Introdução
A HP Workforce Experience Platform (WXP) é uma solução empresarial baseada em nuvem que ajuda as equipes de TI a reduzir o atrito digital, aumentar a segurança e resolver problemas de dispositivos de forma proativa. Ele fornece visibilidade e gerenciamento centralizados da frota de PCs de uma organização, como desktops, laptops e outros ativos conectados, por meio de uma plataforma segura e escalável.
O WXP analisa dados de telemetria quase em tempo real de dispositivos e aplicativos para identificar problemas, monitorar a integridade e recomendar correção. Os administradores de TI podem visualizar o status do dispositivo, definir políticas, gerar relatórios e iniciar ações remotas para dar suporte às necessidades operacionais e de segurança.
Este documento descreve a arquitetura de segurança e privacidade do WXP, com foco em dispositivos de PC gerenciados. Ele explica como os dados são coletados, transmitidos, armazenados e protegidos e descreve a conformidade da plataforma com os padrões de proteção de dados. O público-alvo inclui administradores de TI, provedores de serviços e revisores de segurança que avaliam as práticas de tratamento de dados da plataforma.
Arquitetura de experiência WXP
Como uma plataforma de análise completa e baseada em nuvem para dispositivos, dados e usuários, a WXP incorpora segurança de nível de serviço comprovada pelo setor em sua arquitetura e processos de desenvolvimento. Os principais serviços incluem:
Coletando e analisando a telemetria do dispositivo em vários sistemas operacionais
Permitindo que clientes HP e provedores de serviços gerenciados gerem relatórios e gerenciem incidentes
Integração de vários serviços de terceiros por meio de um modelo de software como serviço (SaaS)
Usuários e funções
O painel do WXP oferece vários tipos de usuários e funções, conforme mostrado no diagrama a seguir.
Papéis | Âmbito |
|---|---|
Administrador Regional | Essa conta é usada por um administrador de operações de negócios da HP para criar novos locatários para clientes diretos e parceiros. As contas de administrador raiz regional são controladas e têm acesso para gerenciar e navegar em locatários diretos de clientes e parceiros. Normalmente, existem contas de administrador raiz separadas para cada região. Atualmente, a WXP opera em dois datacenters regionais da AWS:
|
Parceiros | Os locatários do parceiro podem incluir funções de administrador de parceiro, especialista em serviços e especialista em vendas. Esses locatários podem acessar várias contas de clientes e gerenciar dispositivos, usuários e operações diárias em seu nome. Além disso:
|
Suporte HP | Uma conta de suporte HP pode acessar várias empresas simultaneamente e gerenciar dispositivos, usuários e operações diárias em nome dos clientes para fins de solução de problemas. Essas ações são gerenciadas pela equipe de operações de negócios da HP. Existem dois tipos de usuários em uma conta de suporte HP: administradores de suporte e especialistas de suporte. Os administradores de suporte podem criar contas adicionais de administrador de suporte ou especialista de suporte. |
Proprietário da empresa | Quando uma empresa é criada, um proprietário da empresa padrão é atribuído pelos administradores raiz. Por padrão, esse usuário também recebe a função de administrador de TI para gerenciar usuários e dispositivos dentro da empresa. Os proprietários da empresa podem gerenciar usuários, lidar com tarefas relacionadas ao dispositivo e acessar relatórios e outras funções administrativas com base em suas permissões. Enquanto os provedores de serviços gerenciados (MSPs) gerenciam usuários em várias empresas, os proprietários da empresa gerenciam usuários de forma independente dentro de sua própria empresa. |
Usuário da empresa | No WXP, um usuário é um indivíduo dentro de um locatário da empresa corporativa que recebe uma função que permite que ele execute ações. Os usuários podem ser criados das seguintes maneiras:
|
Administrador de TI | A função de administrador de TI é atribuída a usuários em empresas de clientes ou autogerenciadas. Ele permite que os usuários executem tarefas administrativas importantes, como gerenciar usuários e dispositivos. Embora semelhante em função às funções disponíveis para MSPs, o acesso de administrador de TI é limitado à sua própria empresa. |
Administrador de relatórios | Por padrão, os proprietários da empresa têm acesso aos relatórios. Qualquer usuário da empresa também pode ter acesso ao relatório. A função de Administrador de Relatório é somente leitura e permite que os usuários exibam informações de relatórios WXP. |
Administrador do conector | Essa função permite o gerenciamento seguro e baseado em funções de integrações no WXP. Essa função controla o acesso às ações de integração em todos os conectores com suporte. Ele garante que apenas usuários autorizados possam configurar e gerenciar widgets de integração e configurações de conexão. |
Principais recursos
Os administradores do conector podem executar as seguintes ações no WXP:
Configure e gerencie widgets de integração.
Conecte e desconecte integrações de terceiros, incluindo ServiceNow, Teams, Graph API e muito mais.
Visualize e acesse a documentação de integração associada.
O diagrama a seguir fornece uma visão geral de alto nível da funcionalidade e dos recursos do Insights:
Dispositivos HP Workforce Experience
A arquitetura WXP foi projetada para ajudar a impedir que invasores obtenham o controle dos dispositivos. Dependendo do hardware e dos sistemas operacionais, o software do dispositivo deve ser instalado durante o processo de provisionamento.
