Introductie
Het HP Workforce Experience Platform (WXP) is een cloudgebaseerde bedrijfsoplossing die IT-teams helpt digitale frictie te verminderen, de beveiliging te verbeteren en apparaatproblemen proactief op te lossen. Het biedt gecentraliseerde zichtbaarheid en beheer van het pc-park van een organisatie, zoals desktops, laptops en andere verbonden activa, via een veilig, schaalbaar platform.
WXP analyseert bijna realtime telemetriegegevens van apparaten en toepassingen om problemen te identificeren, de status te bewaken en herstel aan te bevelen. IT-beheerders kunnen de status van het apparaat bekijken, beleid definiëren, rapporten genereren en acties op afstand initiëren om operationele en beveiligingsbehoeften te ondersteunen.
Dit document schetst de beveiligings- en privacyarchitectuur van WXP, met de nadruk op beheerde pc-apparaten. Het legt uit hoe gegevens worden verzameld, verzonden, opgeslagen en beschermd, en beschrijft de naleving van de gegevensbeschermingsnormen door het platform. De beoogde doelgroep omvat IT-beheerders, serviceproviders en beveiligingsbeoordelaars die de gegevensverwerkingspraktijken van het platform beoordelen.
WXP Experience Architectuur
Als een alles-in-één cloudgebaseerd analyseplatform voor apparaten, gegevens en gebruikers, integreert WXP in de branche bewezen beveiliging op serviceniveau in zijn architectuur en ontwikkelingsprocessen. De belangrijkste diensten zijn onder meer:
Telemetrie van apparaten verzamelen en analyseren op meerdere besturingssystemen
Klanten en managed service providers van HP in staat stellen rapporten te genereren en incidenten te beheren
Integratie van verschillende diensten van derden via een software-as-a-service (SaaS)-model
Gebruikers en rollen
Het dashboard van WXP biedt meerdere soorten gebruikers en rollen, zoals weergegeven in het volgende diagram.
Rollen | Draagwijdte |
|---|---|
Regionale beheerder | Dit account wordt gebruikt door een beheerder bedrijfsvoering bij HP om nieuwe tenants aan te maken voor zowel directe klanten als partners. Regionale basisbeheerdersaccounts worden beheerd en hebben toegang tot het beheren en navigeren van directe klant- en partnertenants. Doorgaans bestaan er voor elke regio afzonderlijke rootbeheerdersaccounts. Momenteel is WXP actief in twee regionale AWS-datacenters:
|
Partners | Partnertenants kunnen de rollen Partnerbeheerder, Servicespecialist en Verkoopspecialist bevatten. Deze tenants hebben toegang tot meerdere klantaccounts en kunnen namens hen apparaten, gebruikers en dagelijkse bewerkingen beheren. Bovendien:
|
HP ondersteuning | Met een HP Support-account heeft u tegelijkertijd toegang tot meerdere bedrijven en kunt u apparaten, gebruikers en dagelijkse activiteiten beheren namens klanten om problemen op te lossen. Deze acties worden beheerd door het Business Operations-team van HP. Er zijn twee soorten gebruikers onder een HP Support-account: supportbeheerders en supportspecialisten. Ondersteuningsbeheerders kunnen extra accounts voor ondersteuningsbeheerders of ondersteuningsspecialisten maken. |
Eigenaar van het bedrijf | Wanneer een bedrijf wordt gemaakt, wordt een standaard bedrijfseigenaar toegewezen door de basisbeheerders. Standaard krijgt deze gebruiker ook de rol van IT-beheerder om gebruikers en apparaten binnen het bedrijf te beheren. Bedrijfseigenaren kunnen gebruikers beheren, apparaatgerelateerde taken uitvoeren en toegang krijgen tot rapporten en andere beheerfuncties op basis van hun machtigingen. Terwijl Managed Service Providers (MSP's) gebruikers over meerdere bedrijven heen beheren, beheren bedrijfseigenaren zelfstandig gebruikers binnen hun eigen bedrijf. |
Bedrijf Gebruiker | In WXP is een gebruiker een persoon binnen een tenant van een onderneming aan wie een rol is toegewezen waarmee hij of zij acties kan uitvoeren. Gebruikers kunnen op de volgende manieren worden aangemaakt:
|
IT-beheerder | De rol van IT-beheerder wordt toegewezen aan gebruikers binnen klant- of zelfbeheerde bedrijven. Het stelt gebruikers in staat om belangrijke beheertaken uit te voeren, zoals het beheren van gebruikers en apparaten. Hoewel de functie vergelijkbaar is met de rollen die beschikbaar zijn voor MSP's, is de toegang tot IT-beheerders beperkt tot hun eigen bedrijf. |
Rapport Admin | Bedrijfseigenaren hebben standaard toegang tot rapporten. Elke gebruiker van het bedrijf kan ook toegang krijgen tot het rapport. De rol van rapportbeheerder is alleen-lezen en stelt gebruikers in staat om informatie uit WXP-rapporten te bekijken. |
Connector Beheerder | Deze rol maakt veilig, op rollen gebaseerd beheer van integraties binnen WXP mogelijk. Deze rol regelt de toegang tot integratieacties voor alle ondersteunde connectoren. Het zorgt ervoor dat alleen geautoriseerde gebruikers integratiewidgets en verbindingsinstellingen kunnen configureren en beheren. |
Belangrijkste mogelijkheden
Connectorbeheerders kunnen de volgende acties uitvoeren binnen WXP:
Configureer en beheer integratiewidgets.
Verbind en verbreek de verbinding met integraties van derden, waaronder ServiceNow, Teams, Graph API en meer.
Bekijk en open de bijbehorende integratiedocumentatie.
Het volgende diagram biedt een overzicht op hoog niveau van de functionaliteit en mogelijkheden van Insights:
HP Workforce Experience apparaten
De WXP-architectuur is ontworpen om te voorkomen dat aanvallers de controle over apparaten krijgen. Afhankelijk van de hardware en het besturingssysteem moet de software van het apparaat tijdens het provisioningproces worden geïnstalleerd.
