MyQ X implementiert umfassenden Datenschutz und Verschlüsselung während des gesamten Dokumentlebenszyklus und gewährleistet so Vertraulichkeit und Integrität vom ersten Druckauftrag bis zur endgültigen Ausgabe und Archivierung.
End-to-End-Verschlüsselung
MyQ X bietet eine End-to-End-Verschlüsselung über alle Kommunikationskanäle und Datenspeicherpunkte hinweg:
Verschlüsselte Kommunikationskanäle: Der gesamte Netzwerkverkehr nutzt standardmäßig die obligatorische TLS-Verschlüsselung mit mindestens Version 1.2. HTTPS wird für alle Webschnittstellen, die Kommunikation zwischen Servern und Client-Verbindungen erzwungen.
Zertifikatsbasierte Sicherheit: Mehrere Zertifikatsverwaltungsmodi unterstützen organisatorische Anforderungen, von der integrierten Zertifizierungsstelle bis hin zur Integration von Unternehmens-PKI und öffentlichen CA-Zertifikaten. Private Schlüssel werden durch zufällig generierte Passwörter geschützt, die in verschlüsselter Form in der Firebird-Datenbank gespeichert sind.
Protokollsicherheit: Die TLS-Verschlüsselung wird für die Protokolle SMTP, LDAP, RADIUS und SNMP erzwungen, um sicherzustellen, dass keine sensiblen Daten im Klartext übertragen werden.
Verschlüsselung ruhender Daten
MyQ X schützt gespeicherte Daten durch mehrere Verschlüsselungsebenen:
Datenbankverschlüsselung: Die Firebird 4.0-Datenbank unterstützt die Verschlüsselung mit benutzerdefinierten Zertifikaten mit „Encrypting File System“ Enhanced Key Usage (EKU). Zertifikate müssen sich in bestimmten Zertifikatsspeichern des Computers befinden, wobei der persönliche Speicher bevorzugt wird.
Dateisystemschutz: Auf dem MyQ X Print Server gespeicherte Druck- und Scanauftragsdateien können mit benutzerdefinierten Zertifikaten verschlüsselt werden, die von Administratoren bereitgestellt werden und einen zusätzlichen Schutz über die Dateisystemberechtigungen hinaus bieten.
Vollständige Festplattenverschlüsselung: MyQ X unterstützt die Integration mit Technologien zur vollständigen Festplattenverschlüsselung wie Microsoft BitLocker, um alle auf dem Print Server gespeicherten Daten zu schützen, einschließlich der Datenbank, Zertifikate und temporären Dateien.
Schutz von Daten während der Übertragung (TLS-Verschlüsselung)
MyQ X erzwingt strenge TLS-Verschlüsselungsstandards für die gesamte Netzwerkkommunikation:
Mindestens TLS 1.2: Die Standardkonfiguration erfordert mindestens TLS 1.2, mit optionalem Upgrade auf TLS 1.3 für verbesserte Sicherheit und Leistung. Ältere Protokolle wie SSL und ältere TLS-Versionen werden blockiert.
Cipher Suite Management: Das System implementiert starke Verschlüsselungssuiten und deaktiviert anfällige Algorithmen, um kryptografische Angriffe zu verhindern. SNMPv3-Kommunikationen verwenden SHA1- und AES-Verschlüsselung.
Zertifikatsvalidierung: Alle TLS-Verbindungen erfordern eine ordnungsgemäße Zertifikatsvalidierung unter Verwendung vollqualifizierter Domänennamen (FQDN), um Man-in-the-Middle-Angriffe zu verhindern. START TLS wird aufgrund von MITM-Schwachstellen vermieden.
Verschlüsselung und sichere Speicherung von Druckaufträgen
MyQ X bietet mehrere Mechanismen zum Schutz von Druckaufträgen während ihres gesamten Lebenszyklus:
Sichere Druckfreigabe: Druckaufträge werden sicher auf dem MyQ-Server gespeichert, bis sich Benutzer am Gerät authentifizieren, wodurch unbefugter Zugriff auf Dokumente in den Ausgabefächern des Druckers verhindert wird.
Verschlüsselung von Auftragsdateien: Administratoren können die Auftragsverschlüsselung durch Bereitstellung benutzerdefinierter Zertifikate aktivieren, um sicherzustellen, dass Druckauftragsdateien während der Speicherung auf dem Server bis zur Freigabe verschlüsselt bleiben.
