Oversikt over HP Workforce Experience Platform
HP Workforce Experience Platform (WXP) er en skybasert bedriftsløsning som hjelper IT-team med å redusere digital friksjon, forbedre sikkerheten og proaktivt løse enhetsproblemer. Den gir sentralisert oversikt og administrasjon av en organisasjons PC-flåte, som stasjonære PC-er, bærbare PC-er og andre tilkoblede eiendeler, gjennom en sikker, skalerbar plattform.
WXP analyserer nesten sanntids telemetridata fra enheter og applikasjoner for å identifisere problemer, overvåke helsen og anbefale utbedring. IT-administratorer kan se enhetsstatus, definere retningslinjer, generere rapporter og iverksette fjernhandlinger for å støtte operative og sikkerhetsmessige behov.
Dette dokumentet skisserer WXPs sikkerhets- og personvernarkitektur, med fokus på administrerte utskriftsenheter. Den forklarer hvordan utskriftsdata samles inn, overføres, lagres og beskyttes. Andre fysiske eiendeler, som PC-er eller periferienheter, kan ha ytterligere eller ulike sikkerhetshensyn som ikke diskuteres her.
Den tiltenkte målgruppen inkluderer IT-administratorer, tjenesteleverandører og sikkerhetsvurderere som vurderer plattformens datahåndtering og sikkerhetspraksis. Den inkluderer anbefalinger for å sikre skriverflåten innenfor en kundebrannmur samt utenfor via WXP-portalen.
HP WXP-arkitektur
WXP kan ombord og koble kvalifiserte HP-enheter til HP-skyen på to måter:
Onboarding av skytilkoblede enheter direkte i skyen.
Onboarding av Web Jetadmin administrerte enheter via en eller flere Print Fleet Proxies.
Tilkoblingen fra skriveren til skyen bruker følgende protokoller for kommunikasjon:
Skriveren sender periodisk meldinger til HP-skyen for å identifisere om det finnes varsler for den. Denne typen kommunikasjon krever lettvektskommunikasjon som bruker UDP- og TCP-protokoller med autentisert konfidensialitet.
Skriveren bruker HTTPS-kommunikasjon for toveis utveksling av enhetsinformasjon, målere og forsyninger. HTTPS sikrer dataintegritet og konfidensialitet.
Rollebasert brukertilgangskontroll
Roller i WXP defineres som sett med tillatelser. WXP definerer flere innebygde roller. Følgende roller er noen av de forhåndsdefinerte innebygde rollene som for tiden er tilgjengelige for WXP, og som kan tildeles administratorer som håndterer deler av skriverflåten.
Å tildele mer spesifikke roller til brukere begrenser eksponeringen av data i WXP-portalen. Brukere kan kun se data relatert til omfanget av deres tildelte roller; Alle skjermer utenfor dette området er skjult og ikke tilgjengelige.
IT-administrator: Har full tilgang til alle funksjoner i WXP-portalen, inkludert invitasjon av brukere til plattformen, tildeling av roller, samt alle administrative og administrative oppgaver for PC-er, skrivere, tilbehør og tredjepartskonfigurasjoner.
Skriveradministrator: Har mulighet til å utføre alle utskriftsadministrasjonsoppgaver.
Rapportadministrator: Har mulighet til å kjøre rapporter.
HP Workforce Experience Platform
For øyeblikket er Print Fleet Management-tjenesten til WXP hostet i Amazon Web Services (AWS) i USA (AWS-OR), med andre regioner som potensielt kan legges til i fremtiden. IT-administratorer får tilgang til WXP via en nettleser, som tilbyr grensesnitt for enhetsregistrering, autentisering og kommunikasjon.
I tillegg til Core WXP-plattformens sikkerhets- og personverndetaljer rundt multi-tenancy, identitets- og sesjonshåndtering, samt autorisasjon (som diskutert i WXP Core Security and Privacy Technical Document), har WXP Print Fleet-administrasjon også følgende vurderinger knyttet til skriverspesifikke data og nettverkssikkerhet.
Data i ro
Innsamlede data
Datainnsamling for skrivere er begrenset av omfanget av kundens kontrakt med HP. HP samler inn telemetrien som kreves for å støtte de tjenestene og løsningene de kontraktsmessig er forpliktet til å tilby kunden, og samler den inn under kontraktens lovlige grunnlag. I noen tilfeller kan HP, med brukerens samtykke, samle inn tilleggsdata for et eksplisitt angitt formål, som for eksempel forbedring av HP-produkter og -tjenester.
