Überblick über die HP Workforce Experience Platform

Die HP Workforce Experience Platform (WXP) ist eine cloudbasierte Unternehmenslösung, die IT-Teams hilft, digitale Reibungen zu reduzieren, die Sicherheit zu erhöhen und Geräteprobleme proaktiv zu lösen. Es bietet zentrale Sichtbarkeit und Verwaltung der PC-Flotte einer Organisation, wie Desktops, Laptops und anderer vernetzter Vermögenswerte, über eine sichere, skalierbare Plattform.

WXP analysiert nahezu Echtzeit-Telemetriedaten von Geräten und Anwendungen, um Probleme zu identifizieren, die Gesundheit zu überwachen und Behebungen zu empfehlen. IT-Administratoren können den Gerätestatus einsehen, Richtlinien definieren, Berichte erstellen und Fernaktionen initiieren, um operative und sicherheitsrelevante Anforderungen zu unterstützen.

Dieses Dokument beschreibt die Sicherheits- und Datenschutzarchitektur von WXP mit Fokus auf verwaltete Druckgeräte. Es erklärt, wie Druckdaten gesammelt, übertragen, gespeichert und geschützt werden. Andere physische Vermögenswerte, wie PCs oder Peripheriegeräte, können zusätzliche oder andere Sicherheitsaspekte haben, die hier nicht behandelt werden.

Die Zielgruppe umfasst IT-Administratoren, Dienstleister und Sicherheitsprüfer, die die Datenverarbeitung und Sicherheitspraktiken der Plattform bewerten. Sie enthält Empfehlungen zur Sicherung der Druckerflotte innerhalb einer Kundenfirewall sowie außerhalb des WXP-Portals.

HP WXP-Architektur

WXP kann berechtigte HP-Geräte auf zwei Arten an Bord nehmen und mit der HP-Cloud verbinden:

• Onboarding cloud-verbundener Geräte direkt in der Cloud.

• Onboarding Web Jetadmin verwaltete Geräte über einen oder mehrere Print Fleet Proxies.

Die Verbindung vom Drucker zur Cloud verwendet folgende Protokolle für die Kommunikation:

• Der Drucker sendet regelmäßig Nachrichten an die HP-Cloud, um zu erkennen, ob es Benachrichtigungen dafür gibt. Diese Art der Kommunikation erfordert eine leichte Kommunikation, die UDP- und TCP-Protokolle mit authentifizierter Vertraulichkeit verwendet.

• Der Drucker verwendet HTTPS-Kommunikation für den bidirektionalen Austausch von Geräteinformationen, Messgeräten und Vorräten. HTTPS gewährleistet Datenintegrität und Datenvertraulichkeit.
  

Rollenbasierte Benutzerzugriffskontrolle

Rollen in WXP sind als Sätze von Berechtigungen definiert. WXP definiert mehrere eingebaute Rollen. Die folgenden Rollen sind einige der vordefinierten eingebauten Rollen, die derzeit für WXP verfügbar sind und Administratoren zugewiesen werden können, die Aspekte der Druckerflotte verwalten.

Die Zuweisung spezifischerer Rollen an Nutzer begrenzt die Sichtbarkeit der Daten im WXP-Portal. Benutzer können nur Daten einsehen, die sich auf den Aufgabenbereich ihrer zugewiesenen Aufgaben beziehen; Alle Bildschirme außerhalb dieses Umfangs sind versteckt und nicht zugänglich.

• IT-Administrator: Hat vollen Zugriff auf alle Funktionen des WXP-Portals, einschließlich der Einladung von Nutzern zur Plattform, der Zuweisung von Rollen sowie allen administrativen und Verwaltungsaufgaben für PCs, Drucker, Peripheriegeräte und Drittanbieter-Konfigurationen.

• Druckeradministrator: Hat die Möglichkeit, alle Aufgaben der Druckverwaltung zu übernehmen.

• Berichtsadministrator: Hat die Möglichkeit, Berichte zu erstellen.