Als u apparaten wilt toevoegen, moet de IT-beheerder van uw bedrijf of een Managed Service Provider (MSP) deze veilig registreren bij WXP met behulp van een toegewezen bedrijfspincode. Tijdens de inschrijving vindt er een asymmetrische sleuteluitwisseling plaats tussen de server en het apparaat. Elk apparaat genereert een uniek sleutelpaar wanneer apparaten worden geïdentificeerd, waarna apparaten een toegangstoken ontvangen dat 24 uur geldig is. Na deze periode moeten apparaten handtekeningen naar de server sturen die hun identiteit bewijzen voor nieuwe toegangstokens.
Met toestemming van het bedrijf uploaden ingeschreven apparaten dagelijks telemetriegegevens naar de WXP-analysepijplijn. Gedurende de dag ontvangen ze ook commando's en besturingssignalen van WXP. Alle communicatie wordt beschermd door het hierboven genoemde toegangstoken.
WXP voor Microsoft Windows® maakt gebruik van het HTTPS/TLS 1.2-protocol via poort 443 voor alle communicatie. Er worden geen certificaten geïnstalleerd en het certificaatarchief van het Windows-besturingssysteem wordt niet gewijzigd.
HP platform voor personeelservaring
WXP wordt gehost in Amazon Web Services (AWS) in twee verschillende regio's: de Verenigde Staten (AWS-OR) en de Europese Unie (AWS-DE).
Afhankelijk van het land van registratie wordt uw bedrijfstenant aangemaakt in het bijbehorende regionale datacenter. IT-beheerders hebben toegang tot WXP via een webbrowser, die interfaces biedt voor apparaatregistratie, verificatie en communicatie.
De volgende secties behandelen ontwerpbeslissingen over beveiliging.
Identiteitsbeheer
Momenteel zijn de ondersteunde identiteitsproviders (IdP's) HP Common Identity System (HPID) en Microsoft Entra ID. Voor identiteiten die worden beheerd door HP Common Identity System, kan de wachtwoordkwaliteit niet worden geconfigureerd en wordt het wachtwoordbeleid ingesteld op de HP ID-aanmeldingspagina. Wachtwoorden moeten ten minste acht tekens bevatten en drie of meer van de volgende criteria bevatten:
Eén hoofdletter
Een kleine letter
Cijfers
Symbolen of speciale tekens
Identiteit die wordt beheerd door Microsoft Entra-id volgt het beleid dat is ingesteld door de beheerder van het Entra-id-account. Dit omvat, maar is niet beperkt tot: multi-factor authenticatie, wachtwoordcomplexiteit, enz.
Sessie beheer
Er is geen limiet aan het aantal gelijktijdige sessies dat een gebruiker kan hebben. Elke sessie eindigt echter automatisch na 30 minuten inactiviteit. Voor apparaten verlopen sessies elke 24 uur en worden ze automatisch verlengd. Verificatie en autorisatie worden geïmplementeerd met behulp van het OAuth 2.0-protocol en beheerd via sessiegebaseerde mechanismen. Deze mogelijkheid maakt gebruik van JSON Web Tokens (JWT). Elke WXP-microservice dwingt JWT-verificatie af voor de geldigheid van handtekeningen en het verlopen van tokens.
Machtiging
Naast JWT-tokenverificatie vinden tenancycontroles plaats voor alle API's. Dit zorgt ervoor dat de juiste huurdersgegevens worden doorgegeven aan de beller. Daarnaast vinden rolcontroles plaats voor alle kritieke bewerkingen.
Raadpleeg de sectie Users and Roles voor meer informatie.
Multi-tenancy
WXP is een cloudgebaseerde, multi-tenant oplossing. Huurdersgegevens worden logisch gescheiden met behulp van relationele databases en afgedwongen door middel van controles van huurrechten. Elke tenant is gekoppeld aan een universeel unieke identificatiecode (UUID), die zorgt voor gegevensisolatie en traceerbaarheid.
Gegevens in rust
Bedrijfsinformatie zoals apparaten, gebruikers en gerelateerde gegevens wordt opgeslagen in een AWS Relational Database Service (RDS) MySQL-database en een MongoDB-gegevensopslag. Zowel de AWS RDS MySQL-database als de MongoDB-gegevensarchieven zijn versleuteld. Gevoelige velden zoals sleutels en tokens worden ook versleuteld met AWS Key Management Service (KMS). De hoofdsleutel wordt geroteerd volgens de cyberbeveiligingsrichtlijnen van HP.
Gegevens in transit
Alle externe communicatie van en naar WXP maakt gebruik van het HTTPS/TLS1.2 protocol. Diensten binnen de AWS Virtual Private Cloud (VPC) communiceren met behulp van platte tekst.
Raadpleeg de sectie Operational Securityvoor meer informatie.
Integratie met derden
WXP kan worden geïntegreerd met verschillende services van derden, zoals ServiceNow, PowerBI, Tableau, EntraID. Server-naar-server-communicatie vindt plaats via HTTPS met behulp van authenticatiemethoden die worden geleverd door de systemen van onze partners.
Neem voor meer informatie over integratie met derden contact op met een HP service-expert.
Validatie van de gebruikersinterface (UI)
UI-veldvalidatie beschermt invoervelden in de WXP-agent. Validatie wordt afgedwongen op basis van gegevenstypen (bijv. tekenreeks, datum/tijd, valuta) en bedrijfsregels (bijv. vereiste of aanbevolen velden). Velden kunnen ook worden beveiligd op basis van gebruikersrollen en toegestane bewerkingen (lezen/schrijven). Aanvullende validatie kan worden toegepast door middel van scriptfuncties.
HP analyseplatform voor de ervaring van het personeel
Het WXP-analyseplatform wordt gehost op AWS en dient als de backbone voor gegevensverwerking voor WXP. De meeste onderdelen van het analyseplatform zijn intern en worden niet blootgesteld aan externe toegang.