Private Warteschlangen: Bei streng vertraulichen Dokumenten löschen private Warteschlangen Druckaufträge automatisch unmittelbar nach der Freigabe, wodurch das Risiko eines längeren unbefugten Zugriffs ausgeschlossen wird.
Datenschutzmodus: Wenn der Datenschutzmodus aktiviert ist, werden Dokumentnamen für alle Benutzer außer dem Dokumentbesitzer maskiert, wodurch die Offenlegung von Informationen durch Auftragsnamen verhindert wird. Selbst Administratoren können die Auftragsnamen anderer Benutzer nicht einsehen.
Verbesserungen bei der Datenbankverschlüsselung
Die Firebird 4.0-Datenbankimplementierung bietet erweiterte Verschlüsselungsfunktionen:
Benutzerdefinierte Zertifikatsverschlüsselung: Datenbankdateien werden mit Zertifikaten mit EFS Extended Key Usage verschlüsselt, was einen starken Schutz vor unbefugtem Datenbankzugriff bietet.
Passwortschutz: Datenbankpasswörter werden in Protokolldateien verschleiert, wodurch die Offenlegung von Anmeldedaten während der Fehlerbehebung und Überwachung verhindert wird.
Verschärfte Berechtigungen: Der MyQ-Datenordner, der die Benutzerdatenbank und die privaten TLS-Zertifikatsschlüssel enthält, ist nur für Administratoren, SYSTEM und das MyQ-Dienstkonto zugänglich, wodurch der standardmäßige Lesezugriff für alle Benutzer aufgehoben wird.
Sicherheitsverschlüsselung und sichere Speicherung
MyQ X stellt sicher, dass Backups das gleiche Sicherheitsniveau wie Produktionsdaten aufweisen:
Verschlüsselte Backups: Datenbank-Backups werden durch sichere, zufällig generierte Passwörter geschützt, die eine unbefugte Wiederherstellung oder den Zugriff auf Backup-Dateien verhindern.
Sichere Speicherung von Backups: Backup-Dateien sollten an sicheren Orten mit geeigneten Zugriffskontrollen und Verschlüsselung im Ruhezustand gespeichert werden, um die Vertraulichkeit der Daten während des gesamten Backup-Lebenszyklus zu gewährleisten.
Richtlinien für die Schlüsselverwaltung und -rotation
MyQ X implementiert sichere Schlüsselverwaltungsverfahren:
Zertifikatsrotation: Zertifikate können gemäß den Sicherheitsrichtlinien des Unternehmens regelmäßig rotiert werden, wobei die automatisierte Bereitstellung über Gruppenrichtlinien oder die Verwaltung mobiler Geräte unterstützt wird.
Schutz privater Schlüssel: Alle privaten Schlüssel für Zertifikate und CA-Vorgänge werden durch zufällig generierte Passwörter geschützt, die in verschlüsselter Form in der Datenbank gespeichert sind.
Rotation von API-Geheimnissen: REST-API-Client-Geheimnisse sollten regelmäßig rotiert werden, um die Sicherheit zu gewährleisten. Das System unterstützt die Geheimnisrotation ohne Unterbrechung des Dienstes.
Datenminimierung und eingebauter Datenschutz
MyQ X implementiert die Grundsätze des Datenschutzes durch Technikgestaltung gemäß der DSGVO:
Begrenzte Datenerfassung: Das System erfasst nur die für die Betriebsfunktionalität erforderlichen Metadaten und vermeidet so die unnötige Verarbeitung personenbezogener Daten, die das Datenschutzrisiko erhöhen könnte.
Automatische Löschung: Administratoren können automatische Löschfristen für Druck- und Scan-Auftragsdateien konfigurieren, um sicherzustellen, dass Daten nur so lange aufbewahrt werden, wie es für geschäftliche Zwecke erforderlich ist.
Rechte der Nutzer: Vollständige Umsetzung der Nutzerrechte gemäß DSGVO, einschließlich Datenzugriff, Anonymisierung und Recht auf Vergessenwerden, mit anpassbaren Datenschutzhinweisen auf den Benutzeroberflächen.
Sitzungsmanagement: Die automatische Abmeldefunktion stellt sicher, dass Benutzersitzungen ordnungsgemäß beendet werden, und verhindert so unbefugten Zugriff über verlassene Sitzungen.
Dieses umfassende Datenschutz- und Verschlüsselungsframework stellt sicher, dass MyQ X die höchsten Standards für Datenvertraulichkeit und -integrität einhält und gleichzeitig die gesetzlichen Compliance-Anforderungen in verschiedenen Unternehmensumgebungen unterstützt.