Noen av dataattributtene samlet inn av HP kan inkludere:
Formål med datainnsamling | Innsamlede data | Beskrivelse av innsamlede data |
|---|---|---|
Kontoadministrasjon | Kontodata | Informasjon knyttet til kundekjøp eller påmelding for WXP-tjenester, støttehistorikk med hensyn til hendelser generert av WXP, og alt annet relatert til WXP-kontoen for å utføre transaksjonstjenester som kontoadministrasjon. |
Kontooppsett, identitetshåndtering, og Validering av rettigheter | Kontaktinformasjon | Personlige og/eller forretningskontaktdata, inkludert fornavn, etternavn, postadresse, telefonnummer, e-postadresse, region, pålogging til merket og andre lignende kontaktopplysninger brukt for opprettelse og validering av WXP-kundekonto, samt tjenesterettigheter. |
Levere proaktiv IT-tjenestevedlikehold og -administrasjon, samt kundesentrerte rapporter/dashbord | Enhetsdata | Grunnleggende enhetsinformasjon, som enhetsnavn, modellnummer, fastvareversjon, regionsinnstilling, språkinnstilling, kontoidentifikator, funksjoner og ytterligere teknisk informasjon som varierer etter modell. Enterprise Manageability-innstillinger, samt noe Smart Device Service (SDS)-telemetri, som livstidstellere, forsyningsdata og annen utskriftsmotorstatistikk. Innstillinger for ulike funksjonskategorier som gjør det mulig for WXP å administrere enhetens funksjonalitet og å vurdere og korrigere innstillinger for å sikre at hver skriver i flåten er i samsvar med sikkerhets- og funksjonspolicyene definert av kunden. Samlet innstillinger inkluderer kopimaskininnstillinger, digitale sendingsinnstillinger, faksinnstillinger, filsysteminnstillinger, nettverksinnstillinger, sikkerhetsinnstillinger, løsningsinnstillinger og webtjenesteinnstillinger, blant andre. |
Datalagring
HPs retningslinjer for datalagring inkluderer følgende beste praksis for datalagring:
Å lagre data i kortere perioder enn nødvendig kan bryte kontraktsmessige eller juridiske krav eller påvirke sikkerheten.
Å lagre data i lengre perioder enn nødvendig kan bryte personvernregler og er en prioritert bekymring for kundene.
Når dataene er slettet, er det ingen forpliktelse til å levere dem til kunden eller politiet.
Siden WXP-applikasjonens analysepakke er en enkelt delt pakke på tvers av mange HP-applikasjoner, kan dataene i U.S. Analytics datasenter ikke slettes permanent hvis en kunde deaktiveres fra WXP, fordi samme kunde kan være registrert i andre HP-applikasjoner.
Merk: Telemetridata som sendes til U.S. Analytics-datasenteret er koblet til enhetens serienumre og systemgenererte ID-er. Disse dataene krypteres i ro og håndteres i samsvar med HPs databeskyttelses- og sikkerhetsstandarder.
Datalagring
Datalagring for WXP er begrenset til kunde- og enhetsinformasjonen til betalende abonnenter.
Alle databaser i regionale datasentre i USA som lagrer personopplysninger er kryptert.
Alle databaser i U.S. Identity Management-datasentre som lagrer personopplysninger er krypterte.
Alle databaser og ustrukturert lagring i U.S. Analytics-datasenteret er kryptert.
Databaser
WXP bruker relasjonelle og ikke-relasjonelle databaser for å lagre innebygd bruker- og skriverinformasjon. Databaselagringene er også kryptert på disk, og tilgangen begrenses ved å isolere databasen i et sikkert miljø som kun er tilgjengelig via abstraksjonslaget. WXP bruker disse databasene til å lagre informasjon som:
brukerprofildata (fornavn, etternavn, lokalitet, IDM-identifikator og kontoidentifikator)
Skriverprofildata (skyidentifikator, modell, navn, e-postadresse, kontoidentifikator og funksjoner)
Kontoinformasjon og kontoinnstillinger (Navn, adresse, region, jobbregnskap og adgangskort)
Data under overføring – Nettverkskommunikasjon
Skytilkoblede skrivere
All kommunikasjon mellom WXP og skytilkoblede skrivere sikres på to måter:
Kommunikasjon skjer ved bruk av Transport Layer Security versjon 1.2 (TLS 1.2). TLS 1.2 bruker 2048-bits RSA-kryptering og sertifikatvalidering for å etablere en påfølgende 256-bits sikker kanal.
TLS hjelper til med å sikre data på flere nivåer, og tilbyr serverautentisering, datakryptering og dataintegritet. Siden TLS er implementert under applikasjonslaget, er det en passiv sikkerhetsmekanisme som ikke er avhengig av ekstra steg eller prosedyrer fra brukeren.
Hver nyttelast er i tillegg pakket inn i HPs proprietære krypteringslag.
Print Fleet Proxy tilkoblede skrivere
Kommunikasjon mellom WXP- og Web JetAdmin-administrerte skrivere fasiliteres av Print Fleet Proxy, som kommuniserer til hele flåten av skrivere via en Secure Web Socket-tilkobling.
Bruk av skriverpolicyer for å konfigurere og håndheve skriversikkerhet
WXP støtter administrasjon av et bredt spekter av skriverpolicy-innstillinger designet for å hjelpe administratorer med å håndheve sikkerheten til sine skriverflåter. Disse innstillingene deles inn i to kategorier:
Sertifikater: Sertifikater bidrar til å sikre sikker kommunikasjon mellom skriveren og andre nettverksressurser. Du kan konfigurere to typer sertifikater for bruk med skriverne dine: et CA-sertifikat, som validerer identiteten til en enhet; og et ID-sertifikat, som autentiserer en påståtte identitet.
