Overzicht van het HP Workforce Experience Platform
Het HP Workforce Experience Platform (WXP) is een cloudgebaseerde enterprise-oplossing die IT-teams helpt digitale frictie te verminderen, de beveiliging te verbeteren en proactief apparaatproblemen op te lossen. Het biedt gecentraliseerde zichtbaarheid en beheer van de pc-vloot van een organisatie, zoals desktops, laptops en andere verbonden assets, via een veilig, schaalbaar platform.
WXP analyseert bijna realtime telemetriegegevens van apparaten en applicaties om problemen te identificeren, de gezondheid te monitoren en sanering aan te bevelen. IT-beheerders kunnen apparaatstatus bekijken, beleid definiëren, rapporten genereren en externe acties initiëren ter ondersteuning van operationele en beveiligingsbehoeften.
Dit document beschrijft de beveiligings- en privacyarchitectuur van WXP, met de nadruk op beheerde printapparaten. Het legt uit hoe printgegevens worden verzameld, verzonden, opgeslagen en beschermd. Andere fysieke assets, zoals pc's of randapparatuur, kunnen aanvullende of andere beveiligingsoverwegingen hebben die hier niet worden besproken.
De beoogde doelgroep bestaat uit IT-beheerders, dienstverleners en beveiligingsbeoordelaars die de gegevensverwerking en beveiligingspraktijken van het platform beoordelen. Het bevat aanbevelingen om de printervloot binnen een klantfirewall te beveiligen, evenals buiten via het WXP-portaal.
HP WXP-architectuur
WXP kan in aanmerking komende HP-apparaten op twee manieren aan boord nemen en verbinden met de HP-cloud:
Onboarding van cloud-verbonden apparaten direct in de cloud.
Onboarding van Web Jetadmin beheerde apparaten via een of meer Print Fleet Proxies.
De verbinding van de printer naar de cloud gebruikt de volgende protocollen voor communicatie:
De printer stuurt periodiek berichten naar de HP-cloud om te controleren of er meldingen voor zijn. Dit type communicatie vereist lichte communicatie die gebruikmaakt van UDP- en TCP-protocollen met geauthenticeerde vertrouwelijkheid.
De printer gebruikt HTTPS-communicatie voor bidirectionele uitwisseling van apparaatinformatie, meters en benodigdheden. HTTPS zorgt voor gegevensintegriteit en gegevensvertrouwelijkheid.
Rolgebaseerde gebruikerstoegangscontrole
Rollen in WXP worden gedefinieerd als sets van permissies. WXP definieert verschillende ingebouwde rollen. De volgende rollen zijn enkele van de vooraf gedefinieerde ingebouwde rollen die momenteel beschikbaar zijn voor WXP en die kunnen worden toegewezen aan beheerders die aspecten van het printerpark beheren.
Het toewijzen van meer specifieke rollen aan gebruikers beperkt de blootstelling van data binnen het WXP-portaal. Gebruikers kunnen alleen gegevens bekijken die betrekking hebben op de reikwijdte van hun toegewezen functies; Alle schermen buiten dat bereik zijn verborgen en niet toegankelijk.
IT-beheerder: Heeft volledige toegang tot alle functies van het WXP-portaal, inclusief het uitnodigen van gebruikers op het platform, het toewijzen van rollen en alle administratieve en beheertaken voor pc's, printers, randapparatuur en configuraties van derden.
Printer Admin: Heeft de mogelijkheid om alle printadministratietaken uit te voeren.
Rapportbeheerder: Heeft de mogelijkheid om rapporten uit te voeren.
HP Workforce Experience Platform
Momenteel wordt de Print Fleet Management-service van WXP gehost in Amazon Web Services (AWS) in de Verenigde Staten (AWS-OR), waarbij mogelijk in de toekomst andere regio's worden toegevoegd. IT-beheerders krijgen toegang tot WXP via een webbrowser, die interfaces biedt voor apparaatregistratie, authenticatie en communicatie.
