Införandet
HP Workforce Experience Platform (WXP) är en molnbaserad företagslösning som hjälper IT-team att minska den digitala friktionen, förbättra säkerheten och proaktivt lösa enhetsproblem. Det ger centraliserad synlighet och hantering av en organisations datorpark, till exempel stationära datorer, bärbara datorer och andra anslutna tillgångar, via en säker, skalbar plattform.
WXP analyserar telemetridata i nära realtid från enheter och program för att identifiera problem, övervaka hälsotillståndet och rekommendera reparation. IT-administratörer kan visa enhetsstatus, definiera policyer, generera rapporter och initiera fjärråtgärder för att stödja drift- och säkerhetsbehov.
Det här dokumentet beskriver WXP:s säkerhets- och sekretessarkitektur, med fokus på hanterade PC-enheter. Den förklarar hur data samlas in, överförs, lagras och skyddas och beskriver plattformens efterlevnad av dataskyddsstandarder. Den avsedda målgruppen inkluderar IT-administratörer, tjänsteleverantörer och säkerhetsgranskare som utvärderar plattformens datahanteringsmetoder.
Arkitektur för WXP-upplevelser
Som en one-stop, molnbaserad analysplattform för enheter, data och användare, införlivar WXP branschbeprövad säkerhet på servicenivå i sin arkitektur och utvecklingsprocesser. Några av de viktigaste tjänsterna är:
Samla in och analysera enhetstelemetri över flera operativsystem
Göra det möjligt för HP:s kunder och tjänsteleverantörer att generera rapporter och hantera incidenter
Integrera olika tjänster från tredje part genom en SaaS-modell (software-as-a-service)
Användare och roller
Instrumentpanelen för WXP erbjuder flera typer av användare och roller, som du ser i följande diagram.
Roller | Omfattning |
|---|---|
Regional administratör | Det här kontot används av en verksamhetsadministratör på HP för att skapa nya hyresgäster för både direktkunder och partners. Regionala rotadministratörskonton kontrolleras och har åtkomst till att hantera och navigera direkt kund- och partnerklienter. Vanligtvis finns det separata rotadministratörskonton för varje region. För närvarande är WXP verksamt i två regionala AWS-datacenter:
|
Partner | Partnerklienter kan vara roller som partneradministratör, tjänstspecialist och försäljningsspecialist. Dessa klienter kan komma åt flera kundkonton och hantera enheter, användare och dagliga åtgärder för deras räkning. Ytterligare:
|
HP-support | Ett HP Support-konto kan komma åt flera företag samtidigt och hantera enheter, användare och den dagliga verksamheten för kunders räkning i felsökningssyfte. Dessa åtgärder hanteras av HP:s Business Operations-team. Det finns två typer av användare under ett HP Support-konto: supportadministratörer och supportspecialister. Supportadministratörer kan skapa ytterligare supportadministratörs- eller supportspecialistkonton. |
Företagets ägare | När ett företag skapas tilldelas en standardföretagsägare av rotadministratörer. Som standard får den här användaren också rollen IT-administratör för att hantera användare och enheter inom företaget. Företagsägare kan hantera användare, hantera enhetsrelaterade uppgifter och få tillgång till rapporter och andra administrativa funktioner baserat på deras behörigheter. Medan Managed Service Providers (MSP:er) hanterar användare i flera företag, hanterar företagsägare självständigt användare inom sitt eget företag. |
Företagets användare | I WXP är en användare en person i ett företags klientorganisation som har tilldelats en roll som gör att de kan vidta åtgärder. Användare kan skapas på följande sätt:
|
IT-administratör | Rollen IT-administratör tilldelas användare inom kund- eller självstyrda företag. Det gör det möjligt för användare att utföra viktiga administrativa uppgifter som att hantera användare och enheter. Även om den liknar de roller som är tillgängliga för MSP:er, är IT-administratörsåtkomsten begränsad till det egna företaget. |
Anmäl administratör | Som standard har företagsägare tillgång till rapporter. Alla företagsanvändare kan också beviljas rapportåtkomst. Rollen Rapportadministratör är skrivskyddad och gör det möjligt för användare att visa information från WXP-rapporter. |
Administratör för anslutningsprogram | Den här rollen möjliggör säker, rollbaserad hantering av integrationer inom WXP. Den här rollen styr åtkomsten till integreringsåtgärder för alla anslutningsprogram som stöds. Det säkerställer att endast behöriga användare kan konfigurera och hantera integrationswidgetar och anslutningsinställningar. |
Viktiga funktioner
Anslutningsadministratörer kan utföra följande åtgärder i WXP:
Konfigurera och hantera integrationswidgetar.
Anslut och koppla från integreringar från tredje part, inklusive ServiceNow, Teams, Graph API med mera.
Visa och få åtkomst till associerad integreringsdokumentation.
Följande diagram ger en översikt över funktionerna i Insikter:
Enheter för HP-arbetskraft
WXP-arkitekturen är utformad för att förhindra angripare från att få kontroll över enheter. Beroende på maskinvara och operativsystem måste enhetens programvara installeras under etableringsprocessen.
