Livre blanc sur la sécurité des données de MyQ Roger
Introduction
L'objectif de ce document est d'informer les clients de MyQ Roger sur les processus qui impliquent l'établissement de connexions dans le système et sur les mesures de sécurité prises pour protéger le transfert de données qui en découle. Le document fournit également quelques ressources supplémentaires avec plus d'informations sur la sécurité mise en place par Microsoft pour la plateforme de cloud public Azure.
Informations générales
La sécurité du cloud pour MyQ Roger a été conçue en tenant compte des normes et des meilleures pratiques les plus pertinentes de l'industrie.
Le produit MyQ Roger se compose de trois types de logiciels:
le serveur MyQ Roger, fonctionnant dans Microsoft Azure (centres de données situés en Irlande et aux États-Unis)
le client MyQ Roger embedded (EMB), fonctionnant sur le MFP
l'application mobile MyQ Roger, fonctionnant sur le smartphone de l'utilisateur
le MyQ Roger Client, qui fonctionne sur l'ordinateur de l'utilisateur.
Toutes ces parties du logiciel établissent une connexion entre elles via le port 443 (https://).
Le serveur MyQ Roger utilise les noms d'hôtes suivants https://discovery.myq.cloud/regions, https://eu.roger.myq.cloud et amqps://eu.amqp.myq.cloud.
Vérification de l'utilisateur auprès du serveur par l'intermédiaire du client EMB
Le client EMB est une application MyQ installée sur le matériel de l'imprimante multifonction, servant d'interface utilisateur. La communication entre le serveur Roger basé dans le nuage et le client EMB est établie afin de vérifier et d'authentifier l'utilisateur donné avec le serveur MyQ Roger (base de données) et de confirmer la gamme d'actions et de droits disponibles pour cet utilisateur au sein du système MyQ Roger.
L'utilisateur lance la session en scannant un code QR dynamique sur l'écran tactile du MFP avec l'application mobile MyQ Roger. Cela entraîne l'ouverture d'une connexion sécurisée entre le client EMB et le serveur MyQ Roger. Le protocole de sécurité utilisé est le suivant TLS 1.2et tous les certificats pertinents sont vérifiés pour chaque session d'utilisateur à l'aide de l'application SSL Labs la note globale de MyQ Roger est de A+ (équivalente à la sécurité des services bancaires en ligne).
L'authentification de l'utilisateur (et du client EMB) se fait en deux étapes:
Le client EMB se vérifie auprès du serveur Roger conformément à la norme Octroi de l'autorisation OAuth 2.0 pour les appareils. Le serveur est maintenant prêt à libérer les travaux en file d'attente de l'utilisateur sur le MFP.
Le client de l'EMB effectue une demande de commande en conformité avec le Propriétaire de la ressource Mot de passe Informations d'identification Octroi. L'utilisateur peut désormais soumettre de nouveaux travaux d'impression à partir de son OneDrive ou de son stockage local et effectuer des opérations de numérisation sur le MFP.
Après ces deux étapes, le client de l'EMB obtient le droit d'appeler les fonctions disponibles pour l'utilisateur authentifié, au nom de ce dernier.
Jetons d'authentification
Lorsque l'utilisateur est autorisé par le serveur Roger, ce dernier lui attribue un numéro d'identification unique. Jeton d'accès - une série d'octets qu'il est impossible d'enfreindre. Pendant la durée de vie du jeton, qui est d'environ 20 minutes, les utilisateurs peuvent accéder aux fonctions de MyQ Roger sans avoir à saisir à nouveau leurs informations d'identification à chaque fois qu'ils effectuent une autre action. Les jetons offrent également une deuxième couche de sécurité à la connexion.
MyQ Roger prend également en charge Jetons de rafraîchissement qui ont une durée de vie plus longue que les jetons d'accès (3 mois). Le MFP utilise un jeton de rafraîchissement avec une expiration glissante de 3 mois. Si le MFP n'est pas utilisé pendant cette période, il est déconnecté du locataire et ne permettra pas aux utilisateurs d'accéder à MyQ Roger jusqu'à ce qu'il soit reconnecté.
Accès aux données et conservation des données
Lors de la connexion de l'application MyQ Roger au OneDrive for Business de l'utilisateur, ce dernier accorde à MyQ Roger le droit de naviguer et d'enregistrer dans les dossiers "Imprimer" et "Scanner" (ils sont créés par MyQ Roger s'ils n'existent pas avant la connexion). MyQ Roger demandera cependant l'accès à l'ensemble du OneDrive de l'utilisateur, tout comme d'autres applications - ceci est dû à une limitation de Microsoft. Les documents imprimés ou scannés ne sont pas transférés via le serveur MyQ Roger, qui ne modifie ni ne stocke leur contenu de quelque manière que ce soit. Le serveur vérifie uniquement les profils de numérisation et les fonctions d'impression disponibles pour l'utilisateur. L'échange de données documentaires se fait uniquement entre le service cloud connecté de l'utilisateur (OneDrive for Business à partir d'avril 2021) et le MFP, qui dispose généralement de ses propres outils de cryptage, en fonction des préférences du client.
MyQ conserve les informations suivantes concernant travaux d'impression:
Adresse électronique de l'utilisateur
Nom complet ou nom d'utilisateur de l'utilisateur
Code PIN/mot de passe de l'utilisateur (haché)
Nom du fichier du document imprimé
MyQ conserve les informations suivantes concernant emplois dans le domaine de la numérisation:
horodatage de l'analyse
Toutes les données conservées sont soumises aux lois et réglementations en vigueur (par exemple, le GDPR).
Ressources de Microsoft Azure Public Cloud sur la sécurité des données
Les données contenues dans le OneDrive for Business de l'utilisateur sont protégées par Microsoft, en tant que fournisseur du service en nuage Azure. Le livre blanc de Microsoft sur la sécurité du cloud à partir du 31/03/2021 est disponible ici: "Activation de la résidence et de la protection des données dans les régions Microsoft Azure"Il couvre les sujets suivants (entre autres):
Comment Microsoft protège les données des clients contre les accès non autorisés et comment Microsoft traite et conteste les demandes gouvernementales et autres ordres de tiers.
Les politiques et pratiques strictes de Microsoft en matière de conservation et de suppression des données des clients
Comment la conformité de Microsoft aux réglementations et normes en matière de protection de la vie privée contribue à protéger la confidentialité des données des clients
Pour plus d'informations sur la protection de l'environnement professionnel du client dans Microsoft Azure, veuillez consulter la section Centre de sécurité Azure.