Para adicionar dispositivos, o administrador de TI da sua empresa ou um MSP (Provedor de Serviços Gerenciados) deve registrá-los com segurança no WXP usando um PIN da Empresa atribuído. Durante a inscrição, ocorre uma troca de chave assimétrica entre o servidor e o dispositivo. Cada dispositivo gera um par de chaves exclusivo quando os dispositivos são identificados e, em seguida, os dispositivos recebem um token de acesso válido por 24 horas. Após esse período, os dispositivos devem enviar assinaturas ao servidor comprovando sua identidade para novos tokens de acesso.
Com o consentimento da empresa, os dispositivos registrados carregam dados de telemetria diariamente para o pipeline de análise WXP. Ao longo do dia, eles também recebem comandos e sinais de controle do WXP. Todas as comunicações são protegidas pelo token de acesso mencionado acima.
O WXP para Microsoft Windows® usa o protocolo HTTPS/TLS 1.2 na porta 443 para todas as comunicações. Ele não instala certificados nem modifica o Repositório de Certificados do Sistema Operacional Windows.
Plataforma de experiência da força de trabalho HP
O WXP está hospedado na Amazon Web Services (AWS) em duas regiões diferentes: Estados Unidos (AWS-OR) e União Europeia (AWS-DE).
Dependendo do país de registro, o locatário da empresa é criado no data center regional correspondente. Os administradores de TI acessam o WXP por meio de um navegador da Web, que fornece interfaces para registro, autenticação e comunicação de dispositivos.
As próximas seções abordam as decisões de design sobre segurança.
Gerenciamento de identidade
Atualmente, os provedores de identidade (IdPs) com suporte são o HP Common Identity System (HPID) e o Microsoft Entra ID. Para identidade gerenciada pelo HP Common Identity System, a qualidade da senha não é configurável e a política de senha é definida pela página de inscrição do ID HP. As senhas devem conter pelo menos oito caracteres e incluir três ou mais dos seguintes critérios:
Uma letra maiúscula
Uma letra minúscula
Números
Símbolos ou caracteres especiais
A identidade gerenciada pelo Microsoft Entra ID segue as políticas definidas pelo administrador da conta do Entra ID. Isso inclui, mas não se limita a: autenticação multifator, complexidade de senha, etc.
Gerenciamento de Sessão
Não há limite para o número de sessões simultâneas que um usuário pode ter. No entanto, cada sessão termina automaticamente após 30 minutos de inatividade. Para dispositivos, as sessões expiram a cada 24 horas e são renovadas automaticamente. A autenticação e a autorização são implementadas usando o protocolo OAuth 2.0 e gerenciadas por meio de mecanismos baseados em sessão. Esse recurso usa JSON Web Tokens (JWT). Cada microsserviço WXP impõe a verificação JWT para validade de assinatura e expiração de token.
Autorização
Além da verificação do token JWT, as verificações de locação ocorrem para todas as APIs. Isso garante que os dados de locatário apropriados sejam passados para o chamador. Além disso, as verificações de função ocorrem para todas as operações críticas.
Para obter informações adicionais, consulte a Users and Roles seção.
Multilocação
O WXP é uma solução multilocatária baseada em nuvem. Os dados do locatário são separados logicamente usando bancos de dados relacionais e impostos por meio de verificações de direito de locação. Cada locatário está associado a um identificador universalmente exclusivo (UUID), que garante o isolamento e a rastreabilidade dos dados.
Dados em repouso
As informações da empresa, como dispositivos, usuários e dados relacionados, são armazenadas em um banco de dados MySQL do AWS Relational Database Service (RDS) e em um armazenamento de dados do MongoDB. O banco de dados MySQL do AWS RDS e os armazenamentos de dados do MongoDB são criptografados. Campos confidenciais, como chaves e tokens, também são criptografados usando o AWS Key Management Service (KMS). A chave mestra é girada de acordo com as Diretrizes de segurança cibernética da HP.
Dados em trânsito
Toda a comunicação externa de e para WXP usa o protocolo HTTPS/TLS1.2. Os serviços na AWS Virtual Private Cloud (VPC) se comunicam usando texto simples.
Para obter informações adicionais, consulte a Operational Security seção.
Integração de terceiros
O WXP se integra a vários serviços de terceiros, como ServiceNow, PowerBI, Tableau, EntraID. A comunicação entre servidores ocorre por HTTPS usando métodos de autenticação fornecidos pelos sistemas de nossos parceiros.
Para obter mais informações sobre a integração de terceiros, entre em contato com um especialista em serviços HP.
Validação da interface do usuário (UI)
A validação de campo da interface do usuário protege os campos de entrada no Agente WXP. A validação é aplicada com base em tipos de dados (por exemplo, cadeia de caracteres, data/hora, moeda) e regras de negócios (por exemplo, campos obrigatórios ou recomendados). Os campos também podem ser protegidos com base nas funções do usuário e nas operações permitidas (leitura/gravação). A validação adicional pode ser aplicada por meio de funções de script.
Plataforma de análise de experiência da força de trabalho HP
A plataforma de análise WXP está hospedada na AWS e serve como backbone de processamento de dados para WXP. A maioria dos componentes da plataforma de análise é interna e não exposta ao acesso externo.