Om du vill lägga till enheter måste företagets IT-administratör eller en MSP (Managed Service Provider) registrera dem i WXP på ett säkert sätt med hjälp av en tilldelad företags-PIN-kod. Under registreringen sker ett asymmetriskt nyckelutbyte mellan servern och enheten. Varje enhet genererar ett unikt nyckelpar när enheter identifieras, sedan får enheterna en åtkomsttoken som är giltig i 24 timmar. Efter den här perioden måste enheterna skicka signaturer till servern som bevisar deras identitet för nya åtkomsttoken.
Med företagets medgivande laddar registrerade enheter upp telemetridata dagligen till WXP-analyspipelinen. Under hela dagen tar de också emot kommandon och styrsignaler från WXP. All kommunikation skyddas av den åtkomsttoken som nämns ovan.
WXP för Microsoft Windows® använder HTTPS/TLS 1.2-protokollet över port 443 för all kommunikation. Det går inte att installera certifikat eller ändra certifikatarkivet för Windows-operativsystemet.
HP:s plattform för arbetskraftsupplevelser
WXP finns i Amazon Web Services (AWS) i två olika regioner: USA (AWS-OR) och EU (AWS-DE).
Beroende på registreringslandet skapas din företagsklientorganisation i motsvarande regionala datacenter. IT-administratörer får åtkomst till WXP via en webbläsare som tillhandahåller gränssnitt för enhetsregistrering, autentisering och kommunikation.
I nästa avsnitt beskrivs designbeslut om säkerhet.
Identitetshantering
De identitetsproviders som stöds (IdP:er) är för närvarande HP Common Identity System (HPID) och Microsoft Entra ID. För identiteter som hanteras av HP Common Identity System är lösenordskvaliteten inte konfigurerbar och lösenordspolicyn ställs in av registreringssidan för HP ID. Lösenord måste innehålla minst åtta tecken och innehålla tre eller fler av följande kriterier:
En stor bokstav
En liten bokstav
Tal
Symboler eller specialtecken
Identitet som hanteras av Microsoft Entra-ID följer de principer som angetts av administratören för Entra-ID-kontot. Detta inkluderar, men är inte begränsat till: multifaktorautentisering, lösenordskomplexitet osv.
Hantering av sessioner
Det finns ingen gräns för hur många samtidiga sessioner en användare kan ha. Varje session avslutas dock automatiskt efter 30 minuters inaktivitet. För enheter upphör sessionerna att gälla var 24:e timme och förnyas automatiskt. Autentisering och auktorisering implementeras med hjälp av OAuth 2.0-protokollet och hanteras via sessionsbaserade mekanismer. Den här funktionen använder JSON Web Tokens (JWT). Varje WXP-mikrotjänst framtvingar JWT-verifiering för signaturens giltighet och tokens förfallodatum.
Tillstånd
Förutom verifiering av JWT-token sker innehavarkontroller för alla API:er. Detta säkerställer att lämpliga klientdata skickas till anroparen. Dessutom sker rollkontroller för alla kritiska åtgärder.
Mer information finns i Users and Roles avsnittet.
Flera innehavare
WXP är en molnbaserad lösning för flera innehavare. Klientdata separeras logiskt med hjälp av relationsdatabaser och framtvingas via kontroller av innehavarrättigheter. Varje klientorganisation är associerad med en universellt unik identifierare (UUID), vilket säkerställer dataisolering och spårbarhet.
Vilande data
Företagsinformation som enheter, användare och relaterade data lagras i en AWS Relational Database Service (RDS) MySQL-databas och ett MongoDB-datalager. Både AWS RDS MySQL-databasen och MongoDB-datalager är krypterade. Känsliga fält som nycklar och token krypteras också med hjälp av AWS Key Management Service (KMS). Huvudnyckeln roteras enligt HP:s riktlinjer för cybersäkerhet.
Data under överföring
All extern kommunikation till och från WXP använder protokollet HTTPS/TLS1.2. Tjänster inom AWS Virtual Private Cloud (VPC) kommunicerar med hjälp av klartext.
Mer information finns i Operational Security avsnittet.
Integration med tredje part
WXP integreras med olika tjänster från tredje part, till exempel ServiceNow, PowerBI, Tableau, EntraID. Server-till-server-kommunikation sker via HTTPS med hjälp av autentiseringsmetoder som tillhandahålls av våra partners system.
Om du vill ha mer information om integrering med tredje part kan du kontakta en HP-serviceexpert.
Validering av användargränssnitt (UI)
Validering av användargränssnittsfält skyddar indatafält i WXP-agenten. Validering tillämpas baserat på datatyper (t.ex. sträng, datum/tid, valuta) och affärsregler (t.ex. obligatoriska eller rekommenderade fält). Fält kan också skyddas baserat på användarroller och tillåtna åtgärder (läsning/skrivning). Ytterligare validering kan tillämpas via skriptfunktioner.
HP plattform för analys av arbetskraftsupplevelser
WXP-analysplattformen finns på AWS och fungerar som ryggraden i databehandlingen för WXP. De flesta komponenter i analysplattformen är interna och exponeras inte för extern åtkomst.
Datainsamling
Analysplattformen tillhandahåller gränssnitt för säker uppladdning av data från enheter. Den använder en autentiserad API-gateway för att ta emot data. I det här transportläget skickas anslutningar, kommandon och policyer varken till eller samlas in från enheter, vilket säkerställer envägskommunikation från enhet till moln.
