Visión general de la Plataforma de Experiencia de la Fuerza Laboral de HP
La HP Workforce Experience Platform (WXP) es una solución empresarial basada en la nube que ayuda a los equipos de TI a reducir la fricción digital, mejorar la seguridad y resolver de forma proactiva problemas con los dispositivos. Proporciona visibilidad y gestión centralizada de la flota de ordenadores de una organización, como ordenadores de sobremesa, portátiles y otros activos conectados, a través de una plataforma segura y escalable.
WXP analiza datos de telemetría casi en tiempo real de dispositivos y aplicaciones para identificar problemas, monitorizar la salud y recomendar remediaciones. Los administradores de TI pueden ver el estado de los dispositivos, definir políticas, generar informes e iniciar acciones remotas para apoyar necesidades operativas y de seguridad.
Este documento describe la arquitectura de seguridad y privacidad de WXP, centrándose en dispositivos de impresión gestionados. Explica cómo se recopilan, transmiten, almacenan y protegen los datos impresos. Otros activos físicos, como PCs o dispositivos periféricos, pueden tener consideraciones de seguridad adicionales o diferentes que no se discuten aquí.
El público objetivo incluye administradores de TI, proveedores de servicios y revisores de seguridad que evalúan las prácticas de manejo y seguridad de los datos de la plataforma. Incluye recomendaciones para asegurar la flota de impresoras dentro de un cortafuegos del cliente, así como fuera a través del portal WXP.
Arquitectura HP WXP
WXP puede incorporar y conectar dispositivos HP elegibles a la nube de HP de dos maneras:
Incorporar dispositivos conectados a la nube directamente en la nube.
Incorporación de dispositivos gestionados por Web Jetadmin mediante uno o más proxies de flota de impresión.
La conexión desde la impresora a la nube utiliza los siguientes protocolos para la comunicación:
La impresora envía periódicamente mensajes a la nube de HP para identificar si hay notificaciones para ella. Este tipo de comunicación requiere una comunicación ligera que utilice protocolos UDP y TCP con confidencialidad autenticada.
La impresora utiliza comunicación HTTPS para el intercambio bidireccional de información del dispositivo, contadores y suministros. HTTPS garantiza la integridad y confidencialidad de los datos.
Control de acceso de usuario basado en roles
Los roles en WXP se definen como conjuntos de permisos. WXP define varios roles incorporados. Los siguientes roles son algunos de los roles predefinidos y integrados actualmente disponibles para WXP que pueden asignarse a administradores que gestionan aspectos de la flota de impresoras.
Asignar roles más específicos a los usuarios limita la exposición de datos dentro del portal WXP. Los usuarios solo pueden ver datos relacionados con el alcance de sus roles asignados; Todas las pantallas fuera de ese ámbito están ocultas y no son accesibles.
Administrador de TI: Tiene acceso completo a todas las funciones del portal WXP, incluyendo invitar a los usuarios a la plataforma, asignar roles y todas las tareas administrativas y de gestión para PCs, impresoras, periféricos y configuraciones de terceros.
Administrador de impresoras: Tiene la capacidad de realizar todas las tareas de administración de impresión.
Administrador de informes: Tiene la capacidad de ejecutar informes.
Plataforma de Experiencia de la Fuerza Laboral HP
Actualmente, el servicio de Gestión de Flota Impresa de WXP está alojado en Amazon Web Services (AWS) en Estados Unidos (AWS-OR), con la posibilidad de añadir otras regiones en el futuro. Los administradores de TI acceden a WXP a través de un navegador web, que proporciona interfaces para el registro de dispositivos, autenticación y comunicación.
Además de los detalles de seguridad y privacidad de la plataforma Core WXP relacionados con multi-inquilinos, gestión de identidad y sesiones, y autorización (como se discute en el Documento Técnico Core de Seguridad y Privacidad de WXP), la gestión de la Flota Impresa WXP también tiene en cuenta las siguientes consideraciones específicas de datos y seguridad de red para impresoras.
Datos en reposo
Datos recopilados
La recogida de datos para impresoras está limitada por el alcance del contrato del cliente con HP. HP recoge la telemetría necesaria para apoyar los servicios y soluciones que está contractualmente obligada a proporcionar al cliente, y la recoge bajo la base legal del contrato. En algunos casos, HP puede, con el consentimiento del usuario, recopilar datos adicionales para fines explícitamente declarados, como la mejora de productos y servicios de HP.