Recolha de dados
A plataforma de análise fornece interfaces para carregar dados de dispositivos com segurança. Ele usa um gateway de API autenticado para receber dados. Nesse modo de transporte, conexões, comandos e políticas não são enviados nem coletados de dispositivos, garantindo a comunicação unidirecional do dispositivo para a nuvem.
Dados em repouso
Os dados não estruturados em repouso são mantidos no AWS S3; no entanto, os dados estruturados são armazenados no AWS RedShift. Os dados estruturados e não estruturados são criptografados na plataforma de análise.
Segurança operacional do HP Workforce Experience
Esta seção descreve como o WXP aplica a segurança de nível de serviço para garantir a segurança em várias camadas de comunicação.
Centro de dados
O WXP é hospedado pela Amazon Web Services (AWS), mais especificamente pelo Amazon Elastic Compute Cloud (Amazon EC2). O Amazon EC2 fornece capacidade de computação escalável na Nuvem AWS. A WXP mantém datacenters em Oregon, Estados Unidos (AWS-OR) e Frankfurt, Alemanha (AWS-DE). Os dados para clientes localizados em países europeus podem ser hospedados no data center alemão. Os dados para clientes em todos os outros países podem ser hospedados no data center dos EUA.
Todos os dados em um único "locatário" do cliente são hospedados em um único data center, embora os clientes que desejam ter locatários separados em diferentes data centers para hospedar dados para diferentes unidades de negócios possam solicitar essa opção. Ao usar a AWS, a WXP aproveita os mais de quinze anos de experiência da Amazon no fornecimento de infraestrutura global em grande escala de maneira confiável e segura. Para obter mais informações, consulte o portal de informações da AWS: http://aws.amazon.com/ec2/ .
Na camada física, é importante abordar os controles que estão em vigor para proteger as instalações e a rede. Os dados do cliente e do dispositivo são armazenados em datacenters da AWS distribuídos geograficamente para fornecer redundância. A AWS é líder reconhecida em hospedagem na nuvem. Ao fazer parceria com a AWS, a WXP herda uma infraestrutura de nuvem que foi arquitetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros disponíveis atualmente. Algumas de suas principais características de segurança incluem:
Projetado para segurança
A infraestrutura de nuvem da AWS está alojada em datacenters da AWS, projetados para atender aos requisitos dos clientes mais sensíveis à segurança.
A infraestrutura da AWS foi projetada para fornecer alta disponibilidade e, ao mesmo tempo, oferecer fortes proteções para a privacidade do cliente e a segregação de dados.
Os dados de dispositivo, aplicativo e localização transmitidos ao U.S. Analytics Management Datacenter não incluem nomes de usuário ou endereços de email. Em vez disso, os dados são associados a números de série de dispositivos e identificadores gerados pelo sistema e são criptografados em repouso de acordo com os padrões de proteção de dados da HP.
Todos os dados estruturados e não estruturados no WXP são criptografados em repouso usando mecanismos de criptografia nativos da AWS, como o AWS KMS, de acordo com as diretrizes de segurança cibernética da HP
A AWS cria propositalmente a maioria de suas ferramentas de segurança para adaptá-las ao ambiente exclusivo e aos requisitos de escala da AWS.
Essas ferramentas de segurança são criadas para fornecer proteção máxima para dados e aplicativos. Isso significa que os especialistas em segurança da AWS gastam menos tempo em tarefas rotineiras, possibilitando se concentrar mais em medidas proativas que podem aumentar a segurança do ambiente da Nuvem AWS.
Altamente disponível
A AWS cria seus datacenters em várias regiões geográficas, bem como em várias zonas de disponibilidade em cada região, para oferecer resiliência máxima contra interrupções do sistema.
A AWS projeta seus datacenters com conexões significativas de largura de banda em excesso para que, se ocorrer uma grande interrupção, haja capacidade suficiente para permitir que o tráfego seja balanceado para os sites restantes.
Altamente credenciado
As certificações significam que os auditores verificaram se controles de segurança específicos estão em vigor e operando conforme o esperado.
Você pode visualizar os relatórios de conformidade aplicáveis entrando em contato com um representante de contas da AWS para ajudá-lo a atender a padrões e regulamentos de segurança específicos do governo, do setor e da empresa.
A AWS fornece relatórios de certificação que descrevem como a infraestrutura da Nuvem AWS atende aos requisitos de uma extensa lista de padrões globais de segurança, incluindo: ISO 27001, SOC, o padrão de segurança de dados do setor de cartões de pagamento (PCI), o FedRAMP, o Manual de segurança da informação da Australian Signals Directorate (ASD) e o padrão de segurança de nuvem multicamada de Cingapura (MTCS SS 584).
Para obter mais informações sobre os regulamentos e padrões de segurança com os quais a AWS está em conformidade, consulte a página de conformidade da AWS.
Para obter informações detalhadas sobre segurança física e ambiental, acesso à AWS e segurança de rede, consulte: AWS Best Practices for Security, Identity & Compliance.
Rede
Dispositivos de rede, incluindo firewall e outros dispositivos de limite, estão em vigor para monitorar e controlar as comunicações no limite externo da rede e nos principais limites internos dentro da rede. Esses dispositivos de limite empregam conjuntos de regras, listas de controle de acesso (ACLs) e configurações para impor o fluxo de informações a serviços específicos do sistema de informações.