Vilande data
Ostrukturerade vilande data sparas i AWS S3. Strukturerad data lagras dock i AWS RedShift. Både strukturerad och ostrukturerad data krypteras i analysplattformen.
HP Workforce Experience Driftsäkerhet
I det här avsnittet beskrivs hur WXP tillämpar säkerhet på servicenivå för att säkerställa säkerheten i olika kommunikationslager.
Datacenter
WXP drivs av Amazon Web Services (AWS), närmare bestämt Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 tillhandahåller skalbar datorkapacitet i AWS-molnet. WXP har datacenter i Oregon, USA (AWS-OR) och Frankfurt, Tyskland (AWS-DE). Data för kunder som befinner sig i europeiska länder kan lagras i det tyska datacentret. Data för kunder i alla andra länder kan lagras i datacentret i USA.
Alla data i en enda kundklientorganisation finns i ett enda datacenter, även om kunder som vill ha separata klienter i olika datacenter för att vara värd för data för olika affärsenheter kan begära det här alternativet. Genom att använda AWS utnyttjar WXP Amazons mer än femton års erfarenhet av att leverera storskalig, global infrastruktur på ett pålitligt och säkert sätt. Mer information finns i AWS-informationsportalen: http://aws.amazon.com/ec2/ .
På det fysiska lagret är det viktigt att ta itu med de kontroller som finns på plats för att skydda anläggningar och nätverket. Kund- och enhetsdata lagras i AWS-datacenter som är geografiskt distribuerade för att ge redundans. AWS är en erkänd ledare inom molnhosting. Genom att samarbeta med AWS ärver WXP en molninfrastruktur som har utformats för att vara en av de mest flexibla och säkra molnmiljöerna som finns tillgängliga idag. Några av dess viktigaste säkerhetsegenskaper är:
Designad för säkerhet
AWS:s molninfrastruktur är inrymd i AWS datacenter som är utformade för att uppfylla kraven från de mest säkerhetskänsliga kunderna.
AWS-infrastrukturen har utformats för att ge hög tillgänglighet samtidigt som den sätter in starka skyddsåtgärder för kundernas integritet och datasegregering.
Enhets-, program- och platsdata som överförs till U.S. Analytics Management Datacenter inkluderar inte användarnamn eller e-postadresser. I stället kopplas dessa data till enhetens serienummer och systemgenererade identifierare och krypteras i vila i enlighet med HP:s dataskyddsstandarder.
Alla strukturerade och ostrukturerade data i WXP krypteras i vila med hjälp av AWS-inbyggda krypteringsmekanismer som AWS KMS, i enlighet med HP:s riktlinjer för cybersäkerhet Highly Automated
AWS bygger målmedvetet de flesta av sina säkerhetsverktyg för att skräddarsy dem för AWS:s unika miljö och skalkrav.
Dessa säkerhetsverktyg är byggda för att ge maximalt skydd för data och applikationer. Detta innebär att AWS-säkerhetsexperter lägger mindre tid på rutinuppgifter, vilket gör det möjligt att fokusera mer på proaktiva åtgärder som kan öka säkerheten i AWS Cloud-miljön.
Hög tillgänglighet
AWS bygger sina datacenter i flera geografiska regioner samt över flera tillgänglighetszoner inom varje region för att erbjuda maximal motståndskraft mot systemavbrott.
AWS designar sina datacenter med betydande överskottsbandbreddsanslutningar så att det finns tillräcklig kapacitet för att möjliggöra lastbalansering till de återstående platserna om en större störning inträffar.
Högt ackrediterad
Certifieringar innebär att revisorer har verifierat att specifika säkerhetskontroller finns på plats och fungerar som avsett.
Du kan visa tillämpliga efterlevnadsrapporter genom att kontakta en AWS-kontorepresentant för att hjälpa dig att uppfylla specifika säkerhetsstandarder och föreskrifter för myndigheter, bransch och företag.
AWS tillhandahåller certifieringsrapporter som beskriver hur AWS Cloud-infrastrukturen uppfyller kraven i en omfattande lista över globala säkerhetsstandarder, inklusive: ISO 27001, SOC, Payment Card Industry (PCI) Data Security Standard, FedRAMP, Australian Signals Directorate (ASD) Information Security Manual och Singapore Multi-Tier Cloud Security Standard (MTCS SS 584).
Mer information om de säkerhetsföreskrifter och standarder som AWS följer finns på webbsidan AWS Compliance.
För detaljerad information om fysisk och miljömässig säkerhet, AWS-åtkomst och nätverkssäkerhet, se: AWS Best Practices for Security, Identity & Compliance.
Nätverk
Nätverksenheter, inklusive brandväggar och andra gränsenheter, finns på plats för att övervaka och kontrollera kommunikationen vid nätverkets yttre gränser och vid viktiga interna gränser inom nätverket. Dessa gränsenheter använder regeluppsättningar, åtkomstkontrollistor (ACL:er) och konfigurationer för att framtvinga informationsflödet till specifika informationssystemtjänster.