Dataverzameling
Het analyseplatform biedt interfaces voor het veilig uploaden van gegevens vanaf apparaten. Het maakt gebruik van een geverifieerde API-gateway om gegevens te ontvangen. In deze transportmodus worden verbindingen, opdrachten en beleidsregels niet verzonden naar of opgehaald van apparaten, waardoor eenrichtingscommunicatie van apparaat naar cloud wordt gegarandeerd.
Gegevens in rust
Ongestructureerde data-at-rest wordt bewaard in AWS S3; gestructureerde gegevens worden echter opgeslagen in AWS RedShift. Zowel gestructureerde als ongestructureerde gegevens worden versleuteld in het analyseplatform.
HP Workforce Experience Operationele beveiliging
In dit gedeelte wordt beschreven hoe WXP Service Level Security toepast om de beveiliging op verschillende communicatielagen te waarborgen.
Datacenter
WXP wordt gehost door Amazon Web Services (AWS), meer bepaald Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 biedt schaalbare rekencapaciteit in de AWS-cloud. WXP onderhoudt datacenters in Oregon, Verenigde Staten (AWS-OR) en Frankfurt, Duitsland (AWS-DE). Gegevens voor klanten in Europese landen kunnen worden gehost in het Duitse datacenter. Gegevens voor klanten in alle andere landen kunnen worden gehost in het Amerikaanse datacenter.
Alle gegevens binnen één 'tenant' van een klant worden gehost in één datacenter, hoewel klanten die afzonderlijke tenants in verschillende datacenters willen hebben om gegevens voor verschillende bedrijfseenheden te hosten, deze optie kunnen aanvragen. Door AWS te gebruiken, maakt WXP gebruik van de meer dan vijftien jaar ervaring van Amazon in het leveren van grootschalige, wereldwijde infrastructuur op een betrouwbare, veilige manier. Voor meer informatie verwijzen wij u naar het AWS-informatieportaal: http://aws.amazon.com/ec2/ .
Op de fysieke laag is het belangrijk om de controles aan te pakken die aanwezig zijn om faciliteiten en het netwerk te beveiligen. Klant- en apparaatgegevens worden opgeslagen in AWS-datacenters die geografisch verspreid zijn om redundantie te bieden. AWS is een erkende leider op het gebied van cloudhosting. Door samen te werken met AWS erft WXP een cloudinfrastructuur die is ontworpen als een van de meest flexibele en veilige cloud computing-omgevingen die momenteel beschikbaar zijn. Enkele van de belangrijkste beveiligingskenmerken zijn:
Ontworpen voor beveiliging
De cloudinfrastructuur van AWS is ondergebracht in AWS-datacenters die zijn ontworpen om te voldoen aan de eisen van de meest beveiligingsgevoelige klanten.
De AWS-infrastructuur is ontworpen om hoge beschikbaarheid te bieden en tegelijkertijd sterke waarborgen te bieden voor de privacy van klanten en gegevensscheiding.
Apparaat-, applicatie- en locatiegegevens die naar het Amerikaanse Analytics Management Datacenter worden verzonden, bevatten geen gebruikersnamen of e-mailadressen. In plaats daarvan worden de gegevens gekoppeld aan serienummers van het apparaat en door het systeem gegenereerde ID's en worden ze in rust versleuteld in overeenstemming met de gegevensbeschermingsnormen van HP.
Alle gestructureerde en ongestructureerde gegevens in de WXP worden in rust versleuteld met behulp van AWS-native versleutelingsmechanismen zoals AWS KMS, in overeenstemming met HP's Cybersecurity Guidelines Highly Automated
AWS bouwt doelbewust de meeste van zijn beveiligingstools om ze aan te passen aan de unieke omgeving en schaalvereisten van AWS.
Deze beveiligingstools zijn gebouwd om maximale bescherming te bieden voor gegevens en applicaties. Dit betekent dat AWS-beveiligingsexperts minder tijd besteden aan routinetaken, waardoor het mogelijk is om meer te focussen op proactieve maatregelen die de beveiliging van de AWS Cloud-omgeving kunnen verhogen.
Hoog beschikbaar
AWS bouwt zijn datacenters in meerdere geografische regio's en in meerdere beschikbaarheidszones binnen elke regio om maximale veerkracht te bieden tegen systeemuitval.
AWS ontwerpt zijn datacenters met verbindingen met een aanzienlijk overschot aan bandbreedte, zodat er in geval van een grote verstoring voldoende capaciteit is om het verkeer naar de resterende locaties te verdelen.
Hoog geaccrediteerd
Certificeringen betekenen dat auditors hebben geverifieerd dat specifieke beveiligingscontroles aanwezig zijn en werken zoals bedoeld.
U kunt de toepasselijke nalevingsrapporten bekijken door contact op te nemen met een AWS-accountvertegenwoordiger om u te helpen voldoen aan specifieke beveiligingsnormen en -voorschriften van de overheid, de industrie en het bedrijf.
AWS biedt certificeringsrapporten die beschrijven hoe de AWS Cloud-infrastructuur voldoet aan de vereisten van een uitgebreide lijst van wereldwijde beveiligingsstandaarden, waaronder: ISO 27001, SOC, de Payment Card Industry (PCI) Data Security Standard, FedRAMP, de Australian Signals Directorate (ASD) Information Security Manual en de Singapore Multi-Tier Cloud Security Standard (MTCS SS 584).
Voor meer informatie over de beveiligingsvoorschriften en -standaarden waaraan AWS voldoet, zie de AWS Compliance webpagina.
Voor gedetailleerde informatie over fysieke en omgevingsbeveiliging, AWS-toegang en netwerkbeveiliging, zie: AWS Best Practices for Security, Identity & Compliance.
Netwerk
Netwerkapparaten, waaronder firewalls en andere grensapparatuur, zijn aanwezig om de communicatie aan de buitengrens van het netwerk en aan de belangrijkste interne grenzen binnen het netwerk te bewaken en te controleren. Deze grensapparaten maken gebruik van regelsets, toegangscontrolelijsten (ACL's) en configuraties om de informatiestroom naar specifieke informatiesysteemservices af te dwingen.