Naast de beveiligings- en privacydetails van het Core WXP-platform rond multi-tenancy, identiteits- en sessiebeheer en autorisatie (zoals besproken in het WXP Core Security and Privacy Technical Document), kent WXP Print Fleet-beheer ook de volgende printerspecifieke data- en netwerkbeveiligingsoverwegingen.
Gegevens in rust
Verzamelde gegevens
Gegevensverzameling voor printers is beperkt door de reikwijdte van het contract van de klant met HP. HP verzamelt de telemetrie die nodig is om de diensten en oplossingen te ondersteunen die het contractueel aan de klant moet leveren, en verzamelt deze op de wettelijke basis van het contract. In sommige gevallen kan HP, met toestemming van de gebruiker, aanvullende gegevens verzamelen voor een expliciet opgegeven doel, zoals de verbetering van HP-producten en -diensten.
Enkele van de door HP verzamelde dataattributen kunnen zijn:
Doel van gegevensverzameling | Verzamelde gegevens | Beschrijving van verzamelde gegevens |
|---|---|---|
Accountbeheer | Rekeninggegevens | Informatie met betrekking tot klantaankopen of aanmelding voor WXP-diensten, ondersteuningsgeschiedenis met betrekking tot incidenten gegenereerd door WXP, en alles wat verder met het WXP-account te maken heeft om transactiediensten zoals accountbeheer uit te voeren. |
Accountopzet, identiteitsbeheer, en Validatie van rechten | Contactgegevens | Persoonlijke en/of zakelijke contactgegevens, waaronder voornaam, achternaam, postadres, telefoonnummer, e-mailadres, regio, badge-login en andere vergelijkbare contactgegevens die worden gebruikt voor het opzetten en valideren van een WXP-klantenaccount, en het recht op dienstverlening. |
Bied proactief IT-onderhoud en -beheer, en klantgerichte rapporten/dashboards | Apparaatgegevens | Basisinformatie over apparaten, zoals apparaatnaam, modelnummer, firmwareversie, regio-instelling, taalinstelling, accountidentificatie, mogelijkheden en aanvullende technische informatie die per model varieert. Enterprise Manageability-instellingen, evenals sommige Smart Device Service (SDS) telemetrie, zoals levensduurtellers, leveringsgegevens en andere printenginestatistieken. Instellingen voor verschillende functiecategorieën die WXP in staat stellen de functionaliteit van het apparaat te beheren en instellingen te beoordelen en te corrigeren om te garanderen dat elke printer in de vloot voldoet aan de beveiligings- en functiebeleid die door de klant zijn vastgesteld. Gegroepeerde instellingen omvatten Kopieerinstellingen, Digitale verzendinstellingen, Faxinstellingen, Bestandssysteeminstellingen, Netwerkinstellingen, Beveiligingsinstellingen, Oplossingsinstellingen en Webservicesinstellingen, onder andere. |
Gegevensbehoud
Het gegevensbehoudbeleid van HP omvat de volgende best practices voor gegevensbewaring:
Het bewaren van data voor kortere dan noodzakelijke periodes kan contractuele of wettelijke vereisten schenden of de beveiliging aantasten.
Het langer dan noodzakelijk bewaren van data kan in strijd zijn met privacyregels en is een prioriteit voor klanten.
Zodra gegevens zijn verwijderd, is er geen verplichting om deze aan de klant of de politie te verstrekken.
Omdat het analysepakket van de WXP-applicatie een enkel gedeeld pakket is over veel HP-applicaties, kan het zijn dat de gegevens in het U.S. Analytics datacenter niet permanent worden verwijderd als een klant wordt gedeactiveerd uit WXP, omdat dezelfde klant mogelijk in andere HP-applicaties is ingeschreven.
Opmerking: Telemetriegegevens die naar het U.S. Analytics datacenter worden verzonden, worden gekoppeld aan apparaatserienummers en systeemgegenereerde ID's. Deze gegevens worden in rust versleuteld en behandeld volgens de gegevensbeschermings- en beveiligingsnormen van HP.
