簡介
HP Workforce Experience Platform (WXP) 是一款雲端企業解決方案,協助 IT 團隊減少數位摩擦、提升安全性,並主動解決裝置問題。它透過安全且可擴展的平台,提供組織電腦群(如桌機、筆記型電腦及其他連網資產)的集中可視性與管理。
WXP 分析來自裝置與應用程式的近即時遙測數據,以識別問題、監控健康狀況並建議修復措施。IT 管理員可以查看裝置狀態、定義政策、產生報告,並啟動遠端行動以支援營運與安全需求。
本文件概述了 WXP 的安全與隱私架構,重點放在受管理的個人電腦裝置。說明資料如何被收集、傳輸、儲存及保護,並說明平台是否符合資料保護標準。目標受眾包括 IT 管理員、服務提供者及評估平台資料處理實務的安全審查員。
WXP 體驗架構
作為一個一站式、雲端的裝置、資料與使用者分析平台,WXP 在其架構與開發流程中融入業界驗證的服務層級安全。主要服務包括:
跨多個作業系統收集與分析裝置遙測資料
讓 HP 客戶與管理服務提供者能夠產生報告並管理事件
透過軟體即服務(SaaS)模式整合各種第三方服務
使用者與角色
WXP 的儀表板提供多種使用者與角色,如下圖所示。
角色 | 範圍 |
|---|---|
區域行政 | 這個帳號由惠普的業務營運管理員用來為直接客戶和合作夥伴建立新的租戶。區域根管理員帳號會受到控制,並有權限管理及瀏覽直接的客戶與合作夥伴租戶。通常每個區域都有獨立的根管理員帳號。 目前,WXP 在兩個 AWS 區域資料中心運作:
|
合作夥伴 | 合作夥伴租戶可能包括合作夥伴行政、服務專員及銷售專員等職務。這些租戶可以存取多個客戶帳號,並代表他們管理裝置、使用者及日常營運。此外:
|
HP 支援 | HP 支援帳號可同時存取多家公司,並代表客戶管理裝置、使用者及日常營運,方便故障排除。這些行動由惠普的業務營運團隊負責管理。 HP 支援帳號下有兩種使用者:支援管理員和支援專家。支援管理員可以建立額外的支援管理員或支援專家帳號。 |
公司擁有者 | 當公司建立時,根管理員會指派一個預設 的公司擁有者 。預設情況下,此使用者同時被賦予 IT 管理員角色,負責管理公司內的使用者與裝置。 公司擁有者可依其權限管理使用者、處理裝置相關任務,並存取報告及其他管理功能。雖然託管服務供應商(MSP)管理多家公司的用戶,而公司擁有者則獨立管理自己公司的用戶。 |
公司用戶 | 在 WXP 中,使用者是企業租戶中的個人,被指派一個角色以執行相關行動。使用者可透過以下方式建立:
|
資訊管理 | IT 管理員角色指派給客戶或自我管理公司的使用者。它允許使用者執行關鍵的管理任務,例如管理使用者與裝置。雖然功能類似 MSP 的職務,但 IT 管理員的存取權限僅限於其自身公司。 |
檢舉管理員 | 預設情況下,公司所有者可以存取報告。任何公司用戶也都可以獲得報告存取權。報表管理員角色為唯讀,允許使用者查看 WXP 報表的資訊。 |
連接器管理員 | 此角色使得 WXP 內整合的安全且基於角色的管理成為可能。此角色負責管理所有支援連接器間整合行動的存取。它確保只有授權使用者能設定和管理整合元件及連線設定。 |
主要功能
連接器管理員可在 WXP 內執行以下操作:
配置並管理整合元件。
連接與斷開第三方整合,包括 ServiceNow、Teams、Graph API 等。
查看並存取相關的整合文件。
下圖提供了 Insights 功能與能力的高階概述:
HP Workforce Experience 裝置
WXP 架構旨在協助防止攻擊者取得裝置控制權。依硬體與作業系統不同,裝置軟體必須在配置過程中安裝。
要新增裝置,貴公司的 IT 管理員或管理服務提供者(MSP)必須使用分配的公司 PIN 碼安全地將它們註冊到 WXP。註冊過程中,伺服器與裝置之間會進行非對稱的金鑰交換。每台裝置在識別裝置時會產生一對獨特的金鑰對,然後裝置會收到一個有效 12 小時的存取權杖。在此期間結束後,裝置必須向伺服器發送簽名,以證明其身份以取得新的存取權杖。
經企業同意後,註冊裝置每日將遙測資料上傳至 WXP 分析管線。整天,他們也會接收來自WXP的指令與控制信號。所有通訊均受上述存取權杖保護。