ACLs, ou políticas de fluxo de tráfego, são estabelecidas em cada interface gerenciada, o que impõe o fluxo de tráfego. As políticas de ACL são aprovadas pela Amazon Information Security. Essas políticas são enviadas automaticamente usando a ferramenta de gerenciamento de ACL da AWS, para ajudar a garantir que essas interfaces gerenciadas apliquem as ACLs mais atualizadas.
Pontos de acesso com segurança aprimorada
A AWS colocou estrategicamente um número limitado de pontos de acesso à nuvem para permitir um monitoramento mais abrangente das comunicações de entrada e saída e do tráfego de rede. Esses pontos de acesso do cliente são chamados de endpoints de API e permitem acesso HTTP (HTTPS), que protege as sessões de comunicação com instâncias de armazenamento ou computação na AWS. Além disso, a AWS implementou dispositivos de rede dedicados ao gerenciamento de comunicações de interface com provedores de serviços de Internet (ISPs). A AWS emprega uma conexão redundante com mais de um serviço de comunicação em cada borda da rede da AWS voltada para a Internet. Todas as conexões têm dispositivos de rede dedicados.
Segurança de aplicativos, host e administrador
Na camada lógica, vários controles são usados para proteger os sistemas host, os aplicativos em execução nesses sistemas e para administradores que gerenciam os sistemas host e os aplicativos associados.
O acesso dos administradores de TI ao WXP e aos dados do cliente é limitado e estritamente gerenciado. Somente os indivíduos essenciais para executar uma tarefa têm permissão de acesso, desde que atendam às verificações de antecedentes e aos requisitos de gerenciamento de contas apropriados.
Segurança de dados
Os dados trocados com o WXP usam a implementação da AWS do Transport Layer Security (TLS) v1.2, a forma mais recente do protocolo Secure Sockets Layer (SSL) padrão do setor. O TLS ajuda a proteger os dados em vários níveis, fornecendo autenticação de servidor, criptografia de dados e integridade de dados. Como o TLS é implementado abaixo da camada de aplicativo, ele é um mecanismo de segurança passivo que não depende de etapas ou procedimentos adicionais do usuário. Os aplicativos estão mais protegidos contra invasores, mesmo que os usuários tenham pouco ou nenhum conhecimento de comunicações seguras.
Esses recursos ajudam a proteger os dados contra corrupção acidental e ataques mal-intencionados e destinam-se a evitar ameaças comuns baseadas na Web. Além da criptografia SSL para comunicação de rede entre clientes e servidores, a HP criptografa logs e dados em repouso que são salvos em nossos bancos de dados de servidor).
Os dispositivos WXP devem ter os sistemas operacionais e o software do dispositivo descritos nos requisitos do sistema. Embora os especialistas em serviços HP possam ajudar a aplicar políticas de segurança em dispositivos com base em configurações administrativas, não há requisitos de segurança adicionais para implantar o software WXP em dispositivos. As credenciais de login, como o endereço de e-mail e a senha do funcionário, são necessárias apenas ao acessar o WXP.
Verificação independente
Duas técnicas diferentes de modelagem de inteligência de ameaças são executadas no WXP:
O WXP passa por modelagem de inteligência de ameaças para todas as novas funcionalidades lançadas e periodicamente para todos os pequenos aprimoramentos na funcionalidade existente. Antes de iniciar o desenvolvimento de software de novos recursos, o WXP também passa por uma revisão da arquitetura de segurança pela HP Cyber Security.
Exemplo de testes de segurança realizados:
No WXP:
Script entre sites
Ataques de phishing
Roubo de token de autenticação
Fuzzing de entrada
Falsificação de e-mail
Injeção de SQL
Falsificação de solicitação entre sites (CSRF)
Outras vulnerabilidades comuns da Web
No serviço de nuvem WXP e na infraestrutura de análise (incluindo microsserviços):
Teste de interface para autenticação e autorização
Alterando as IDs de locatário para garantir que os dados apropriados sejam enviados apenas para usuários autorizados
Injeção de SQL
Injeção remota de código
Ataques DOS
Fuzzing de entrada
No WXP em sistemas operacionais, como Windows, Android e MAC:
fonte de instalação e integridade do aplicativo,
Escalonamento de privilégios
Ataques MITM
Fuzzing de entrada
Verificação de comando com verificações de integridade de dados
Envenenamento do repositório de certificados
Autenticação quebrada
configuração de segurança, etc.
A equipe de desenvolvimento da WXP segue um processo de desenvolvimento de software seguro. Ele inclui revisões de segurança, além de revisões regulares de arquitetura e código que se concentram em segurança, modelagem de ameaças e análise. Além disso, a equipe do WXP também realiza varredura e mitigação regulares de infraestrutura por meio de ferramentas como o agente Nessus. Todos eles são auditados de forma independente pela Coalfire, ao mesmo tempo em que concedem à WXP a certificação ISO 27001.
Estruturas de conformidade e segurança da HP
A WXP demonstra o compromisso da HP com os clientes, implementando um programa robusto e credenciado de segurança da informação e gerenciamento de riscos. No centro de todas as estruturas de conformidade de segurança está a proteção dos dados do cliente, que os clientes confiam à HP. Como parte de sua direção estratégica, a WXP garante a implementação de procedimentos e ferramentas de segurança apropriados para proteger esses dados.
