. Après avoir défini un nouveau mot de passe, les utilisateurs reçoivent un courriel contenant un code à 6 chiffres. Les utilisateurs doivent renvoyer le code à 6 chiffres à Workiva pour terminer le processus de connexion. Nous prévoyons de réintroduire les mots de passe à usage unique basés sur le temps (TOTP) par le biais d’applications telles que Google Authenticator, Microsoft Authenticator, Duo Authenticator ou Okta Verify.

 

Contrôles d'accès fondés sur les rôles

Au sein de la plateforme Workiva, les attributions de rôles peuvent être utilisées pour contrôler l’accès aux fonctionnalités. Chaque membre d'un espace de travail a un rôle, chacun ayant son propre niveau d'accès aux fonctionnalités. En fonction de la solution définie pour un espace de travail, vous aurez accès à différents rôles.

Rôles d'administration :

  • Le rôle de responsable de l'espace de travail est uniquement disponible au niveau de l'espace de travail.

  • Les rôles d'administrateur de l'organisation sont disponibles au niveau de l'organisation, mais peuvent exécuter certaines fonctions au niveau de l'espace de travail.

Rôles non administratifs :

  • Si votre organisation n'est pas fondée sur le modèle de licence basé sur la solution, il existe différents rôles non administratifs, tels qu'Éditeur, Visionneur, etc.

Rôles spécifiques aux entités :

  • Outre les rôles ci-dessus, il existe des rôles permettant d’accéder à des fonctionnalités spécifiques dans un espace de travail. Parmi ces rôles figureraient les gestionnaires de contenu, les gestionnaires de copie, les administrateurs de tâches et les rôles de classement.
Restrictions d'IP

L’application administrative de la plateforme Workiva contient une logique qui permet aux clients de gérer les utilisateurs via des paramètres de sécurité pour les besoins de l’authentification et un système d’autorisation granulaire pour les besoins de l'accès aux données.

Workiva recommande aux clients d’utiliser l’authentification unique et d'intégrer un SCIM via le protocole SAML 2.0.

Workiva propose également à ses clients

  • Des paramètres de mot de passe configurables

  • Restrictions d'IP

  • Validation du navigateur

  • Une authentification multifacteur
La signature de courriers électroniques (DKIM/DMARC) La plateforme Workiva signale les messages sortants avec DKIM, applique une politique SPF en cas d'échec et exécute DMARC en mode rejet. Les données et les pièces jointes ne sont jamais envoyées directement dans les notifications de la plateforme Workiva. Workiva envoie toutes les notifications à partir d’un ensemble fixe d’adresses IP dédiées, et nous encourageons fortement les clients à désactiver tout type de vérification ou de filtrage des messages provenant de notre plateforme.

 

Sécurité des ressources humaines

Politiques Workiva a élaboré un ensemble complet de politiques de sécurité couvrant un large éventail de sujets. Ces politiques sont transmises à tous les employés et sous-traitants ayant accès aux ressources d’information de Workiva.
Formation Workiva propose une formation obligatoire en matière de sécurité destinée aux personnes ayant accès aux systèmes Workiva. La formation est requise au début de l'accès et chaque année par la suite. La formation inclut les politiques, les normes, la confidentialité, la sécurité physique, la sécurité des systèmes, l'utilisation acceptable, l'ingénierie sociale et d'autres éléments.

 

Vérification des antécédents Workiva effectue des vérifications des antécédents dans la mesure permise par la loi pour tous les employés conformément aux lois et réglementations locales. La vérification des antécédents consiste en une vérification du casier judiciaire fédéral, de l'expérience professionnelle, de la formation et la vérification des références.
Accords de confidentialité Workiva a conclu un accord de confidentialité avec les employés et les tiers ayant un accès logique aux systèmes et/ou aux informations, dans le cadre d'une classification en niveau Public, Privé, Sensible et/ou Restreint, tel que décrit dans la norme de classification des informations.

 

Ressources de sécurité supplémentaires.

Portail de sécurité et de conformité
En savoir plus
Bulletin de sécurité
En savoir plus
Page de statut
En savoir plus

L’inscription en ligne n’est pas disponible pour le moment.

Envoyez un e-mail à events@workiva pour vous inscrire à cet événement.

Nos formulaires sont temporairement indisponibles.

Contactez-nous à l’adresse suivante : info@workiva.com

Nos formulaires sont temporairement indisponibles.

Contactez-nous à l’adresse suivante : info@workiva.com