Microsoft Windows® 的 WXP 使用 HTTPS/TLS 1.2 協定,透過 443 埠進行所有通訊。它不會安裝憑證,也不會修改 Windows 作業系統憑證儲存庫。
HP 勞動力體驗平台
WXP 在兩個不同地區的亞馬遜網路服務(AWS)中託管:美國(AWS-OR)與歐盟(AWS-DE)。
根據註冊國家不同,您的公司租戶會在相應的區域資料中心建立。IT 管理員透過網頁瀏覽器存取 WXP,瀏覽器提供裝置註冊、認證及通訊介面。
接下來的章節將涵蓋關於安全性的設計決策。
身份管理
目前支援的身份提供者(IdP)為 HP 通用身份系統(HPID)與 Microsoft Entra ID。對於由 HP 通用身份系統管理的身份,密碼品質無法設定,密碼政策由 HP ID 註冊頁面設定。密碼必須包含至少八個字元,並包含以下三個或以上的條件:
一個大寫字母
一個小寫字母
數字
符號或特殊字元
由 Microsoft Entra ID 管理的身份遵循 Entra ID 帳號管理員設定的政策。這包括但不限於:多重驗證、密碼複雜度等。
會話管理
使用者可同時擁有的會話數量沒有限制。然而,每次遊戲會在30分鐘不活動後自動結束。裝置的會話每 12 小時到期一次,並自動續約。認證與授權使用 OAuth 2.0 協定實作,並透過基於會話的機制管理。此功能使用 JSON Web 令牌(JWT)。每個 WXP 微服務都會強制執行 JWT 驗證,以確保簽章有效性及令牌到期。
授權
除了 JWT 令牌驗證外,所有 API 也會進行租戶檢查。這確保適當的租戶資料會傳遞給呼叫者。此外,所有關鍵操作都會進行角色檢查。
欲了解更多資訊,請參閱 使用者與角色 章節。
多租戶
WXP 是一個基於雲端、多租戶的解決方案。租戶資料透過關聯式資料庫邏輯區分,並透過租賃權利檢查來執行。每個租戶都與一個通用唯一識別碼(UUID)相關聯,以確保資料隔離與可追蹤性。
資料靜態
公司資訊如裝置、使用者及相關資料會儲存在 AWS 關聯式資料庫服務(RDS)MySQL 資料庫及 MongoDB 資料庫中。AWS RDS MySQL 資料庫與 MongoDB 資料儲存皆為加密。像金鑰和令牌這類敏感欄位也會使用 AWS 金鑰管理服務(KMS)加密。主鑰匙會依照惠普的資安指引輪替使用。
資料傳輸中
所有與 WXP 之間的外部通訊皆使用 HTTPS/TLS1.2 協定。AWS 虛擬私人雲(VPC)內的服務以明文進行通訊。
欲了解更多資訊,請參閱作戰安全章節。
第三方整合
WXP 整合多種第三方服務,如 ServiceNow、PowerBI、Tableau、EntraID。伺服器間的通訊透過 HTTPS 進行,使用我們合作夥伴系統提供的認證方法。
如需更多第三方整合資訊,請聯絡 HP 服務專家。
使用者介面(UI)驗證
UI 欄位驗證保護 WXP 代理中的輸入欄位。驗證依據資料型別(例如字串、日期/時間、貨幣)及商業規則(例如必需或推薦欄位)執行。欄位也可能根據使用者角色及允許的操作(讀寫)來保護。還可透過腳本函式進行額外驗證。
HP 勞動力體驗分析平台
WXP 分析平台託管於 AWS,作為 WXP 的資料處理骨幹。分析平台的大多數元件都是內部的,不會暴露給外部存取。
資料收集
該分析平台提供介面,以安全上傳裝置資料。它使用經過認證的 API 閘道來接收資料。在此傳輸模式下,連線、指令與政策既不傳送至裝置,也不會從裝置收集,確保裝置與雲端的單向通訊。
資料靜態
非結構化的靜態資料則保留在 AWS S3 中;然而,結構化資料會儲存在 AWS RedShift 中。分析平台中結構化與非結構化資料皆被加密。
HP 員工體驗 營運安全
本節說明 WXP 如何應用服務層安全以確保各層通訊的安全。
資料中心
WXP 由亞馬遜網路服務(AWS)託管,更具體來說是亞馬遜彈性運算雲(Amazon EC2)。Amazon EC2 在 AWS 雲端提供可擴展的運算能力。WXP 在美國俄勒岡州(AWS-OR)及德國法蘭克福(AWS-DE)設有資料中心。位於歐洲國家的客戶資料可託管於德國資料中心。其他國家客戶的資料可託管於美國資料中心。
