介绍
HP Workforce Experience Platform (WXP) 是一种基于云的企业解决方案,可帮助 IT 团队减少数字摩擦、增强安全性并主动解决设备问题。它通过安全、可扩展的平台提供对组织 PC 机群(例如台式机、笔记本电脑和其他连接资产)的集中可见性和管理。
WXP 分析来自设备和应用程序的近乎实时的遥测数据,以识别问题、监控运行状况并提出补救建议。IT 管理员可以查看设备状态、定义策略、生成报告并启动远程作,以支持运营和安全需求。
本文档概述了 WXP 的安全和隐私架构,重点关注托管 PC 设备。它解释了如何收集、传输、存储和保护数据,并描述了平台对数据保护标准的遵守情况。目标受众包括评估平台数据处理实践的 IT 管理员、服务提供商和安全审查员。
WXP 体验架构
作为面向设备、数据和用户的一站式基于云的分析平台,WXP 在其架构和开发流程中融入了经过行业验证的服务级别安全性。主要服务包括:
跨多个作系统收集和分析设备遥测数据
使惠普客户和托管服务提供商能够生成报告和管理事件
通过软件即服务 (SaaS) 模型集成各种第三方服务
用户和角色
WXP 的仪表板提供多种类型的用户和角色,如下图所示。
角色 | 范围 |
|---|---|
区域管理员 | HP 的业务运营管理员使用此帐户为直接客户和合作伙伴创建新租户。区域根管理员帐户受到控制,并有权管理和导航直接客户和合作伙伴租户。通常,每个区域都存在单独的根管理员帐户。 目前,WXP 在两个 AWS 区域数据中心运营:
|
合作 伙伴 | 合作伙伴租户可能包括合作伙伴管理员、服务专家和销售专家角色。这些租户可以访问多个客户帐户并代表他们管理设备、用户和日常作。另外:
|
惠普支持 | HP 支持帐户可以同时访问多家公司,并代表客户管理设备、用户和日常作,以进行故障排除。这些作由惠普的业务运营团队管理。 HP 支持帐户下有两种类型的用户:支持管理员和支持专家。支持管理员可以创建其他支持管理员或支持专家帐户。 |
公司所有者 | 创建公司时,默认公司 所有者 由根管理员分配。默认情况下,此用户还被授予 IT 管理员角色来管理公司内的用户和设备。 公司所有者可以根据其权限管理用户、处理与设备相关的任务以及访问报告和其他管理功能。托管服务提供商 (MSP) 管理多个公司的用户,而公司所有者则独立管理自己公司内的用户。 |
公司用户 | 在 WXP 中,用户是企业公司租户中的个人,他被分配了一个允许他们执行作的角色。可以通过以下方式创建用户:
|
IT 管理员 | IT 管理员角色分配给客户或自我管理公司内的用户。它允许用户执行关键的管理任务,例如管理用户和设备。虽然功能与 MSP 可用的角色相似,但 IT 管理员访问权限仅限于他们自己的公司。 |
报表管理员 | 默认情况下,公司所有者有权访问报告。还可以向任何公司用户授予报告访问权限。报告管理员角色是只读的,允许用户查看 WXP 报告中的信息。 |
连接器管理员 | 此角色支持对 WXP 中的基于角色的集成进行安全管理。此角色控制对所有受支持连接器的集成作的访问。它确保只有授权用户才能配置和管理集成小部件和连接设置。 |
主要功能
连接器管理员可以在 WXP 中执行以下作:
配置和管理集成小组件。
连接和断开第三方集成,包括 ServiceNow、Teams、图形 API 等。
查看和访问相关的集成文档。
下图提供了 Insights 功能和能力的高级概述:
惠普员工体验设备
WXP 架构旨在帮助防止攻击者获得对设备的控制权。根据硬件和作系统,必须在预配过程中安装设备软件。
要添加设备,贵公司的 IT 管理员或托管服务提供商 (MSP) 必须使用分配的公司 PIN 在 WXP 中安全地注册这些设备。在注册期间,服务器和设备之间会发生非对称密钥交换。当设备被识别时,每个设备都会生成一个唯一的密钥对,然后设备会收到一个有效期为 12 小时的访问令牌。在此期限之后,设备必须向服务器发送签名,以证明其新访问令牌的身份。
在企业同意的情况下,注册设备每天将遥测数据上传到 WXP 分析管道。全天,他们还接收来自 WXP 的命令和控制信号。所有通信都受上述访问令牌的保护。
WXP for Microsoft Windows® 使用端口 443 上的 HTTPS/TLS 1.2 协议进行所有通信。它不会安装证书或修改 Windows作系统证书存储。