Hemmeligheter og passord: Hver HP-skriver har flere passord, passfraser eller tilgangskoder som du kan sette for å sikre ulike funksjoner på skriveren. Disse inkluderer det innebygde webserverpassordet (EWS), Printer Job Language (PJL)-passordet, SNMP-passfraser, LDAP-administratorpassord for innloggingsoppsett og andre. HP anbefaler sterkt å sikre hver av disse funksjonene med et passord eller deaktivere dem hvis de ikke er nødvendige.
WXP lar IT-administratorer definere eller oppgi hemmeligheter og passord i skriverens retningslinjer for sertifikater og innstillinger som tillater, begrenser eller blokkerer tilgang til visse funksjoner eller funksjoner på skrivere i deres flåte. WXP bruker disse verdiene til å vurdere og rette opp etterlevelse av skrivere i hele flåten.
For å oppnå det sikkerhetsnivået som kreves ved håndtering av disse sensitive dataene, har HP forbedret arkitekturen til WXP Policy Engine, og lagt til en svært sikker metode for håndtering av kundehemmeligheter og passord, både under overføring og i hvile. I hovedsak har HP lagt til et krypteringsnivå utover TLS 1.2 (2048-bits RSA-kryptering og sertifikatvalidering) som brukes for å sikre kommunikasjonskanalen.
Med denne flernivåkrypteringen gjør WXP det mulig for IT-administratorer å sikkert konfigurere, vurdere og rette opp hemmeligheter og passord på skrivere ved hjelp av skriverpolicyer, noe som praktisk talt eliminerer behovet for manuell konfigurasjon av disse sensitive innstillingene fra skriver til skriver.
Nettverksporter og brannmurkrav
Brandmurprogramvare kan konfigureres til å blokkere både innkommende og utgående internetttrafikk. HP-skrivere krever KUN utgående kommunikasjon med HPs webtjenester, også kjent som HP-skytilkobling. HPs webtjenester vil aldri initiere kommunikasjon med HP-skrivere i et kundemiljø; derfor er det ikke nødvendig å hviteliste innkommende HP-URL-er.
All HTTPS-kommunikasjon er standard på port 443. Port 631 vil bli brukt som et sekundært alternativ hvis 443 ikke er tilgjengelig.
Brannmurkonfigurasjon: Skytilkoblede skrivere
For skytilkoblede skrivere må følgende URL-er konfigureres i brannmurprogramvaren for utgående (skriverinitiert) internettkommunikasjon:
HP Web Services-URL-er
https://*.avatar.ext.hp.com:443
http://*.avatar.ext.hp.com
udp://*.avatar.ext.hp.com:9930
wss://*.avatar.ext.hp.com:443 (websocket-protokoll)
https://*.id.hp.com:443
https://*.ipp.ext.hp.com:443
https://*.wpp.api.hp.com:443
https://*.api.hp.com:443
Enhetens onboarding-URL-er
https://*.api.ws-hp.com:443
Fastvareoppdaterings-URL-er
http://h10141.www1.hp.com/pub/inkjet/updates
HP Cloud Log inn én gang (SIO)
https://*.mymfpprogram.com:443
Brannmurkonfigurasjon: Printer Fleet Proxy tilkoblede skrivere
Skrivere koblet til via en Print Fleet Proxy krever at brannmuren din tillater utgående HTTPS-forespørsler over port 443 til følgende endepunkter:
WXP Print Fleet Management Personvern
Databeskyttelse
HP har en lang historie med bransjelederskap innen personvern og databeskyttelse. Sammen, med vår solide portefølje av produkter og tjenester, støtter vi våre kunders og partneres innsats for å beskytte personopplysninger. Når det gjelder WXP persondata behandlet i forbindelse med WXP, fungerer HP som en databehandler. Vennligst se avsnittet om databehandler på HP Privacy Central. Som et globalt selskap er det mulig at all informasjon du oppgir kan bli overført til eller tilgang til av HP-enheter over hele verden i samsvar med HPs personvernerklæring og basert på de internasjonale personvernprogrammene som er listet i avsnittet om internasjonale dataoverføringer.
HPs personvernpraksis og prinsipper er fastsatt i HPs personvernerklæring. Personvernerklæringen oppdateres jevnlig og dekker følgende temaer:
Våre personvernprinsipper
Internasjonale dataoverføringer
Hvordan vi bruker data
Hvilke data vi samler inn
Barns personvern
Hvordan vi oppbevarer og holder dine data sikre
Hvordan vi deler data
Ikke-diskriminerings- og lojalitetsprogrammer
HP Communications
Utøvelse av dine rettigheter og kontakt med oss
Endringer i vår personvernerklæring
Kontakt oss
For hjelp, lag en supportsak eller send e-post support@wxp.hp.com.