Aperçu de la plateforme HP Workforce Experience
La plateforme HP Workforce Experience Platform (WXP) est une solution d’entreprise basée sur le cloud qui aide les équipes informatiques à réduire les frictions numériques, améliorer la sécurité et résoudre de manière proactive les problèmes liés aux appareils. Il offre une visibilité centralisée et une gestion de la flotte PC d’une organisation, telles que les ordinateurs de bureau, ordinateurs portables et autres actifs connectés, via une plateforme sécurisée et évolutive.
WXP analyse les données de télémétrie en temps réel provenant des appareils et applications pour identifier les problèmes, surveiller l’état de santé et recommander des solutions de remédiation. Les administrateurs informatiques peuvent consulter l’état des appareils, définir des politiques, générer des rapports et lancer des actions à distance pour soutenir les besoins opérationnels et de sécurité.
Ce document décrit l’architecture de sécurité et de confidentialité de WXP, en se concentrant sur les dispositifs d’impression gérés. Il explique comment les données imprimées sont collectées, transmises, stockées et protégées. D’autres actifs physiques, tels que les PC ou périphériques, peuvent avoir des considérations de sécurité supplémentaires ou différentes qui ne sont pas abordées ici.
Le public visé comprend les administrateurs informatiques, les prestataires de services et les évaluateurs de sécurité évaluant les pratiques de gestion et de sécurité des données de la plateforme. Il inclut des recommandations pour sécuriser la flotte d’imprimantes à l’intérieur d’un pare-feu client ainsi qu’à l’extérieur via le portail WXP.
HP WXP Architecture
WXP peut embarquer et connecter des appareils HP éligibles au cloud HP de deux manières :
Intégration directe des appareils connectés au cloud dans le cloud.
Intégration Web : Jetadmin gérait les appareils via un ou plusieurs proxies de flotte d’impression.
La connexion de l’imprimante au cloud utilise les protocoles suivants pour la communication :
L’imprimante envoie périodiquement des messages au cloud HP pour identifier s’il y a des notifications à son sujet. Ce type de communication nécessite une communication légère utilisant les protocoles UDP et TCP avec une confidentialité authentifiée.
L’imprimante utilise la communication HTTPS pour l’échange bidirectionnel d’informations sur les appareils, des compteurs et des alimentations. HTTPS garantit l’intégrité et la confidentialité des données.
Contrôle d’accès utilisateur basé sur les rôles
Les rôles dans WXP sont définis comme des ensembles de permissions. WXP définit plusieurs rôles intégrés. Les rôles suivants sont quelques-uns des rôles intégrés prédéfinis actuellement disponibles pour WXP, qui peuvent être attribués aux administrateurs qui gèrent certains aspects de la flotte d’imprimantes.
Attribuer des rôles plus spécifiques aux utilisateurs limite l’exposition des données au sein du portail WXP. Les utilisateurs ne peuvent consulter que les données liées à la portée de leurs rôles assignés ; Tous les écrans en dehors de cette portée sont cachés et inaccessibles.
Administrateur informatique : Accès complet à toutes les fonctionnalités du portail WXP, y compris l’invitation des utilisateurs sur la plateforme, l’attribution des rôles, ainsi que toutes les tâches administratives et de gestion pour les PC, imprimantes, périphériques et configurations tierces.
Administrateur imprimante : Il a la capacité d’effectuer toutes les tâches d’administration d’impression.
Administrateur de rapports : A la capacité d’exécuter des rapports.
Plateforme d’expérience de la main-d’œuvre HP
Actuellement, le service de gestion de flotte d’impression de WXP est hébergé dans Amazon Web Services (AWS) aux États-Unis (AWS-OR), avec d’autres régions potentiellement ajoutées à l’avenir. Les administrateurs informatiques accèdent à WXP via un navigateur web, qui fournit des interfaces pour l’inscription, l’authentification et la communication des appareils.
En plus des détails de sécurité et de confidentialité de la plateforme Core WXP concernant la multi-location, la gestion des identités et des sessions, ainsi que l’autorisation (comme expliqué dans le document technique de sécurité et de confidentialité de base WXP), la gestion de la flotte d’impression WXP prend également en compte les considérations suivantes concernant la sécurité des données et des réseaux spécifiques à l’imprimante.
Données au repos
Données collectées
La collecte des données pour les imprimantes est limitée par la portée du contrat du client avec HP. HP collecte la télémétrie nécessaire pour soutenir les services et solutions qu’elle est contractuellement tenue de fournir au client, et la collecte selon la base légale du contrat. Dans certains cas, HP peut, avec le consentement de l’utilisateur, collecter des données supplémentaires pour des objectifs explicitement spécifiés, tels que l’amélioration des produits et services HP.