惠普员工体验平台
WXP 托管在两个不同区域的 Amazon Web Services (AWS) 中:美国 (AWS-OR) 和欧盟 (AWS-DE)。
根据注册国家/地区,您的公司租户将在相应的区域数据中心中创建。IT 管理员通过 Web 浏览器访问 WXP,该浏览器提供设备注册、身份验证和通信接口。
接下来的部分将介绍有关安全性的设计决策。
身份管理
目前,支持的标识提供者 (IdP) 是 HP 通用标识系统 (HPID) 和 Microsoft Entra ID。对于由 HP Common Identity System 管理的身份,密码质量不可配置,密码策略由 HP ID 注册页面设置。密码必须至少包含八个字符,并包含以下三个或更多条件:
一个大写字母
一个小写字母
数字
符号或特殊字符
由 Microsoft Entra ID 管理的标识遵循 Entra ID 帐户管理员设置的策略。这包括但不限于:多因素身份验证、密码复杂性等。
会话管理
用户可以拥有的并发会话数没有限制。但是,每个会话在 30 分钟不活动后自动结束。对于设备,会话每 12 小时过期一次,并自动续订。身份验证和授权使用 OAuth 2.0 协议实现,并通过基于会话的机制进行管理。此功能使用 JSON Web 令牌 (JWT)。每个 WXP 微服务都会强制执行 JWT 验证,以确保签名有效性和令牌过期。
授权
除了 JWT 令牌验证之外,还会对所有 API 进行租户检查。这可确保将适当的租户数据传递给调用方。此外,对所有关键作进行角色检查。
有关更多信息,请参阅该 Users and Roles 部分。
多租户
WXP 是一种基于云的多租户解决方案。租户数据使用关系数据库进行逻辑分离,并通过租户权利检查强制执行。每个租户都与通用唯一标识符 (UUID) 相关联,以确保数据隔离和可追溯性。
静态数据
设备、用户和相关数据等公司信息存储在 AWS Relational Database Service (RDS) MySQL 数据库和 MongoDB 数据存储中。AWS RDS MySQL 数据库和 MongoDB 数据存储均经过加密。密钥和令牌等敏感字段也使用 AWS Key Management Service (KMS) 进行加密。主密钥按照 HP 的网络安全指南进行轮换。
传输中的数据
所有与 WXP 之间的外部通信都使用 HTTPS/TLS1.2 协议。AWS Virtual Private Cloud (VPC) 中的服务使用明文进行通信。
有关更多信息,请参阅该 Operational Security 部分。
第三方集成
WXP 与各种第三方服务集成,例如 ServiceNow、PowerBI、Tableau、EntraID。服务器到服务器通信通过 HTTPS 使用我们合作伙伴系统提供的身份验证方法进行。
有关第三方集成的更多信息,请联系惠普服务专家。
用户界面 (UI) 验证
UI 字段验证可保护 WXP 代理中的输入字段。验证是根据数据类型(例如字符串、日期/时间、货币)和业务规则(例如必填字段或推荐字段)强制执行的。还可以根据用户角色和允许的作(读/写)来保护字段。可以通过脚本函数应用其他验证。
惠普劳动力体验分析平台
WXP 分析平台托管在 AWS 上,作为 WXP 的数据处理主干网。分析平台的大多数组件都是内部的,不会暴露给外部访问。
数据采集
该分析平台提供了用于从设备安全上传数据的接口。它使用经过身份验证的 API 网关来接收数据。在这种传输模式下,连接、命令和策略既不会发送到设备,也不会从设备收集,从而确保从设备到云的单向通信。
静态数据
非结构化静态数据保存在 AWS S3 中;但是,结构化数据存储在 AWS RedShift 中。结构化和非结构化数据在分析平台中都经过加密。
惠普员工体验运营安全
本节介绍WXP如何应用服务级别安全性来确保各通信层的安全性。
数据中心
WXP 由 Amazon Web Services (AWS) 托管,更具体地说是 Amazon Elastic Compute Cloud (Amazon EC2)。Amazon EC2 在 AWS 云中提供可扩展的计算能力。WXP 在美国俄勒冈州 (AWS-OR) 和德国法兰克福 (AWS-DE) 设有数据中心。位于欧洲国家/地区的客户的数据可以托管在德国数据中心。所有其他国家/地区客户的数据都可以托管在美国数据中心。
