Panoramica della Piattaforma HP Workforce Experience
La HP Workforce Experience Platform (WXP) è una soluzione aziendale basata sul cloud che aiuta i team IT a ridurre le frizioni digitali, migliorare la sicurezza e risolvere proattivamente problemi dei dispositivi. Fornisce visibilità e gestione centralizzate della flotta PC di un'organizzazione, come desktop, laptop e altri asset connessi, attraverso una piattaforma sicura e scalabile.
WXP analizza dati di telemetria quasi in tempo reale provenienti da dispositivi e applicazioni per identificare problemi, monitorare la salute e raccomandare una bonifica. Gli amministratori IT possono visualizzare lo stato dei dispositivi, definire politiche, generare report e avviare azioni remote per supportare esigenze operative e di sicurezza.
Questo documento illustra l'architettura di sicurezza e privacy di WXP, concentrandosi sui dispositivi di stampa gestiti. Spiega come i dati di stampa vengono raccolti, trasmessi, memorizzati e protetti. Altri asset fisici, come PC o dispositivi periferici, possono avere considerazioni di sicurezza aggiuntive o diverse che qui non vengono discusse.
Il pubblico a cui si rivolge include amministratori IT, fornitori di servizi e revisori di sicurezza che valutano le pratiche di gestione e sicurezza dei dati della piattaforma. Include raccomandazioni per proteggere la flotta di stampanti sia all'interno di un firewall per il cliente sia all'esterno tramite il portale WXP.
Architettura HP WXP
WXP può imbarcare e collegare dispositivi HP idonei al cloud HP in due modi:
Inserire i dispositivi connessi al cloud direttamente nel cloud.
Onboarding Web Jetadmin gestito dispositivi tramite uno o più Proxy Print Fleet.
La connessione dalla stampante al cloud utilizza i seguenti protocolli per la comunicazione:
La stampante invia periodicamente messaggi al cloud HP per identificare se ci sono notifiche a riguardo. Questo tipo di comunicazione richiede una comunicazione leggera che utilizzi protocolli UDP e TCP con riservatezza autenticata.
La stampante utilizza la comunicazione HTTPS per lo scambio bidirezionale di informazioni sui dispositivi, contatori e alimentazioni. HTTPS garantisce l'integrità e la riservatezza dei dati.
Controllo di accesso utente basato sui ruoli
I ruoli in WXP sono definiti come insiemi di permessi. WXP definisce diversi ruoli integrati. I seguenti ruoli sono alcuni dei ruoli predefiniti e integrati attualmente disponibili per WXP che possono essere assegnati agli amministratori che gestiscono aspetti della flotta di stampanti.
Assegnare ruoli più specifici agli utenti limita l'esposizione dei dati all'interno del portale WXP. Gli utenti possono visualizzare solo i dati relativi all'ambito dei ruoli assegnati; Tutte le schermate al di fuori di quell'ambito sono nascoste e non accessibili.
Amministratore IT: Ha pieno accesso a tutte le funzionalità del portale WXP, inclusi l'invito agli utenti sulla piattaforma, l'assegnazione dei ruoli e tutte le attività amministrative e gestionali per PC, stampanti, periferiche e configurazioni di terze parti.
Amministratore della stampante: Ha la capacità di eseguire tutte le attività di amministrazione della stampa.
Amministratore dei rapporti: Ha la capacità di eseguire report.
Piattaforma HP per l'Esperienza della Forza di Lavoro
Attualmente, il servizio di Gestione Flotta di Stampa di WXP è ospitato in Amazon Web Services (AWS) negli Stati Uniti (AWS-OR), con altre regioni potenzialmente aggiunte in futuro. Gli amministratori IT accedono a WXP tramite un browser web, che fornisce interfacce per la registrazione dei dispositivi, l'autenticazione e la comunicazione.
Oltre ai dettagli sulla sicurezza e privacy della piattaforma Core WXP riguardanti multi-tenancy, gestione di identità e sessioni, e autorizzazione (come discusso nel Documento Tecnico Core di Sicurezza e Privacy WXP), la gestione della Flotta di Stampa WXP prevede anche le seguenti considerazioni specifiche per la stampa sui dati e sulla sicurezza di rete.
Dati a riposo
Dati raccolti
La raccolta dati per le stampanti è limitata dall'ambito del contratto del cliente con HP. HP raccoglie la telemetria necessaria a supportare i servizi e le soluzioni che è contrattualmente obbligata a fornire al cliente, e la raccoglie secondo la base legale del contratto. In alcuni casi, HP può, con il consenso dell'utente, raccogliere dati aggiuntivi per scopi esplicitamente dichiarati, come il miglioramento dei prodotti e servizi HP.