Algunos de los atributos de datos recogidos por HP pueden incluir:
Propósito de la recopilación de datos | Datos recopilados | Descripción de los datos recogidos |
|---|---|---|
Gestión de cuentas | Datos de la cuenta | Información relacionada con compras de clientes o inscripciones a servicios WXP, historial de soporte respecto a incidentes generados por WXP y cualquier otra cosa relacionada con la cuenta WXP para realizar servicios de transacciones como la gestión de cuentas. |
Configuración de cuentas, gestión de identidades y Validación de derechos | Datos de contacto | Datos personales y/o de contacto empresariales, incluyendo nombre, apellido, dirección postal, número de teléfono, correo electrónico, región, acceso a la placa y otros datos de contacto similares utilizados para la configuración y validación de la cuenta de cliente WXP, así como para el derecho al servicio. |
Ofrecer mantenimiento y gestión proactiva de servicios de TI, así como reportes/paneles centrados en el cliente | Datos del dispositivo | Información básica del dispositivo, como nombre del dispositivo, número de modelo, versión del firmware, configuración de región, configuración de idioma, identificador de cuenta, capacidades e información técnica adicional que varía según el modelo. Configuraciones de gestión empresarial, así como algunas telemetrías del Servicio de Dispositivos Inteligentes (SDS), como contadores de por vida, datos de suministro y otras estadísticas del motor de impresión. Ajustes para diversas categorías de características que permiten a WXP gestionar la funcionalidad del dispositivo y evaluar y remediar los valores de configuración para garantizar que cada impresora de la flota cumple con las políticas de seguridad y características definidas por el cliente. Las configuraciones recopiladas incluyen Copiadora, Envío Digital, Fax, Configuración del Sistema de Archivos, Configuración de Red, Seguridad Soluciones, Servicios Web, entre otras. |
Retención de datos
La política de retención de datos de HP incorpora las siguientes mejores prácticas en materia de retención de datos:
Mantener los datos durante periodos más cortos de lo necesario puede violar requisitos contractuales o legales o afectar la seguridad.
Mantener los datos durante períodos más largos de los necesarios puede violar las normativas de privacidad y es una prioridad para los clientes.
Una vez eliminados los datos, no hay obligación de proporcionarlos al cliente ni a las fuerzas del orden.
Dado que el paquete de análisis de la aplicación WXP es un paquete compartido único entre muchas aplicaciones HP, los datos en el centro de datos de U.S. Analytics no pueden eliminarse permanentemente si un cliente es inactivado de WXP, ya que el mismo cliente puede estar inscrito en otras aplicaciones HP.
Nota: Los datos de telemetría transmitidos al centro de datos de U.S. Analytics están vinculados a números de serie de dispositivos e IDs generados por el sistema. Estos datos se cifran en reposo y se gestionan conforme a los estándares de protección y seguridad de HP.
Almacenamiento de datos
El almacenamiento de datos en WXP se limita a la información del cliente y del dispositivo de los suscriptores que pagan.
Todas las bases de datos en los centros de datos regionales de EE. UU. que almacenan datos personales están cifradas.
Todas las bases de datos en los centros de datos de gestión de identidad de EE. UU. que almacenan datos personales están cifradas.
Todas las bases de datos y almacenamiento no estructurado en el centro de datos de U.S. Analytics están cifrados.
Bases de datos
WXP utiliza bases de datos relacionales y no relacionales para almacenar información de usuarios e impresoras integradas. Los almacenes de la base de datos también están cifrados en disco, y el acceso está limitado aislando la base de datos en un entorno seguro accesible solo por la capa de abstracción. WXP utiliza estas bases de datos para almacenar información como:
datos del perfil de usuario (nombre, apellido, localidad, identificador IDM e identificador de cuenta)
Datos del perfil de impresora (identificador en la nube, modelo, nombre, dirección de correo electrónico, identificador de cuenta y capacidades)
Información de cuenta y atributos de configuración de cuenta (nombre, dirección, región, contabilidad de puestos y acceso a la acreditación)
Datos en Tránsito -- Comunicación en red
Impresoras conectadas a la nube
Toda la comunicación entre WXP y las impresoras conectadas a la nube está asegurada de dos maneras:
La comunicación se realiza utilizando la versión 1.2 (TLS 1.2) de Seguridad de la Capa de Transporte. TLS 1.2 utiliza cifrado RSA a nivel de 2048 bits y validación de certificados para establecer un canal seguro posterior de 256 bits.
TLS ayuda a proteger los datos en varios niveles, proporcionando autenticación de servidores, cifrado de datos e integridad de los datos. Como TLS está implementado por debajo de la capa de aplicación, es un mecanismo de seguridad pasivo que no depende de pasos o procedimientos adicionales por parte del usuario.
Cada carga útil está además envuelta en la capa de cifrado propietaria de HP.
Impresoras conectadas por proxy de flota de impresión
La comunicación entre WXP y las impresoras gestionadas por Web JetAdmin se facilita mediante el Proxy de Flota de Impresión, que se comunica con toda la flota de impresoras a través de una conexión Secure Web Socket.
Uso de políticas de impresora para configurar y hacer cumplir la seguridad de la impresora
WXP soporta la gestión de una amplia gama de configuraciones de políticas de impresoras diseñadas para ayudar a los administradores a hacer cumplir la seguridad de sus flotas de impresoras. Estos entornos se dividen en dos categorías:
Certificados: Los certificados ayudan a garantizar una comunicación segura entre la impresora y otros recursos de red. Puedes configurar dos tipos de certificados para usarlos con tus impresoras: un Certificado CA, que valida la identidad de una entidad; y un Certificado de Identidad, que autentica una identidad reclamada.