在物理层,解决为保护设施和网络而实施的控制措施非常重要。客户和设备数据存储在地理上分布的 AWS 数据中心中,以提供冗余。AWS 是云托管领域公认的领导者。通过与 AWS 合作,WXP 继承了云基础设施,该基础设施的架构已成为当今最灵活、最安全的云计算环境之一。它的一些关键安全特征包括:
专为安全而设计
AWS 的云基础设施位于 AWS 数据中心,旨在满足对安全最敏感的客户的需求。
AWS 基础设施旨在提供高可用性,同时为客户隐私和数据隔离提供强有力的保护。
传输到美国分析管理数据中心的设备、应用程序和位置数据不包括用户名或电子邮件地址。相反,数据与设备序列号和系统生成 的标识符相关联,并根据惠普的数据保护标准进行静态加密。
WXP 中的所有结构化和非结构化数据均使用 AWS 原生加密机制(例如 AWS KMS)进行静态加密,符合 HP 的高度自动化网络安全指南
AWS 有目的地构建了其大部分安全工具,以根据 AWS 的独特环境和规模要求进行定制。
这些安全工具旨在为数据和应用程序提供最大程度的保护。这意味着 AWS 安全专家在日常任务上花费的时间更少,从而可以更多地关注可以提高 AWS 云环境安全性的主动措施。
高可用性
AWS 在多个地理区域以及每个区域内的多个可用区中构建其数据中心,以提供最大的系统中断弹性。
AWS 为其数据中心设计了具有大量过剩带宽连接的功能,以便在发生重大中断时,有足够的容量将流量负载均衡到其余站点。
高度认可
认证意味着审计员已验证特定的安全控制措施是否到位并按预期运行。
您可以通过联系 AWS 客户代表来查看适用的合规性报告,以帮助您满足特定的政府、行业和公司安全标准和法规。
AWS 提供认证报告,描述 AWS 云基础设施如何满足广泛的全球安全标准要求,包括:ISO 27001、SOC、支付卡行业 (PCI) 数据安全标准、FedRAMP、澳大利亚信号局 (ASD) 信息安全手册和新加坡多层云安全标准 (MTCS SS 584)。
有关 AWS 遵守的安全法规和标准的更多信息,请参阅 AWS 合规性网页。
有关物理和环境安全、AWS 访问和网络安全的详细信息,请查看: AWS 安全、身份和合规性最佳实践。
网络
网络设备(包括防火墙和其他边界设备)已到位,用于监视和控制网络外部边界和网络内关键内部边界的通信。这些边界设备采用规则集、访问控制列表 (ACL) 和配置来强制信息流到特定信息系统服务。
ACL 或流量策略在每个托管接口上建立,用于强制执行流量。ACL 策略由 Amazon Information Security 批准。这些策略使用 AWS 的 ACL 管理工具自动推送,以帮助确保这些托管接口强制执行最新的 ACL。
安全增强型接入点
AWS 战略性地将有限数量的接入点放置在云中,以便更全面地监控入站和出站通信以及网络流量。这些客户访问点称为 API 端点,它们允许 HTTP 访问 (HTTPS),从而保护与 AWS 内存储或计算实例的通信会话。此外,AWS 还实施了专门用于管理与互联网服务提供商 (ISP) 的接口通信的网络设备。AWS 在 AWS 网络的每个面向 Internet 的边缘采用与多个通信服务的冗余连接。所有连接都有专用的网络设备。
应用程序、主机和管理员安全
在逻辑层,各种控件用于保护主机系统、在这些系统上运行的应用程序以及管理主机系统和关联应用程序的管理员。
IT 管理员对 WXP 和客户数据的访问受到限制并受到严格管理。只有那些对执行任务至关重要的个人才被允许访问,前提是他们满足适当的背景调查和帐户管理要求。
数据安全
与 WXP 交换的数据使用 AWS 实施的传输层安全 (TLS) v1.2,这是行业标准安全套接字层 (SSL) 协议的最新形式。TLS 有助于在多个级别保护数据,提供服务器身份验证、数据加密和数据完整性。由于 TLS 是在应用层下实现的,因此它是一种被动安全机制,不依赖于用户的其他步骤或过程。即使用户对安全通信知之甚少或一无所知,应用程序也能更好地免受攻击者的侵害。
这些功能有助于保护数据免受偶然损坏和恶意攻击,旨在避免常见的基于 Web 的威胁。除了用于客户端和服务器之间网络通信的 SSL 加密外,HP 还对保存在我们的服务器数据库中的日志和静态数据进行加密。
