Carta bianca sulla sicurezza dei dati di MyQ Roger
Introduzione
Lo scopo di questo documento è quello di informare i clienti di MyQ Roger sui processi che comportano la creazione di connessioni nel sistema e sulle misure di sicurezza adottate per proteggere il conseguente trasferimento di dati. Il documento fornisce inoltre alcune risorse aggiuntive con maggiori informazioni sulla sicurezza messa in atto da Microsoft per la piattaforma cloud pubblica Azure.
Informazioni generali
La sicurezza del cloud per MyQ Roger è stata progettata tenendo conto di tutti i più importanti standard e best practice del settore.
Sono tre i software che compongono il prodotto MyQ Roger:
il server MyQ Roger, in esecuzione su Microsoft Azure (centri dati situati in Irlanda e negli Stati Uniti)
il client MyQ Roger embedded (EMB), in esecuzione sul MFP
l'applicazione mobile MyQ Roger, in esecuzione sullo smartphone dell'utente
il client MyQ Roger, in esecuzione sul computer dell'utente.
Tutte queste parti del software si connettono tra loro tramite la porta 443 (https://).
Il server MyQ Roger utilizza i nomi di host https://discovery.myq.cloud/regions, https://eu.roger.myq.cloud e amqps://eu.amqp.myq.cloud.
Verifica dell'utente con il server attraverso il client EMB
Il client EMB è un'applicazione MyQ installata sull'hardware della stampante multifunzione, che funge da interfaccia utente. La comunicazione tra il server Roger basato su cloud e il client EMB viene stabilita per verificare e autenticare l'utente dato con il server MyQ Roger (database) e per confermare la gamma di azioni e diritti disponibili per quell'utente all'interno del sistema MyQ Roger.
L'utente inizia la sessione scansionando un codice QR dinamico dal pannello a sfioramento del MFP con l'applicazione mobile MyQ Roger. Questo richiede l'apertura di una connessione sicura tra il client EMB e il server MyQ Roger. Il protocollo di sicurezza utilizzato è TLS 1.2 e tutti i certificati pertinenti vengono verificati per ogni sessione utente utilizzando Laboratori SSL, dove la valutazione complessiva di MyQ Roger è A+ (equivalente alla sicurezza dell'internet banking).
L'autenticazione dell'utente (e del client EMB) avviene in due fasi:
Il client EMB si verifica con il server Roger in conformità con le regole del Concessione dell'autorizzazione del dispositivo OAuth 2.0. Il server è ora pronto a rilasciare i lavori in coda dell'utente sul sistema multifunzione.
Il client EMB esegue una richiesta di comando in conformità con l'impostazione di Proprietario della risorsa Password Credenziali Concessione. L'utente può ora inviare nuovi lavori di stampa da OneDrive o dall'archivio locale ed eseguire operazioni di scansione sul multifunzione.
Dopo aver eseguito questi due passaggi, il client EMB ottiene il diritto di chiamare le funzioni disponibili per l'utente autenticato, a nome dell'utente stesso.
Gettoni di autenticazione
Quando l'utente è autorizzato dal server Roger, quest'ultimo emette un codice univoco Token di accesso - una serie di byte impossibili da violare. Durante la durata del token, che è di circa 20 minuti, gli utenti possono accedere alle funzioni di MyQ Roger senza dover reinserire le credenziali ogni volta che compiono un'altra azione. I token offrono anche un secondo livello di sicurezza alla connessione.
MyQ Roger supporta anche Gettoni di aggiornamento che hanno una durata maggiore rispetto ai token di accesso (3 mesi). L'MFP utilizza un token di aggiornamento con scadenza mobile di 3 mesi. Se l'MFP non viene utilizzato durante questo periodo, viene disconnesso dal tenant e non consente agli utenti di accedere a MyQ Roger finché non viene riconnesso.
Accesso ai dati e conservazione dei dati
Quando si collega l'applicazione MyQ Roger a OneDrive for Business dell'utente, quest'ultimo concede a MyQ Roger il diritto di sfogliare e salvare nelle cartelle "Stampa" e "Scansione" (queste vengono create da MyQ Roger se non esistono prima della connessione). Tuttavia, MyQ Roger richiederà l'accesso all'intero OneDrive dell'utente, come le altre applicazioni, a causa di una limitazione di Microsoft. I documenti stampati o scansionati non vengono trasferiti attraverso il server di MyQ Roger, che non ne modifica o memorizza il contenuto in alcun modo. Il server si limita a verificare i profili di scansione e le funzioni di stampa disponibili per l'utente. Lo scambio dei dati dei documenti avviene solo tra il servizio cloud connesso dell'utente (OneDrive for Business da aprile 2021) e il multifunzione, che di solito dispone di strumenti di crittografia propri, a seconda delle preferenze del cliente.
MyQ conserva le seguenti informazioni su lavori di stampa:
Indirizzo e-mail dell'utente
Nome completo o nome utente dell'utente
Codice PIN/password dell'utente (hash)
Nome del file del documento stampato
MyQ conserva le seguenti informazioni su lavori di scansione:
timestamp della scansione
Tutti i dati conservati sono soggetti alle leggi e ai regolamenti vigenti (ad es. GDPR).
Risorse del cloud pubblico Microsoft Azure sulla sicurezza dei dati
I dati contenuti in OneDrive for Business dell'utente sono protetti da Microsoft, in quanto fornitore del servizio cloud Azure. Il whitepaper di Microsoft sulla sicurezza del cloud dal 31/03/2021 è disponibile qui: "Abilitazione della residenza e della protezione dei dati nelle regioni di Microsoft Azure", e copre i seguenti argomenti (oltre ad altri):
Come Microsoft protegge i dati dei clienti da accessi non autorizzati e come gestisce e contesta le richieste governative e altri ordini di terzi.
Le rigorose politiche e pratiche seguite da Microsoft per la conservazione e l'eliminazione dei dati dei clienti.
Come la conformità di Microsoft alle normative e agli standard sulla privacy aiuta a proteggere la riservatezza dei dati dei clienti
Ulteriori istruzioni su come proteggere l'ambiente aziendale del cliente in Microsoft Azure sono disponibili nel documento Centro sicurezza Azure.