Certains attributs de données collectés par HP peuvent inclure :
Objectif de la collecte de données | Données collectées | Description des données collectées |
|---|---|---|
Gestion des comptes | Données de compte | Informations relatives aux achats clients ou à l’inscription aux services WXP, historique de support concernant les incidents générés par WXP, et tout autre élément lié au compte WXP pour effectuer des services de transaction comme la gestion du compte. |
Configuration de compte, gestion d’identité, et Validation des droits | Données de contact | Données personnelles et/ou professionnelles, y compris prénom, nom de famille, adresse postale, numéro de téléphone, adresse e-mail, région, identifiant badge et autres coordonnées similaires utilisées pour la création et la validation du compte client WXP ainsi que pour le droit au service. |
Assurer la maintenance et la gestion proactives des services informatiques, ainsi que des rapports/tableaux de bord centrés sur le client | Données de l’appareil | Informations de base sur l’appareil, telles que le nom de l’appareil, le numéro de modèle, la version du firmware, les paramètres régionaux, la langue, l’identifiant de compte, les capacités et d’autres informations techniques variant selon le modèle. Paramètres de gestion d’entreprise, ainsi que certains services de télémétrie du Smart Device Service (SDS), tels que les compteurs à vie, les données d’alimentation et d’autres statistiques du moteur d’impression. Paramètres pour diverses catégories de fonctionnalités permettant à WXP de gérer les fonctionnalités de l’appareil et d’évaluer et de corriger les valeurs de réglage afin de s’assurer que chaque imprimante de la flotte respecte les politiques de sécurité et de fonctionnalités définies par le client. Les réglages collectés incluent les paramètres du copieur, des paramètres d’envoi numérique, des réglages de fax, des réglages du système de fichiers, des réglages réseau, des réglages de sécurité, des réglages Solutions et des services Web, entre autres. |
Conservation des données
La politique de conservation des données de HP intègre les meilleures pratiques suivantes :
La conservation des données pour des périodes plus courtes que nécessaire peut violer des exigences contractuelles ou légales ou affecter la sécurité.
La conservation des données plus longtemps que nécessaire peut violer les réglementations sur la vie privée et constitue une préoccupation prioritaire pour les clients.
Une fois les données supprimées, il n’y a aucune obligation de les fournir au client ou aux forces de l’ordre.
Puisque le paquet analytique de l’application WXP est un package partagé unique entre de nombreuses applications HP, les données du centre de données U.S. Analytics peuvent ne pas être supprimées définitivement si un client est désactivé de WXP, car ce même client peut être inscrit à d’autres applications HP.
Note : Les données de télémétrie transmises au centre de données U.S. Analytics sont liées aux numéros de série des appareils et aux identifiants générés par le système. Ces données sont chiffrées au repos et traitées conformément aux normes de protection et de sécurité des données de HP.
Stockage des données
Le stockage des données pour WXP est limité aux informations sur les clients et les appareils des abonnés payants.
Toutes les bases de données régionales des États-Unis qui stockent des données personnelles sont chiffrées.
Toutes les bases de données des centres de données de gestion d’identité américaines qui stockent des données personnelles sont chiffrées.
Toutes les bases de données et le stockage non structuré du centre de données U.S. Analytics sont chiffrés.
Bases de données
WXP utilise des bases de données relationnelles et non relationnelles pour stocker les informations utilisateur et imprimante embarquées. Les stockages de bases de données sont également chiffrés sur disque, et l’accès est limité en isolant la base de données dans un environnement sécurisé accessible uniquement par la couche d’abstraction. WXP utilise ces bases de données pour stocker des informations telles que :
données du profil utilisateur (prénom, nom de famille, localisation, identifiant IDM et identifiant de compte)
Données de profil d’imprimante (identifiant cloud, modèle, nom, adresse e-mail, identifiant de compte et fonctionnalités)
Informations de compte et attributs des paramètres du compte (nom, adresse, région, comptabilité du poste et connexion badge)
Données en transit -- Communication réseau
Imprimantes connectées au cloud
Toute la communication entre WXP et les imprimantes connectées au cloud est sécurisée de deux manières :
La communication s’effectue via la version 1.2 (TLS 1.2) de la sécurité de la couche de transport. TLS 1.2 utilise un chiffrement RSA au niveau 2048 bits et la validation des certificats pour établir un canal sécurisé 256 bits ultérieur.
TLS aide à sécuriser les données à plusieurs niveaux, en assurant l’authentification des serveurs, le chiffrement des données et l’intégrité des données. Parce que TLS est implémenté sous la couche applicative, il s’agit d’un mécanisme de sécurité passif qui ne dépend pas d’étapes ou de procédures supplémentaires de la part de l’utilisateur.
Chaque charge utile est également enveloppée dans la couche de chiffrement propriétaire de HP.
Imprimantes connectées à la flotte d’impression Proxy
La communication entre WXP et les imprimantes gérées par Web JetAdmin est facilitée par le Print Fleet Proxy, qui communique avec l’ensemble de la flotte d’imprimantes via une connexion Web Socket sécurisée.
Utilisation des politiques d’imprimante pour configurer et faire respecter la sécurité de l’imprimante
WXP prend en charge la gestion d’un large éventail de paramètres de politique d’imprimante conçus pour aider les administrateurs à assurer la sécurité de leurs flottes d’imprimantes. Ces univers se divisent en deux catégories :
Certificats : Les certificats contribuent à assurer une communication sécurisée entre l’imprimante et les autres ressources réseau. Vous pouvez configurer deux types de certificats pour vos imprimantes : un certificat CA, qui valide l’identité d’une entité ; et un certificat d’identité, qui authentifie une identité revendiquée.