WXP 设备必须具有系统要求中概述的作系统和设备软件。虽然惠普服务专家可以帮助根据管理设置在设备上实施安全策略,但在设备上部署 WXP 软件没有额外的安全要求。只有在访问 WXP 时才需要登录凭据,例如员工的电子邮件地址和密码。
Workforce Experience Platform(WXP)中的人工智能与机器学习
HP Workforce Experience Platform(WXP)集成人工智能(AI)和机器学习(ML),以提供主动洞察、预测分析以及用户体验优化。WXP 中的 AI 按照 HP 的全球 AI 治理框架进行开发,确保其在伦理使用、透明性以及符合 HP 隐私和安全原则方面的要求。
WXP 中的 AI 和 ML 功能主要用于支持 IT 管理员,并提升设备和用户体验。主要使用场景包括:
设备健康状况预测与主动修复
情感分析和脉搏分析,用于了解员工体验
用户画像(Persona)识别与设备推荐
用于数据交互和报告的生成式 AI
异常检测与故障预测,用于识别异常的性能或行为趋势
AI 数据来源与隐私
AI 模型使用通过 HP 设备洞察服务收集的去标识化和汇总的遥测数据。在模型训练或推理过程中,不会使用任何个人可识别信息(PII)。
数据在 HP 安全的 AWS 基础设施(S3 和 Redshift)中进行处理,并在严格的访问控制、加密和数据保留策略下进行存储。
每个 AI 使用场景在部署前都会经过隐私影响评估(PIA)和安全审查,以确保隐私保护从设计阶段开始,并符合 HP 的全球数据处理标准。
治理与合规
WXP 中的所有 AI 开发均遵循 HP 的安全开发框架(SDF),并在 AI 治理框架下进行审查,该框架包括:
对数据使用和模型决策的明确责任划分
对准确性、偏差和模型漂移的验证与监控
定期的隐私、法律和安全监督
安全性与模型生命周期
WXP 的 AI 模型遵循安全、受控的生命周期:
设计与审查: 每个模型均由产品、隐私和安全团队进行审查。
训练与验证: 模型基于已识别的数据进行训练,并根据定义的性能指标进行评估。
部署与监控: 经批准的模型部署到生产环境,并启用自动漂移检测和持续监控。
定期重新评估: 模型会重新训练和验证,以确保持续的准确性和合规性。
所有 AI 组件均纳入平台的渗透测试、漏洞管理和事件响应流程中。
独立验证
在 WXP 上执行两种不同的威胁情报建模技术:
WXP 对所有正在发布的新功能进行威胁情报建模,并定期对现有功能进行所有次要增强。在开始新功能的软件开发之前,WXP 还经过了 HP Cyber Security 的安全架构审查。
进行的最低安全测试:
在 WXP 上:
跨站点脚本
网络钓鱼攻击
身份验证令牌窃取
输入模糊测试
电子邮件欺骗
SQL 注入
跨站点请求伪造 (CSRF)
其他常见的 Web 漏洞
在 WXP 云服务和分析基础架构(包括微服务)上:
身份验证和授权的接口测试
更改租户 ID 以确保适当的数据仅提供给授权用户
SQL 注入
远程代码注入
DOS 攻击
输入模糊测试
在跨作系统(例如 Windows)的 WXP 上, Android 和 MAC:
安装源和应用完整性,
权限提升
MITM 攻击
输入模糊测试
通过数据完整性检查进行命令验证
证书存储中毒
身份验证损坏
安全配置等。
WXP 开发团队遵循安全的软件开发流程。除了专注于安全性、威胁建模和分析的常规架构和代码审查外,它还包括安全审查。此外,WXP 团队还通过 Nessus 代理等工具定期执行基础设施扫描和缓解。所有这些都经过 Coalfire 的独立审核,同时授予 WXP ISO 27001 认证。
作为惠普安全设计框架的一部分,WXP 经过惠普网络安全对主要系统 [IS1] 更改和新功能进行的持续内部渗透测试。
此外,外部渗透测试每年由独立的第三方安全公司进行。这些评估的范围包括所有面向互联网的组件、WXP 代理和相关的云基础架构组件。
惠普合规性和安全框架
WXP 通过实施强大且经过认证的信息安全和风险管理计划来展示 HP 对客户的承诺。所有安全合规性框架的核心是保护客户数据,客户将这些数据委托给惠普。作为其战略方向的一部分,WXP 确保实施适当的程序和安全工具来保护这些数据。
通过全球公认的行业认证,所有客户数据,包括专有信息、运营信息、一般信息和个人信息,都经过严格审查,以确认 WXP 的安全控制符合既定的合规框架。
