MyQ X implementa una protezione e una crittografia complete dei dati durante l'intero ciclo di vita del documento, garantendo la riservatezza e l'integrità dalla richiesta di stampa iniziale fino all'output finale e all'archiviazione.
Implementazione della crittografia end-to-end
MyQ X fornisce una crittografia end-to-end su tutti i canali di comunicazione e i punti di archiviazione dei dati:
Canali di comunicazione crittografati: tutto il traffico di rete utilizza la crittografia TLS obbligatoria con versione minima 1.2 per impostazione predefinita. HTTPS è applicato a tutte le interfacce web, alle comunicazioni da server a server e alle connessioni client.
Sicurezza basata su certificati: diverse modalità di gestione dei certificati supportano i requisiti organizzativi, dall'autorità di certificazione integrata all'integrazione PKI aziendale e ai certificati CA pubblici. Le chiavi private sono protette da password generate in modo casuale e memorizzate in forma crittografata nel database Firebird.
Sicurezza del protocollo: la crittografia TLS è applicata ai protocolli SMTP, LDAP, RADIUS e SNMP, garantendo che nessun dato sensibile venga trasmesso in chiaro.
Crittografia dei dati inattivi
MyQ X protegge i dati archiviati attraverso più livelli di crittografia:
Crittografia del database: il database Firebird 4.0 supporta la crittografia utilizzando certificati personalizzati con "Encrypting File System" Enhanced Key Usage (EKU). I certificati devono essere collocati in archivi di certificati designati, preferibilmente nell'archivio personale.
Protezione del file system: i file dei lavori di stampa e scansione archiviati sul Print Server MyQ X possono essere crittografati utilizzando certificati personalizzati forniti dagli amministratori, aggiungendo un ulteriore livello di protezione oltre alle autorizzazioni del file system.
Crittografia completa del disco: MyQ X supporta l'integrazione con tecnologie di crittografia completa del disco come Microsoft BitLocker per proteggere tutti i dati inattivi sul Print Server, inclusi database, certificati e file temporanei.
Protezione dei dati in transito (crittografia TLS)
MyQ X applica rigorosi standard di crittografia TLS per tutte le comunicazioni di rete:
TLS 1.2 minimo: la configurazione predefinita richiede almeno TLS 1.2, con aggiornamento opzionale a TLS 1.3 per una maggiore sicurezza e prestazioni migliori. I protocolli legacy, inclusi SSL e versioni TLS precedenti, sono bloccati.
Gestione delle suite di cifratura: il sistema implementa suite di cifratura avanzate e disabilita gli algoritmi vulnerabili per prevenire attacchi crittografici. Le comunicazioni SNMPv3 utilizzano la crittografia SHA1 e AES.
Convalida dei certificati: tutte le connessioni TLS richiedono una corretta convalida dei certificati utilizzando nomi di dominio completi (FQDN) per prevenire attacchi man-in-the-middle. START TLS viene evitato a causa delle vulnerabilità MITM.
Crittografia dei lavori di stampa e archiviazione sicura
MyQ X fornisce diversi meccanismi per proteggere i lavori di stampa durante il loro ciclo di vita:
Rilascio sicuro della stampa: i lavori di stampa vengono archiviati in modo sicuro sul server MyQ fino a quando gli utenti non effettuano l'autenticazione sul dispositivo, impedendo l'accesso non autorizzato ai documenti presenti nei vassoi di uscita della stampante.
Crittografia dei file di lavoro: gli amministratori possono abilitare la crittografia dei lavori fornendo certificati personalizzati, garantendo che i file dei lavori di stampa rimangano crittografati mentre sono archiviati sul server in attesa di essere rilasciati.
Code private: per i documenti altamente riservati, le code private eliminano automaticamente i lavori di stampa subito dopo il rilascio, eliminando il rischio di un accesso non autorizzato prolungato.
Modalità privacy: quando è abilitata, la modalità privacy nasconde i nomi dei documenti a tutti gli utenti tranne al proprietario del documento, impedendo la divulgazione di informazioni attraverso i nomi dei lavori. Anche gli amministratori non possono visualizzare i nomi dei lavori di altri utenti.
Miglioramenti alla crittografia del database
L'implementazione del database Firebird 4.0 offre funzionalità di crittografia avanzate:
Crittografia con certificati personalizzati: i file del database vengono crittografati utilizzando certificati con EFS Extended Key Usage, fornendo una protezione efficace contro l'accesso non autorizzato al database.
Protezione con password: le password del database sono oscurate nei file di log, impedendo l'esposizione delle credenziali durante le attività di risoluzione dei problemi e monitoraggio.
Rafforzamento delle autorizzazioni: la cartella dati MyQ, contenente il database degli utenti e le chiavi private dei certificati TLS, è limitata solo agli amministratori, al SISTEMA e all'account di servizio MyQ, rimuovendo l'accesso di lettura predefinito per tutti gli utenti.
Crittografia dei backup e archiviazione sicura
MyQ X garantisce che i backup mantengano lo stesso livello di sicurezza dei dati di produzione:
Backup crittografati: i backup del database sono protetti da password sicure generate in modo casuale che impediscono il ripristino o l'accesso non autorizzato ai file di backup.
Archiviazione sicura dei backup: i file di backup devono essere archiviati in luoghi sicuri con controlli di accesso appropriati e crittografia a riposo per mantenere la riservatezza dei dati durante il ciclo di vita del backup.
Politiche di gestione e rotazione delle chiavi
MyQ X implementa pratiche di gestione sicura delle chiavi:
Rotazione dei certificati: i certificati possono essere ruotati regolarmente in base alle politiche di sicurezza dell'organizzazione, con supporto per la distribuzione automatizzata tramite Criteri di gruppo o Gestione dispositivi mobili.
Protezione delle chiavi private: tutte le chiavi private per i certificati e le operazioni CA sono protette da password generate in modo casuale e archiviate in forma crittografata all'interno del database.
Rotazione dei segreti API: i segreti dei client API REST devono essere sottoposti a rotazione periodica per mantenere la sicurezza. Il sistema supporta il rollover dei segreti senza interruzione del servizio.
Minimizzazione dei dati e privacy by design
MyQ X implementa principi di privacy by design conformi al GDPR:
Raccolta limitata dei dati: il sistema raccoglie solo i metadati essenziali necessari per la funzionalità operativa, evitando il trattamento superfluo dei dati personali che potrebbe aumentare i rischi per la privacy.
Cancellazione automatica: gli amministratori possono configurare periodi di cancellazione automatica per i file di stampa e scansione, garantendo che i dati vengano conservati solo per il tempo necessario alle finalità aziendali.
Diritti dei dati degli utenti: implementazione completa dei diritti degli utenti GDPR, inclusi l'accesso ai dati, l'anonimizzazione e il diritto all'oblio, con informative sulla privacy personalizzabili sulle interfacce utente.
Gestione delle sessioni: la funzionalità di logout automatico garantisce che le sessioni degli utenti vengano terminate correttamente, impedendo accessi non autorizzati attraverso sessioni abbandonate.
Questo quadro completo di protezione e crittografia dei dati garantisce che MyQ X mantenga i più elevati standard di riservatezza e integrità dei dati, supportando al contempo i requisiti di conformità normativa in diversi ambienti organizzativi.