Alcuni degli attributi dei dati raccolti da HP possono includere:
Scopo della raccolta dei dati | Dati raccolti | Descrizione dei dati raccolti |
|---|---|---|
Gestione degli account | Dati dell'account | Informazioni relative agli acquisti o all'iscrizione dei clienti ai servizi WXP, la cronologia del supporto relativo agli incidenti generati da WXP e qualsiasi altra cosa relativa all'account WXP per eseguire servizi di transazione come la gestione dell'account. |
Configurazione account, gestione delle identità e Validazione del diritto | Dati di contatto | Dati di contatto personali e/o aziendali, inclusi nome, cognome, indirizzo postale, numero di telefono, indirizzo email, regione, accesso del badge e altri dati di contatto simili utilizzati per l'apertura e la validazione dell'account cliente WXP e per il diritto al servizio. |
Fornire manutenzione e gestione proattiva dei servizi IT, oltre a report/dashboard centrati sul cliente | Dati del dispositivo | Informazioni di base sul dispositivo, come nome del dispositivo, numero di modello, versione del firmware, impostazione regionale, impostazione della lingua, identificatore dell'account, capacità e ulteriori informazioni tecniche che variano a seconda del modello. Impostazioni di gestione aziendale, così come alcune telemetrie del Smart Device Service (SDS), come contatori a vita, dati di fornitura e altre statistiche del motore di stampa. Impostazioni per varie categorie di funzionalità che permettono a WXP di gestire la funzionalità del dispositivo e di valutare e correggere i valori delle impostazioni per garantire che ogni stampante della flotta sia conforme alle politiche di sicurezza e funzionalità definite dal cliente. Le impostazioni raccolte includono impostazioni Copiatore, Invio Digitale, Fax, Impostazioni del File System, Impostazioni di Rete, Impostazioni di Sicurezza, Impostazioni Soluzioni e Servizi Web, tra le altre. |
Conservazione dei dati
La politica di conservazione dei dati di HP incorpora le seguenti migliori pratiche di conservazione:
Conservare i dati per periodi più brevi del necessario può violare requisiti contrattuali o legali o compromettere la sicurezza.
Conservare i dati per periodi più lunghi del necessario può violare le normative sulla privacy ed è una priorità per i clienti.
Una volta che i dati vengono cancellati, non c'è alcun obbligo di fornirli al cliente o alle forze dell'ordine.
Poiché il pacchetto di analisi dell'applicazione WXP è un pacchetto condiviso unico tra molte applicazioni HP, i dati nel data center U.S. Analytics potrebbero non essere cancellati permanentemente se un cliente viene disattivato da WXP, poiché lo stesso cliente potrebbe essere iscritto ad altre applicazioni HP.
Nota: I dati di telemetria trasmessi al data center U.S. Analytics sono collegati ai numeri di serie dei dispositivi e agli ID generati dal sistema. Questi dati sono criptati a riposo e gestiti in conformità con gli standard di protezione e sicurezza dei dati di HP.
Archiviazione dei dati
La memoria dati per WXP è limitata alle informazioni sui clienti e sui dispositivi degli abbonati paganti.
Tutti i database regionali degli Stati Uniti che conservano dati personali sono criptati.
Tutti i database nei datacenter di gestione dell'identità statunitense che conservano dati personali sono criptati.
Tutti i database e gli archiviamenti non strutturati nel datacenter U.S. Analytics sono criptati.
Banche dati
WXP utilizza database relazionali e non relazionali per memorizzare le informazioni di utenti e stampanti integrate. Gli archiviamenti del database sono anch'essi criptati su disco e l'accesso è limitato isolando il database in un ambiente sicuro accessibile solo dal livello di astrazione. WXP utilizza questi database per memorizzare informazioni come:
dati del profilo utente (nome, cognome, località, identificatore IDM e identificatore account)
Dati del profilo della stampante (identificatore cloud, modello, nome, indirizzo email, identificatore account e capacità)
Informazioni dell'account e attributi delle impostazioni dell'account (nome, indirizzo, regione, contabilità del lavoro e accesso badge)
Dati in transito -- Comunicazione di rete
Stampanti connesse al cloud
Tutta la comunicazione tra WXP e le stampanti connesse al cloud è protetta in due modi:
La comunicazione avviene utilizzando la versione 1.2 (TLS 1.2) di Transport Layer Security. TLS 1.2 utilizza la crittografia RSA a livello di 2048 bit e la validazione dei certificati per stabilire un successivo canale sicuro a 256 bit.
TLS aiuta a proteggere i dati a diversi livelli, fornendo autenticazione dei server, crittografia dei dati e integrità dei dati. Poiché TLS è implementato sotto il livello applicativo, è un meccanismo di sicurezza passivo che non si basa su ulteriori passaggi o procedure da parte dell'utente.
Ogni payload è inoltre avvolto nel livello di crittografia proprietario di HP.
Stampanti collegate a proxy per flotta di stampa
La comunicazione tra le stampanti gestite da WXP e Web JetAdmin è facilitata dal Print Fleet Proxy, che comunica con l'intera flotta di stampanti tramite una connessione Secure Web Socket.
Utilizzo delle politiche della stampante per configurare e far rispettare la sicurezza della stampante
WXP supporta la gestione di un'ampia gamma di impostazioni di policy di stampante progettate per aiutare gli amministratori a far rispettare la sicurezza delle loro flotte di stampanti. Queste ambientazioni si dividono in due categorie:
Certificati: I certificati aiutano a garantire una comunicazione sicura tra la stampante e le altre risorse di rete. Puoi configurare due tipi di certificati da utilizzare con le tue stampanti: un Certificato CA, che valida l'identità di un'entità; e un Certificato d'Identificazione, che autentica un'identità dichiarata.
