MyQ X met en œuvre une protection et un cryptage complets des données tout au long du cycle de vie du document, garantissant la confidentialité et l'intégrité depuis la soumission initiale de l'impression jusqu'à la sortie finale et l'archivage.
Mise en œuvre du chiffrement de bout en bout
MyQ X assure un chiffrement de bout en bout sur tous les canaux de communication et tous les points de stockage des données :
Canaux de communication cryptés : tout le trafic réseau utilise par défaut le cryptage TLS obligatoire, avec une version minimale de 1.2. Le protocole HTTPS est appliqué à toutes les interfaces web, aux communications de serveur à serveur et aux connexions client.
Sécurité basée sur des certificats : plusieurs modes de gestion des certificats prennent en charge les exigences organisationnelles, de l'autorité de certification embarquée à l'intégration PKI d'entreprise et aux certificats CA publics. Les clés privées sont protégées par des mots de passe générés aléatoirement et stockés sous forme cryptée dans la base de données Firebird.
Sécurité des protocoles : le cryptage TLS est appliqué aux protocoles SMTP, LDAP, RADIUS et SNMP, garantissant qu'aucune donnée sensible n'est transmise en clair.
Chiffrement des données au repos
MyQ X protège les données stockées grâce à plusieurs couches de chiffrement :
Chiffrement de la base de données : la base de données Firebird 4.0 prend en charge le chiffrement à l'aide de certificats personnalisés avec l'utilisation de clés améliorée (EKU) « Encrypting File System ». Les certificats doivent être stockés dans des magasins de certificats informatiques désignés, le magasin personnel étant préféré.
Protection du système de fichiers : les fichiers de travaux d'impression et de numérisation stockés sur le Print Server MyQ X peuvent être cryptés à l'aide de certificats personnalisés fournis par les administrateurs, ajoutant ainsi une couche de protection supplémentaire au-delà des autorisations du système de fichiers.
Chiffrement complet du disque : MyQ X prend en charge l'intégration avec des technologies de chiffrement complet du disque telles que Microsoft BitLocker afin de protéger toutes les données au repos sur le Print Server, y compris la base de données, les certificats et les fichiers temporaires.
Protection des données en transit (cryptage TLS)
MyQ X applique des normes de chiffrement TLS strictes pour toutes les communications réseau :
TLS 1.2 minimum : la configuration par défaut nécessite au minimum TLS 1.2, avec une mise à niveau optionnelle vers TLS 1.3 pour une sécurité et des performances accrues. Les protocoles hérités, notamment SSL et les anciennes versions de TLS, sont bloqués.
Gestion des suites de chiffrement : le système met en œuvre des suites de chiffrement robustes et désactive les algorithmes vulnérables afin de prévenir les attaques cryptographiques. Les communications SNMPv3 utilisent le chiffrement SHA1 et AES.
Validation des certificats : toutes les connexions TLS nécessitent une validation appropriée des certificats à l'aide de noms de domaine complets (FQDN) afin d'empêcher les attaques de type « man-in-the-middle ». START TLS est évité en raison des vulnérabilités MITM.
Chiffrement des travaux d'impression et stockage sécurisé
MyQ X fournit plusieurs mécanismes pour protéger les travaux d'impression tout au long de leur cycle de vie :
Libération sécurisée des impressions : les travaux d'impression sont stockés en toute sécurité sur le serveur MyQ jusqu'à ce que les utilisateurs s'authentifient sur l'appareil, ce qui empêche tout accès non autorisé aux documents se trouvant dans les bacs de sortie de l'imprimante.
Chiffrement des fichiers de travail : les administrateurs peuvent activer le chiffrement des travaux en fournissant des certificats personnalisés, garantissant ainsi que les fichiers de travail restent chiffrés lorsqu'ils sont stockés sur le serveur en attendant leur libération.