HP Workforce Experience Platform

Derzeit wird der Print Fleet Management-Service von WXP in Amazon Web Services (AWS) in den Vereinigten Staaten (AWS-OR) gehostet, wobei möglicherweise weitere Regionen in Zukunft hinzugefügt werden. IT-Administratoren greifen über einen Webbrowser auf WXP zu, der Schnittstellen für Geräteregistrierung, Authentifizierung und Kommunikation bereitstellt.

Neben den Sicherheits- und Datenschutzdetails der Core WXP-Plattform rund um Multi-Tenancy, Identitäts- und Sitzungsmanagement sowie Autorisierung (wie im WXP Core Security and Privacy Technical Document erläutert) umfasst das WXP Print Fleet Management auch folgende druckerspezifische Daten- und Netzwerksicherheitsaspekte.

Daten in Ruhe

Gesammelte Daten

Die Datenerhebung für Drucker ist durch den Umfang des Vertrags des Kunden mit HP begrenzt. HP sammelt die Telemetrie, die zur Unterstützung der Dienstleistungen und Lösungen erforderlich ist, die vertraglich verpflichtet sind, und sammelt sie auf der rechtmäßigen Grundlage des Vertrags. In einigen Fällen kann HP mit Zustimmung des Nutzers zusätzliche Daten für einen explizit angegebenen Zweck sammeln, wie etwa zur Verbesserung von HP-Produkten und -Dienstleistungen.

Einige der von HP gesammelten Datenattribute können sein:

Datenspeicherung

Die Datenaufbewahrungspolitik von HP integriert die folgenden Best Practices zur Datenaufbewahrung:

• Die Speicherung von Daten für kürzer als notwendige Zeiträume kann gegen vertragliche oder rechtliche Anforderungen verstoßen oder die Sicherheit beeinträchtigen.

• Die längere Speicherung von Daten als nötig kann gegen Datenschutzbestimmungen verstoßen und ist für Kunden eine vorrangige Sorge.

• Sobald Daten gelöscht wurden, besteht keine Verpflichtung, sie dem Kunden oder den Strafverfolgungsbehörden zu geben.

Da das Analytics-Paket der WXP-Anwendung ein einziges gemeinsames Paket über viele HP-Anwendungen hinweg ist, können die Daten im U.S. Analytics Data Center nicht dauerhaft gelöscht werden, wenn ein Kunde von WXP deaktiviert wird, da derselbe Kunde in anderen HP-Anwendungen eingeschrieben sein kann.

Hinweis: Telemetriedaten, die an das U.S. Analytics Data Center übertragen werden, sind mit Geräteseriennummern und systemgenerierten IDs verknüpft. Diese Daten werden in Ruhe verschlüsselt und gemäß den Datenschutz- und Sicherheitsstandards von HP verarbeitet.

Datenspeicherung

Die Datenspeicherung für WXP ist auf Kunden- und Geräteinformationen zahlender Abonnenten beschränkt.

• Alle Datenbanken in den US-Regional-Rechenzentren, die persönliche Daten speichern, sind verschlüsselt.

• Alle Datenbanken in den US-Identitätsmanagement-Rechenzentren, die personenbezogene Daten speichern, sind verschlüsselt.

• Alle Datenbanken und unstrukturierten Speicher im U.S. Analytics Datacenter sind verschlüsselt.

Datenbanken

WXP verwendet relationale und nicht-relationale Datenbanken, um integrierte Benutzer- und Druckerinformationen zu speichern. Die Datenbankspeicher sind ebenfalls auf der Festplatte verschlüsselt, und der Zugriff wird durch die Isolierung der Datenbank in einer sicheren Umgebung begrenzt, die nur über die Abstraktionsschicht zugänglich ist.  WXP verwendet diese Datenbanken, um Informationen wie:

• Benutzerprofildaten (Vorname, Nachname, Ort, IDM-Kennung und Kontokennung)

• Druckerprofildaten (Cloud-Kennung, Modell, Name, E-Mail-Adresse, Kontokennung und Funktionen)

• Kontoinformationen und Kontoeinstellungen (Name, Adresse, Region, Jobbuchhaltung und Ausweis-Login)

Daten im Transit – Netzwerkkommunikation

Cloud-verbundene Drucker

Alle Kommunikation zwischen WXP und cloudverbundenen Druckern ist auf zwei Arten gesichert:

• Die Kommunikation erfolgt über Transport Layer Security Version 1.2 (TLS 1.2). TLS 1.2 verwendet 2048-Bit-RSA-Verschlüsselung und Zertifikatsvalidierung, um einen anschließenden 256-Bit-sicheren Kanal zu etablieren.