ISO 27001:2022 认证
信息系统和关键业务信息的安全性需要不断的测量和管理。ISO 27001:2022 认证由独立审核机构 Coalfire 颁发,是对惠普提供运营连续性和数据保护承诺的验证。
国际标准化组织 (ISO) 负责制定多项国际公认的产品、服务和系统标准。ISO 27001:2022 认证是在认可的认证机构完成外部审核后颁发的,并且基于资产(信息、流程、人员和技术)。惠普已在整个远程监控和管理服务环境中获得 ISO 认证,包括托管打印和个人系统服务。
ISO 27001 规定了在组织环境中建立、实施、维护和持续改进信息安全管理体系 (ISMS) 的要求。ISMS 是一种系统地管理敏感公司信息的方法,以便根据保密、完整性和可用性的原则确保信息安全。该方法涵盖人员、流程和 IT 系统,并由定义实施和认证路径的几个支持文档和指南组成。
ISO 27001:2022 认证涵盖以下内容:
信息安全政策
运营安全
信息安全组织
通信安全
人力资源安全
系统获取、开发和维护
资产管理
供应商关系
存取控制
信息安全事件管理
密码学
业务连续性管理的信息安全方面
物理和环境安全
合规
惠普已将 ISO 认证扩展到包括:
ISO 27701:2019(隐私信息管理体系 PIMS)
ISO 27017:2015(云服务信息安全控制)
ISO 27701:2019 认证
使用 WXP 进行持续监控的客户和合作伙伴在使用云服务提供商时寻求确保其数据受到保护。ISO 27017:2015 专门针对云服务客户和提供商定义了行业认可的信息安全控制标准。
SOC 2 类型 2
SOC2 认证让客户确信 WXP 遵循全球公认的安全性、机密性、隐私性和可用性标准。SOC 2 为客户和合作伙伴提供了惠普如何通过可重复和持续的工作来管理、存储和处理客户私人数据的验证。客户需要额外的框架来支持他们的风险承受能力。惠普开始每年进行一次 SOC 2 认证,以继续改进未来并满足客户需求。
通用数据保护条例(GDPR)— HP Workforce Experience Platform
通用数据保护条例(GDPR)是欧盟于 2018 年 5 月生效的一项法规,用于规范个人数据处理并保障数据的自由流动。
(参考:https://gdpr-info.eu/art-1-gdpr/)
HP 采用符合行业标准的隐私和安全实践,以在全球范围内支持符合 GDPR 的运营。
HP 的 GDPR 方法
HP 长期致力于隐私和数据保护。对于 HP Workforce Experience Platform(WXP):
HP 作为数据处理者,代表客户(数据控制者)处理个人数据。
所收集的数据可能由全球范围内的 HP 实体访问或处理,前提是遵循 HP 隐私声明中所述的国际隐私标准和实践。
数据主体的权利(包括数据删除权)通过既定流程予以支持,例如平台级的用户/设备删除,以及向 HP 隐私办公室提交的直接请求。
惠普安全软件开发生命周期 (SSDL)
行业对应用程序安全的方法通常是被动的,而行业方法未能应用质量领域的经验教训。两种流行的方法是:
把头埋在沙子里:其特点是反应性安全补丁。这种方法依赖于常见的漏洞和暴露 (CVE),几乎不需要做任何工作来避免或最大限度地减少漏洞的引入。这最常见于安全相关监管负担最小的行业领域。
测试安全性:由于缺乏设计到应用程序中的复原能力,这一点很明显。相反,在测试期间结合安全补丁来查找和修复漏洞。这种方法在公共部门、安全监管行业和医疗保健领域更为常见。这些细分市场必须证明符合法规,包括美国联邦信息安全管理法案 (FISMA)、支付卡行业数据安全标准 (PCI-DSS)、健康信息可移植性和责任法案 (HIPAA) 以及经济和临床健康健康信息技术 (HITECH)。然而,安全性作为一种质量属性需要像半个世纪前质量领域一样应用于生命周期的每个阶段。
主要租户包括以下内容:
质量无法测试;它必须经过设计和内置,然后进行测试。
为了成本,必须在生命周期中尽早发现安全缺陷和漏洞。
惠普非常重视软件安全,惠普采用了安全软件开发生命周期 (SSDL)。有几个目标与 SSDL 流程相关,包括:
通过安全的软件架构减少网络攻击面
最大限度地减少代码引起的漏洞
保护客户数据和身份的隐私和安全