單一客戶「租戶」內的所有資料都託管於單一資料中心,但希望在不同資料中心擁有獨立租戶以承載不同業務單位資料的客戶,可申請此選項。透過 AWS,WXP 利用亞馬遜十五年以上提供大規模全球基礎設施的經驗,且以可靠且安全的方式提供服務。欲了解更多資訊,請參閱AWS資訊入口網站:http://aws.amazon.com/ec2/。
在實體層,處理現有的設施與網路安全控制措施非常重要。客戶與裝置資料儲存在地理分布的 AWS 資料中心中,以提供冗餘性。AWS 是雲端主機領域的公認領導者。透過與 AWS 合作,WXP 繼承了一套經過架構設計為當今最靈活且安全的雲端運算環境之一的雲端基礎設施。其主要安全特性包括:
設計以安全為重
AWS 的雲端基礎設施設於 AWS 資料中心,設計以滿足對安全敏感度最高的客戶需求。
AWS 的基礎架構設計旨在提供高可用性,同時對客戶隱私與資料隔離設置強有力的防護措施。
傳送至美國分析管理資料中心的裝置、應用程式及位置資料不包含使用者名稱或電子郵件地址。資料會與裝置序號及系統產生 的識別碼相關聯,並依照 HP 的資料保護標準在靜態時加密。
WXP 中所有結構化與非結構化資料均採用 AWS 原生加密機制(如 AWS KMS)進行靜態加密,符合惠普的資安指南高度自動化
AWS 有意識地打造大部分安全工具,以符合 AWS 獨特的環境與規模需求。
這些安全工具旨在為資料與應用程式提供最大保護。這代表 AWS 資安專家能減少在例行任務上的時間,使得能更專注於主動措施,提升 AWS 雲端環境的安全性。
高度可得
AWS 在多個地理區域以及每個區域內的多個可用性區建置資料中心,以提供對系統中斷的最大韌性。
AWS 設計其資料中心時,會設置大量多餘頻寬連線,以便在發生重大中斷時,仍有足夠容量讓流量能夠負載平衡至剩餘的站點。
高度認證
認證代表稽核人員已確認特定的安全控管措施已存在且運作如預期。
您可以聯絡 AWS 客戶代表,協助您符合政府、產業及企業的安全標準與法規,查看相關合規報告。
AWS 提供認證報告,說明 AWS 雲端基礎架構如何符合多項全球安全標準的要求,包括:ISO 27001、SOC、支付卡產業(PCI)資料安全標準、FedRAMP、澳洲訊號局(ASD)資訊安全手續,以及新加坡多層雲端安全標準(MTCS SS 584)。
欲了解更多關於 AWS 合規法規與標準的資訊,請參閱 AWS 合規網頁。
欲了解實體與環境安全、AWS 存取及網路安全的詳細資訊,請參閱: AWS 安全、身份與合規最佳實務。
網絡
網路設備,包括防火牆及其他邊界裝置,負責監控與控制網路外部邊界及網路內關鍵內部邊界的通訊。這些邊界裝置會使用規則集、存取控制清單(ACL)及配置,強制資訊流向特定資訊系統服務。
ACL(流量政策)會在每個受管理介面上建立,以強制流量流動。ACL 政策由 Amazon Information Security 核准。這些政策會透過 AWS 的 ACL-Management 工具自動推送,以確保這些受管理介面執行最新的 ACL。
安全強化接取點
AWS 策略性地將有限數量的無線基地台部署至雲端,以便更全面監控進出通訊及網路流量。這些客戶接取點稱為 API 端點,允許 HTTP 存取(HTTPS),以保護與 AWS 內儲存或計算實例的通訊會話。此外,AWS 也實施了專門管理與網際網路服務提供商(ISP)介面通訊的網路設備。AWS 在每個面向網際網路的邊緣,使用冗餘連線連接多個通訊服務。所有連線都有專用的網路裝置。
應用程式、主機與管理員安全
在邏輯層,各種控制措施用於保護主機系統、運行於這些系統上的應用程式,以及管理主機系統和相關應用程式的管理員。
IT 管理員對 WXP 及客戶資料的存取權限有限且嚴格管理。只有對執行任務至關重要且符合背景調查及帳戶管理要求的人員,才被允許進入。
資料安全
與 WXP 交換的資料使用 AWS 實作的傳輸層安全(TLS)v1.2,這是業界標準的安全套接層(SSL)協定的最新形式。TLS 有助於在多個層級保護資料,提供伺服器認證、資料加密及資料完整性。由於 TLS 實作於應用層之下,它是一種被動安全機制,不依賴使用者額外的步驟或程序。即使使用者對安全通訊知之甚少或一無所知,應用程式也能更好地防範攻擊者。
這些功能有助於保護資料免於偶發損壞及惡意攻擊,並旨在避免常見的網路威脅。除了用於用戶端與伺服器間網路通訊的 SSL 加密外,HP 還會加密日誌與靜態資料,這些資料會儲存在我們的伺服器資料庫中。
