惠普劳动力体验平台概述
惠普劳动力体验平台(WXP)是一款基于云的企业解决方案,帮助IT团队减少数字摩擦、增强安全性并主动解决设备问题。它通过安全、可扩展的平台,为组织的PC车队(如台式机、笔记本电脑及其他连接资产)提供集中的可视化和管理。
WXP分析设备和应用的近实时遥测数据,以识别问题、监控健康状况并建议修复措施。IT管理员可以查看设备状态、定义策略、生成报告,并发起远程操作以支持运营和安全需求。
本文档概述了WXP的安全性与隐私架构,重点关注受管打印设备。它解释了印刷数据是如何被收集、传输、存储和保护的。其他物理资产,如个人电脑或外围设备,可能有额外或不同的安全考量,这里未涉及。
目标受众包括IT管理员、服务提供商和安全审查员,他们评估平台的数据处理和安全实践。它包含了如何保护打印机队伍在客户防火墙内以及通过WXP门户外部的安全建议。
惠普 WXP 架构
WXP可以通过两种方式将符合条件的惠普设备集成并连接到惠普云端:
将云连接设备直接引入云端。
通过一个或多个打印舰队代理为Web Jetadmin管理设备上线。
打印机与云端的连接使用以下通信协议:
打印机会定期向惠普云发送消息,以确认是否有相关通知。这种通信方式需要轻量级通信,使用带有认证保密性的UDP和TCP协议。
基于角色的用户访问控制
WXP中的角色定义为权限集合。WXP定义了几个内置角色。以下是目前 WXP 可预设的内置角色,这些角色可以分配给管理打印机车队某些方面的管理员。
为用户分配更具体的角色限制了 WXP 门户内数据的暴露。用户只能查看与其分配角色范围相关的数据;所有超出该范围的屏幕都是隐藏的,无法访问。
IT管理员:拥有WXP门户所有功能的完全访问权限,包括邀请用户访问平台、分配角色,以及所有PC、打印机、外设和第三方配置的管理和管理任务。
打印机管理员:能够执行所有打印管理任务。
报告管理员:具备运行报告的能力。
惠普劳动力体验平台
目前,WXP的打印车队管理服务托管在美国的亚马逊网络服务(AWS-OR)中,未来可能会加入其他地区。IT管理员通过网页浏览器访问WXP,浏览器提供设备注册、认证和通信接口。
除了核心 WXP 平台关于多租户、身份和会话管理以及授权的安全和隐私细节(如 WXP 核心安全与隐私技术文件中讨论),WXP 打印车队管理还涉及以下打印机专用的数据和网络安全考虑。
静态数据
收集的数据
打印机的数据收集受限于客户与惠普的合同范围。惠普收集支持其合同义务提供客户服务和解决方案所需的遥测数据,并依据合同合法进行收集。在某些情况下,惠普可以在用户同意下,为明确目的(如改进惠普产品和服务)收集额外数据。
惠普收集的一些数据属性可能包括:
数据收集目的 | 收集的数据 | 收集数据描述 |
|---|---|---|
账户管理 | 账户数据 | 与客户购买或注册WXP服务相关的信息、WXP事件的支持历史,以及所有与WXP账户相关的执行交易服务(如账户管理)相关信息。 |
账户设置、身份管理及 权利验证 | 联系方式 | 个人和/或商务联系信息,包括姓名、姓氏、邮寄地址、电话号码、电子邮件地址、地区、徽章登录及其他用于WXP客户账户设置和验证和服务权限的类似联系方式。 |
提供主动的IT服务维护与管理,以及以客户为中心的报告/仪表盘 | 设备数据 | 基本设备信息,如设备名称、型号、固件版本、区域设置、语言设置、账户标识符、能力以及根据型号不同的额外技术信息。 企业管理设置,以及部分智能设备服务(SDS)遥测数据,如寿命计数器、供应数据和其他打印引擎统计数据。 为各种功能类别设置,使WXP能够管理设备功能,并评估和修复设置值,确保车队中的每台打印机都符合客户定义的安全和功能政策。收集的设置包括复印机设置、数字发送设置、传真设置、文件系统设置、网络设置、安全设置、解决方案设置和网络服务设置等。 |
数据保留
惠普的数据保留政策包含以下数据保留最佳实践:
维护数据的时间短于必要时间可能违反合同或法律要求,或影响安全性。
超过必要时间维护数据可能违反隐私法规,是客户的优先关注点。
一旦数据被删除,就没有义务向客户或执法部门提供。
由于WXP应用的分析包是多个惠普应用间的统一共享包,因此即使客户被WXP停用,美国分析数据中心的数据可能不会永久删除,因为同一客户可能注册在其他惠普应用中。
注: 传输至美国分析数据中心的遥测数据与设备序列号和系统生成的ID相关联。这些数据在静止时被加密,并按照惠普的数据保护和安全标准进行处理。
数据存储
WXP的数据存储仅限于付费用户的客户和设备信息。
美国地区数据中心中所有存储个人数据的数据库均为加密。
美国所有存储个人数据的身份管理数据中心数据库均为加密。
美国分析数据中心内的所有数据库和非结构化存储均加密。
数据库
WXP使用关系型和非关系型数据库来存储已接入的用户和打印机信息。数据库存储也在磁盘上加密,访问通过将数据库隔离在仅由抽象层访问的安全环境中来限制。 WXP利用这些数据库存储以下信息:
用户配置文件数据(姓名、姓氏、地点、IDM标识符和账户标识符)
打印机配置文件数据(云标识符、型号、姓名、电子邮件地址、账户标识符及功能)
账户信息和账户设置属性(姓名、地址、地区、职位会计和徽章登录)
传输中的数据—— 网络通信
云连接打印机
WXP与云连接打印机之间的所有通信均通过两种方式获得安全保障:
通信使用传输层安全1.2版(TLS 1.2)进行。TLS 1.2 采用 2048 位 RSA 级别加密和证书验证,建立后续的 256 位安全信道。
TLS有助于在多个层级保护数据,提供服务器认证、数据加密和数据完整性。由于TLS是在应用层下实现的,它是一种被动安全机制,不依赖用户的额外步骤或操作。
每个有效载荷还被惠普专有的加密层包裹。
打印队代理连接打印机
WXP与Web JetAdmin管理的打印机之间的通信由打印车队代理(Print Fleet Proxy)促进,该代理通过安全网络接口连接与整个打印机车队通信。
使用打印机策略配置和执行打印机安全
WXP支持管理各种打印机策略设置,旨在帮助管理员维护其打印机车队的安全。这些设置分为两类:
证书:证书有助于确保打印机与其他网络资源之间的安全通信。你可以配置两种类型的证书用于打印机:CA证书,用于验证实体身份;以及身份证明,用于验证声称的身份。
秘密与密码:每台惠普打印机都有多个密码、密码或访问码,您可以设置以保护打印机的各种功能。这些包括嵌入式网页服务器(EWS)密码、打印机作业语言(PJL)密码、SNMP密码、登录设置的LDAP管理员密码等。惠普强烈建议对这些功能设置密码,或者如果不需要就禁用它们。
WXP允许IT管理员在打印机策略中定义或提供证书和设置的秘密和密码,这些内容允许、限制或阻止访问其车队中打印机的某些功能或功能。WXP利用这些数值评估和修复全车队打印机的合规性。
为了达到处理这些敏感数据所需的安全水平,惠普增强了WXP策略引擎的架构,增加了一种极其安全的客户秘密和密码处理方式,无论是在传输中还是静止状态。本质上,惠普增加了一层超越TLS 1.2(2048位RSA加密和证书验证)的加密,用于保护通信通道的安全。
通过这种多层加密,WXP使IT管理员能够安全地配置、评估和修复打印机上的秘密和密码,几乎无需逐台手动配置这些敏感设置。
网络端口与防火墙需求
防火墙软件可以配置为阻断进站和出站的互联网流量。惠普打印机只要求与惠普的网络服务进行出站通信,也称为惠普云连接。HP 网络服务绝不会在客户环境中与 HP 打印机发起通信;因此,无需对 HP 入站的 URL 加入白名单。
所有HTTPS通信默认使用443端口。如果443号线不可用,631号端口将作为备选方案使用。
防火墙配置:云连接打印机
对于云连接的打印机,防火墙软件中必须配置以下URL以实现出站(打印机发起)互联网通信:
HP Web Services URL
https://*.avatar.ext.hp.com:443
http://*.avatar.ext.hp.com
UDP://*.avatar.ext.hp.com:9930
WSS://*.avatar.ext.hp.com:443(网络套接协议)
https://*.id.hp.com:443
https://*.ipp.ext.hp.com:443
https://*.wpp.api.hp.com:443
https://*.api.hp.com:443
设备引导网址
https://*.api.ws-hp.com:443
固件更新网址
http://h10141.www1.hp.com/pub/inkjet/updates
惠普云登录一次(SIO)
https://*.mymfpprogram.com:443
防火墙配置:打印车队代理连接打印机
通过打印队代理连接的打印机要求防火墙允许通过端口443向以下端点发出HTTPS请求:
WXP 印刷车队管理隐私
数据隐私
惠普在隐私和数据保护领域拥有长期的行业领导历史。凭借我们强大的产品和服务组合,我们共同支持客户和合作伙伴保护个人数据的努力。对于与WXP相关的WXP个人数据,惠普充当数据处理商。请参阅惠普隐私中心的数据处理者部分。作为一家全球公司,您提供的任何信息都有可能根据惠普隐私声明及国际数据转移部分列出的国际隐私计划,被全球惠普实体传输或访问。
惠普的隐私实践和原则载于 惠普隐私声明中。隐私声明定期更新,涵盖以下主题:
我们的隐私原则
国际数据传输
我们如何使用数据
我们收集的数据
儿童隐私
我们如何保存并保护您的数据安全
我们如何共享数据
反歧视与忠诚度项目
惠普通信
行使您的权利并联系我们
隐私声明的变更
联系我们
如需帮助,请 创建支持案件 或电子邮件 support@wxp.hp.com。