ACL:er, eller trafikflödesprinciper, upprättas i varje hanterat gränssnitt, vilket framtvingar trafikflödet. ACL-policyer godkänns av Amazon Information Security. Dessa principer skickas automatiskt med hjälp av AWS:s ACL-hanteringsverktyg för att säkerställa att dessa hanterade gränssnitt tillämpar de mest uppdaterade ACL:erna.
Förbättrade åtkomstpunkter för säkerhet
AWS har strategiskt placerat ett begränsat antal accesspunkter till molnet för att möjliggöra en mer omfattande övervakning av inkommande och utgående kommunikation och nätverkstrafik. Dessa kundåtkomstpunkter kallas API-slutpunkter och de tillåter HTTP-åtkomst (HTTPS), vilket skyddar kommunikationssessioner med lagrings- eller beräkningsinstanser i AWS. Dessutom har AWS implementerat nätverksenheter som är dedikerade till att hantera gränssnittskommunikation med internetleverantörer (ISP). AWS använder en redundant anslutning till mer än en kommunikationstjänst vid varje Internet-vänd kant av AWS-nätverket. Alla anslutningar har dedikerade nätverksenheter.
Applikations-, värd- och administratörssäkerhet
På det logiska lagret används olika kontroller för att skydda värdsystemen, de program som körs på dessa system och för administratörer som hanterar värdsystemen och associerade program.
IT-administratörernas åtkomst till WXP och kunddata är begränsad och strikt hanterad. Endast de personer som är nödvändiga för att utföra en uppgift får åtkomst förutsatt att de uppfyller lämpliga bakgrundskontroller och krav på kontohantering.
Datasäkerhet
Data som utbyts med WXP använder AWS-implementeringen av Transport Layer Security (TLS) v1.2, den senaste formen av SSL-protokollet (Secure Sockets Layer) som är branschstandard. TLS hjälper till att skydda data på flera nivåer, vilket ger serverautentisering, datakryptering och dataintegritet. Eftersom TLS implementeras under programlagret är det en passiv säkerhetsmekanism som inte förlitar sig på ytterligare steg eller procedurer från användaren. Program är bättre skyddade mot angripare även om användarna har liten eller ingen kunskap om säker kommunikation.
Dessa funktioner hjälper till att skydda data från oavsiktlig skada och från skadliga attacker och är avsedda att undvika vanliga webbaserade hot. Förutom SSL-kryptering för nätverkskommunikation mellan klienter och servrar krypterar HP loggar och vilande data som sparas i våra serverdatabaser.
WXP-enheter måste ha det operativsystem och den enhetsprogramvara som beskrivs i systemkraven. HP:s serviceexperter kan hjälpa till att genomdriva säkerhetspolicyer på enheter baserat på administrativa inställningar, men det finns inga ytterligare säkerhetskrav för att distribuera WXP-programvaran på enheter. Inloggningsuppgifter, till exempel den anställdes e-postadress och lösenord, krävs endast vid åtkomst till WXP.
Oberoende verifiering
Två olika tekniker för modellering av hotinformation utförs på WXP:
WXP genomgår hotinformationsmodellering för alla nya funktioner som släpps och regelbundet för alla mindre förbättringar av befintliga funktioner. Innan man påbörjar mjukvaruutvecklingen av nya funktioner genomgår WXP också en granskning av säkerhetsarkitekturen av HP Cyber Security.
Exempel på genomförda säkerhetstester:
På WXP:
Skript över flera webbplatser
Phishing-attacker
Stöld av autentiseringstoken
Fuzzing av indata
Förfalskning av e-post
SQL-inmatning
Förfalskning av begäran över flera webbplatser (CSRF)
Andra vanliga webbsårbarheter
På WXP-molntjänsten och analysinfrastrukturen (inklusive mikroservies):
Gränssnittstestning för autentisering och auktorisering
Ändra klientorganisations-ID:t för att se till att lämpliga data endast går till behöriga användare
SQL-inmatning
Inmatning av fjärrkod
DOS-attacker
Fuzzing av indata
På WXP mellan operativsystem, till exempel Windows, Android och MAC:
installationskällan och programmets integritet,
Eskalering av privilegier
MITM-attacker
Fuzzing av indata
Kommandoverifiering med dataintegritetskontroller
Förgiftning av certifikatarkiv
Bruten autentisering
säkerhetskonfiguration, etc.
WXP-utvecklingsteamet följer en säker mjukvaruutvecklingsprocess. Den innehåller säkerhetsgranskningar utöver vanliga arkitektur- och kodgranskningar som fokuserar på säkerhet, hotmodellering och analys. Dessutom utför WXP-teamet också regelbunden genomsökning och begränsning av infrastruktur genom verktyg som Nessus-agenten. Alla dessa granskas oberoende av Coalfire samtidigt som WXP beviljas ISO 27001-certifiering.
HP:s ramverk för efterlevnad och säkerhet
WXP visar HP:s engagemang för kunderna genom att implementera ett robust och ackrediterat program för informationssäkerhet och riskhantering. Kärnan i alla ramverk för säkerhetsefterlevnad är skyddet av kunddata, som kunderna anförtror HP. Som en del av sin strategiska inriktning säkerställer WXP implementeringen av lämpliga procedurer och säkerhetsverktyg för att skydda dessa data.