ACL's, of verkeersstroombeleid, worden ingesteld op elke beheerde interface, die de verkeersstroom afdwingt. ACL-beleid is goedgekeurd door Amazon Information Security. Dit beleid wordt automatisch gepusht met behulp van de ACL-beheertool van AWS, om ervoor te zorgen dat deze beheerde interfaces de meest up-to-date ACL's afdwingen.
Verbeterde beveiliging
AWS heeft strategisch een beperkt aantal toegangspunten tot de cloud geplaatst om een uitgebreidere monitoring van inkomende en uitgaande communicatie en netwerkverkeer mogelijk te maken. Deze toegangspunten voor klanten worden API-eindpunten genoemd en staan HTTP-toegang (HTTPS) toe, waarmee communicatiesessies met opslag- of rekeninstanties binnen AWS worden beveiligd. Daarnaast heeft AWS netwerkapparaten geïmplementeerd die speciaal zijn bedoeld voor het beheren van interfacing communicatie met internetproviders (ISP's). AWS maakt gebruik van een redundante verbinding met meer dan één communicatieservice aan elke internetgerichte rand van het AWS-netwerk. Alle verbindingen hebben elk speciale netwerkapparaten.
Beveiliging van applicaties, hosts en beheerders
Op de logische laag worden verschillende besturingselementen gebruikt om de hostsystemen, de applicaties die op die systemen draaien en voor beheerders die de hostsystemen en bijbehorende applicaties beheren, te beveiligen.
De toegang van IT-beheerders tot WXP- en klantgegevens is beperkt en wordt streng beheerd. Alleen die personen die essentieel zijn voor het uitvoeren van een taak hebben toegang, op voorwaarde dat ze voldoen aan de juiste achtergrondcontroles en vereisten voor accountbeheer.
Gegevensbeveiliging
De gegevensuitwisseling met WXP maakt gebruik van de AWS-implementatie van Transport Layer Security (TLS) v1.2, de nieuwste vorm van het industriestandaard Secure Sockets Layer (SSL)-protocol. TLS helpt gegevens op verschillende niveaus te beveiligen en biedt serververificatie, gegevensversleuteling en gegevensintegriteit. Omdat TLS onder de applicatielaag wordt geïmplementeerd, is het een passief beveiligingsmechanisme dat niet afhankelijk is van extra stappen of procedures van de gebruiker. Applicaties zijn beter beschermd tegen aanvallers, zelfs als gebruikers weinig of geen kennis hebben van veilige communicatie.
Deze functies helpen gegevens te beveiligen tegen incidentele beschadiging en kwaadwillende aanvallen en zijn bedoeld om veelvoorkomende webgebaseerde bedreigingen te voorkomen. Naast de SSL-codering voor netwerkcommunicatie tussen clients en servers, versleutelt HP logboeken en data-at-rest die zijn opgeslagen in onze serverdatabases).
WXP-apparaten moeten beschikken over de besturingssystemen en apparaatsoftware die worden beschreven in de systeemvereisten. Hoewel HP Service Experts kunnen helpen bij het afdwingen van beveiligingsbeleid op apparaten op basis van beheerinstellingen, zijn er geen aanvullende beveiligingsvereisten voor het implementeren van de WXP-software op apparaten. Inloggegevens, zoals het e-mailadres en wachtwoord van de medewerker, zijn alleen vereist bij toegang tot WXP.
Onafhankelijke verificatie
Op WXP worden twee verschillende technieken voor het modelleren van bedreigingsinformatie uitgevoerd:
WXP ondergaat threat intelligence modellering voor alle nieuwe functionaliteiten die worden uitgebracht en periodiek voor alle kleine verbeteringen aan bestaande functionaliteit. Voordat WXP begint met de softwareontwikkeling van nieuwe functies, ondergaat het ook een beoordeling van de beveiligingsarchitectuur door HP Cyber Security.
Voorbeeld van uitgevoerde beveiligingstests:
Op WXP:
Scripts op meerdere sites
Phishing-aanvallen
Authenticatie token stelen
Invoer fuzzing
Spoofing van e-mail
SQL-injectie
Vervalsing van verzoeken op verschillende locaties (CSRF)
Andere veelvoorkomende kwetsbaarheden op het web
Over de WXP-cloudservice en de analyse-infrastructuur (inclusief microservices):
Interfacetesten voor authenticatie en autorisatie
De tenant-id's wijzigen om ervoor te zorgen dat de juiste gegevens alleen naar geautoriseerde gebruikers gaan
SQL-injectie
Code-injectie op afstand
DOS-aanvallen
Invoer fuzzing
Op WXP op verschillende besturingssystemen, zoals Windows, Android en MAC:
installatiebron en applicatie-integriteit,
Escalatie van bevoegdheden
MITM-aanvallen
Input Fuzzing
Opdrachtverificatie met gegevensintegriteitscontroles
Certificaat winkel vergiftiging
Gebroken authenticatie
beveiligingsconfiguratie, enz.
Het WXP-ontwikkelingsteam volgt een beveiligd softwareontwikkelingsproces. Het omvat beveiligingsbeoordelingen naast reguliere architectuur- en codebeoordelingen die zich richten op beveiliging, bedreigingsmodellering en analyse. Daarnaast voert het WXP-team ook regelmatig infrastructuurscans en -mitigatie uit via tools zoals Nessus Agent. Deze worden allemaal onafhankelijk geauditeerd door Coalfire en hebben WXP de ISO 27001-certificering toegekend.
HP compliance- en beveiligingsframeworks
WXP toont HP's toewijding aan klanten door een robuust en geaccrediteerd programma voor informatiebeveiliging en risicobeheer te implementeren. De kern van alle security compliance frameworks is de bescherming van klantgegevens, die klanten aan HP toevertrouwen. Als onderdeel van zijn strategische koers zorgt WXP voor de implementatie van passende procedures en beveiligingstools om deze gegevens te beschermen.