Gegevensopslag
De gegevensopslag voor WXP is beperkt tot de klant- en apparaatinformatie van betalende abonnees.
Alle databases in de regionale datacenters in de VS die persoonlijke gegevens opslaan, zijn versleuteld.
Alle databases in de Amerikaanse identiteitsbeheer-datacenters die persoonlijke gegevens opslaan, zijn versleuteld.
Alle databases en ongestructureerde opslag in het U.S. Analytics datacenter zijn versleuteld.
Databases
WXP gebruikt relationele en niet-relationele databases om onboarded gebruikers- en printerinformatie op te slaan. De databaseopslag is ook versleuteld op de schijf, en de toegang wordt beperkt door de database te isoleren in een veilige omgeving die alleen toegankelijk is via de abstractielaag. WXP gebruikt deze databases om informatie op te slaan zoals:
gebruikersprofielgegevens (voornaam, achternaam, locatie, IDM-identificatie en accountidentificatie)
Printerprofielgegevens (cloud-identificatie, model, naam, e-mailadres, accountidentificatie en mogelijkheden)
Accountinformatie en accountinstellingen, attributen (naam, adres, regio, functieboekhouding en badge-login)
Data in transit -- Netwerkcommunicatie
Cloud-verbonden printers
Alle communicatie tussen WXP en cloudverbonden printers is op twee manieren beveiligd:
Communicatie vindt plaats met Transport Layer Security versie 1.2 (TLS 1.2). TLS 1.2 gebruikt 2048-bits RSA-encryptie en certificaatvalidatie om een daaropvolgend 256-bits beveiligd kanaal op te zetten.
TLS helpt bij het beveiligen van data op verschillende niveaus en biedt serverauthenticatie, gegevensversleuteling en gegevensintegriteit. Omdat TLS onder de applicatielaag is geïmplementeerd, is het een passief beveiligingsmechanisme dat niet afhankelijk is van extra stappen of procedures van de gebruiker.
Elke payload is bovendien verpakt in HP's eigen encryptielaag.
Print Fleet Proxy Verbonden Printers
Communicatie tussen WXP- en Web-JetAdmin-beheerde printers wordt mogelijk gemaakt door de Print Fleet Proxy, die communiceert met de volledige vloot printers via een Secure Web Socket-verbinding.
Printerbeleid gebruiken om printerbeveiliging te configureren en af te dwingen
WXP ondersteunt het beheer van een breed scala aan printerbeleidsinstellingen die zijn ontworpen om beheerders te helpen de beveiliging van hun printervloot te handhaven. Deze settings vallen in twee categorieën:
Certificaten: Certificaten helpen om veilige communicatie tussen de printer en andere netwerkbronnen te waarborgen. Je kunt twee soorten certificaten configureren voor gebruik met je printers: een CA-certificaat, dat de identiteit van een entiteit valideert; en een identiteitsbewijs, dat een geclaimde identiteit verifieert.
Geheimen en wachtwoorden: Elke HP-printer heeft meerdere wachtwoorden, wachtwoorden of toegangscodes die je kunt instellen om verschillende functies van de printer te beveiligen. Deze omvatten het embedded webserver (EWS) wachtwoord, Printer Job Language (PJL) wachtwoord, SNMP-passphrases, LDAP Admin-wachtwoord voor Aanmelden en andere. HP raadt sterk aan om elk van deze functies met een wachtwoord te beveiligen of uit te schakelen als ze niet nodig zijn.
WXP stelt IT-beheerders in staat om geheimen en wachtwoorden te definiëren of te verstrekken binnen printerbeleid voor certificaten en instellingen die toegang tot bepaalde functies of functionaliteiten op printers in hun vloot toestaan, beperken of blokkeren. WXP gebruikt deze waarden om de naleving van printers in de hele vloot te beoordelen en te verbeteren.