WXP 裝置必須具備系統需求中明確列明的作業系統與裝置軟體。雖然 HP Service Experts 能根據管理設定協助執行裝置安全政策,但部署 WXP 軟體於裝置上並無額外的安全要求。登入憑證,例如員工的電子郵件地址和密碼,僅在存取 WXP 時才需要。
人工智慧與機器學習於勞動力體驗平台(WXP)
HP Workforce Experience Platform (WXP) 整合人工智慧(AI)與機器學習(ML),提供主動洞察、預測分析與使用者體驗優化。WXP 的 AI 是在惠普全球 AI 治理框架下開發,確保倫理使用、透明度及符合惠普隱私與安全原則。
WXP 的 AI 與機器學習功能著重於支援 IT 管理員並提升裝置與使用者體驗。主要使用情境包括:
預測性裝置健康與主動修復。
情感與脈動分析以了解員工體驗。
人格識別與裝置推薦。
生成式 AI 用於資料互動與報告。
異常偵測與失敗預測,以識別異常的效能或行為趨勢。
人工智慧資料來源與隱私
AI 模型利用透過 HP 裝置洞察服務收集的去識別化與彙整遙測資料。模型訓練或推論中不使用個人識別資訊(PII)。
資料在惠普安全的 AWS 基礎設施(S3 與 Redshift)中處理,並受到嚴格的存取、加密與保存控制。
每個 AI 使用案例在部署前都會經過隱私影響評估(PIA)及安全審查,確保隱私設計符合 HP 全球資料處理標準。
治理與合規
WXP 的所有 AI 開發皆遵循惠普的安全開發框架(SDF),並依據 AI 治理框架審查,該框架包括:
對資料使用與模型決策的明確問責。
驗證與監控準確性、偏誤與漂移。
定期進行隱私、法律和安全監督。
安全性與模型生命週期
WXP AI 模型遵循安全且受控的生命週期:
設計與審查:每個模型都由產品、隱私與安全團隊進行審查。
訓練與驗證:模型會根據已識別的資料進行訓練,並依據定義的績效指標進行評估。
部署與監控:經核准的模型會部署至生產環境,並具備自動漂移偵測與持續監控。
定期重新評估:模型會重新訓練與重新驗證,以確保持續的準確性與合規性。
所有 AI 元件都包含在平台的滲透測試、漏洞管理及事件回應流程中。
獨立驗證
WXP 上執行兩種不同的威脅情報建模技術:
WXP 會針對所有新功能釋出進行威脅情報建模,並定期對現有功能的微小增強進行分析。在開始新功能軟體開發前,WXP 也會接受 HP Cyber Security 的安全架構審查。
進行最低安全測試:
關於WXP的報導:
跨站腳本
網路釣魚攻擊
認證憑證竊取
輸入失真
電子郵件偽造
SQL 注入
跨站請求偽造(CSRF)
其他常見的網路漏洞
關於 WXP 雲端服務及分析基礎設施(含微服務):
認證與授權的介面測試
更改租戶 ID,確保適當的資料只傳送給授權使用者
SQL 注入
遠端程式碼注入
DOS 攻擊
輸入失真
在跨作業系統(如 Windows)的 WXP 上, Android 與 MAC:
安裝原始碼與應用程式完整性
權限升級
中間人攻擊
輸入失真
指令驗證與資料完整性檢查
證書店中毒事件
驗證失效
安全設定等等。
WXP 開發團隊遵循安全的軟體開發流程。除了定期的架構與程式碼審查外,還包括安全審查,重點包括安全、威脅建模與分析。此外,WXP 團隊也會透過 Nessus agent 等工具定期進行基礎設施掃描與緩解。所有這些均由 Coalfire 獨立審核,並授予 WXP ISO 27001 認證。
作為惠普安全設計框架的一部分,WXP 持續接受 HP 資安部門對重大系統變更與新功能進行內部滲透測試。
此外,外部滲透測試每年由獨立第三方資安公司執行。這些評估範圍涵蓋所有面向網際網路的元件、WXP 代理程式及相關的雲端基礎設施元件。
HP 合規與安全框架
WXP 透過實施穩健且經認證的資訊安全與風險管理計畫,展現 HP 對客戶的承諾。所有安全合規架構的核心是保護客戶資料,客戶將資料託付給惠普。作為策略方向的一部分,WXP 確保實施適當的程序與安全工具以保護這些資料。
透過全球公認的產業認證,所有客戶資料,包括專有、營運、一般及個人資訊,都會經過嚴格審查,以確保 WXP 的安全控管符合既定的合規架構。