Door middel van wereldwijd erkende brancheaccreditaties worden alle klantgegevens, inclusief bedrijfseigen, operationele, algemene en persoonlijke informatie, grondig beoordeeld om te bevestigen dat de beveiligingscontroles van WXP in overeenstemming zijn met gevestigde nalevingskaders.
ISO 27001:2022 certificering
Beveiliging van informatiesystemen en bedrijfskritische informatie vereist constante meting en beheer. De ISO 27001:2022-certificering, uitgegeven door de onafhankelijke auditor Coalfire, is een bevestiging van HP's toewijding om operationele continuïteit en gegevensbescherming te bieden.
De Internationale Organisatie voor Standaardisatie (ISO) is verantwoordelijk voor de ontwikkeling van verschillende internationaal erkende normen voor producten, diensten en systemen. De ISO 27001:2022-certificering wordt toegekend na voltooiing van een externe audit door een geaccrediteerde certificeringsinstantie en is gebaseerd op activa (informatie, processen, mensen en technologie). HP heeft een ISO-certificering behaald in de Remote Monitoring and Management Services-omgeving, voor zowel Managed Print als Personal Systems Services.
ISO 27001 specificeert de vereisten voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van een Information Security Management System (ISMS) binnen de context van een organisatie. Een ISMS is een systematische aanpak voor het beheren van gevoelige bedrijfsinformatie, zodat informatie veilig blijft in overeenstemming met de principes van vertrouwelijkheid, integriteit en beschikbaarheid. De aanpak omvat mensen, processen en IT-systemen en bestaat uit verschillende ondersteunende documenten en richtlijnen die het implementatie- en certificeringstraject definiëren.
De ISO 27001:2022 certificering heeft betrekking op het volgende:
Beleid voor informatiebeveiliging
Operationele beveiliging
Organisatie van informatiebeveiliging
Beveiliging van communicatie
Beveiliging van personele middelen
Aanschaf, ontwikkeling en onderhoud van systemen
Vermogensbeheer
Relaties met leveranciers
Toegangscontrole
Beheer van informatiebeveiligingsincidenten
Cryptografie
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
Fysieke en ecologische veiligheid
Naleving
HP heeft de ISO-certificering uitgebreid met het volgende:
ISO 27701:2019 (Privacy Informatie Management Systemen PIMS)
ISO 27017:2015 (Informatiebeveiligingscontroles voor cloudservices)
ISO 27701:2019 certificering
Klanten en partners die WXP gebruiken voor continue monitoring, willen de zekerheid dat hun gegevens worden beschermd wanneer ze een cloudserviceprovider gebruiken. ISO 27017:2015 definieert door de industrie erkende normen voor informatiebeveiligingscontroles, specifiek voor klanten en providers van cloudservices.
SOC 2 Type 2
Een SOC2-attest biedt klanten de zekerheid dat WXP voldoet aan wereldwijd erkende normen voor beveiliging, vertrouwelijkheid, privacy en beschikbaarheid. SOC 2 biedt klanten en partners verificatie van de manier waarop HP privégegevens van de klant beheert, opslaat en verwerkt tijdens een herhaalbare en continue inspanning. Klanten vragen om aanvullende kaders om hun risicotolerantie te ondersteunen. HP begon met het nastreven van jaarlijkse SOC 2-attesten om zich in de toekomst te blijven verbeteren en om aan de vraag van klanten te voldoen.
HP Secure Software Development Lifecycle (SSDL)
De industriële benaderingen van applicatiebeveiliging zijn doorgaans reactief geweest en de industriële benaderingen hebben geen lessen uit het kwaliteitsveld toegepast. De twee meest voorkomende benaderingen zijn:
Kop in het zand steken: Dit wordt gekenmerkt door reactieve beveiligingspatching. Deze aanpak is gebaseerd op veelvoorkomende kwetsbaarheden en blootstellingen (CVE's) met weinig werk om de introductie van kwetsbaarheden te voorkomen of te minimaliseren. Dit wordt het vaakst gezien in industriesegmenten met een minimale veiligheidsrelevante regeldruk.
Test beveiliging in: Dit is te merken aan het gebrek aan veerkracht dat in applicaties is ingebouwd. In plaats daarvan wordt er moeite gedaan om kwetsbaarheden te vinden en op te lossen tijdens het testen in combinatie met beveiligingspatches. Deze aanpak komt vaker voor in de publieke sector, door beveiliging gereguleerde industrieën en de gezondheidszorg. Deze segmenten moeten voldoen aan de regelgeving, waaronder de Federal Information Security Management Act (FISMA) van de Verenigde Staten, de Payment Card Industry Data Security Standard (PCI-DSS), de Health Information Portability and Accountability Act (HIPAA) en de Health Information Technology for Economic and Clinical Health (HITECH). Beveiliging als kwaliteitskenmerk moet echter in elke fase van de levenscyclus worden toegepast, op dezelfde manier als het kwaliteitsveld een halve eeuw geleden heeft geleerd.
De belangrijkste huurders zijn onder meer:
Kwaliteit kan niet worden getest; Het moet worden ontworpen en ingebouwd en vervolgens worden getest.
Beveiligingsgebreken en kwetsbaarheden moeten in het belang van de kosten zo vroeg mogelijk in de levenscyclus worden opgespoord.
HP neemt softwarebeveiliging zeer serieus en HP heeft een Secure Software Development Lifecycle (SSDL) ingevoerd. Er zijn verschillende doelen verbonden aan het SSDL-proces, waaronder de volgende:
Verklein het oppervlak van cyberaanvallen via een veilige softwarearchitectuur
Minimaliseer door code veroorzaakte kwetsbaarheden
Bescherm de privacy en veiligheid van klantgegevens en identiteiten
HP neemt specifieke beveiligingsgerelateerde procedures op in zijn SSDL-processen, voert mijlpaalbeoordelingen uit om ervoor te zorgen dat beveiligingsprocessen met succes worden voltooid en levert doorlopende beveiligingstraining aan zijn software-architecten, ontwikkelaars, testingenieurs, programmamanagers en hun leiderschapsteams.