Genom globalt erkända branschackrediteringar granskas alla kunddata, inklusive proprietär, operativ, allmän och personlig information, noggrant för att bekräfta att WXP:s säkerhetskontroller överensstämmer med etablerade ramverk för efterlevnad.
ISO 27001:2022-certifiering
Säkerhet i informationssystem och affärskritisk information kräver ständig mätning och hantering. ISO 27001:2022-certifiering, utfärdad av den oberoende revisorn Coalfire, är en verifiering av HP:s åtagande att leverera driftskontinuitet och dataskydd.
International Organization for Standardization (ISO) ansvarar för utvecklingen av flera internationellt erkända standarder för produkter, tjänster och system. ISO 27001:2022-certifieringen tilldelas efter slutförandet av en extern revision av ett ackrediterat certifieringsorgan och är tillgångsbaserad (information, processer, människor och teknik). HP har uppnått ISO-certifiering i hela miljön för fjärrövervaknings- och hanteringstjänster, för både Managed Print och Personal Systems Services.
ISO 27001 specificerar kraven för att etablera, implementera, underhålla och kontinuerligt förbättra ett ledningssystem för informationssäkerhet (ISMS) inom ramen för en organisation. Ett ISMS är ett systematiskt tillvägagångssätt för att hantera känslig företagsinformation så att informationen förblir säker i enlighet med principerna om konfidentialitet, integritet och tillgänglighet. Metoden omfattar människor, processer och IT-system och består av flera stöddokument och riktlinjer som definierar implementerings- och certifieringsvägen.
ISO 27001:2022-certifieringen omfattar följande:
Policyer för informationssäkerhet
Driftsäkerhet
Organisering av informationssäkerhet
Kommunikationssäkerhet
Personalsäkerhet
Anskaffning, utveckling och underhåll av system
Kapitalförvaltning
Relationer med leverantörer
Åtkomstkontroll
Hantering av informationssäkerhetsincidenter
Kryptografi
Informationssäkerhetsaspekter av hantering av affärskontinuitet
Fysisk säkerhet och miljösäkerhet
Tillmötesgående
HP har utökat ISO-certifieringen till att omfatta:
ISO 27701:2019 (PIMS (system för hantering av integritetsinformation)
ISO 27017:2015 (Informationssäkerhetskontroller för molntjänster)
ISO 27701:2019-certifiering
Kunder och partner som använder WXP för kontinuerlig övervakning vill vara säkra på att deras data skyddas när de använder en molntjänstleverantör. ISO 27017:2015 definierar branscherkända standarder för informationssäkerhetskontroller specifikt för molntjänstkunder och leverantörer.
SOC 2 Typ 2
En SOC2-attestering ger kunderna försäkran om att WXP följer globalt erkända standarder för säkerhet, konfidentialitet, sekretess och tillgänglighet. SOC 2 ger kunder och partners verifiering av hur HP hanterar, lagrar och bearbetar kundens privata data på ett repeterbart och kontinuerligt sätt. Kunderna kräver ytterligare ramverk för att stödja deras tolerans för risk. HP började följa en årlig SOC 2-attestering för att fortsätta förbättra sig för framtiden och för att möta kundernas efterfrågan.
HP Säker livscykel för programvaruutveckling (SSDL)
Branschmetoder för programsäkerhet har vanligtvis varit reaktiva, och branschmetoder har misslyckats med att tillämpa lärdomar från kvalitetsområdet. De två vanligaste metoderna är:
Gräv ner huvudet i sanden: Detta kännetecknas av reaktiv säkerhetskorrigering. Den här metoden förlitar sig på vanliga sårbarheter och exponeringar (CVE:er) med lite arbete för att undvika eller minimera introduktion av sårbarheter. Detta ses oftast i branschsegment med en minimal säkerhetsrelevant regelbörda.
Testa säkerhet i: Detta märks av bristen på återhämtning som är utformad i program. I stället läggs kraft på att hitta och åtgärda sårbarheter under testningen i kombination med säkerhetskorrigeringar. Den här metoden är vanligare inom den offentliga sektorn, säkerhetsreglerade branscher och hälso- och sjukvården. Dessa segment måste visa överensstämmelse med regler som USA:s Federal Information Security Management Act (FISMA), Payment Card Industry Data Security Standard (PCI-DSS), Health Information Portability and Accountability Act (HIPAA) och Health Information Technology for Economic and Clinical Health (HITECH). Säkerhet som ett kvalitetsattribut måste dock tillämpas i varje skede av livscykeln på samma sätt som kvalitetsområdet lärde sig för ett halvt sekel sedan.
Viktiga hyresgäster är bland annat följande:
Kvalitet kan inte testas i; Den måste konstrueras och byggas in och sedan testas.
Säkerhetsbrister och sårbarheter måste upptäckas förr snarare än senare i livscykeln för kostnadernas skull.
HP tar programvarusäkerhet på största allvar och HP har antagit en Secure Software Development Lifecycle (SSDL). Flera mål är knutna till SSDL-processen, bland annat följande:
Minska ytan på cyberattacker med hjälp av säker programvaruarkitektur
Minimera kodinducerade sårbarheter
Skydda sekretessen och säkerheten för kunddata och identiteter
HP inkluderar specifika säkerhetsrelaterade procedurer i sina SSDL-processer, utför milstolpsgranskningar för att säkerställa att säkerhetsprocesser slutförs framgångsrikt och tillhandahåller kontinuerlig säkerhetsutbildning till sina programvaruarkitekter, utvecklare, testingenjörer, programchefer och deras ledningsgrupper.