ISO 27001:2022 認證
資訊系統與關鍵資訊的安全需要持續的測量與管理。由獨立審核機構 Coalfire 頒發的 ISO 27001:2022 認證,驗證了 HP 致力於提供營運連續性與資料保護的承諾。
國際標準化組織(ISO)負責制定多項國際公認的產品、服務與系統標準。ISO 27001:2022 認證是在經認可認證機構完成外部審核後頒發,且以資產為基礎(資訊、流程、人員及技術)。HP 已在遠端監控與管理服務環境中取得 ISO 認證,涵蓋管理列印及個人系統服務。
ISO 27001 規定了在組織內建立、實施、維護及持續改進資訊安全管理系統(ISMS)的要求。ISMS 是一種系統化管理敏感公司資訊的方法,確保資訊依據機密性、完整性與可用性原則保持安全。此方法涵蓋人員、流程與資訊系統,並包含多份支持文件與指引,定義實施與認證路徑。
ISO 27001:2022 認證涵蓋以下內容:
資訊安全政策
作戰安全
資訊安全的組織
通訊安全
人力資源安全
系統的取得、開發與維護
資產管理
供應商關係
存取控制
資訊安全事件管理
密碼學
企業持續管理的資訊安全面向
物理與環境安全
合規
HP 已將 ISO 認證擴展至:
ISO 27701:2019(隱私資訊管理系統 PIMS)
ISO 27017:2015(雲端服務資訊安全控制)
ISO 27701:2019 認證
勞動力經驗依據 ISO/IEC 27701:2019,這是隱私資訊管理系統(PIMS)的國際標準。此認證展現我們依據全球公認的隱私原則保護個人資料的承諾。同時也強化我們與歐盟通用資料保護條例(GDPR)的一致性,確保我們的隱私控管、資料處理實務及問責措施符合合法且透明的資料處理嚴格要求。
SOC 2 第二型
SOC2 認證讓客戶確信 WXP 遵循全球公認的安全、機密性、隱私與可用性標準。
SOC 2 為客戶與合作夥伴提供驗證,了解 HP 如何以可重複且持續的方式管理、儲存及處理客戶的私人資料。客戶要求更多框架來支持他們對風險的容忍度。惠普開始每年進行 SOC 2 認證,以持續改進並滿足客戶需求。
通用資料保護規範(GDPR)-HP 勞動力體驗平台
通用資料保護條例(GDPR)是歐盟於2018年5月生效的一項法規。該法制定了保護自然人關於個人資料處理及資料自由流動的規則。(參考資料:https://gdpr-info.eu/art-1-gdpr/)
HP 遵循業界標準的隱私與安全實務,以支援全球符合 GDPR 的營運。
HP 的 GDPR 方法
惠普長期致力於隱私與資料保護。針對 HP 勞動力體驗平台(WXP):
HP 作為資料處理商,代表客戶(資料控制器)處理個人資料。
任何收集的資料都可能被全球 HP 實體存取或處理,但須遵守 HP 隱私聲明中所列的國際隱私標準與實務。
資料主體權利,包括刪除(資料刪除)的權利,透過既定程序得到支持,例如平台層級的使用者/裝置移除,以及透過惠普隱私辦公室的直接請求。
HP 安全軟體開發生命週期(SSDL)
產業對應用安全的處理方式通常偏向被動反應,且未能從品質領域汲取經驗。兩種主要方法如下:
埋頭不談:這是以被動安全修補為特徵。此方法依賴常見的漏洞與暴露(CVE),幾乎不需工作來避免或減少漏洞引入。這通常出現在安全相關法規負擔較少的產業領域。
測試安全性:這從應用程式缺乏彈性設計中可見一斑。相反地,測試時會花心力尋找並修補漏洞,並結合安全修補。這種做法在公共部門、安全監管產業及醫療保健中較為常見。這些部分必須證明遵守相關法規,包括美國《聯邦資訊安全管理法》(FISMA)、支付卡產業資料安全標準(PCI-DSS)、《健康資訊攜帶與責任法》(HIPAA)及《經濟與臨床健康資訊技術》(HITECH)。然而,安全作為品質屬性,必須像半世紀前品質領域學習的那樣,在生命週期的每個階段都被應用。
主要租戶包括以下幾項:
品質無法被測試;必須設計並內建,然後進行測試。
為了節省成本,安全缺陷與漏洞必須在生命週期中盡早發現。
HP 非常重視軟體安全,HP 採用了安全軟體開發生命週期(SSDL)。SSDL 流程與多個目標相關,包括以下幾項:
透過安全的軟體架構降低網路攻擊面
減少程式碼引發的漏洞
保護客戶資料與身份的隱私與安全
