Översikt av HP Workforce Experience Platform
HP Workforce Experience Platform (WXP) är en molnbaserad företagslösning som hjälper IT-team att minska digital friktion, förbättra säkerheten och proaktivt lösa enhetsproblem. Den ger centraliserad synlighet och hantering av en organisations PC-flotta, såsom stationära datorer, bärbara datorer och andra uppkopplade tillgångar, genom en säker och skalbar plattform.
WXP analyserar nästan realtidstelemetridata från enheter och applikationer för att identifiera problem, övervaka hälsan och rekommendera åtgärd. IT-administratörer kan se enhetens status, definiera policyer, generera rapporter och initiera fjärråtgärder för att stödja operativa och säkerhetsmässiga behov.
Detta dokument beskriver WXP:s säkerhets- och integritetsarkitektur, med fokus på hanterade utskriftsenheter. Den förklarar hur utskriftsdata samlas in, överförs, lagras och skyddas. Andra fysiska tillgångar, såsom datorer eller kringutrustning, kan ha ytterligare eller olika säkerhetsaspekter som inte diskuteras här.
Den avsedda målgruppen inkluderar IT-administratörer, tjänsteleverantörer och säkerhetsgranskare som bedömer plattformens datahantering och säkerhetspraxis. Den innehåller rekommendationer för att säkra skrivarflottan både innanför en kundbrandvägg och utomhus via WXP-portalen.
HP WXP-arkitektur
WXP kan omborda och ansluta berättigade HP-enheter till HP-molnet på två sätt:
Onboarding av molnanslutna enheter direkt i molnet.
Onboarding av webben Jetadmin hanterade enheter via en eller flera Print Fleet Proxies.
Anslutningen från skrivaren till molnet använder följande protokoll för kommunikation:
Skrivaren skickar periodvis meddelanden till HP-molnet för att identifiera om det finns notiser för den. Denna typ av kommunikation kräver lättviktig kommunikation som använder UDP- och TCP-protokoll med autentiserad sekretess.
Skrivaren använder HTTPS-kommunikation för tvåvägsutbyte av enhetsinformation, mätare och förnödenheter. HTTPS säkerställer dataintegritet och datasekretess.
Rollbaserad användaråtkomstkontroll
Roller i WXP definieras som uppsättningar av behörigheter. WXP definierar flera inbyggda roller. Följande roller är några av de fördefinierade inbyggda roller som för närvarande finns tillgängliga för WXP och som kan tilldelas administratörer som hanterar delar av skrivarflottan.
Att tilldela mer specifika roller till användare begränsar exponeringen av data inom WXP-portalen. Användare kan endast se data relaterade till omfattningen av deras tilldelade roller; Alla skärmar utanför det området är dolda och inte tillgängliga.
IT-administratör: Har full tillgång till alla funktioner i WXP-portalen, inklusive att bjuda in användare till plattformen, tilldela roller samt alla administrativa och administrativa uppgifter för datorer, skrivare, kringutrustning och tredjepartskonfigurationer.
Skrivaradministratör: Har möjlighet att utföra alla utskriftsadministrationsuppgifter.
Rapportadministratör: Har möjlighet att köra rapporter.
HP Workforce Experience Platform
För närvarande är WXP:s Print Fleet Management-tjänst värd i Amazon Web Services (AWS) i USA (AWS-OR), med andra regioner som potentiellt kan läggas till i framtiden. IT-administratörer får tillgång till WXP via en webbläsare, som tillhandahåller gränssnitt för enhetsregistrering, autentisering och kommunikation.
Utöver Core WXP-plattformens säkerhets- och integritetsdetaljer kring multi-tenancy, identitets- och sessionshantering samt auktorisation (som diskuteras i WXP Core Security and Privacy Technical Document), har WXP Print Fleet-hantering även följande skrivarspecifika data- och nätverkssäkerhetsaspekter.
Data i vila
Insamlade data
Datainsamling för skrivare begränsas av kundens avtal med HP. HP samlar in den telemetri som krävs för att stödja de tjänster och lösningar som de är kontraktsmässigt skyldiga att tillhandahålla kunden, och samlar in den enligt kontraktets lagliga grund. I vissa fall kan HP, med användarens samtycke, samla in ytterligare data för ett uttryckligen angivet ändamål, såsom förbättring av HP:s produkter och tjänster.
