Oversigt over HP Workforce Experience Platform
HP Workforce Experience Platform (WXP) er en cloud-baseret virksomhedsløsning, der hjælper IT-teams med at reducere digital friktion, forbedre sikkerheden og proaktivt løse enhedsproblemer. Den giver centraliseret synlighed og styring af en organisations PC-flåde, såsom stationære computere, bærbare computere og andre tilsluttede aktiver, gennem en sikker, skalerbar platform.
WXP analyserer næsten realtids telemetridata fra enheder og applikationer for at identificere problemer, overvåge helbredet og anbefale udbedring. IT-administratorer kan se enhedens status, definere politikker, generere rapporter og igangsætte fjernhandlinger for at understøtte operationelle og sikkerhedsmæssige behov.
Dette dokument skitserer WXP's sikkerheds- og privatlivsarkitektur med fokus på administrerede printenheder. Den forklarer, hvordan trykdata indsamles, transmitteres, gemmes og beskyttes. Andre fysiske aktiver, såsom PC'er eller perifere enheder, kan have yderligere eller forskellige sikkerhedshensyn, som ikke diskuteres her.
Den tiltænkte målgruppe omfatter IT-administratorer, tjenesteudbydere og sikkerhedsgennemgangere, der vurderer platformens datahåndtering og sikkerhedspraksis. Den indeholder anbefalinger til at sikre printerflåden både inden for en kundefirewall og udenfor via WXP-portalen.
HP WXP-arkitektur
WXP kan onboarde og forbinde berettigede HP-enheder til HP-skyen på to måder:
Onboarding af cloud-forbundne enheder direkte i skyen.
Onboarding af Web Jetadmin administrerede enheder via en eller flere Print Fleet Proxies.
Forbindelsen fra printeren til skyen bruger følgende protokoller til kommunikation:
Printeren sender periodisk beskeder til HP-skyen for at identificere, om der er notifikationer for den. Denne type kommunikation kræver letvægtskommunikation, der bruger UDP- og TCP-protokoller med autentificeret fortrolighed.
Printeren bruger HTTPS-kommunikation til tovejsudveksling af enhedsinformation, målere og forsyninger. HTTPS sikrer dataintegritet og datafortrolighed.
Rollebaseret brugeradgangskontrol
Roller i WXP defineres som sæt af tilladelser. WXP definerer flere indbyggede roller. Følgende roller er nogle af de foruddefinerede indbyggede roller, der i øjeblikket er tilgængelige for WXP, og som kan tildeles administratorer, der administrerer aspekter af printerflåden.
Tildeling af mere specifikke roller til brugere begrænser eksponeringen af data inden for WXP-portalen. Brugere kan kun se data relateret til omfanget af deres tildelte roller; Alle skærme uden for det omfang er skjulte og ikke tilgængelige.
IT-administrator: Har fuld adgang til alle funktioner i WXP-portalen, herunder invitation til brugere til platformen, tildeling af roller samt alle administrative og administrative opgaver for PC'er, printere, periferiudstyr og tredjepartskonfigurationer.
Printeradministrator: Har evnen til at udføre alle printadministrationsopgaver.
Rapportadministrator: Har mulighed for at køre rapporter.
HP Workforce Experience Platform
I øjeblikket er Print Fleet Management-tjenesten fra WXP hostet i Amazon Web Services (AWS) i USA (AWS-OR), med andre regioner, der potentielt vil blive tilføjet i fremtiden. IT-administratorer får adgang til WXP via en webbrowser, som tilbyder grænseflader til enhedsregistrering, autentificering og kommunikation.
Ud over Core WXP-platformens sikkerheds- og privatlivsdetaljer omkring multi-tenancy, identitets- og sessionsstyring samt autorisation (som diskuteret i WXP Core Security and Privacy Technical Document), har WXP Print Fleet-styring også følgende printerspecifikke data- og netværkssikkerhedsovervejelser.
Data i hvile
Indsamlede data
Dataindsamling for printere er begrænset af omfanget af kundens kontrakt med HP. HP indsamler den nødvendige telemetri for at understøtte de tjenester og løsninger, som de kontraktligt er forpligtet til at levere kunden, og indsamler den under kontraktens juridiske grundlag. I nogle tilfælde kan HP, med brugerens samtykke, indsamle yderligere data til et eksplicit angivet formål, såsom forbedring af HP-produkter og -tjenester.