Secretos y contraseñas: Cada impresora HP tiene varias contraseñas, frases de acceso o códigos de acceso que puedes configurar para proteger distintas funciones de la impresora. Estas incluyen la contraseña del servidor web integrado (EWS), la contraseña del Lenguaje de Trabajos de Impresora (PJL), frases de paso SNMP, la contraseña de administrador LDAP para la configuración de inicio de sesión, entre otras. HP recomienda encarecidamente proteger cada una de estas funciones con contraseña o desactivarlas si no son necesarias.
WXP permite a los administradores de TI definir o suministrar secretos y contraseñas dentro de las políticas de impresora para certificados y configuraciones que permiten, limitan o bloquean el acceso a ciertas funciones o funcionalidades en las impresoras de su flota. WXP utiliza estos valores para evaluar y remediar el cumplimiento de las impresoras en toda la flota.
Para alcanzar el nivel de seguridad requerido en el manejo de estos datos sensibles, HP ha mejorado la arquitectura del Motor de Políticas WXP, añadiendo un método extremadamente seguro para gestionar secretos y contraseñas de clientes, tanto en tránsito como en reposo. Esencialmente, HP ha añadido un nivel de cifrado más allá de TLS 1.2 (cifrado RSA de 2048 bits y validación de certificados) que se utiliza para asegurar el canal de comunicación.
Con este cifrado multinivel, WXP permite a los administradores de TI configurar, evaluar y remediar secretos y contraseñas de forma segura en impresoras utilizando políticas de impresora, eliminando prácticamente la necesidad de configurar manualmente estas configuraciones sensibles impresora por impresora.
Puertos de red y requisitos de cortafuegos
El software de cortafuegos puede configurarse para bloquear tanto el tráfico de internet entrante como saliente. Las impresoras HP SOLO requieren comunicaciones salientes con los servicios web de HP, también conocidos como conexión en la nube HP. Los servicios web de HP nunca iniciarán comunicación con impresoras HP en un entorno de cliente; por lo tanto, no es necesario poner en lista blanca las URLs entrantes de HP.
Toda la comunicación HTTPS se coloca por defecto en el puerto 443. El puerto 631 se utilizará como opción secundaria si el 443 no está disponible.
Configuración del cortafuegos: impresoras conectadas a la nube
Para impresoras conectadas a la nube, las siguientes URLs deben configurarse en el software del cortafuegos para la comunicación de salida (iniciada por la impresora):
URLs de los Servicios Web de HP
https://*.avatar.ext.hp.com:443
http://*.avatar.ext.hp.com
udp://*.avatar.ext.hp.com:9930
WSS://*.avatar.ext.hp.com:443 (protocolo web socket)
https://*.id.hp.com:443
https://*.ipp.ext.hp.com:443
https://*.wpp.api.hp.com:443
https://*.api.hp.com:443
URLs de incorporación de dispositivos
https://*.api.ws-hp.com:443
URLs de actualización de firmware
http://h10141.www1.hp.com/pub/inkjet/updates
Inicio de sesión en la nube de HP (SIO)
https://*.mymfpprogram.com:443
Configuración del cortafuegos: impresoras conectadas a la flota de impresión proxy
Las impresoras conectadas mediante un Proxy de Flota de Impresión requieren que tu cortafuegos permita las solicitudes HTTPS salientes por el puerto 443 a los siguientes puntos finales:
WXP Impresión Privacidad de la gestión de flotas
Privacidad de los datos
HP tiene una larga trayectoria de liderazgo en el sector en privacidad y protección de datos. Juntos, con nuestro sólido portafolio de productos y servicios, apoyamos los esfuerzos de nuestros clientes y socios en la protección de los datos personales. Con respecto a los datos personales de WXP tratados en relación con WXP, HP actúa como Procesador de Datos. Por favor, consulte la sección de Procesadores de Datos en HP Privacy Central. Como empresa global, es posible que cualquier información que proporciones sea transferida o accedida por entidades de HP en todo el mundo conforme a la Declaración de Privacidad de HP y basada en los Programas Internacionales de Privacidad listados en la sección de Transferencias Internacionales de Datos.
Las prácticas y principios de privacidad de HP se exponen en la Declaración de Privacidad de HP. La Declaración de Privacidad se actualiza periódicamente y cubre los siguientes temas:
Nuestros principios de privacidad
Transferencias internacionales de datos
Cómo utilizamos los datos
Qué datos recopilamos
Privacidad infantil
Cómo conservamos y mantenemos tus datos seguros
Cómo compartimos datos
Programas de No Discriminación y Fidelidad
HP Communications
Ejerciendo tus derechos y contactándonos
Cambios en nuestra Declaración de Privacidad
Contáctanos
Para cualquier ayuda, crea un caso de soporte o envía un correo electrónico support@wxp.hp.com.