Por meio de credenciamentos do setor reconhecidos mundialmente, todos os dados do cliente, incluindo informações proprietárias, operacionais, gerais e pessoais, são rigorosamente revisados para confirmar que os controles de segurança da WXP estão alinhados com as estruturas de conformidade estabelecidas.
Certificação ISO 27001:2022
A segurança dos sistemas de informação e as informações críticas para os negócios exigem medição e gerenciamento constantes. A certificação ISO 27001:2022, emitida pelo auditor independente Coalfire, é a verificação do compromisso da HP em fornecer continuidade operacional e proteção de dados.
A International Organization for Standardization (ISO) é responsável pelo desenvolvimento de vários padrões reconhecidos internacionalmente para produtos, serviços e sistemas. A certificação ISO 27001:2022 é concedida após a conclusão de uma auditoria externa por um organismo de certificação credenciado e é baseada em ativos (informações, processos, pessoas e tecnologia). A HP obteve a certificação ISO em todo o ambiente de Serviços de Gerenciamento e Monitoramento Remoto, para Serviços de Impressão Gerenciada e Sistemas Pessoais.
A ISO 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto de uma organização. Um SGSI é uma abordagem sistemática para gerenciar informações confidenciais da empresa para que as informações permaneçam seguras de acordo com os princípios de confidencialidade, integridade e disponibilidade. A abordagem engloba pessoas, processos e sistemas de TI e consiste em vários documentos de suporte e diretrizes que definem o caminho de implementação e certificação.
A certificação ISO 27001:2022 abrange o seguinte:
Políticas de segurança da informação
Segurança das operações
Organização da segurança da informação
Segurança das comunicações
Segurança de recursos humanos
Aquisição, desenvolvimento e manutenção do sistema
Gestão de ativos
Relações com fornecedores
Controle de acesso
Gerenciamento de incidentes de segurança da informação
Criptografia
Aspectos de segurança da informação do gerenciamento de continuidade de negócios
Segurança física e ambiental
Conformidade
A HP estendeu a certificação ISO para incluir:
ISO 27701:2019 (Sistemas de Gerenciamento de Informações de Privacidade PIMS)
ISO 27017:2015 (Controles de Segurança da Informação de Serviços em Nuvem)
Certificação ISO 27701:2019
Clientes e parceiros que usam o WXP para monitoramento contínuo buscam garantia de que seus dados estão protegidos ao usar um provedor de serviços em nuvem. A ISO 27017:2015 define padrões reconhecidos pelo setor para controles de segurança da informação especificamente para clientes e provedores de serviços em nuvem.
SOC 2 Tipo 2
Um atestado SOC2 fornece aos clientes a garantia de saber que o WXP segue padrões globalmente reconhecidos de segurança, confidencialidade, privacidade e disponibilidade. O SOC 2 fornece aos clientes e parceiros a verificação de como a HP gerencia, armazena e processa dados privados do cliente em um esforço repetível e contínuo. Os clientes estão exigindo estruturas adicionais para apoiar sua tolerância ao risco. A HP começou a buscar o atestado SOC 2 anual para continuar melhorando para o futuro e atender à demanda dos clientes.
Ciclo de vida de desenvolvimento de software seguro (SSDL) da HP
As abordagens do setor para segurança de aplicativos geralmente são reativas, e as abordagens do setor não aplicam as lições do campo da qualidade. As duas abordagens predominantes são:
Enterre a cabeça na areia: Isso é caracterizado por patches de segurança reativos. Essa abordagem depende de vulnerabilidades e exposições comuns (CVEs) com pouco trabalho para evitar ou minimizar a introdução de vulnerabilidades. Isso é mais frequentemente visto em segmentos da indústria com uma carga regulatória mínima relevante para a segurança.
Teste a segurança em: Isso é perceptível pela falta de resiliência projetada em aplicativos. Em vez disso, o esforço é aplicado para encontrar e corrigir vulnerabilidades durante o teste em combinação com patches de segurança. Essa abordagem aparece mais comumente no setor público, setores regulamentados por segurança e saúde. Esses segmentos devem mostrar conformidade com regulamentos, incluindo a Lei Federal de Gerenciamento de Segurança da Informação (FISMA) dos Estados Unidos, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS), a Lei de Portabilidade e Responsabilidade de Informações de Saúde (HIPAA) e a Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH). No entanto, a segurança como um atributo de qualidade precisa ser aplicada em todas as etapas do ciclo de vida da mesma forma que o campo de qualidade aprendeu há meio século.
Os principais locatários incluem o seguinte:
A qualidade não pode ser testada; ele deve ser projetado e construído e, em seguida, testado.
Defeitos e vulnerabilidades de segurança devem ser encontrados mais cedo ou mais tarde no ciclo de vida, no interesse dos custos.