TLS hilft dabei, Daten auf mehreren Ebenen zu sichern und bietet Server-Authentifizierung, Datenverschlüsselung und Datenintegrität. Da TLS unter der Anwendungsschicht implementiert ist, handelt es sich um einen passiven Sicherheitsmechanismus, der nicht auf zusätzliche Schritte oder Verfahren des Benutzers angewiesen ist. 

• Jede Nutzlast ist zusätzlich in HPs proprietärer Verschlüsselungsschicht verpackt.

Druckflotten-Proxy-Verbundene Drucker

Die Kommunikation zwischen WXP und von Web JetAdmin verwalteten Druckern wird durch den Print Fleet Proxy erleichtert, der über eine Secure Web Socket-Verbindung mit der gesamten Druckerflotte kommuniziert.

Verwendung von Druckerrichtlinien zur Konfiguration und Durchsetzung der Druckersicherheit

WXP unterstützt die Verwaltung einer Vielzahl von Druckerrichtlinien-Einstellungen, die Administratoren helfen sollen, die Sicherheit ihrer Druckerflotten durchzusetzen. Diese Einstellungen lassen sich in zwei Kategorien einteilen:

• Zertifikate: Zertifikate helfen, eine sichere Kommunikation zwischen dem Drucker und anderen Netzwerkressourcen sicherzustellen. Sie können zwei Arten von Zertifikaten für Ihre Drucker konfigurieren: ein CA-Zertifikat, das die Identität einer Entität überprüft; und ein ID-Zertifikat, das eine beanspruchte Identität authentifiziert.

• Geheimnisse und Passwörter: Jeder HP-Drucker verfügt über mehrere Passwörter, Passwörter oder Zugangscodes, die Sie einstellen können, um verschiedene Funktionen des Druckers zu sichern. Dazu gehören das eingebettete Webserver-Passwort (EWS), das Printer Job Language (PJL)-Passwort, SNMP-Passphrasen, das LDAP-Admin-Passwort für die Anmeldeeinrichtung und weitere. HP empfiehlt dringend, jede dieser Funktionen mit einem Passwort zu sichern oder sie zu deaktivieren, falls sie nicht erforderlich sind.

WXP ermöglicht es IT-Administratoren, Geheimnisse und Passwörter innerhalb von Druckerrichtlinien für Zertifikate und Einstellungen zu definieren oder bereitzustellen, die den Zugriff auf bestimmte Funktionen oder Funktionen auf Druckern ihrer Flotte erlauben, einschränken oder blockieren. WXP nutzt diese Werte, um die Einhaltung der Drucker in der gesamten Flotte zu bewerten und zu beheben.

Um das erforderliche Sicherheitsniveau für die Verarbeitung dieser sensiblen Daten zu erreichen, hat HP die Architektur der WXP Policy Engine verbessert und eine äußerst sichere Methode zur Verwaltung von Kundengeheimnissen und Passwörtern sowohl während des Transports als auch in Ruhe hinzugefügt. Im Wesentlichen hat HP eine Verschlüsselungsstufe über TLS 1.2 (2048-Bit-RSA-Verschlüsselung und Zertifikatsvalidierung) hinaus hinzugefügt, die zur Sicherung des Kommunikationskanals verwendet wird.

Mit dieser mehrstufigen Verschlüsselung ermöglicht WXP IT-Administratoren, Geheimnisse und Passwörter auf Druckern mithilfe von Druckerrichtlinien sicher zu konfigurieren, zu bewerten und zu beheben, wodurch die manuelle Konfiguration dieser sensiblen Einstellungen auf Druckerbasis praktisch überflüssig wird.