Segreti e password: Ogni stampante HP ha diverse password, passphrase o codici di accesso che puoi impostare per proteggere varie funzioni della stampante. Queste includono la password embedded del server web (EWS), la password del Printer Job Language (PJL), le passphrase SNMP, la password LDAP Admin per la configurazione di accesso, e altre. HP raccomanda vivamente di proteggere ciascuna di queste funzionalità con una password o di disattivarle se non sono necessarie.
WXP consente agli amministratori IT di definire o fornire segreti e password all'interno delle policy delle stampanti per certificati e impostazioni che permettono, limitano o bloccano l'accesso a determinate funzionalità o funzionalità sulle stampanti della loro flotta. WXP utilizza questi valori per valutare e correggere la conformità delle stampanti in tutta la flotta.
Per raggiungere il livello di sicurezza richiesto nella gestione di questi dati sensibili, HP ha migliorato l'architettura del WXP Policy Engine, aggiungendo un metodo estremamente sicuro per gestire segreti e password dei clienti, sia durante il transito che a riposo. In sostanza, HP ha aggiunto un livello di crittografia superiore a TLS 1.2 (cifratura RSA a 2048 bit e validazione dei certificati) utilizzato per proteggere il canale di comunicazione.
Con questa crittografia multilivello, WXP consente agli amministratori IT di configurare, valutare e rimediare in modo sicuro segreti e password sulle stampanti utilizzando le policy della stampante, eliminando praticamente la necessità di configurare manualmente queste impostazioni sensibili stampante per stampante.
Porte di rete e requisiti firewall
Il software firewall può essere configurato per bloccare sia il traffico internet in entrata che in uscita. Le stampanti HP richiedono SOLO comunicazioni in uscita con i servizi web HP, noti anche come connessione cloud HP. I servizi web HP non avvieranno mai la comunicazione con stampanti HP in un ambiente cliente; pertanto, non è necessario mettere in whitelist gli URL HP in entrata.
Tutta la comunicazione HTTPS è predefinita sulla porta 443. La porta 631 sarà utilizzata come opzione secondaria se la 443 non è disponibile.
Configurazione firewall: Stampanti connesse al cloud
Per le stampanti connesse al cloud, i seguenti URL devono essere configurati nel software del firewall per la comunicazione internet in uscita (iniziata dalla stampante):
URL dei servizi web di HP
https://*.avatar.ext.hp.com:443
http://*.avatar.ext.hp.com
udp://*.avatar.ext.hp.com:9930
WSS://*.avatar.ext.hp.com:443 (protocollo web socket)
https://*.id.hp.com:443
https://*.ipp.ext.hp.com:443
https://*.wpp.api.hp.com:443
https://*.api.hp.com:443
URL di onboarding dei dispositivi
https://*.api.ws-hp.com:443
URL degli aggiornamenti firmware
http://h10141.www1.hp.com/pub/inkjet/updates
HP Cloud Accedi una Volta (SIO)
https://*.mymfpprogram.com:443
Configurazione firewall: Stampanti connesse a proxy di una flotta di stampa
Le stampanti collegate tramite un Proxy di Flotta di Stampa richiedono al firewall di consentire richieste HTTPS in uscita tramite la porta 443 verso i seguenti endpoint:
WXP Print Gestione della Flotta Privacy
Privacy dei dati
HP vanta una lunga storia di leadership nel settore della privacy e della protezione dei dati. Insieme, con il nostro solido portafoglio di prodotti e servizi, supportiamo gli sforzi dei nostri clienti e partner nella protezione dei dati personali. Per quanto riguarda i dati personali WXP trattati in relazione a WXP, HP agisce come Data Processor. Si prega di consultare la sezione Data Processor su HP Privacy Central. In quanto azienda globale, è possibile che qualsiasi informazione fornita venga trasferita o accessibile da entità HP in tutto il mondo in conformità con la Dichiarazione sulla Privacy di HP e basandosi sui Programmi Internazionali sulla Privacy elencati nella sezione Trasferimenti Internazionali di Dati.
Le pratiche e i principi di privacy di HP sono illustrati nella Dichiarazione sulla Privacy di HP. La Dichiarazione sulla Privacy viene aggiornata periodicamente e copre i seguenti argomenti:
I nostri principi sulla privacy
Trasferimenti Dati Internazionali
Come utilizziamo i dati
Quali dati raccogliamo
Privacy dei bambini
Come conserviamo e manteniamo i tuoi dati sicuri
Come condividiamo i dati
Programmi di Non Discriminazione e Fedeltà
HP Communications
Esercitare i tuoi diritti e contattarci
Modifiche alla nostra Dichiarazione sulla Privacy
Contattaci
Per qualsiasi assistenza, crea un caso di supporto o invia una support@wxp.hp.com.