HP 在其 SSDL 流程中包含特定的安全相关程序,执行里程碑审查以确保安全流程成功完成,并为其软件架构师、开发人员、测试工程师、项目经理及其领导团队提供持续的安全培训。
SSDL 流程中的七个阶段定义如下:
培训 (第 1 阶段)——涵盖 SSDL 流程、安全增强设计、威胁建模和安全编码的正式课程。
要求 (第 2 阶段) – 在软件项目开始时规划安全性,包括逐个功能的安全风险评估。
设计 (第 3 阶段)——定义和记录安全架构;识别关键安全组件。
实施 (第 4 阶段)——执行设计的保护方案和缓解方法,以及同行代码审查和验证。
验证 (第 5 阶段)——执行动态代码分析、模糊测试(模糊测试)和攻击面审查。
版本 (第 6 阶段)– 验证是否满足 SSDL 要求并且不存在已知漏洞。
响应( 第 7 阶段)– 执行发布阶段概述的响应任务。
数据采集
WXP 收集的数据类型要么由客户直接提供,要么从基于云的 WXP 自动收集。使用设备上安装的 WXP 代理收集来自设备的数据。WXP 收集以下数据以执行合同服务:
资料收集目的 | 收集的数据 | 收集的数据描述 |
账户管理 | 帐户数据 | 与客户购买或注册 WXP 服务相关的信息、与 WXP 生成的事件相关的支持历史记录,以及与 WXP 帐户相关的任何其他信息,以执行交易服务,例如帐户管理。 |
确保WXP和服务正常工作 | 应用程序数据 | 包括每个受管设备上 WXP 代理的版本号、安装状态和更新历史记录。 |
帐户设置、身份管理和 权利验证 | 联系数据 | 个人和/或业务联系数据,包括名字、姓氏、邮寄地址、电话号码、传真号码、电子邮件地址以及用于 WXP 客户帐户设置和验证、服务权利以及与事件和服务相关的电子邮件通知的其他类似联系方式。 |
提供主动的 IT 服务维护和管理,以及以客户为中心的报告/仪表板 | 设备数据 | 基本设备信息,例如设备名称、作系统、内存量、设备类型、磁盘大小、区域设置、语言设置、时区设置、型号、初始开始日期、设备使用年限、设备制造日期、浏览器版本、设备制造商、保修状态、唯一设备标识符以及因型号而异的其他技术信息。 硬件信息,例如 BIOS、显示器、GPU、存储、系统插槽、内存、实时时钟、系统硬件利用率数据(CPU、GPU、内存和磁盘 I/O)、驱动程序、散热、风扇、PnP 设备、RPOS 外围设备、HP Sure Recover 设置、HP 诊断测试、扩展坞(仅限 HP)、连接到扩展坞的外围设备、电池运行状况、电源配置和状态、系统睡眠诊断、 主/外部磁盘归因、磁盘利用率、英特尔平台服务记录(需要英特尔博锐)、系统功耗、PCM 的系统功耗(需要 HP 商用 PC G11 或更高版本)、英特尔 SoC 内存余量(仅限 HP 商用 PC G12 或更高版本)和笔记本电脑的键盘运行状况(仅限 HP 商用 PC G12 或更高版本) 设备上安装的软件应用程序,例如已安装应用程序列表、应用程序运行时间、应用程序错误、应用程序(CPU 和内存)的硬件利用率数据。
浏览器上的Web应用,例如仅WXP 设置页面上 预配置的URL的页面访问次数、页面加载时间和页面加载错误。默认情况下,Web 应用程序的数据收集处于禁用状态,但可以在 WXP > 设置 页面上启用。WXP 不会扫描或收集浏览器上的 Web 应用程序的内容。 作系统为设备生成的信息,例如作系统事件、缺少的 Windows 更新、进程和服务监控、启动/睡眠/休眠/关机时间、设备使用时间、设备登录时间、完全启动和快速启动时间、上次重新启动日期和系统崩溃 - Windows作系统上的蓝屏崩溃。注意:默认情况下,系统崩溃的故障转储收集处于禁用状态, 但可以在 WXP 设置页面上启用它。 网络信息,如网络接口、MAC 地址、IP 地址、SSID、信号强度、连接速度、网络认证设置、网络错误、网络消耗、网络利用率、丢包、抖动和延迟,以及网络连接和断开连接。
安全信息,例如受信任的平台模块 (TPM) 、防病毒状态、防火墙状态、BitLocker 加密状态和安全启动状态。 客户用户在 WXP 中注册其设备的用户信息,例如上次登录的用户信息和加入 Active Directory 的用户信息。
设备位置信息,例如设备的实时地理位置和资产位置(由用户设置以指示设备所属的位置)。注意:默认情况下,设备位置的数据收集处于禁用状态,但可以在 WXP 设置页面上启用。 |