Om het vereiste beveiligingsniveau te bereiken voor het verwerken van deze gevoelige gegevens, heeft HP de architectuur van de WXP Policy Engine verbeterd en een uiterst veilige methode toegevoegd voor het verwerken van klantgeheimen en wachtwoorden, zowel tijdens transport als in rust. In wezen heeft HP een niveau van encryptie toegevoegd dat verder gaat dan TLS 1.2 (2048-bit RSA-encryptie en certificaatvalidatie) dat wordt gebruikt om het communicatiekanaal te beveiligen.
Met deze meerlagige encryptie stelt WXP IT-beheerders in staat om veilig geheimen en wachtwoorden op printers te configureren, beoordelen en te herstellen met behulp van printerbeleid, waardoor het vrijwel overbodig is om deze gevoelige instellingen handmatig per printer te configureren.
Netwerkpoorten en firewallvereisten
Firewallsoftware kan worden geconfigureerd om zowel inkomend als uitgaand internetverkeer te blokkeren. HP-printers vereisen ALLEEN uitgaande communicatie met HP-webservices, ook wel HP-cloudverbinding genoemd. HP webservices zullen nooit communiceren met HP-printers in een klantomgeving; daarom is het niet nodig om inkomende HP-URL's op de witte lijst te zetten.
Alle HTTPS-communicatie staat standaard op poort 443. Port 631 zal als secundaire optie worden gebruikt als 443 niet beschikbaar is.
Firewallconfiguratie: Cloud-verbonden printers
Voor cloudverbonden printers moeten de volgende URL's in de firewallsoftware worden geconfigureerd voor uitgaande (door de printer geïnitieerde) internetcommunicatie:
HP Web Services URL's
https://*.avatar.ext.hp.com:443
http://*.avatar.ext.hp.com
udp://*.avatar.ext.hp.com:9930
wss://*.avatar.ext.hp.com:443 (web socket-protocol)
https://*.id.hp.com:443
https://*.ipp.ext.hp.com:443
https://*.wpp.api.hp.com:443
https://*.api.hp.com:443
Apparaat-onboarding URL's
https://*.api.ws-hp.com:443
Firmware-updates URL's
http://h10141.www1.hp.com/pub/inkjet/updates
HP Cloud Log In Eén keer (SIO)
https://*.mymfpprogram.com:443
Firewallconfiguratie: Print Fleet Proxy Connected Printers
Printers die via een Print Fleet Proxy zijn verbonden, vereisen dat uw firewall uitgaande HTTPS-verzoeken via poort 443 naar de volgende eindpunten toestaat:
WXP Print Fleet Management Privacy
Gegevensprivacy
HP heeft een lange geschiedenis van leiderschap in de sector op het gebied van privacy en gegevensbescherming. Samen met ons uitgebreide portfolio aan producten en diensten ondersteunen we de inspanningen van onze klanten en partners om persoonsgegevens te beschermen. Met betrekking tot WXP Persoonsgegevens die in verband met WXP worden verwerkt, fungeert HP als gegevensverwerker. Raadpleeg de sectie Data Processor op HP Privacy Central. Als wereldwijd bedrijf is het mogelijk dat alle informatie die u verstrekt wereldwijd wordt overgedragen aan of toegankelijk wordt gemaakt door HP-entiteiten in overeenstemming met de HP Privacy Statement en op basis van de International Privacy Programs vermeld in de sectie Internationale gegevensoverdrachten.
De privacypraktijken en principes van HP zijn vastgelegd in de HP Privacy Statement. De Privacyverklaring wordt periodiek bijgewerkt en behandelt de volgende onderwerpen:
Onze privacyprincipes
Internationale gegevensoverdrachten
Hoe we data gebruiken
Welke gegevens verzamelen we
Privacy-informatie van kinderen
Hoe wij uw gegevens bewaren en bewaren
Hoe we gegevens delen
Non-discriminatie- en loyaliteitsprogramma's
HP Communicatie
Uw rechten uitoefenen en contact met ons opnemen
Wijzigingen in onze privacyverklaring
Neem contact met ons op
Voor hulp kunt u een supportcase aanmaken of een e-mail sturen support@wxp.hp.com.