De sju stegen i SSDL-processen definieras nedan:
Utbildning (steg 1) – Formella kurser som täcker SSDL-processen, förbättrad säkerhetsdesign, hotmodellering och säker kodning.
Krav (steg 2) – Planering för säkerhet i början av programvaruprojekt, inklusive bedömning av säkerhetsrisker funktion för funktion.
Design (steg 3) – Definiera och dokumentera säkerhetsarkitekturen; Identifiera kritiska säkerhetskomponenter.
Implementering (steg 4) – Körning av det utformade skyddsschemat och begränsningsmetoden, tillsammans med granskningar och valideringar av peer-kod.
Verifiering (steg 5) – Utföra dynamisk kodanalys, fuzz-testning (fuzzing) och granskningar av attackytan.
Version (steg 6) – Verifierar att SSDL-kraven har uppfyllts och att det inte finns några kända sårbarheter.
Svar (steg 7) – Köra de svarsuppgifter som beskrivs under lanseringsfasen.
Datainsamling
De typer av data som samlas in av WXP tillhandahålls antingen direkt av kunderna eller samlas in automatiskt från den molnbaserade WXP. Data från enheter samlas in med hjälp av WXP-agenter som är installerade på enheterna. WXP samlar in följande data för att utföra kontraktstjänster:
Syftet med datainsamlingen | Data som samlas in | Beskrivning av insamlade uppgifter |
Hantering av konton | Uppgifter om kontot | Information relaterad till kundköp eller registrering för WXP-tjänster, supporthistorik med avseende på incidenter som genererats av WXP och allt annat som rör WXP-kontot för att utföra transaktionstjänster som kontohantering. |
Se till att WXP och tjänsterna fungerar som de ska | Uppgifter om ansökan | Innehåller versionsnummer, installationsstatus och uppdateringshistorik för WXP-agenten på varje hanterad enhet. |
Kontoinställning, identitetshantering och Validering av berättigande | Kontaktuppgifter | Personliga och/eller affärsmässiga kontaktuppgifter, inklusive förnamn, efternamn, postadress, telefonnummer, faxnummer, e-postadress och andra liknande kontaktuppgifter som används för att konfigurera och validera WXP-kundkonton, tjänsteberättigande och e-postmeddelanden relaterade till incidenter och tjänster. |
Leverera proaktivt underhåll och hantering av IT-tjänster samt kundcentrerade rapporter/instrumentpaneler | Uppgifter om enheten | Grundläggande enhetsinformation, t.ex. enhetsnamn, operativsystem, mängd minne, enhetstyp, diskstorlek, regioninställning, språkinställning, tidszonsinställning, modellnummer, ursprungligt startdatum, enhetens ålder, enhetens tillverkningsdatum, webbläsarversion, enhetstillverkare, garantistatus, unika enhetsidentifierare och ytterligare teknisk information som varierar beroende på modell. Maskinvaruinformation, t.ex. BIOS, bildskärm, GPU, lagring, systemplatser, minne, realtidsklocka, data om systemets maskinvaruanvändning (CPU, GPU, minne och disk-I/O), drivrutiner, termisk, fläkt, PnP-enheter, RPOS-kringutrustning, HP Sure Recover-inställningar, HP-diagnostiktest, dockningsstation (endast HP), kringutrustning ansluten till dockningsstationen, batterihälsa, strömkonfiguration och tillstånd, diagnostik för systemviloläge, tillskrivning av primär/extern disk, diskanvändning, Intel Platform Service Record (kräver Intel vPro), systemets strömförbrukning, systemets strömförbrukning efter PCM (kräver HP Business PC G11 eller senare), Intel SoC-marginal för minne (endast HP Business PC G12 eller senare) och den bärbara datorns tangentbordshälsa (endast HP Business PC G12 eller senare) Programvara som är installerad på enheten, t.ex. en lista över installerade program, körtid för program, programfel, data om maskinvaruanvändning per program (CPU och minne).
Webbprogram i webbläsare, t.ex. antalet sidbesök, sidinläsningstid och sidinläsningsfel för endast de URL:er som är förkonfigurerade på sidan Inställningar i WXP. Som standard är datainsamling för webbprogram inaktiverad, men den kan aktiveras på sidan Inställningar för WXP->. WXP skannar eller samlar inte in innehåll från webbprogram i webbläsare. Operativsystemgenererad information för enheten, t.ex. OS-händelser, saknade Windows-uppdateringar, process- och tjänstövervakning, start-/strömsparläge/viloläge/avstängningstid, enhetsanvändningstid, enhetens inloggningstid, fullständig uppstart och snabb starttid, datum för senaste omstart och systemkrasch – blåskärmskrasch på Windows OS. Notera: Som standard är insamling av kraschdumpar för systemkrascher inaktiverad, men det kan aktiveras på sidan WXP-inställningar. Nätverksinformation som nätverksgränssnitt, MAC-adress, IP-adress, SSID, signalstyrka, anslutningshastighet, inställningar för nätverksautentisering, nätverksfel, nätverksförbrukning, nätverksanvändning, paketförlust, jitter och latens per process samt nätverksanslutningar och frånkopplingar.