A HP leva a segurança do software muito a sério e adotou um Secure Software Development Lifecycle (SSDL). Vários objetivos estão vinculados ao processo SSDL, incluindo o seguinte:
Reduza a superfície de ataque cibernético por meio de uma arquitetura de software segura
Minimize as vulnerabilidades induzidas por código
Proteja a privacidade e a segurança dos dados e identidades dos clientes
A HP inclui procedimentos específicos relacionados à segurança em seus processos SSDL, realiza revisões de marcos para garantir que os processos de segurança sejam concluídos com sucesso e oferece treinamento contínuo de segurança para seus arquitetos de software, desenvolvedores, engenheiros de teste, gerentes de programa e suas equipes de liderança.
As sete etapas do processo SSDL são definidas abaixo:
Treinamento (Estágio 1) – Cursos formais que abrangem o processo SSDL, design aprimorado de segurança, modelagem de ameaças e codificação segura.
Requisitos (Estágio 2) – Planejamento de segurança no início dos projetos de software, incluindo avaliações de risco de segurança recurso por recurso.
Design (Fase 3) – Definição e documentação da arquitetura de segurança; identificar componentes críticos de segurança.
Implementação (Estágio 4) – Executar o esquema de proteção projetado e a abordagem de mitigação, juntamente com revisões e validações de código por pares.
Verificação (Estágio 5) – Realização de análise dinâmica de código, teste de fuzzing (fuzzing) e revisões de superfície de ataque.
Versão (Estágio 6) – Verificando se os requisitos de SSDL foram atendidos e não existem vulnerabilidades conhecidas.
Resposta (Estágio 7) – Executar as tarefas de resposta descritas durante o estágio de Liberação.
Recolha de dados
Os tipos de dados coletados pelo WXP são fornecidos diretamente pelos clientes ou coletados automaticamente do WXP baseado em nuvem. Os dados dos dispositivos são coletados usando o WXP Agent instalado nos dispositivos. A WXP coleta os seguintes dados para executar serviços de contrato:
Finalidade da coleta de dados | Dados coletados | Descrição dos dados coletados |
Gerenciamento de contas | Dados da conta | Informações relacionadas a compras de clientes ou inscrição em serviços WXP, histórico de suporte com relação a incidentes gerados pelo WXP e qualquer outra coisa relacionada à conta WXP para executar serviços de transação, como gerenciamento de contas. |
Certifique-se de que o WXP e os serviços funcionem corretamente | Dados do aplicativo | Inclui o número da versão, o status da instalação e o histórico de atualizações do WXP Agent em cada dispositivo gerenciado. |
Configuração de contas, gerenciamento de identidade e Validação de direitos | Dados de contato | Dados de contato pessoal e/ou comercial, incluindo nome, sobrenome, endereço para correspondência, número de telefone, número de fax, endereço de e-mail e outros detalhes de contato semelhantes usados para configuração e validação da conta do cliente WXP, direito ao serviço e notificações por e-mail relacionadas a incidentes e serviços. |
Forneça manutenção e gerenciamento proativos de serviços de TI e relatórios/painéis centrados no cliente | Dados do dispositivo | Informações básicas do dispositivo, como nome do dispositivo, sistema operacional, quantidade de memória, tipo de dispositivo, tamanho do disco, configuração de região, configuração de idioma, configuração de fuso horário, número do modelo, data de início inicial, idade do dispositivo, data de fabricação do dispositivo, versão do navegador, fabricante do dispositivo, status da garantia, identificadores exclusivos do dispositivo e informações técnicas adicionais que variam de acordo com o modelo. Informações de hardware, como BIOS, exibição, GPU, armazenamento, slots do sistema, memória, relógio em tempo real, dados de utilização de hardware do sistema (CPU, GPU, memória e E/S de disco), drivers, térmicos, ventilador, dispositivos PnP, periféricos RPOS, configurações do HP Sure Recover, teste de diagnóstico HP, docking station (somente HP), periférico conectado à docking station, integridade da bateria, configuração e estado de energia, diagnóstico de suspensão do sistema, atribuição de disco primário/externo, utilização de disco, registro de serviço da plataforma Intel (requer Intel vPro), consumo de energia do sistema, consumo de energia do sistema por PCM (requer PC empresarial HP G11 ou posterior), margem do SoC Intel na memória (somente PC empresarial HP G12 ou posterior) e integridade do teclado do laptop (somente PC empresarial HP G12 ou posterior) Aplicativos de software instalados no dispositivo, como a lista de aplicativos instalados, tempo de execução dos aplicativos, erros de aplicativos, dados de utilização de hardware por aplicativo (CPU e memória).
Aplicativos Web em navegadores, como o número de visitas à página, o tempo de carregamento da página e o erro de carregamento da página apenas das URLs pré-configuradas na página Configurações do WXP. Por padrão, a coleta de dados para aplicativos da Web está desabilitada, mas pode ser habilitada na página Configurações do > WXP. O WXP não verifica ou coleta conteúdo de aplicativos da web em navegadores. Informações geradas pelo sistema operacional para o dispositivo, como eventos do sistema operacional, atualizações ausentes do Windows, monitoramento de processos e serviços, tempo de inicialização/suspensão/hibernação/desligamento, tempo de uso do dispositivo, tempo de logon do dispositivo, inicialização completa e tempo de inicialização rápida, data da última reinicialização e falha do sistema – falha de tela azul no sistema operacional Windows. Observação: por padrão, a coleta de despejo de memória para falhas do sistema está desabilitada, mas pode ser ativado na página de configurações do WXP. Informações de rede, como interface de rede, endereço MAC, endereço IP, SSID, intensidade do sinal, velocidade de conexão, configurações de autenticação de rede, erros de rede, consumo de rede, utilização de rede, perda de pacotes, jitter e latência por processo e conexões e desconexões de rede.