HP 在其 SSDL 流程中包含特定的安全相關程序,執行里程碑審查以確保安全流程成功完成,並為軟體架構師、開發者、測試工程師、專案經理及其領導團隊持續提供安全訓練。
SSDL 流程的七個階段定義如下:
訓練 (第一階段)-正式課程涵蓋SSDL流程、安全強化設計、威脅建模及安全編碼。
需求 (第二階段)— 在軟體專案初期就規劃安全,包括逐功能的安全風險評估。
設計 (第三階段)— 定義並記錄安全架構;識別關鍵安全元件。
實施 階段(第四階段)— 執行設計的防護方案與緩解方法,並進行同儕代碼審查與驗證。
驗證 (第五階段)– 執行動態程式碼分析、模糊測試(模糊測試)及攻擊面審查。
發布 (第六階段)-驗證 SSDL 需求已達成,且無已知漏洞存在。
回應 (第七階段)— 執行發布階段所列的回應任務。
資料收集
WXP 收集的資料類型要麼由客戶直接提供,要麼由雲端 WXP 自動收集。裝置資料是透過安裝在裝置上的 WXP 代理程式收集的。WXP 收集以下資料以執行合約服務:
資料收集目的 | 收集的資料 | 所收集資料說明 |
帳戶管理 | 帳號資料 | 與客戶購買或註冊 WXP 服務相關的資訊、與 WXP 所產生事件相關的支援紀錄,以及任何與 WXP 帳戶相關的交易服務(如帳戶管理)相關資訊。 |
確保 WXP 及服務正常運作 | 應用資料 | 包含每個受管理裝置 WXP 代理程式的版本號、安裝狀態及更新歷史。 |
帳號設定、身份管理及 權利驗證 | 聯絡資料 | 個人及/或商業聯絡資料,包括姓名、姓氏、郵寄地址、電話號碼、傳真號碼、電子郵件地址及其他用於 WXP 客戶帳戶設立與驗證、服務權利及事件與服務相關電子郵件通知的相關聯絡資訊。 |
提供主動的 IT 服務維護與管理,以及以客戶為中心的報告/儀表板 | 裝置資料 | 基本裝置資訊,如裝置名稱、作業系統、記憶體容量、裝置類型、磁碟大小、區域設定、語言設定、時區設定、型號、初始開始日期、裝置年齡、製造日期、瀏覽器版本、裝置製造商、保固狀態、獨特裝置識別碼,以及依型號而異的額外技術資訊。 硬體資訊,如 BIOS、顯示器、GPU、儲存空間、系統插槽、記憶體、即時時脈、系統硬體使用資料(CPU、GPU、記憶體及磁碟 I/O)、驅動程式、散熱、風扇、PnP 裝置、RPOS 周邊、HP Sure Recover 設定、HP 診斷測試、擴充座(僅限 HP)、連接至擴充座的周邊設備、電池健康狀況、電源配置與狀態、系統睡眠診斷, 主要/外接磁碟歸屬、磁碟使用率、Intel 平台服務紀錄(需 Intel vPro)、系統功耗、PCM 系統功耗(需 HP Business PC G11 或更新)、Intel SoC 記憶體空間(僅限 HP Business PC G12 或更新)、筆電鍵盤健康度(僅限 HP Business PC G12 或更新) 裝置上安裝的軟體應用程式,例如已安裝的應用程式清單、應用程式的執行時間、應用程式錯誤、各應用程式(CPU 與記憶體)的硬體使用資料。
瀏覽器上的網頁應用程式,例如頁面訪問次數、頁面載入時間,以及僅在 WXP 設定 頁面預先設定的 URL 載入錯誤。預設情況下,網頁應用程式的資料收集是被停用的,但可在 WXP > 設定 頁面啟用。WXP 不會掃描或收集瀏覽器網頁應用程式的內容。 作業系統為裝置產生的資訊,如作業系統事件、缺少的 Windows 更新、程序與服務監控、啟動/休眠/關機時間、裝置使用時間、裝置登入時間、完全開機及快速開機時間、最後重啟日期,以及系統當機(Windows 作業系統的藍屏當機)。注意:預設情況下,系統當機的當機資料庫是關閉的, 但可以在 WXP 設定頁面啟用。 網路資訊,如網路介面、MAC 位址、IP 位址、SSID、訊號強度、連線速度、網路認證設定、網路錯誤、網路消耗、網路使用率、封包遺失、抖動與延遲,以及各程序的網路連線與斷線。
安全資訊,例如受信任平台模組(TPM)、防毒狀態、防火牆狀態、BitLocker 加密狀態及安全開機狀態。 客戶在 WXP 註冊裝置的使用者資訊,例如最後登入的使用者資訊及 Active Directory 加入的使用者資訊。
裝置位置資訊,例如裝置的即時地理定位及資產位置(由使用者設定以指示裝置所屬位置)。注意:預設情況下,裝置位置的資料收集是關閉的,但可在 WXP 設定頁面啟用。