Säkerhetsinformation, till exempel TPM (Trusted Platform Module), antivirusstatus, brandväggsstatus, BitLocker-krypteringsstatus och status för säker start. Användarinformation för kundens användare som registrerar sina enheter i WXP, till exempel senast inloggad användarinformation och Active Directory-ansluten användarinformation.
Information om enhetens plats, t.ex. geolokalisering av enheten i realtid och tillgångens plats (anges av användarna för att ange var enheten hör hemma). Som standard är datainsamling för enhetens plats inaktiverad, men den kan aktiveras på sidan WXP-inställningar. |
Autentisering och auktorisering av användaråtkomst till konton och tjänster som använder HP | Autentiseringsuppgifter för säkerhet | Användarlösenord, lösenordstips och liknande säkerhetsinformation som krävs för autentisering för att ge användare åtkomst till WXP:s molnbaserade portalkonton och -tjänster. (endast om du använder HP ID) |
Gruppering av uppgifter
Enhetsdata som samlas in av WXP 1 kan innehålla följande grupperingar:
Grupp av uppgifter | Beskrivning |
Hårdvara | Inklusive batteri, BIOS, disk, bildskärm, grafik, lager, minne, nätverksgränssnitt, Plug and Play (PnP), processor, systemklocka, systemplatser, termiska data och data om systemprestanda. |
Programvara | Inklusive data om efterlevnad, fel, inventering, prestanda, användning och användning av webbprogram. |
Säkerhet | Inklusive enheter som inte rapporterar, identifiering/hantering av korrigeringar för operativsystem, enhetsplats, enhetslarm, låsning och rensning, inställning av säkerhetspolicy, tillämpning av säkerhetspolicy, säkerhetshot, lagringskryptering, användarsäkerhetsinställningar, Wi-Fi-etablering och data om överträdelser av Windows Information Protection |
Händelseloggar för Windows | Windows-händelseloggar ger detaljerad registrering av system-, säkerhets- och programmeddelanden som lagras av Windows-operativsystemet och som används av administratörer för att diagnostisera systemproblem och förutsäga framtida problem. |
HP:s garanti- och servicepaket | HP Care Pack-paket är utökade garantier för din HP-dator eller skrivare som täcker produkter efter att standardgarantin har löpt ut. |
Användardata som samlas in av WXP inkluderar:
Användarens e-postadress
Senast inloggade användarkonto
WXP samlar inte in följande typer av data:
Demografisk information (med undantag för lands- eller språkinställningar)
Information om finansiella konton, kredit- eller betalkortsnummer, kredithistorik eller betalningsuppgifter
Sociala medier
Identifierare som utfärdats av en myndighet, t.ex. socialförsäkringsnummer eller myndighets-ID
Hälso information
Känsliga uppgifter som etniskt ursprung, politisk övertygelse, medlemskap i fackförening, hälsouppgifter, sexuell läggning och genetiska uppgifter
Sekretess för personuppgifter
HP har en lång historia av att vara branschledande inom sekretess och dataskydd. Tillsammans med vår gedigna portfölj av produkter och tjänster stödjer vi våra kunders och partners arbete med att skydda personuppgifter. När det gäller WXP-analys fungerar HP som personuppgiftsbiträde. Se avsnittet Personuppgiftsbiträde på HP Privacy Central. Som ett globalt företag är det möjligt att all information som du tillhandahåller kan överföras till eller kommas åt av HP-enheter över hela världen i enlighet med HP:s sekretesspolicy och baserat på de internationella integritetsprogram som anges i avsnittet Internationella dataöverföringar.
Datasekretess regleras av HP:s sekretesspolicy för länder över hela världen. Denna policy uppdateras regelbundet och omfattar följande ämnen:
Våra principer för integritetsskydd
Internationella dataöverföringar (inklusive information om Privacy Shield mellan EU och USA.)
Hur vi använder data
Vilka uppgifter vi samlar in
Barns integritet
Hur vi lagrar och håller dina uppgifter säkra
Hur vi delar data
HP-kommunikation
Utöva dina rättigheter och kontakta oss
Ändringar i vår integritetspolicy
Lagring av uppgifter
Datalagring är en viktig del av alla efterlevnadsprogram och nödvändig för att uppfylla korrekt förvaltning av data. HP:s policy för datalagring innehåller följande bästa praxis för datalagring:
Att lagra data under kortare perioder än nödvändigt kan bryta mot avtalsenliga eller juridiska krav eller påverka säkerheten.
Att behålla data under längre perioder än nödvändigt kan bryta mot sekretessbestämmelser och är en viktig kundfråga och försäljningsförfrågan.
När data har raderats finns det ingen skyldighet att tillhandahålla dem till kunden eller brottsbekämpande myndigheter.
All data i amerikanska och tyska regionala datacenter raderas permanent inom trettio dagar efter att kunden har inaktiverats från WXP.
