MyQ X implementa una protección y cifrado de datos completos a lo largo de todo el ciclo de vida del documento, lo que garantiza la confidencialidad y la integridad desde el envío inicial de la impresión hasta la salida final y el archivo.
Implementación de cifrado de extremo a extremo
MyQ X proporciona cifrado de extremo a extremo en todos los canales de comunicación y puntos de almacenamiento de datos:
Canales de comunicación cifrados: todo el tráfico de red utiliza cifrado TLS obligatorio con una versión mínima de 1.2 por defecto. Se aplica HTTPS para todas las interfaces web, la comunicación entre servidores y las conexiones de clientes.
Seguridad basada en certificados: los múltiples modos de gestión de certificados admiten los requisitos de la organización, desde la autoridad de certificación integrada hasta la integración de PKI corporativa y los certificados CA públicos. Las claves privadas están protegidas por contraseñas generadas aleatoriamente y almacenadas de forma cifrada en la base de datos Firebird.
Seguridad de protocolos: el cifrado TLS se aplica en los protocolos SMTP, LDAP, RADIUS y SNMP, lo que garantiza que no se transmitan datos confidenciales en texto claro.
Cifrado de datos en reposo
MyQ X protege los datos almacenados mediante múltiples capas de cifrado:
Cifrado de bases de datos: la base de datos Firebird 4.0 admite el cifrado mediante certificados personalizados con el uso mejorado de claves (EKU) del «sistema de cifrado de archivos». Los certificados deben ubicarse en almacenes de certificados informáticos designados, preferiblemente en el almacén personal.
Protección del sistema de archivos: los archivos de trabajos de impresión y escaneo almacenados en el Print Server MyQ X se pueden cifrar utilizando certificados personalizados proporcionados por los administradores, lo que añade una capa adicional de protección más allá de los permisos del sistema de archivos.
Cifrado completo del disco: MyQ X admite la integración con tecnologías de cifrado completo del disco, como Microsoft BitLocker, para proteger todos los datos en reposo en el Print Server, incluida la base de datos, los certificados y los archivos temporales.
Protección de datos en tránsito (cifrado TLS)
MyQ X aplica estrictas normas de cifrado TLS para todas las comunicaciones de red:
Mínimo TLS 1.2: la configuración predeterminada requiere como mínimo TLS 1.2, con una actualización opcional a TLS 1.3 para mejorar la seguridad y el rendimiento. Se bloquean los protocolos heredados, incluidos SSL y versiones anteriores de TLS.
Gestión de conjuntos de cifrado: el sistema implementa conjuntos de cifrado robustos y desactiva los algoritmos vulnerables para evitar ataques criptográficos. Las comunicaciones SNMPv3 utilizan cifrado SHA1 y AES.
Validación de certificados: todas las conexiones TLS requieren una validación adecuada de los certificados mediante nombres de dominio completos (FQDN) para evitar ataques de tipo «man-in-the-middle». Se evita START TLS debido a las vulnerabilidades MITM.
Cifrado de trabajos de impresión y almacenamiento seguro
MyQ X proporciona múltiples mecanismos para proteger los trabajos de impresión a lo largo de su ciclo de vida:
Liberación segura de impresiones: los trabajos de impresión se almacenan de forma segura en el servidor MyQ hasta que los usuarios se autentican en el dispositivo, lo que evita el acceso no autorizado a los documentos que se encuentran en las bandejas de salida de la impresora.
Cifrado de archivos de trabajo: los administradores pueden habilitar el cifrado de trabajos proporcionando certificados personalizados, lo que garantiza que los archivos de trabajo de impresión permanezcan cifrados mientras se almacenan en el servidor a la espera de su liberación.
Colas privadas: en el caso de documentos altamente confidenciales, las colas privadas eliminan automáticamente los trabajos de impresión inmediatamente después de su liberación, lo que elimina el riesgo de acceso no autorizado prolongado.
Modo de privacidad: cuando se habilita, el modo de privacidad oculta los nombres de los documentos a todos los usuarios excepto al propietario del documento, lo que evita la divulgación de información a través de los nombres de los trabajos. Ni siquiera los administradores pueden ver los nombres de los trabajos de otros usuarios.
Mejoras en el cifrado de bases de datos
La implementación de la base de datos Firebird 4.0 proporciona capacidades de cifrado avanzadas:
Cifrado de certificados personalizados: los archivos de la base de datos se cifran utilizando certificados con EFS Extended Key Usage, lo que proporciona una sólida protección contra el acceso no autorizado a la base de datos.
Protección con contraseña: las contraseñas de la base de datos se ocultan en los archivos de registro, lo que evita la exposición de las credenciales durante las actividades de resolución de problemas y supervisión.
Fortalecimiento de permisos: la carpeta de datos de MyQ, que contiene la base de datos de usuarios y las claves privadas de los certificados TLS, está restringida únicamente a los administradores, al SISTEMA y a la cuenta de servicio de MyQ, lo que elimina el acceso de lectura predeterminado para todos los usuarios.
Cifrado de copias de seguridad y almacenamiento seguro
MyQ X garantiza que las copias de seguridad mantengan el mismo nivel de seguridad que los datos de producción:
Copias de seguridad cifradas: Las copias de seguridad de la base de datos están protegidas por contraseñas seguras generadas aleatoriamente que impiden la restauración o el acceso no autorizado a los archivos de copia de seguridad.
Almacenamiento seguro de copias de seguridad: los archivos de copia de seguridad deben almacenarse en ubicaciones seguras con controles de acceso adecuados y cifrado en reposo para mantener la confidencialidad de los datos durante el ciclo de vida de la copia de seguridad.
Políticas de gestión y rotación de claves
MyQ X implementa prácticas seguras de gestión de claves:
Rotación de certificados: los certificados se pueden rotar periódicamente de acuerdo con las políticas de seguridad de la organización, con soporte para la implementación automatizada a través de la política de grupo o la gestión de dispositivos móviles.
Protección de claves privadas: Todas las claves privadas para certificados y operaciones de CA están protegidas por contraseñas generadas aleatoriamente y almacenadas de forma cifrada en la base de datos.
Rotación de secretos de API: los secretos de cliente de la API REST deben someterse a una rotación periódica para mantener la seguridad. El sistema admite la renovación de secretos sin interrupción del servicio.
Minimización de datos y privacidad desde el diseño
MyQ X implementa principios de privacidad desde el diseño que cumplen con el RGPD:
Recopilación de datos limitada: el sistema recopila solo los metadatos esenciales necesarios para la funcionalidad operativa, evitando el procesamiento innecesario de datos personales que podría aumentar los riesgos de privacidad.
Eliminación automática: los administradores pueden configurar períodos de eliminación automática para los archivos de trabajos de impresión y escaneo, lo que garantiza que los datos se conserven solo durante el tiempo necesario para fines comerciales.
Derechos de los datos de los usuarios: implementación completa de los derechos de los usuarios del RGPD, incluidos el acceso a los datos, la anonimización y el derecho al olvido, con avisos de privacidad personalizables en las interfaces de usuario.
Gestión de sesiones: la función de cierre de sesión automático garantiza que las sesiones de los usuarios se cierren correctamente, lo que evita el acceso no autorizado a través de sesiones abandonadas.
Este completo marco de protección y cifrado de datos garantiza que MyQ X mantenga los más altos estándares de confidencialidad e integridad de los datos, al tiempo que cumple con los requisitos normativos en diversos entornos organizativos.