对用户访问使用 HP 的帐户和服务进行身份验证和授权 | 安全凭据 | 身份验证所需的用户密码、密码提示和类似安全信息,以授权用户访问基于云的 WXP 门户帐户和服务。(仅当使用 HP ID 时) |
数据分组
WXP 1 收集的设备数据可能包括以下分组:
数据组 | 描述 |
硬件 | 包括电池、BIOS、磁盘、显示器/显示器、图形、库存、内存、网络接口、即插即用 (PnP)、处理器、系统时钟、系统插槽、散热和系统性能数据。 |
软件应用程序 | 包括合规性、错误、清单、性能、利用率和 Web 应用程序利用率数据。 |
安全 | 包括非报告设备、作系统修补程序发现/管理、设备位置、设备警报、锁定和擦除、安全策略设置、安全策略实施、安全威胁、存储加密、用户安全设置、Wi-Fi 配置和 Windows 信息保护冲突数据 |
Windows 事件日志 | Windows 事件日志提供 Windows作系统 存储的系统、安全和应用程序通知的详细记录,管理员使用这些通知来诊断系统问题并预测未来问题。 |
惠普保修和金牌护理包 | 惠普金牌服务是惠普电脑或打印机的延长保修,涵盖标准保修期满后的产品。 |
WXP收集的用户数据包括:
用户电子邮件地址
上次登录的用户帐户
WXP 不收集以下类型的数据:
人口统计信息(国家/地区或语言偏好除外)
金融账户信息、信用卡或借记卡号、信用记录或付款数据
社交媒体
政府颁发的标识符,例如社会保障、社会保险号码或政府签发的身份证
健康信息
敏感数据,例如种族血统、政治信仰、工会成员身份、健康数据、性取向和遗传数据
自定义数据收集
自定义数据收集功能允许客户收集超出标准 WXP Insights 代理范围之外的设备或系统数据。
适用对象: 拥有 WXP Pro 或 Elite 订阅的 IT 管理员、合作伙伴管理员和合作伙伴服务专家
收集的数据: 完全由客户通过上传的脚本定义,例如 BIOS 版本、插件和扩展
责任: 客户需对通过该功能收集的所有数据负责,包括确保其合法收集、保护、存储和使用,并遵守适用的法律(包括数据保护和隐私法律)。HP 不控制或监控所收集的数据。
保留期限: 报告在未重新启动的情况下可保留 10 天。
数据隐私
惠普在隐私和数据保护方面拥有长期的行业领先地位。凭借我们强大的产品和服务组合,我们支持客户和合作伙伴在保护个人数据方面的努力。在 WXP 分析方面,惠普充当数据处理者。请参阅 HP Privacy Central 上的数据处理者部分。作为一家全球性公司,您提供的任何信息可能会根据 HP 隐私声明和“国际数据传输”部分中列出的国际隐私计划传输给全球 HP 实体或由其访问。
数据隐私受全球国家/地区的管理 HP Privacy Policy 。本政策会定期更新,涵盖以下主题:
我们的隐私原则
国际数据传输(包括欧盟-美国隐私盾信息)
我们如何使用数据
我们收集哪些数据
儿童隐私
我们如何保留和保护您的数据安全
我们如何共享数据
惠普通信
行使您的权利并联系我们
隐私声明的变更
说明
当用户在 WXP 中关闭用户个人信息设置时,平台将不会收集、处理或显示与设备关联的最后登录用户。有关如何关闭该设置的说明,请参阅管理用户偏好设置。
数据保留
数据保留是任何合规计划的重要组成部分,也是实现数据适当管理所必需的。HP 的数据保留策略包含以下数据保留最佳实践:
将数据保留的时间短于必要的时间可能会违反合同或法律要求或影响安全性。
将数据保存的时间超过必要的时间可能会违反隐私法规,并且是客户最关心的问题和销售查询。
数据一旦被删除,就没有义务将其提供给客户或执法部门。
美国和德国区域数据中心中的所有数据将在客户从 WXP 停用后 30 天内永久删除。
美国分析数据中心中的数据将在数据创建之日起两年后或客户从 WXP 停用后三十天内永久删除结构化和非结构化存储。由于 WXP 应用程序的分析包是跨许多 HP 应用程序的单一共享包,因此如果客户从 WXP 中停用,美国分析数据中心中的数据不会被永久删除,因为同一客户可能注册了其他 HP 应用程序;并且只有在三年后才从数据创建的数据中删除。
注意:传输到 U.S. Analytics 数据中心的遥测数据与设备序列号和系统生成的 ID 相关联。这些数据在静态时进行加密,并根据惠普的数据保护和安全标准进行处理。.