Nogle af de dataattributter, der indsamles af HP, kan omfatte:
Formål med dataindsamling | Indsamlede data | Beskrivelse af indsamlede data |
|---|---|---|
Kontostyring | Kontodata | Information relateret til kundekøb eller tilmelding til WXP-tjenester, supporthistorik vedrørende hændelser genereret af WXP og alt andet relateret til WXP-kontoen for at udføre transaktionstjenester som kontoadministration. |
Kontooprettelse, identitetsstyring og Berettigelsesvalidering | Kontaktoplysninger | Personlige og/eller forretningsmæssige kontaktoplysninger, herunder fornavn, efternavn, postadresse, telefonnummer, e-mailadresse, region, badge-login og andre lignende kontaktoplysninger, der bruges til oprettelse og validering af WXP-kundekonti samt serviceberettigelse. |
Levere proaktiv IT-servicevedligeholdelse og -ledelse samt kundecentrerede rapporter/dashboards | Enhedsdata | Grundlæggende enhedsinformation, såsom enhedsnavn, modelnummer, firmwareversion, regionsindstilling, sprogindstilling, kontoidentifikator, funktioner og yderligere teknisk information, der varierer efter model. Enterprise Manageability-indstillinger samt noget Smart Device Service (SDS) telemetri, såsom levetidstællere, forsyningsdata og andre printmotorstatistikker. Indstillinger for forskellige funktionskategorier, der gør det muligt for WXP at administrere enhedens funktionalitet samt vurdere og rette indstillingsværdier for at sikre, at hver printer i flåden overholder de sikkerheds- og funktionspolitikker, kunden har defineret. Samlede indstillinger inkluderer kopimaskineindstillinger, digitale afsendelsesindstillinger, faxindstillinger, filsystemindstillinger, netværksindstillinger, sikkerhedsindstillinger, løsningsindstillinger og webtjenesteindstillinger, blandt andre. |
Dataopbevaring
HP's dataopbevaringspolitik indeholder følgende bedste praksis for dataopbevaring:
Opbevaring af data i kortere perioder end nødvendigt kan overtræde kontraktlige eller juridiske krav eller påvirke sikkerheden.
At opbevare data i længere perioder end nødvendigt kan overtræde privatlivsregler og er en prioriteret bekymring for kunderne.
Når data er slettet, er der ingen forpligtelse til at udlevere dem til kunden eller politiet.
Da WXP-applikationens analysepakke er en enkelt delt pakke på tværs af mange HP-applikationer, kan dataene i det amerikanske analysedatacenter muligvis ikke slettes permanent, hvis en kunde deaktiveres fra WXP, fordi den samme kunde kan være tilmeldt andre HP-applikationer.
Bemærk: Telemetridata, der sendes til U.S. Analytics datacenter, er koblet til enhedsserienumre og systemgenererede ID'er. Disse data krypteres i hvile og håndteres i overensstemmelse med HPs databeskyttelses- og sikkerhedsstandarder.
Datalagring
Datalagring for WXP er begrænset til kunde- og enhedsoplysninger fra betalende abonnenter.
Alle databaser i de amerikanske regionale datacentre, der opbevarer personlige data, er krypterede.
Alle databaser i de amerikanske identitetsstyringsdatacentre, der opbevarer personlige data, er krypterede.
Alle databaser og ustruktureret lagring i U.S. Analytics-datacentret er krypterede.
Databaser
WXP bruger relationelle og ikke-relationelle databaser til at gemme onboardede bruger- og printerinformationer. Databaselagringene er også krypteret på disk, og adgangen er begrænset ved at isolere databasen i et sikkert miljø, som kun abstraktionslaget kan tilgås. WXP bruger disse databaser til at gemme information såsom:
brugerprofildata (fornavn, efternavn, lokalitet, IDM-identifikator og kontoidentifikator)
Printerprofildata (cloud-identifikator, model, navn, e-mailadresse, kontoidentifikator og funktioner)
Kontooplysninger og kontoindstillinger (Navn, adresse, region, jobregnskab og badge-login)
Data under overførsel -- Netværkskommunikation
Cloud-forbundne printere
Al kommunikation mellem WXP og cloud-forbundne printere sikres på to måder:
Kommunikationen foregår ved brug af Transport Layer Security version 1.2 (TLS 1.2). TLS 1.2 bruger 2048-bit RSA-kryptering og certifikatvalidering til at etablere en efterfølgende 256-bit sikker kanal.
TLS hjælper med at sikre data på flere niveauer og leverer serverautentificering, datakryptering og dataintegritet. Da TLS er implementeret under applikationslaget, er det en passiv sikkerhedsmekanisme, der ikke er afhængig af yderligere trin eller procedurer fra brugeren.
Hver payload er desuden pakket ind i HP's proprietære krypteringslag.
Print Fleet Proxy Connected Printers
Kommunikationen mellem WXP- og Web JetAdmin-administrerede printere faciliteres af Print Fleet Proxy, som kommunikerer med hele printerflåden via en Secure Web Socket-forbindelse.
Brug af printerpolitikker til at konfigurere og håndhæve printersikkerhed
WXP understøtter håndteringen af en bred vifte af printerpolitik-indstillinger, der er designet til at hjælpe administratorer med at håndhæve sikkerheden i deres printerflåder. Disse indstillinger falder i to kategorier:
Certifikater: Certifikater hjælper med at sikre sikker kommunikation mellem printeren og andre netværksressourcer. Du kan konfigurere to typer certifikater til brug med dine printere: et CA-certifikat, som validerer identiteten af en enhed; og et ID-certifikat, som autentificerer en påstået identitet.