Data i U.S. Analytics-datacenter raderas permanent efter två år från det datum då data skapades eller inom trettio dagar efter att kunden inaktiverats från WXP för både strukturerad och ostrukturerad lagring. Eftersom WXP-programmets analyspaket är ett enda delat paket för många HP-program raderas inte data i U.S. Analytics-datacentret permanent om kunden inaktiveras från WXP eftersom samma kund kan vara registrerad i andra HP-program. och raderas först efter tre år från data för att skapa data.
Telemetridata som överförs till U.S. Analytics-datacentret är länkade till enhetens serienummer och systemgenererade ID:n. Dessa data krypteras i vila och hanteras i enlighet med HP:s dataskydds- och säkerhetsstandarder. .
Lagring av uppgifter
Datalagring för WXP är begränsad till användar- och enhetsinformation för betalande prenumeranter.
Alla databaser i amerikanska och tyska regionala datacenter som lagrar personuppgifter krypteras.
Alla databaser i USA:s datacenter för identitetshantering som lagrar personuppgifter är krypterade.
Alla databaser och ostrukturerad lagring i U.S. Analytics-datacentret är krypterade.
Följande datatyper överförs och lagras i de olika datacentren:
Kategori av data | Regionala kontor i USA Datacenter1 | Tyska regionala Datacenter2 | Amerikansk analys Datacenter3 | Data om identitetshantering i USA Centrum3 |
Uppgifter om kontot | Ja | Ja | Nej | Nej |
Uppgifter om ansökan | Ja | Ja | Ja | Nej |
Kontaktuppgifter | Ja | Ja | Nej | Ja (om du använder HP ID) |
Uppgifter om enheten | Ja | Ja | Ja | Nej |
Uppgifter om platsen | Ja | Ja | Ja | Nej |
Uppgifter om säkerhetsuppgifter | Nej | Nej | Nej | Ja (om du använder HP ID) |
För kunder som inte är bosatta i Europa
För kunder i Europa
För alla kunder
Övervakning och rapportering av tjänster
WXP tillhandahåller tjänstuppdateringar regelbundet för att leverera de senaste funktionerna och uppdateringarna till kunderna. WXP meddelar också kunder via olika metoder för schemalagda eller oplanerade uppdateringar och ändringar av tjänsten. För planerade serviceavbrottshändelser, t.ex. serviceunderhåll, meddelas kunderna åtta timmar i förväg.
För att leverera optimal service genomför HP löpande övervakning och rapportering av tjänster.
Övervakning av tjänster
WXP och agenten övervakas 24x7x365 för tillförlitlighet och prestanda. Dessutom sker övervakning av nätverksprestanda och tillgänglighet kontinuerligt. Alla övervakningsverktyg dirigerar eventuella problem, varningar och problem direkt till servicetekniker. Undantag höjs automatiskt till ett internt biljettsystem som högprioriterade arbetsuppgifter som kräver bekräftelse.
Om ett tröskelvärde överskrids sker följande automatiska eskaleringsprocess:
En e-postavisering skickas till en motsvarande supporttekniker på jour
Ett push-meddelande till den mobila enheten för den jourhavande teknikern skickas
Ett e-postmeddelande skickas till distributionslistan för driftteamet
WXP använder olika övervakningsverktyg, inklusive:
New Relic: Övervakar olika komponenter i systemet och ännu viktigare, hjälper till att identifiera och felsöka flaskhalsar när de dyker upp. De flesta av applikationerna/tjänsterna har instrumenterats för Splunk, vilket ger kontinuerlig datainsamling och prestandamått i nära realtid.
Amazon CloudWatch: Övervakar händelser relaterade till etablering, tjänstfel och tröskelvärden för uppnådd (till exempel minnesförbrukning). Incidenter granskas och kategoriseras för att identifiera de viktigaste problemområdena. Baserat på prioriteringen vidtas åtgärder omedelbart eller planeras att tas upp för senare utveckling. Ett post-mortem quality-of-service-möte (QoS) hålls för att granska resultaten, identifiera grundorsakerna och genomföra förändringar för förbättring.
Slutsats
HP är medvetna om att hotbilden förändras snabbt. Utvecklingen av cyberattacker började med filradering och förstörelse av webbplatser i slutet av 1990-talet, och gick sedan in i intäktsgenereringsstadiet med stulna autentiseringsuppgifter och ransomware. På senare tid har attacker utförts av nationalstater som är extremt välfinansierade och som har för avsikt att slå ut elnät och göra tiotusentals datorer och mobila enheter obrukbara.
Att ta itu med dessa risker är ett uppdrag som HP påbörjade för mer än fyrtio år sedan. HP:s arv av innovation inom upptäckt och skydd av säkerhetshot, tillsammans med pågående säkerhetsfokuserade investeringar, ligger till grund för utformningen av applikationer som WXP. Resultatet är en säker, molnbaserad IT-hanteringslösning som bygger på en integrerad säkerhetsplattform som omfattar applikationen, det fysiska datacentret och slutanvändaråtkomst.
Med inbyggda säkerhetsfunktioner erbjuder WXP, som är tillgängliga via HP Proactive Insights, HP Active Care och andra tjänster som drivs av WXP, organisationer ett pålitligt verktyg för att förenkla den dagliga hanteringen av enheter, data och användare genom flera robusta säkerhetslager.