Några av de dataattribut som HP samlar in kan inkludera:
Syftet med datainsamling | Insamlade data | Beskrivning av insamlade data |
|---|---|---|
Kontohantering | Kontodata | Information relaterad till kundköp eller registrering för WXP-tjänster, supporthistorik avseende incidenter genererade av WXP och allt annat som rör WXP-kontot för att utföra transaktionstjänster som kontohantering. |
Kontouppbyggnad, identitetshantering och Berättigandevalidering | Kontaktdata | Personlig och/eller företagskontaktinformation, inklusive förnamn, efternamn, postadress, telefonnummer, e-postadress, region, inloggning på brickan och andra liknande kontaktuppgifter som används för WXP-kundkontouppbyggnad och validering samt servicerättighet. |
Leverera proaktivt IT-underhåll och -hantering samt kundcentrerade rapporter/dashboards | Enhetsdata | Grundläggande enhetsinformation, såsom enhetsnamn, modellnummer, firmwareversion, regionsinställning, språkinställning, kontoidentifierare, funktioner och ytterligare teknisk information som varierar beroende på modell. Inställningar för företagshantering samt viss telemetri för Smart Device Service (SDS), såsom livstidsräknare, leveransdata och annan utskriftsmotorstatistik. Inställningar för olika funktionskategorier som gör det möjligt för WXP att hantera enhetens funktionalitet samt att bedöma och åtgärda inställningar för att säkerställa att varje skrivare i flottan följer de säkerhets- och funktionspolicys som kunden har definierat. Samlade inställningar inkluderar Kopieringsinställningar, Digital Sändning, Faxinställningar, Filsysteminställningar, Nätverksinställningar, Säkerhetsinställningar, Lösningsinställningar och Webbtjänstinställningar, bland andra. |
Datalagring
HP:s policy för datalagring innehåller följande bästa praxis för datalagring:
Att behålla data under kortare perioder än nödvändigt kan bryta mot avtals- eller juridiska krav eller påverka säkerheten.
Att behålla data under längre perioder än nödvändigt kan bryta mot integritetsregler och är en prioriterad fråga för kunder.
När data har raderats finns det ingen skyldighet att lämna ut dem till kunden eller polisen.
Eftersom WXP-applikationens analyspaket är ett gemensamt delat paket över många HP-applikationer, kan data i U.S. Analytics datacenter inte raderas permanent om en kund inaktiveras från WXP eftersom samma kund kan vara inskriven i andra HP-applikationer.
Notera: Telemetridata som skickas till U.S. Analytics datacenter kopplas till enhetsserienummer och systemgenererade ID:n. Denna data krypteras i vila och hanteras i enlighet med HP:s dataskydds- och säkerhetsstandarder.
Datalagring
Datalagring för WXP är begränsad till kund- och enhetsinformation hos betalande abonnenter.
Alla databaser i USA:s regionala datacenter som lagrar personuppgifter är krypterade.
Alla databaser i amerikanska identitetshanteringsdatacentra som lagrar personuppgifter är krypterade.
Alla databaser och ostrukturerad lagring i U.S. Analytics-datacentret är krypterade.
Databaser
WXP använder relationella och icke-relationella databaser för att lagra inbyggd användar- och skrivarinformation. Databaslagringarna är också krypterade på disk, och åtkomsten begränsas genom att isolera databasen i en säker miljö som endast är tillgänglig via abstraktionslagret. WXP använder dessa databaser för att lagra information såsom:
användarprofildata (förnamn, efternamn, plats, IDM-identifierare och kontoidentifierare)
Skrivarprofildata (molnidentifierare, modell, namn, e-postadress, kontoidentifierare och funktioner)
Kontoinformation och kontoinställningar, attribut (Namn, adress, region, jobbredovisning och inloggning till bricka)
Data under överföring – Nätverkskommunikation
Molnanslutna skrivare
All kommunikation mellan WXP och molnanslutna skrivare är säkrad på två sätt:
Kommunikationen sker med Transport Layer Security version 1.2 (TLS 1.2). TLS 1.2 använder 2048-bitars RSA-kryptering och certifikatvalidering för att etablera en efterföljande 256-bitars säker kanal.
TLS hjälper till att säkra data på flera nivåer och erbjuder serverautentisering, datakryptering och dataintegritet. Eftersom TLS är implementerat under applikationslageret är det en passiv säkerhetsmekanism som inte är beroende av ytterligare steg eller procedurer från användaren.
Varje nyttolast är dessutom inbäddad i HP:s proprietära krypteringslager.
Print Fleet Proxy Connected Printers
Kommunikationen mellan WXP och Web JetAdmin-hanterade skrivare underlättas av Print Fleet Proxy, som kommunicerar med hela skrivarflottan via en Secure Web Socket-anslutning.
Att använda skrivarpolicys för att konfigurera och upprätthålla skrivarsäkerhet
WXP stödjer hantering av ett brett spektrum av skrivarpolicyinställningar utformade för att hjälpa administratörer att upprätthålla säkerheten i sina skrivarflottor. Dessa miljöer delas in i två kategorier:
Certifikat: Certifikat hjälper till att säkerställa säker kommunikation mellan skrivaren och andra nätverksresurser. Du kan konfigurera två typer av certifikat för användning med dina skrivare: ett CA-certifikat, som validerar identiteten på en enhet; och ett ID-intyg, som autentiserar en påstådd identitet.