|
使用者存取使用 HP 帳號與服務的認證與授權 | 安全憑證 | 使用者密碼、密碼提示及類似安全資訊,用於認證授權使用者存取 WXP 雲端入口網站帳號與服務。(僅限於使用 HP ID 時) |
資料分組
WXP 1 收集的裝置資料可能包含以下群組:
資料組 | 描述 |
硬體 | 包括電池、BIOS、磁碟、顯示/螢幕、圖形、庫存、記憶體、網路介面、即插即用(PnP)、處理器、系統時脈、系統插槽、散熱及系統效能資料。 |
軟體應用 | 包括合規、錯誤、庫存、效能、使用率及網頁應用程式使用率資料。 |
安全性 | 包括非報告裝置、作業系統修補程式發現/管理、裝置定位、裝置警報、鎖定與清除、安全政策設定、安全政策執行、安全威脅、儲存加密、使用者安全設定、Wi-Fi 配置,以及 Windows 資訊保護違規資料 |
Windows 事件日誌 | Windows 事件日誌提供系統、安全及應用程式通知的詳細 記錄,供 管理員用來診斷系統問題及預測未來問題。 |
HP 保固與保養包 | HP 護理包是針對您的 HP 電腦或印表機提供延長保固,標準保固過期後仍可涵蓋產品。 |
WXP 收集的用戶資料包括:
使用者電子郵件地址
最後登入使用者帳號
WXP 不收集以下類型的資料:
人口統計資訊(國家或語言偏好除外)
金融帳戶資訊、信用卡或金融卡號碼、信用紀錄或支付資料
社群媒體
政府核發的識別碼,如社會安全號碼、社會保險號碼或政府身分證
健康資訊
敏感資料如族裔來源、政治信仰、工會會員資格、健康資料、性取向及基因資料
自訂資料收集
自訂資料收集功能讓客戶能收集超出標準 WXP Insights 代理程式所能提供的裝置或系統資料。
誰可以使用:IT 管理員、合作夥伴管理員,以及擁有 WXP Pro 或 Elite 訂閱的合作夥伴服務專家。
收集哪些資料:完全由客戶透過上傳的腳本決定。例如,BIOS 版本、外掛和擴充功能。
責任:客戶對透過此功能收集的所有資料負責,包括確保依法收集、保護、儲存及使用,並遵守適用法律,包括資料保護及隱私法。HP 不控制或監控所收集的資料。
保留:報告可保留10天,除非重新啟動。
資料隱私
惠普在隱私與資料保護領域擁有長期的產業領導歷史。憑藉我們強大的產品與服務組合,我們共同支持客戶與合作夥伴保護個人資料的努力。在 WXP 分析方面,HP 扮演資料處理商的角色。請參閱 HP Privacy Central 的資料處理部分。作為一家全球性公司,您所提供的任何資訊都有可能依照惠普隱私聲明及國際資料傳輸章節列舉的國際隱私計畫,轉移至或被全球惠普實體存取。
資料隱私由全球各國的 惠普隱私政策 規範。本政策會定期更新,涵蓋以下主題:
我們的隱私原則
國際資料傳輸(包括歐盟-美國隱私盾牌資訊)
我們如何使用資料
我們收集哪些資料
兒童隱私
我們如何保存並保護您的資料安全
我們如何分享資料
惠普通訊
行使您的權利並與我們聯繫
隱私聲明變更
註
當使用者關閉 WXP 中的使用者個人資訊設定時,系統不會收集、處理或顯示與該裝置使用者關聯的最後登入使用者。查看在管理使用者偏好設定中停用使用者個人資訊設定切換的說明。
資料保留
資料保存是任何合規計畫中的重要環節,也是實現妥善資料管理的必要條件。HP 的資料保存政策包含以下資料保存最佳實務:
維護資料的時間超過必要時間,可能違反合約或法律要求,或影響安全性。
超過必要時間維持資料可能違反隱私法規,且是客戶最關心及銷售詢問的事項。
一旦資料被刪除,就沒有義務提供給客戶或執法單位。
美國及德國區域資料中心的所有資料在客戶停用後三十天內永久刪除。
U.S. Analytics 資料中心的資料,無論是結構化或非結構化儲存,皆於資料建立日起兩年後或客戶停用後三十天內永久刪除。由於 WXP 應用程式的分析套件是多個 HP 應用程式共用的單一套件,因此即使客戶被停用,美國分析資料中心的資料並不會永久刪除,因為同一客戶可能已註冊於其他 HP 應用程式;並且是在三年後才從資料建立的資料中刪除。
注意:傳送至美國分析資料中心的遙測資料會連結到裝置序號及系統產生的識別碼。這些資料在靜態時會加密,並依照惠普的資料保護與安全標準處理。.