数据存储
WXP 的数据存储仅限于付费用户的用户和设备信息。
美国和德国区域数据中心中存储个人数据的所有数据库都经过加密。
美国标识管理数据中心中存储个人数据的所有数据库都经过加密。
美国分析数据中心中的所有数据库和非结构化存储都经过加密。
以下数据类型在不同的数据中心中传输和存储:
数据类别 | 美国区域 数据中心1 | 德国地区 数据中心2 | 美国分析 数据中心3 | 美国身份管理数据 中心3 |
帐户数据 | 是的 | 是的 | 不 | 不 |
应用程序数据 | 是的 | 是的 | 是的 | 不 |
联系数据 | 是的 | 是的 | 不 | 是(如果使用 HP ID) |
设备数据 | 是的 | 是的 | 是的 | 不 |
位置数据 | 是的 | 是的 | 是的 | 不 |
安全凭据数据 | 不 | 不 | 不 | 是(如果使用 HP ID) |
对于非欧洲客户
对于欧洲客户
面向所有客户
EU 数据法合规 — 通过 WXP 门户访问客户数据
EU 数据法建立了一个框架,确保用户(包括企业客户)能够访问其联网设备和服务生成的数据。HP 已使 Workforce Experience Platform(WXP)符合这些要求,使客户能够通过 WXP 门户安全地访问并下载其设备遥测数据。
作为该合规计划的一部分,客户可以:
选择与其设备和服务相关的特定数据类别
定义数据检索的时间范围(最多 18 个月的历史遥测数据)
请求处理完成后,将提供一个安全的下载链接(有效期为 30 天),并在数据准备就绪时于 WXP 通知中心发布提醒通知。
如需了解更多信息或查看如何提交或下载请求的说明,请参阅知识库文章:根据欧盟数据法案在WXP请求遥测数据。
服务监控和报告
WXP 定期提供服务更新,为客户提供最新的功能和更新。WXP 还通过各种方法通知客户计划或计划外的更新和服务更改。对于计划内的服务中断事件,例如服务维护,客户会提前八小时收到通知。
为了提供最佳服务,惠普会进行持续的服务监控和报告。
服务监控
WXP 和代理在 24x7x365 的基础上进行监控,以确保可靠性和性能。此外,网络性能和可用性监控是持续进行的。所有监控工具都会将任何问题、警告和问题直接路由给服务工程师。异常会自动作为需要确认的高优先级工作项引发给内部票证系统。
如果超过阈值,则会发生以下自动升级过程:
电子邮件警报将发送给相应的待命支持工程师
向待命工程师的移动设备发送推送通知
将向运营团队通讯组列表发送一封电子邮件
WXP 使用不同的监控工具,包括:
New Relic:监控系统的各个组件,更重要的是,在瓶颈出现时帮助识别和调试瓶颈。大多数应用程序/服务都已针对 Splunk 进行了检测,从而提供持续的数据收集和近乎实时的性能指标。
Amazon CloudWatch:监控与预置、服务故障和阈值达到(例如内存消耗)相关的事件。对事件进行审查和分类,以确定最重要的问题领域。根据优先级,立即采取行动或计划采取行动以供以后开发。召开事后服务质量 (QoS) 会议,以审查调查结果、确定根本原因并实施改进。
结论
惠普认识到威胁形势瞬息万变。网络攻击的演变始于 1990 年代后期的文件删除和网站污损,然后通过窃取凭据和勒索软件进入货币化阶段。最近,资金非常充足的民族国家发动了攻击,这些国家旨在瘫痪电网并导致数以万计的计算机和移动设备无法运行。
解决这些风险是惠普四十多年前就开始的一项使命。惠普在安全威胁检测和保护方面的创新传统,以及持续以安全为中心的投资,为 WXP 等应用程序的设计提供了信息。其结果是一个安全的、基于云的 IT 管理解决方案,该解决方案构建在跨应用程序、物理数据中心和最终用户访问的集成安全平台上。
凭借内置的安全功能,WXP 可通过 HP Proactive Insights、HP Active Care 和由 WXP 提供支持的其他服务获得, 为组织提供了一个值得信赖的工具,可通过多个强大的安全层简化设备、数据和用户的日常管理。