De zeven fasen in het SSDL-proces worden hieronder gedefinieerd:
Training (fase 1) – Formele cursussen over het SSDL-proces, verbeterd beveiligingsontwerp, bedreigingsmodellering en veilige codering.
Vereisten (fase 2) – Planning voor beveiliging aan het begin van softwareprojecten, inclusief beveiligingsrisicobeoordelingen per functie.
Ontwerp (fase 3) – Definiëren en documenteren van de beveiligingsarchitectuur; het identificeren van kritieke beveiligingscomponenten.
Implementatie (fase 4) – Uitvoering van het ontworpen beschermingsschema en de mitigatieaanpak, samen met peer code reviews en validaties.
Verificatie (fase 5) – Het uitvoeren van dynamische code-analyse, fuzz-testen (fuzzing) en beoordelingen van het aanvalsoppervlak.
Release (fase 6) – Verifiëren dat aan de SSDL-vereisten is voldaan en dat er geen bekende kwetsbaarheden zijn.
Reactie (fase 7) – Het uitvoeren van de responstaken die tijdens de releasefase zijn beschreven.
Dataverzameling
De soorten gegevens die door WXP worden verzameld, worden ofwel rechtstreeks door klanten verstrekt of automatisch verzameld vanuit het cloudgebaseerde WXP. Gegevens van apparaten worden verzameld met behulp van WXP Agent's die op de apparaten zijn geïnstalleerd. WXP verzamelt de volgende gegevens om contractdiensten uit te voeren:
Doel van de gegevensverzameling | Verzamelde gegevens | Beschrijving van de verzamelde gegevens |
Accountbeheer | Accountgegevens | Informatie met betrekking tot aankopen door klanten of aanmelding voor WXP-diensten, ondersteuningsgeschiedenis met betrekking tot incidenten die door WXP zijn gegenereerd en al het andere met betrekking tot het WXP-account om transactiediensten zoals accountbeheer uit te voeren. |
Zorg ervoor dat WXP en services goed werken | Gegevens van de toepassing | Omvat het versienummer, de installatiestatus en de updategeschiedenis van de WXP-agent op elk beheerd apparaat. |
Account instellen, identiteitsbeheer en Validatie van rechten | Contactgegevens | Persoonlijke en/of zakelijke contactgegevens, waaronder voornaam, achternaam, postadres, telefoonnummer, faxnummer, e-mailadres en andere soortgelijke contactgegevens die worden gebruikt voor het instellen en valideren van WXP-klantaccounts, servicerechten en e-mailmeldingen met betrekking tot incidenten en services. |
Lever proactief onderhoud en beheer van IT-services en klantgerichte rapporten/dashboards | Apparaatgegevens | Basisinformatie over het apparaat, zoals de naam van het apparaat, het besturingssysteem, de hoeveelheid geheugen, het apparaattype, de schijfgrootte, de regio-instelling, de taalinstelling, de tijdzone-instelling, het modelnummer, de eerste startdatum, de leeftijd van het apparaat, de productiedatum van het apparaat, de browserversie, de fabrikant van het apparaat, de garantiestatus, unieke apparaat-ID's en aanvullende technische informatie die per model verschilt. Hardware-informatie, zoals BIOS, beeldscherm, GPU, opslag, systeemslots, geheugen, real-time klok, gegevens over het hardwaregebruik van het systeem (CPU, GPU, geheugen en schijf-I/O), stuurprogramma's, thermische, ventilator, PnP-apparaten, RPOS-randapparatuur, HP Sure Recover-instellingen, HP diagnostische test, dockingstation (alleen HP), randapparaat aangesloten op dockingstation, batterijstatus, energieconfiguratie en status, systeemslaapdiagnose, toewijzing van primaire/externe schijven, schijfgebruik, servicerecord van het Intel-platform (vereist Intel vPro), stroomverbruik van het systeem, stroomverbruik van het systeem door PCM (vereist HP zakelijke pc G11 of nieuwer), Intel SoC-marge op geheugen (alleen HP zakelijke pc G12 of nieuwer) en de gezondheid van het toetsenbord van de laptop (alleen HP zakelijke pc G12 of nieuwer) Softwaretoepassingen die op het apparaat zijn geïnstalleerd, zoals de lijst met geïnstalleerde toepassingen, de looptijd van toepassingen, toepassingsfouten, gegevens over hardwaregebruik per toepassing (CPU en geheugen).
Webtoepassingen op browsers, zoals het aantal paginabezoeken, de laadtijd van pagina's en de laadfout van alleen de URL's die vooraf zijn geconfigureerd op de pagina Instellingen van WXP. Het verzamelen van gegevens voor webtoepassingen is standaard uitgeschakeld, maar dit kan worden ingeschakeld op de pagina WXP > Instellingen . WXP scant of verzamelt geen inhoud van webapplicaties op browsers. Door het besturingssysteem gegenereerde informatie voor het apparaat, zoals OS-gebeurtenissen, ontbrekende Windows-updates, proces- en servicebewaking, opstart-/slaap-/slaapstand-/afsluittijd, gebruikstijd van het apparaat, aanmeldingstijd van het apparaat, volledige opstarttijd en snelle opstarttijd, laatst opnieuw opstartdatum en systeemcrash - crash op blauw scherm op Windows-besturingssysteem. Opmerking: Het verzamelen van crashdumps voor systeemcrashes is standaard uitgeschakeld, maar het kan worden ingeschakeld op de WXP-instellingenpagina. Netwerkinformatie zoals netwerkinterface, MAC-adres, IP-adres, SSID, signaalsterkte, verbindingssnelheid, netwerkverificatie-instellingen, netwerkfouten, netwerkverbruik, netwerkgebruik, pakketverlies, jitter en latentie per proces, en netwerkverbindingen en verbroken verbindingen.