Secrets et mots de passe : Chaque imprimante HP possède plusieurs mots de passe, phrases secrètes ou codes d’accès que vous pouvez configurer pour sécuriser diverses fonctionnalités de l’imprimante. Cela inclut le mot de passe du serveur web intégré (EWS), le mot de passe du langage de travail d’imprimante (PJL), les phrases secrètes SNMP, le mot de passe administrateur LDAP pour la configuration de la connexion, et d’autres. HP recommande vivement de sécuriser chacune de ces fonctionnalités avec un mot de passe ou de les désactiver si elles ne sont pas nécessaires.
WXP permet aux administrateurs informatiques de définir ou de fournir des secrets et des mots de passe au sein des politiques d’imprimante pour les certificats et paramètres qui permettent, limitent ou bloquent l’accès à certaines fonctionnalités ou fonctionnalités sur les imprimantes de leur flotte. WXP utilise ces valeurs pour évaluer et remédier à la conformité des imprimantes dans toute la flotte.
Pour atteindre le niveau de sécurité requis dans la gestion de ces données sensibles, HP a amélioré l’architecture du moteur de politique WXP, ajoutant une méthode extrêmement sécurisée de gestion des secrets et mots de passe clients, tant en transit qu’au repos. Essentiellement, HP a ajouté un niveau de chiffrement au-delà de TLS 1.2 (chiffrement RSA 2048 bits et validation des certificats) utilisé pour sécuriser le canal de communication.
Grâce à ce chiffrement multiniveau, WXP permet aux administrateurs informatiques de configurer, d’évaluer et de corriger en toute sécurité les secrets et mots de passe sur les imprimantes en utilisant les politiques d’imprimante, éliminant ainsi pratiquement la nécessité de configurer manuellement ces réglages sensibles par imprimante.
Ports réseau et exigences du pare-feu
Les logiciels de pare-feu peuvent être configurés pour bloquer à la fois le trafic internet entrant et sortant. Les imprimantes HP nécessitent UNIQUEMENT des communications sortantes avec les services web HP, également appelées connexion cloud HP. Les services web HP n’initieront jamais la communication avec les imprimantes HP dans un environnement client ; il n’est donc pas nécessaire de mettre sur liste blanche les URL HP entrantes.
Toute communication HTTPS est par défaut au port 443. Le port 631 sera utilisé comme option secondaire si le 443 n’est pas disponible.
Configuration du pare-feu : imprimantes connectées au cloud
Pour les imprimantes connectées au cloud, les URL suivantes doivent être configurées dans le logiciel du pare-feu pour la communication internet sortante (initiée par l’imprimante) :
URL des services web HP
https ://*.avatar.ext.hp.com :443
http ://*.avatar.ext.hp.com
udp ://*.avatar.ext.hp.com :9930
WSS ://*.avatar.ext.hp.com :443 (Protocole Web Socket)
https ://*.id.hp.com :443
https ://*.ipp.ext.hp.com :443
https ://*.wpp.api.hp.com :443
https ://*.api.hp.com :443
URL d’intégration des appareils
https ://*.api.ws-hp.com :443
URL de mise à jour du firmware
http://h10141.www1.hp.com/pub/inkjet/updates
Connexion HP Cloud Unique (SIO)
https ://*.mymfpprogram.com :443
Configuration du pare-feu : imprimantes connectées à la flotte d’impression Proxy
Les imprimantes connectées via un proxy de flotte d’impression nécessitent que votre pare-feu autorise les requêtes HTTPS sortantes via le port 443 vers les points de terminaison suivants :
WXP Print Gestion de flotte Confidentialité
Confidentialité des données
HP possède une longue histoire de leadership industriel en matière de vie privée et de protection des données. Ensemble, grâce à notre portefeuille solide de produits et services, nous soutenons les efforts de nos clients et partenaires pour protéger les données personnelles. En ce qui concerne les données personnelles WXP traitées en lien avec WXP, HP agit en tant que traitement de données. Veuillez consulter la section Traiteurs de données sur HP Privacy Central. En tant qu’entreprise mondiale, il est possible que toute information que vous fournissez soit transférée ou consultée par des entités HP dans le monde entier, conformément à la Déclaration de confidentialité HP et sur la base des Programmes internationaux de confidentialité listés dans la section Transferts internationaux de données.
Les pratiques et principes de confidentialité de HP sont exposés dans la Déclaration de confidentialité de HP. La Déclaration de confidentialité est mise à jour périodiquement et couvre les sujets suivants :
Nos principes de confidentialité
Transferts internationaux de données
Comment nous utilisons les données
Quelles données nous collectons
Vie privée des enfants
Comment nous conservons et protégeons vos données
Comment nous partageons les données
Programmes de non-discrimination et de fidélité
HP Communications
Exercer vos droits et nous contacter
Modifications de notre Déclaration de confidentialité
Contactez-nous
Pour toute assistance, créez un dossier de support ou envoyez un support@wxp.hp.com par email.