資料儲存
WXP 的資料儲存僅限於付費用戶的用戶及裝置資訊。
美國及德國區域資料中心中所有儲存個人資料的資料庫均為加密。
美國身份管理資料中心中所有儲存個人資料的資料庫均為加密。
美國分析資料中心中的所有資料庫與非結構化儲存均為加密。
以下資料類型會在不同資料中心傳輸與儲存:
資料類別 | 美國區域賽 資料中心1 | 德國地區賽 資料中心2 | 美國分析 資料中心3 | 美國身份管理資料 中心3 |
帳號資料 | 是的 | 是的 | 不 | 不 |
應用資料 | 是的 | 是的 | 是的 | 不 |
聯絡資料 | 是的 | 是的 | 不 | 是的(如果使用 HP ID) |
裝置資料 | 是的 | 是的 | 是的 | 不 |
位置資料 | 是的 | 是的 | 是的 | 不 |
安全憑證資料 | 不 | 不 | 不 | 是的(如果使用 HP ID) |
非歐洲客戶
針對歐洲客戶
給所有顧客
歐盟資料法案合規 – 透過 WXP 入口網站存取客戶資料
歐盟資料法建立了一套框架,確保使用者(包括企業客戶)能取得其連網裝置與服務所產生的資料。HP 已將勞動力體驗平台(WXP)與這些需求對齊,讓客戶能透過 WXP 入口網站安全存取並下載其裝置遙測資料。
作為此合規計畫的一部分,客戶可以:
選擇與其裝置和服務相關的特定資料類別
定義資料檢索的時間範圍(最多18個月的歷史遙測)
一旦請求處理完成,系統會提供一個安全下載連結(有效期為 30 天),當資料準備好時,會在 WXP 通知中心發布警示通知。
欲了解更多資訊或查看如何提交或下載請求的說明,請參閱知識庫文章:根據 WXP 的歐盟資料法請求遙測資料。
服務監控與報告
WXP 定期提供服務更新,以提供最新功能與更新給客戶。WXP 也會透過各種方式通知客戶服務的排程或非排程更新與變更。對於計畫性中斷服務的事件,如維護服務,客戶會提前八小時通知。
為了提供最佳服務,HP 持續進行服務監控與報告。
服務監控
WXP 與代理會全天候 24 小時 7 天 365 天監控,以確保可靠性與效能。此外,網路效能與可用性監控持續進行。所有監控工具都會將任何問題、警告和問題直接導向服務工程師。例外會自動提交內部工單系統,視為需要確認的高優先級工作項目。
若超過門檻,將進行以下自動升級程序:
會發送電子郵件提醒給相應的值班支援工程師
會向值班工程師的行動裝置發送推播通知
會向作戰小組的分發名單發送電子郵件
WXP 採用多種監控工具,包括:
New Relic:監控系統的各個元件,更重要的是協助識別並除錯出現的瓶頸。大多數應用程式/服務都已為 Splunk 設計儀器,因此能提供持續的資料收集與近乎即時的效能指標。
Amazon CloudWatch:監控與配置、服務失敗及門檻達成(如記憶體消耗)相關的事件。事件會被審查並分類,以找出最重要的問題區域。根據優先順序,行動會立即或安排後續開發。會舉行事後檢討服務品質(QoS)會議,檢視發現、找出根本原因,並推動改進措施。
結論
惠普認識到威脅環境變化迅速。網路攻擊的演變始於1990年代末期的檔案刪除與網站破壞,隨後進入透過盜用憑證和勒索軟體來獲利階段。最近,攻擊由資金雄厚且意圖癱瘓電網、使數萬台電腦與行動裝置癱瘓的國家發動。
解決這些風險是惠普四十多年前開始的使命。HP 在安全威脅偵測與防護方面的創新傳承,加上持續以安全為核心的投資,影響了像 WXP 這類應用程式的設計。最終成果是建立在整合安全平台之上的安全雲端 IT 管理解決方案,涵蓋應用程式、實體資料中心及終端使用者存取。
WXP 內建安全功能,透過 HP Proactive Insights、HP Active Care 及其他由 WXP 驅動 的服務,為組織提供可信賴的工具,透過多層穩健的安全措施簡化裝置、資料與使用者的日常管理。