Netzwerkports und Firewall-Anforderungen

Firewall-Software kann so konfiguriert werden, dass sie sowohl eingehenden als auch ausgehenden Internetverkehr blockiert. HP-Drucker benötigen NUR ausgehende Kommunikation mit HP-Webdiensten, auch bekannt als HP-Cloud-Verbindung. HP Web Services werden niemals die Kommunikation mit HP-Druckern in einer Kundenumgebung initiieren; daher besteht keine Notwendigkeit, eingehende HP-URLs auf die Whitelist zu setzen.

Alle HTTPS-Kommunikation ist standardmäßig auf Port 443 eingestellt. Port 631 wird als sekundäre Option genutzt, falls 443 nicht verfügbar ist.

Firewall-Konfiguration: Cloud-verbundene Drucker

Für cloudverbundene Drucker müssen folgende URLs in der Firewall-Software für ausgehende (druckerinitiierte) Internetkommunikation konfiguriert werden:

HP Web Services URLs

• https://*.avatar.ext.hp.com:443

• http://*.avatar.ext.hp.com

• udp://*.avatar.ext.hp.com:9930

• wss://*.avatar.ext.hp.com:443 (Web-Socket-Protokoll)

• https://*.id.hp.com:443

• https://*.ipp.ext.hp.com:443

• https://*.wpp.api.hp.com:443

• https://*.api.hp.com:443

• https://h20593.www2.hp.com:443

Geräte-Onboarding-URLs

• https://authz.api.ws-hp.com:443

• https://*.api.ws-hp.com:443

Firmware-Update-URLs

• http://h10141.www1.hp.com/pub/inkjet/updates

• http://h10141.www1.hp.com/pub/laserjet/updates

HP Cloud Anmeldung einmal (SIO)

• https://*.mymfpprogram.com:443

• https://dvs.ext.hp.com

Firewall-Konfiguration: Druckflotten-Proxy-verbundene Drucker

Drucker, die über einen Print Fleet Proxy verbunden sind, benötigen Ihre Firewall, um ausgehende HTTPS-Anfragen über Port 443 an folgende Endpunkte zu ermöglichen:

• https://oauth-auth.oc.hp.com

• https://us1.api.ws-hp.com

• https://us-east-1.aws.realm.mongodb.com

• https://ws.us-east-1.aws.realm.mongodb.com

• https://services.cloud.mongodb.com

WXP Print Fleet Management Datenschutz

Datenschutz

HP blickt auf eine langjährige Geschichte führender Branchen im Bereich Datenschutz und Datenschutz zurück. Gemeinsam unterstützen wir mit unserem umfangreichen Produkt- und Dienstleistungsportfolio die Bemühungen unserer Kunden und Partner beim Schutz personenbezogener Daten. Bezüglich der im Zusammenhang mit WXP verarbeiteten personenbezogenen Daten fungiert HP als Datenverarbeiter. Bitte beachten Sie den Abschnitt Datenverarbeitung auf HP Privacy Central. Als globales Unternehmen ist es möglich, dass alle von Ihnen bereitgestellten Informationen gemäß der HP-Datenschutzerklärung und auf Grundlage der im Abschnitt "Internationale Datenübertragungen" aufgeführten internationalen Datenschutzprogramme übertragen oder von HP-Organisationen weltweit abgerufen werden.

Die Datenschutzpraktiken und -prinzipien von HP sind in der HP-Datenschutzerklärung festgelegt. Die Datenschutzerklärung wird regelmäßig aktualisiert und behandelt folgende Themen:

• Unsere Datenschutzprinzipien

• Internationale Datenübertragungen

• Wie wir Daten nutzen

• Welche Daten wir sammeln

• Privatsphäre der Kinder

• Wie wir Ihre Daten aufbewahren und sicher halten

• Wie wir Daten teilen

• Nichtdiskriminierungs- und Treueprogramme

• HP Communications

• Ausübung Ihrer Rechte und Kontaktaufnahme mit uns

• Änderungen an unserer Datenschutzerklärung

Kontaktieren Sie uns

Für jegliche Unterstützung erstellen Sie einen Support-Fall oder schreiben Sie eine E-Mail support@wxp.hp.com.