Informações de segurança, como TPM (Trusted Platform Module), status do antivírus, status do firewall, status de criptografia do BitLocker e status da Inicialização Segura. Informações do usuário dos usuários do cliente que registram seus dispositivos no WXP, como as informações do último usuário conectado e as informações do usuário ingressado no Active Directory.
Informações de localização do dispositivo, como geolocalização ao vivo do dispositivo e localização do ativo (definidas pelos usuários para indicar onde o dispositivo pertence). Observação: por padrão, a coleta de dados para a localização do dispositivo está desativada, mas pode ser ativada na página de configurações do WXP. |
Autenticação e autorização de acesso do usuário a contas e serviços que usam HP | Credenciais de segurança | Senhas de usuário, dicas de senha e informações de segurança semelhantes necessárias para autenticação para autorizar usuários a acessar contas e serviços de portal baseados em nuvem WXP. (somente se estiver usando HP ID) |
Agrupamentos de dados
Os dados do dispositivo coletados pelo WXP 1 podem incluir os seguintes agrupamentos:
Grupo de dados | Descrição |
Hardware | Incluindo bateria, BIOS, disco, tela/monitor, gráficos, inventário, memória, interface de rede, Plug and Play (PnP), processador, relógio do sistema, slots do sistema, dados térmicos e de desempenho do sistema. |
Aplicativos de software | Incluindo dados de conformidade, erros, inventário, desempenho, utilização e utilização de aplicativos da web. |
Segurança | Incluindo dispositivos que não relatam, descoberta/gerenciamento de patches do sistema operacional, localização do dispositivo, alarme do dispositivo, bloqueio e limpeza, configuração de política de segurança, imposição de política de segurança, ameaças à segurança, criptografia de armazenamento, configurações de segurança do usuário, provisionamento de Wi-Fi e dados de violações da Proteção de Informações do Windows |
Logs de eventos do Windows | Os logs de eventos do Windows fornecem um registro detalhado das notificações do sistema, da segurança e dos aplicativos armazenadas pelo sistema operacional Windows que são usadas pelos administradores para diagnosticar problemas do sistema e prever problemas futuros. |
Garantia HP e Care Packs | Os HP Care Packs são garantias estendidas para seu computador ou impressora HP que cobrem produtos após a expiração da garantia padrão. |
Os dados do usuário coletados pela WXP incluem:
Endereço de e-mail do usuário
Último conectado à conta de usuário
A WXP não recolhe os seguintes tipos de dados:
Informações demográficas (com exceção de preferências de país ou idioma)
Informações de contas financeiras, números de cartão de crédito ou débito, registros de crédito ou dados de pagamento
Redes sociais
Identificador emitido pelo governo, como previdência social, número do seguro social ou documento de identidade
Informações de saúde
Dados confidenciais, como origem étnica, crenças políticas, filiação sindical, dados de saúde, orientação sexual e dados genéticos
Privacidade de dados
A HP tem uma longa história de liderança no setor em privacidade e proteção de dados. Juntos, com nosso robusto portfólio de produtos e serviços, apoiamos os esforços de nossos clientes e parceiros na proteção de dados pessoais. Com relação à análise WXP, a HP atua como um processador de dados. Consulte a seção Processador de dados no HP Privacy Central. Como uma empresa global, é possível que qualquer informação que você fornecer possa ser transferida ou acessada por entidades da HP em todo o mundo de acordo com a Declaração de Privacidade da HP e com base nos Programas de Privacidade Internacionais listados na seção Transferências Internacionais de Dados.
A privacidade de dados é regida pela Política de Privacidade da HP para países em todo o mundo. Esta política é atualizada periodicamente e abrange os seguintes tópicos:
Nossos Princípios de Privacidade
Transferências internacionais de dados (incluindo informações sobre o Privacy Shield UE-EUA).
Como usamos os dados
Quais dados coletamos
Privacidade das crianças
Como retemos e mantemos seus dados seguros
Como compartilhamos dados
Comunicações HP
Exercendo seus direitos e entrando em contato conosco
Alterações em nossa Declaração de Privacidade
Retenção de dados
A retenção de dados é uma parte importante de qualquer programa de conformidade e necessária para cumprir a administração adequada de dados. A política de retenção de dados da HP incorpora as seguintes práticas recomendadas de retenção de dados:
A manutenção de dados por períodos mais curtos do que o necessário pode violar requisitos contratuais ou legais ou afetar a segurança.
Manter os dados por períodos mais longos do que o necessário pode violar os regulamentos de privacidade e é uma das principais preocupações dos clientes e consultas de vendas.
Depois que os dados são excluídos, não há obrigação de fornecê-los ao cliente ou às autoridades policiais.
Todos os dados nos data centers regionais dos EUA e da Alemanha são excluídos permanentemente dentro de trinta dias após a inativação do cliente da WXP.