Files d'impression privées : pour les documents hautement confidentiels, les files d'impression privées suppriment automatiquement les travaux d'impression immédiatement après leur libération, éliminant ainsi le risque d'accès non autorisé prolongé.
Mode confidentialité : lorsqu'il est activé, le mode confidentialité masque les noms des documents à tous les utilisateurs, à l'exception du propriétaire du document, empêchant ainsi la divulgation d'informations par le biais des noms des travaux. Même les administrateurs ne peuvent pas voir les noms des travaux des autres utilisateurs.
Améliorations du chiffrement de la base de données
La mise en œuvre de la base de données Firebird 4.0 offre des capacités de chiffrement avancées :
Chiffrement par certificat personnalisé : les fichiers de base de données sont chiffrés à l'aide de certificats avec EFS Extended Key Usage, offrant une protection solide contre les accès non autorisés à la base de données.
Protection par mot de passe : les mots de passe de la base de données sont masqués dans les fichiers journaux, ce qui empêche l'exposition des informations d'identification lors des activités de dépannage et de surveillance.
Renforcement des autorisations : le dossier de données MyQ, qui contient la base de données des utilisateurs et les clés privées des certificats TLS, est réservé aux administrateurs, au SYSTÈME et au compte de service MyQ, supprimant ainsi l'accès en lecture par défaut pour tous les utilisateurs.
Chiffrement des sauvegardes et stockage sécurisé
MyQ X garantit que les sauvegardes maintiennent le même niveau de sécurité que les données de production :
Sauvegardes cryptées : les sauvegardes de la base de données sont protégées par des mots de passe sécurisés générés de manière aléatoire qui empêchent toute restauration ou tout accès non autorisé aux fichiers de sauvegarde.
Stockage sécurisé des sauvegardes : les fichiers de sauvegarde doivent être stockés dans des emplacements sécurisés avec des contrôles d'accès appropriés et un chiffrement au repos afin de préserver la confidentialité des données pendant le cycle de vie de la sauvegarde.
Politiques de gestion et de rotation des clés
MyQ X met en œuvre des pratiques de gestion sécurisée des clés :
Rotation des certificats : les certificats peuvent être régulièrement renouvelés conformément aux politiques de sécurité de l'organisation, avec prise en charge du déploiement automatisé via la stratégie de groupe ou la gestion des appareils mobiles.
Protection des clés privées : toutes les clés privées pour les certificats et les opérations CA sont protégées par des mots de passe générés de manière aléatoire et stockés sous forme cryptée dans la base de données.
Rotation des secrets API : les secrets client REST API doivent faire l'objet d'une rotation périodique afin de maintenir la sécurité. Le système prend en charge le renouvellement des secrets sans interruption de service.
Minimisation des données et confidentialité dès la conception
MyQ X met en œuvre les principes de confidentialité dès la conception conformes au RGPD :
Collecte de données limitée : le système ne collecte que les métadonnées essentielles nécessaires au fonctionnement opérationnel, évitant ainsi le traitement inutile de données personnelles qui pourrait augmenter les risques liés à la confidentialité.
Suppression automatique : les administrateurs peuvent configurer des périodes de suppression automatique pour les fichiers d'impression et de numérisation, garantissant ainsi que les données ne sont conservées que pendant la durée nécessaire à des fins professionnelles.
Droits des utilisateurs sur leurs données : mise en œuvre complète des droits des utilisateurs prévus par le RGPD, notamment l'accès aux données, l'anonymisation et le droit à l'oubli, avec des avis de confidentialité personnalisables sur les interfaces utilisateur.
Gestion des sessions : la fonctionnalité de déconnexion automatique garantit que les sessions des utilisateurs sont correctement terminées, empêchant ainsi tout accès non autorisé via des sessions abandonnées.
Ce cadre complet de protection et de cryptage des données garantit que MyQ X maintient les normes les plus élevées en matière de confidentialité et d'intégrité des données, tout en prenant en charge les exigences de conformité réglementaire dans divers environnements organisationnels.