Beveiligingsinformatie, zoals TPM (Trusted Platform Module), antivirusstatus, firewallstatus, BitLocker-coderingsstatus en Secure Boot-status. Gebruikersgegevens van de gebruikers van de klant die hun apparaten inschrijven bij WXP, zoals de laatst ingelogde gebruikersgegevens en de gegevens van de gebruiker die lid is geworden van Active Directory.
Informatie over de locatie van het apparaat, zoals live geolocatie van het apparaat en de locatie van het activum (ingesteld door gebruikers om aan te geven waar het apparaat thuishoort). Opmerking: Het verzamelen van gegevens voor de locatie van het apparaat is standaard uitgeschakeld, maar dit kan worden ingeschakeld op de pagina met WXP-instellingen. |
Verificatie en autorisatie van gebruikerstoegang tot accounts en services die gebruikmaken van HP | Inloggegevens voor beveiliging | Gebruikerswachtwoorden, wachtwoordaanwijzingen en soortgelijke beveiligingsinformatie die nodig zijn voor verificatie om gebruikers toegang te geven tot WXP-portalaccounts en -services in de cloud. (alleen bij gebruik van HP ID) |
Groepering van gegevens
Apparaatgegevens die door WXP 1 worden verzameld, kunnen de volgende groepen bevatten:
Data Groep | Beschrijving |
Hardware | Inclusief batterij, BIOS, schijf, beeldscherm/monitor, grafische kaart, inventaris, geheugen, netwerkinterface, Plug and Play (PnP), processor, systeemklok, systeemslots, thermische en systeemprestatiegegevens. |
Softwaretoepassingen | Inclusief gegevens over compliance, fouten, inventaris, prestaties, gebruik en gebruik van webapplicaties. |
Veiligheid | Waaronder niet-rapporterende apparaten, detectie/beheer van patches van het besturingssysteem, apparaatlocatie, apparaatalarm, vergrendelen en wissen, beveiligingsbeleidsinstelling, handhaving van beveiligingsbeleid, beveiligingsbedreigingen, opslagversleuteling, beveiligingsinstellingen van gebruikers, Wi-Fi-provisioning en gegevens over schendingen van Windows-informatiebeveiliging |
Logboeken van Windows-gebeurtenissen | Windows-gebeurtenislogboeken bieden een gedetailleerd overzicht van systeem-, beveiligings- en toepassingsmeldingen die zijn opgeslagen door het Windows-besturingssysteem en die door beheerders worden gebruikt om systeemproblemen te diagnosticeren en toekomstige problemen te voorspellen. |
HP garantie- en onderhoudspakketten | HP Care Packs zijn uitgebreide garanties voor uw HP computer of printer die producten dekken nadat de standaardgarantie is verlopen. |
Gebruikersgegevens die door WXP worden verzameld, zijn onder meer:
E-mailadres gebruiker
Laatst ingelogd op gebruikersaccount
WXP verzamelt de volgende soorten gegevens niet:
Demografische informatie (met uitzondering van land- of taalvoorkeuren)
Financiële rekeninggegevens, creditcard- of bankpasnummers, kredietgegevens of betalingsgegevens
Sociale media
Door de overheid uitgegeven identificatiecode, zoals socialezekerheidsnummer, burgerservicenummer of door de overheid uitgegeven identiteitsbewijs
Gezondheidsinformatie
Gevoelige gegevens zoals etnische afkomst, politieke overtuigingen, lidmaatschap van een vakbond, gezondheidsgegevens, seksuele geaardheid en genetische gegevens
Privacy van gegevens
HP heeft een lange geschiedenis van leiderschap in de sector op het gebied van privacy en gegevensbescherming. Samen met ons robuuste portfolio van producten en diensten ondersteunen we de inspanningen van onze klanten en partners op het gebied van de bescherming van persoonsgegevens. Met betrekking tot WXP-analyses treedt HP op als gegevensverwerker. Raadpleeg het gedeelte Gegevensverwerker op HP Privacy Central. Als wereldwijd bedrijf is het mogelijk dat alle informatie die u verstrekt, wordt overgedragen aan of toegankelijk is voor HP-entiteiten over de hele wereld in overeenstemming met de privacyverklaring van HP en op basis van de internationale privacyprogramma's die worden vermeld in de sectie Internationale gegevensoverdracht.
De privacy van gegevens is onderworpen aan het privacybeleid van HP voor landen over de hele wereld. Dit beleid wordt regelmatig bijgewerkt en heeft betrekking op de volgende onderwerpen:
Onze privacyprincipes
Internationale gegevensoverdracht (inclusief informatie over het EU-VS-privacyschild.)
Hoe we gegevens gebruiken
Welke gegevens we verzamelen
Privacy van kinderen
Hoe we uw gegevens bewaren en beveiligen
Hoe we gegevens delen
HP Communicatie
Uw rechten uitoefenen en contact met ons opnemen
Wijzigingen in onze privacyverklaring
Bewaring van gegevens
Het bewaren van gegevens is een belangrijk onderdeel van elk nalevingsprogramma en noodzakelijk om een goed beheer van gegevens te vervullen. Het beleid van HP voor het bewaren van gegevens omvat de volgende best practices voor het bewaren van gegevens:
Het langer bewaren van gegevens dan nodig is, kan in strijd zijn met contractuele of wettelijke vereisten of de beveiliging in gevaar brengen.
Het langer bewaren van gegevens dan nodig is, kan in strijd zijn met de privacyregelgeving en is een belangrijk aandachtspunt van klanten en verkoopvragen.
Zodra gegevens zijn verwijderd, is er geen verplichting om deze aan de klant of wetshandhavers te verstrekken.
Alle gegevens in Amerikaanse en Duitse regionale datacenters worden binnen dertig dagen na deactivering van de klant door WXP permanent verwijderd.