Hemligheter och lösenord: Varje HP-skrivare har flera lösenord, lösenfraser eller åtkomstkoder som du kan ställa in för att skydda olika funktioner på skrivaren. Dessa inkluderar lösenordet för den inbyggda webbservern (EWS), Printer Job Language (PJL)-lösenordet, SNMP-lösenfraser, LDAP-administratörslösenord för inloggningsinställning och andra. HP rekommenderar starkt att säkra varje funktion med ett lösenord eller inaktivera dem om de inte behövs.
WXP låter IT-administratörer definiera eller tillhandahålla hemligheter och lösenord inom skrivarpolicys för certifikat och inställningar som tillåter, begränsar eller blockerar åtkomst till vissa funktioner eller funktioner på skrivare i deras flotta. WXP använder dessa värden för att bedöma och åtgärda tryckeriernas efterlevnad i hela flottan.
För att uppnå den säkerhetsnivå som krävs vid hantering av denna känsliga data har HP förbättrat arkitekturen i WXP Policy Engine och lagt till en extremt säker metod för hantering av kundhemligheter och lösenord, både under överföring och i vila. I princip har HP lagt till en krypteringsnivå utöver TLS 1.2 (2048-bitars RSA-kryptering och certifikatvalidering) som används för att säkra kommunikationskanalen.
Med denna flernivåkryptering möjliggör WXP för IT-administratörer att säkert konfigurera, bedöma och åtgärda hemligheter och lösenord på skrivare med hjälp av skrivarpolicyer, vilket i praktiken eliminerar behovet av att manuellt konfigurera dessa känsliga inställningar från skrivare.
Nätverksportar och brandväggskrav
Brandväggsprogramvara kan konfigureras för att blockera både inkommande och utgående internettrafik. HP-skrivare kräver ENDAST utgående kommunikation med HP:s webbtjänster, även känt som HP:s molnanslutning. HP:s webbtjänster kommer aldrig att initiera kommunikation med HP-skrivare i en kundmiljö; därför finns det inget behov av att vitlista inkommande HP-URL:er.
All HTTPS-kommunikation är standard på port 443. Port 631 kommer att användas som ett sekundärt alternativ om 443 inte är tillgänglig.
Brandväggskonfiguration: Molnanslutna skrivare
För molnanslutna skrivare måste följande URL:er konfigureras i brandväggsprogramvaran för utgående (skrivarinitierad) internetkommunikation:
HP Web Services-URL:er
https://*.avatar.ext.hp.com:443
http://*.avatar.ext.hp.com
udp://*.avatar.ext.hp.com:9930
wss://*.avatar.ext.hp.com:443 (webbsocketprotokoll)
https://*.id.hp.com:443
https://*.ipp.ext.hp.com:443
https://*.wpp.api.hp.com:443
https://*.api.hp.com:443
Enhetens onboarding-URL:er
https://*.api.ws-hp.com:443
Firmwareuppdaterings-URL:er
http://h10141.www1.hp.com/pub/inkjet/updates
HP Cloud Logga in en gång (SIO)
https://*.mymfpprogram.com:443
Brandväggskonfiguration: Print Fleet Proxy Connected Printers
Skrivare som är anslutna via en Print Fleet Proxy kräver att din brandvägg tillåter utgående HTTPS-förfrågningar över port 443 till följande slutpunkter:
WXP Print Fleet Management Integritet
Dataintegritet
HP har en lång historia av branschledande positioner inom integritet och dataskydd. Tillsammans stödjer vi våra kunders och partners arbete med att skydda personuppgifter, med vårt robusta sortiment av produkter och tjänster. När det gäller WXP personuppgifter som behandlas i samband med WXP agerar HP som databehandlare. Vänligen se avsnittet om databehandlingsföretag på HP Privacy Central. Som ett globalt företag är det möjligt att all information du tillhandahåller kan överföras till eller nås av HP-enheter världen över i enlighet med HP:s integritetspolicy och baserat på de internationella integritetsprogram som listas i avsnittet om internationella dataöverföringar.
HP:s integritetspraxis och principer anges i HP:s integritetspolicy. Integritetspolicyn uppdateras regelbundet och täcker följande ämnen:
Våra integritetsprinciper
Internationella dataöverföringar
Hur vi använder data
Vilken data vi samlar in
Barns integritet
Hur vi behåller och håller dina data säkra
Hur vi delar data
Icke-diskriminerings- och lojalitetsprogram
HP Communications
Utöva dina rättigheter och kontakta oss
Ändringar i vår integritetspolicy
Kontakta oss
För all hjälp, skapa ett supportärende eller mejla support@wxp.hp.com.