Os dados no data center do U.S. Analytics são excluídos permanentemente após dois anos a partir da data de criação dos dados ou dentro de trinta dias após a inativação do cliente do WXP para armazenamento estruturado e não estruturado. Como o pacote de análise do aplicativo WXP é um pacote compartilhado singular em muitos aplicativos HP, os dados no data center do U.S. Analytics não são excluídos permanentemente se o cliente for desativado do WXP porque o mesmo cliente pode estar inscrito em outros aplicativos HP; e apenas excluído após três anos dos dados de criação de dados.
Observação: os dados de telemetria transmitidos para o data center do U.S. Analytics estão vinculados aos números de série do dispositivo e às IDs geradas pelo sistema. Esses dados são criptografados em repouso e tratados de acordo com os padrões de proteção e segurança de dados da HP. .
Armazenamento de dados
O armazenamento de dados para WXP é limitado às informações do usuário e do dispositivo dos assinantes pagantes.
Todos os bancos de dados nos datacenters regionais dos EUA e da Alemanha que armazenam dados pessoais são criptografados.
Todos os bancos de dados nos datacenters de gerenciamento de identidade dos EUA que armazenam dados pessoais são criptografados.
Todos os bancos de dados e armazenamento não estruturado no datacenter do U.S. Analytics são criptografados.
Os seguintes tipos de dados são transmitidos e armazenados nos diferentes data centers:
Categoria de dados | Regional dos EUA Centro de dados1 | Regional Alemão Centro de dados2 | Análise dos EUA Centro de dados3 | Dados de gerenciamento de identidade dos EUA Centro3 |
Dados da conta | Sim | Sim | Não | Não |
Dados do aplicativo | Sim | Sim | Sim | Não |
Dados de contato | Sim | Sim | Não | Sim (se estiver usando o HP ID) |
Dados do dispositivo | Sim | Sim | Sim | Não |
Dados de localização | Sim | Sim | Sim | Não |
Dados de credenciais de segurança | Não | Não | Não | Sim (se estiver usando o HP ID) |
Para clientes não europeus
Para clientes baseados na Europa
Para todos os clientes
Monitoramento e relatórios de serviço
A WXP fornece atualizações de serviço regularmente para fornecer os recursos e atualizações mais recentes aos clientes. O WXP também notifica os clientes por meio de vários métodos de atualizações e alterações programadas ou não programadas no serviço. Para eventos de interrupção de serviço planejados, como manutenção de serviço, os clientes são notificados com oito horas de antecedência.
Para oferecer um serviço ideal, a HP realiza monitoramento e relatórios contínuos de serviço.
Monitoramento de serviço
O WXP e o agente são monitorados 24x7x365 para confiabilidade e desempenho. Além disso, o desempenho da rede e o monitoramento da disponibilidade ocorrem continuamente. Todas as ferramentas de monitoramento encaminham quaisquer problemas, avisos e problemas diretamente para os engenheiros de serviço. As exceções são geradas automaticamente para um sistema interno de tíquetes como itens de trabalho de alta prioridade que exigem confirmação.
Se um limite for excedido, ocorrerá o seguinte processo de escalonamento automático:
Um alerta por e-mail é enviado a um engenheiro de suporte de plantão correspondente
Uma notificação push para o dispositivo móvel do Engenheiro de plantão é enviada
Um email é enviado para a lista de distribuição da Equipe de Operação
O WXP utiliza diferentes ferramentas de monitoramento, incluindo:
New Relic: Monitora vários componentes do sistema e, mais importante, ajuda a identificar e depurar gargalos quando eles aparecem. A maioria dos aplicativos/serviços foi instrumentada para Splunk, fornecendo assim coleta contínua de dados e métricas de desempenho quase em tempo real.
Amazon CloudWatch: monitora eventos relacionados ao provisionamento, falhas de serviço e obtenção de limites (como consumo de memória). Os incidentes são revisados e categorizados para identificar as áreas problemáticas mais significativas. Com base na prioridade, as ações são tomadas imediatamente ou programadas para serem tomadas para desenvolvimento posterior. Uma reunião de qualidade de serviço (QoS) post-mortem é realizada para revisar as descobertas, identificar as causas raiz e implementar mudanças para melhorias.
Conclusão
A HP reconhece que o cenário de ameaças muda rapidamente. A evolução dos ataques cibernéticos começou com a exclusão de arquivos e desfiguração de sites no final da década de 1990, depois passou para o estágio de monetização com credenciais roubadas e ransomware. Mais recentemente, os ataques estão sendo travados por estados-nação que são extremamente bem financiados e têm a intenção de derrubar redes elétricas e tornar dezenas de milhares de computadores e dispositivos móveis inoperantes.
Lidar com esses riscos é uma missão na qual a HP embarcou há mais de quarenta anos. O legado de inovação da HP em detecção e proteção de ameaças à segurança, juntamente com investimentos contínuos focados em segurança, informa o design de aplicativos como o WXP. O resultado é uma solução de gerenciamento de TI segura e baseada em nuvem, criada em uma plataforma de segurança integrada que abrange o aplicativo, o data center físico e o acesso do usuário final.
Com recursos de segurança integrados, o WXP, disponível por meio do HP Proactive Insights, HP Active Care e outros serviços desenvolvidos pela WXP, oferece às organizações uma ferramenta confiável para simplificar o gerenciamento diário de dispositivos, dados e usuários por meio de várias camadas robustas de segurança.