Gegevens in het datacenter van U.S. Analytics worden permanent verwijderd twee jaar na de datum waarop de gegevens zijn gemaakt of binnen dertig dagen na inactivering van de klant door WXP voor zowel gestructureerde als ongestructureerde opslag. Aangezien het analysepakket van de WXP-applicatie een enkelvoudig gedeeld pakket is voor veel HP-applicaties, worden de gegevens in het datacenter van U.S. Analytics niet permanent verwijderd als de klant wordt gedeactiveerd van WXP, omdat dezelfde klant mogelijk is ingeschreven bij andere HP-applicaties; en pas na drie jaar verwijderd uit de gegevens van het maken van gegevens.
Opmerking: Telemetriegegevens die naar het datacenter van U.S. Analytics worden verzonden, zijn gekoppeld aan serienummers van apparaten en door het systeem gegenereerde ID's. Deze gegevens worden in rust versleuteld en behandeld in overeenstemming met de gegevensbeschermings- en beveiligingsnormen van HP. .
Opslag van gegevens
Gegevensopslag voor WXP is beperkt tot de gebruikers- en apparaatinformatie van betalende abonnees.
Alle databases in de regionale datacenters in de VS en Duitsland waarin persoonsgegevens worden opgeslagen, zijn versleuteld.
Alle databases in de Amerikaanse datacenters voor identiteitsbeheer waarin persoonlijke gegevens worden opgeslagen, zijn versleuteld.
Alle databases en ongestructureerde opslag in het datacenter van U.S. Analytics zijn versleuteld.
De volgende gegevenstypen worden verzonden en opgeslagen in de verschillende datacenters:
Categorie gegevens | Amerikaanse regionale Datacenter1 | Duits Regionaal Datacenter2 | Amerikaanse analyse Datacenter3 | Gegevens voor identiteitsbeheer in de VS Centrum3 |
Accountgegevens | Ja | Ja | Nee | Nee |
Gegevens van de toepassing | Ja | Ja | Ja | Nee |
Contactgegevens | Ja | Ja | Nee | Ja (bij gebruik van HP ID) |
Apparaatgegevens | Ja | Ja | Ja | Nee |
Locatie gegevens | Ja | Ja | Ja | Nee |
Gegevens over beveiligingsgegevens | Nee | Nee | Nee | Ja (bij gebruik van HP ID) |
Voor klanten die niet in Europa zijn gevestigd
Voor klanten in Europa
Voor alle klanten
Bewaking en rapportage van de service
WXP biedt regelmatig service-updates om de nieuwste functies en updates aan klanten te leveren. WXP informeert klanten ook via verschillende methoden over geplande of ongeplande updates en wijzigingen in de service. Voor geplande serviceonderbrekingen zoals serviceonderhoud worden klanten acht uur van tevoren op de hoogte gebracht.
Om optimale service te leveren, voert HP doorlopende servicemonitoring en -rapportage uit.
Bewaking van de dienst
WXP en agent worden 24x7x365 gemonitord op betrouwbaarheid en prestaties. Bovendien vinden de monitoring van netwerkprestaties en beschikbaarheid continu plaats. Alle monitoringtools sturen eventuele problemen, waarschuwingen en problemen rechtstreeks door naar servicemonteurs. Uitzonderingen worden automatisch toegevoegd aan een intern ticketingsysteem als werkitems met hoge prioriteit die moeten worden vermeld.
Als een drempelwaarde wordt overschreden, vindt het volgende automatische escalatieproces plaats:
Er wordt een e-mailwaarschuwing verzonden naar een corresponderende ondersteuningstechnicus op afroep
Er wordt een pushmelding verzonden naar het mobiele apparaat van de dienstdoende monteur
Er wordt een e-mail verzonden naar de distributielijst van het Operation Team
WXP maakt gebruik van verschillende monitoringtools, waaronder:
Nieuw relikwie: bewaakt verschillende componenten van het systeem en, nog belangrijker, helpt bij het identificeren en debuggen van knelpunten wanneer ze verschijnen. De meeste applicaties/services zijn geïnstrumenteerd voor Splunk, waardoor continue gegevensverzameling en bijna realtime prestatiestatistieken worden geboden.
Amazon CloudWatch: controleert op gebeurtenissen met betrekking tot provisioning, servicefouten en het bereiken van drempelwaarden (zoals geheugenverbruik). Incidenten worden beoordeeld en gecategoriseerd om de belangrijkste probleemgebieden te identificeren. Op basis van de prioriteit worden acties direct ondernomen of gepland om te worden opgepakt voor latere ontwikkeling. Er wordt een post-mortem quality-of-service (QoS)-vergadering gehouden om de bevindingen te bespreken, de hoofdoorzaken te identificeren en wijzigingen voor verbetering door te voeren.
Conclusie
HP erkent dat het bedreigingslandschap snel verandert. De evolutie van cyberaanvallen begon met het verwijderen van bestanden en het beschadigen van websites in de late jaren 1990, en ging vervolgens over naar de fase van het genereren van inkomsten met gestolen inloggegevens en ransomware. De meest recente aanvallen worden uitgevoerd door natiestaten die zeer goed gefinancierd zijn en van plan zijn de elektriciteitsnetten plat te leggen en tienduizenden computers en mobiele apparaten onbruikbaar te maken.
Het aanpakken van deze risico's is een missie waar HP meer dan veertig jaar geleden aan begon. HP's erfenis van innovatie op het gebied van detectie en bescherming van beveiligingsbedreigingen, samen met voortdurende op beveiliging gerichte investeringen, vormt de basis voor het ontwerp van applicaties zoals WXP. Het resultaat is een veilige, cloudgebaseerde IT-beheeroplossing die is gebouwd op een geïntegreerd beveiligingsplatform dat de applicatie, het fysieke datacenter en de toegang van eindgebruikers omvat.
Met ingebouwde beveiligingsfuncties biedt WXP, beschikbaar via HP Proactive Insights, HP Active Care en andere services die worden aangestuurd door WXP, organisaties een vertrouwde tool om het dagelijkse beheer van apparaten, gegevens en gebruikers te vereenvoudigen door middel van meerdere robuuste beveiligingslagen.