Hemmeligheder og adgangskoder: Hver HP-printer har flere adgangskoder, adgangskoder eller adgangskoder, som du kan indstille for at sikre forskellige funktioner på printeren. Disse inkluderer den indlejrede webserver (EWS) adgangskode, Printer Job Language (PJL) adgangskode, SNMP-passfraser, LDAP Admin-adgangskode til loginopsætning og andre. HP anbefaler kraftigt at sikre hver af disse funktioner med en adgangskode eller deaktivere dem, hvis de ikke er nødvendige.
WXP lader IT-administratorer definere eller levere hemmeligheder og adgangskoder inden for printerpolitikker til certifikater og indstillinger, der tillader, begrænser eller blokerer adgang til visse funktioner eller funktioner på printere i deres flåde. WXP bruger disse værdier til at vurdere og afhjælpe overholdelsen af trykkerier i hele flåden.
For at opnå det nødvendige sikkerhedsniveau ved håndtering af disse følsomme data har HP forbedret arkitekturen i WXP Policy Engine ved at tilføje en ekstremt sikker metode til håndtering af kundehemmeligheder og adgangskoder, både under transport og i hvile. Grundlæggende har HP tilføjet et krypteringsniveau ud over TLS 1.2 (2048-bit RSA-kryptering og certifikatvalidering), som bruges til at sikre kommunikationskanalen.
Med denne flerniveau-kryptering gør WXP det muligt for IT-administratorer sikkert at konfigurere, vurdere og rette hemmeligheder og adgangskoder på printere ved hjælp af printerpolitikker, hvilket stort set eliminerer behovet for manuel konfiguration af disse følsomme indstillinger på printer-for-printer-basis.
Netværksporte og firewallkrav
Firewall-software kan konfigureres til at blokere både indgående og udgående internettrafik. HP-printere kræver KUN udgående kommunikation med HP-webtjenester, også kendt som HP-cloudforbindelse. HP's webtjenester vil aldrig indlede kommunikation med HP-printere i et kundemiljø; derfor er der ikke behov for at whiteliste indgående HP-URL'er.
Al HTTPS-kommunikation er standard til port 443. Port 631 vil blive brugt som sekundær mulighed, hvis 443 ikke er tilgængelig.
Firewall-konfiguration: Cloud-forbundne printere
For cloud-forbundne printere skal følgende URL'er konfigureres i firewall-softwaren til udgående (printerinitieret) internetkommunikation:
HP Web Services URL'er
https://*.avatar.ext.hp.com:443
http://*.avatar.ext.hp.com
udp://*.avatar.ext.hp.com:9930
wss://*.avatar.ext.hp.com:443 (websocket-protokol)
https://*.id.hp.com:443
https://*.ipp.ext.hp.com:443
https://*.wpp.api.hp.com:443
https://*.api.hp.com:443
Enhedsonboarding-URL'er
https://*.api.ws-hp.com:443
Firmwareopdaterings-URL'er
http://h10141.www1.hp.com/pub/inkjet/updates
HP Cloud log én gang (SIO)
https://*.mymfpprogram.com:443
Firewall-konfiguration: Print Fleet Proxy Connected Printers
Printere, der er forbundet via en Print Fleet Proxy, kræver, at din firewall tillader udgående HTTPS-forespørgsler over port 443 til følgende endepunkter:
WXP Print Flådestyring Privatliv
Databeskyttelse
HP har en lang historie med branchelederskab inden for privatliv og databeskyttelse. Sammen med vores robuste portefølje af produkter og tjenester støtter vi vores kunders og partneres indsats for at beskytte persondata. Med hensyn til WXP persondata, der behandles i forbindelse med WXP, fungerer HP som databehandler. Se venligst afsnittet om databehandler på HP Privacy Central. Som en global virksomhed er det muligt, at enhver information, du giver, kan blive overført til eller tilgået af HP-enheder verden over i overensstemmelse med HP's privatlivserklæring og baseret på de internationale privatlivsprogrammer, der er opført i afsnittet om internationale dataoverførsler.
HP's privatlivspraksis og principper er fastlagt i HP's privatlivserklæring. Privatlivserklæringen opdateres periodisk og dækker følgende emner:
Vores privatlivsprincipper
Internationale dataoverførsler
Sådan bruger vi data
Hvilke data vi indsamler
Børns privatliv
Hvordan vi opbevarer og holder dine data sikre
Sådan deler vi data
Ikke-diskriminations- og loyalitetsprogrammer
HP Kommunikation
Udøve dine rettigheder og kontakt os
Ændringer i vores privatlivserklæring
Kontakt os
For enhver hjælp, lav en supportsag eller send en e-mail support@wxp.hp.com.