Asunto: Certificado de Seguridad y Conformidad de la Normativa del software MPS Monitor DCA 4.

Con la presente declaramos que el software MPS Monitor DCA 4, realizado completamente por nuestra empresa, no
contiene Virus, Malware u otro tipo de amenazas a la seguridad informática de los Clientes que lo utilizan y que la
instalación del DCA 4 en la red del Cliente no implica ni añade riesgos a la seguridad de la red misma.

El software DCA 4 se ha desarrollado de acuerdo con las especificaciones y directrices internacionales OWASP Top 10 y
es sometido a pruebas y verificaciones continuas por parte de organismos independientes que certifican su conformidad
a dichas directrices. El código del software DCA 4, antes de la publicación de cada versión, es sometido a Revisión de
Código (Code Review) y análisis estático por parte de empresas especializadas en el suministro de servicios de seguridad
informática, a fin de comprobar que:
• El paquete de instalación incluya únicamente módulos software firmados digitalmente por MPS Monitor srl de
manera que se garantice su unicidad
• El software no contenga vulnerabilidades conocidas con criticidad elevada y las vulnerabilidades que, en su
caso fueron detectadas anteriormente, se hayan eliminado antes de la publicación de cada nueva versión
• El software no se detecte como malware por parte de los productos antivirus más comunes presentes en el
mercado

Todos los métodos de acceso, las interfaces API y los puntos finales (endpoints) web utilizados para la comunicación
entre el software DCA 4 y todos los sistemas cloud de MPS Monitor, son sometidos a Pruebas de Penetración
(Penetration Test) con regularidad, normalmente cada tres meses, a fin de comprobar su seguridad y conformidad a las
normas y a las directrices internacionales. El proceso de actualización automática del software DCA 4 es sometido a
Pruebas de Penetración una vez al año para controlar la seguridad contra posibles ataques durante la fase de
actualización. La función Acceso Web al Dispositivo (Device Web Access), al ser particularmente crítica por lo que
concierne la seguridad, está sometida a actividades específicas de Pruebas de Penetración y controles exhaustivos.

La información detectada por el software se encuentra en un Sistema de Gestión sobre la Seguridad de Información,
que está certificado según la norma UNI CEI ISO/IEC 27001/2017; el certificado N. 50 100 13777 Rev. 003 ha sido emitido
por TÜV Italia srl, el día 6 de marzo de 2020 y se encuentra disponible a la dirección siguiente:
http://www.mpsmonitor.it/docs/iso-27001.pdf

MPS Monitor srl adopta políticas de seguridad de la información conformes con el estándar AICPA SOC 2, y se somete
a auditoría anual por parte de la empresa A-LIGN para acreditar el cumplimiento de los Criterios sobre los Servicios de
Confianza establecidos (Seguridad, Disponibilidad y Confidencialidad). El informe de Audit SOC 2 publicado por A-LIGN
se puede descargar del Portal MPS Monitor ante firma electrónica ante un Acuerdo de Confidencialidad (NDA)
específico.

MPS Monitor srl adopta políticas empresariales que tienen como objetivo respetar plenamente los requisitos legislativos
relativos a la privacidad y seguridad de información y realiza el tratamiento de datos en plena conformidad con las
normas dictadas por el Reglamento 2016/679/UE del Parlamento europeo y del Consejo (GDPR) relativo a la
protección de las personas físicas con respecto al tratamiento de datos personales y a la libre circulación de estos. Con
particular referencia al GDPR, el software MPS Monitor está realizado y actúa respetando los principios establecidos
por la normativa europea, específicamente los principios de “protección de datos por defecto y por diseño”, aplicando
la protección de los datos personales hasta la fase de elaboración.

DCA 4 ha sido desarrollado para recolectar y elaborar los datos relacionados con los dispositivos de impresión
conectados a la red del Cliente y para permitir una conexión en tiempo real entre usuarios y dispositivos, con el fin de
poderlos gestionar de forma correcta y eficaz. Las operaciones ejecutadas están relacionadas directamente con esta
finalidad específica. En particular, el software no recoge ningún dato concerniente el contenido de los documentos
impresos, ni de las personas físicas o jurídicas, cuyos datos se tratan a través de dichos dispositivos y/o documentos.

Especificaciones técnicas y descripción del procedimiento de recopilación de datos

El módulo software DCA 4 tienes las siguientes especificaciones técnicas y características de seguridad:
1. Está instalado en un dispositivo hardware (ordenador, servidor, MAC o Raspberry) que ejecuta un sistema
operativo soportado (Windows, Linux, Mac OS o Linux para Raspberry). El dispositivo debe estar conectado a
la red del Cliente y tener acceso a Internet (puerto 443 / HTTPS).
2. Para intercambiar datos y recibir información sobre las actividades que se deben ejecutar, el software utiliza
las llamadas HTTP2 GRPC (que normalmente se envían cada 5 minutos) y la conexión MQTT a un servidor que
se puede alcanzar a través varios URL de dominio pertenecientes al dominio raíz https://*.mpsmonitor.com.
 La conexión MQTT utiliza, como predeterminado, MQTT en WSS (puerto 443). Se puede configurar también
para funcionar como una conexión MQTT estándar (puerto 8883).
3. Con intervalos configurados y según la información puesta a disposición por el servidor, el DCA 4 ejecuta
escaneos UDP de las subredes, de las direcciones IP o de los nombres host en donde es posible alcanzar las
impresoras; los horarios y las subredes o las direcciones IP o los nombres host por escanear, se definen en una
función de administración especial en las páginas de configuración del portal MPS Monitor.
4. DCA 4 identifica todos los dispositivos de tipo Impresora, excluyendo totalmente todos los demás dispositivos
diferentes.
5. La recopilación de los datos se ejecuta usando UDP (puerto 161) y normalmente dura unos pocos segundos o
minutos, según la complejidad de la red y la cantidad de dispositivos.
6. Utilizando UDP el tráfico es mínimo y no tiene ningún impacto evidente en la red ni en los dispositivos.
7. Los datos detectados por las impresoras se archivan localmente en una base de datos. Los cambios en los datos
memorizados localmente se envían a través de HTTPS al servidor MPS Monitor. Tanto los datos almacenados
localmente como los datos enviados a Internet son encriptados.

Descripción del procedimiento “Acceso Web al Dispositivo”

DCA 4 permite al usuario con autorizaciones adecuadas, conectarse al servidor web interno de las impresoras utilizando
la función llamada "Device Web Access" (Acceso Web al Dispositivo), que tiene las siguientes especificaciones técnicas
y funciones de seguridad:
1. DCA4 recibe un comando de conexión Device Web Access desde el portal MPS Monitor y comprueba que la
solicitud corresponda a una impresora gestionada, luego crea una tunelización SSH inversa.
2. La tunelización SSH inversa se basa en el protocolo SSH y se genera del puerto de la impresora del servicio Web
(normalmente 80 o 443, u otro puerto disponible) a un servidor SSH remoto (puerto 22 / SSH) que se puede
alcanzar a través de diferentes URL de dominio pertenecientes al dominio raíz https://*.mpsmonitor.com.
3. Utilizando el protocolo SSH el sistema incluye una autenticación basada en clave pública y encripta las
conexiones entre la impresora y los puntos finales del servidor SSH MPS Monitor.
4. La conexión lado servidor se crea como un nuevo túnel en cada solicitud de conexión y acaba después de cada
sesión, con una duración máxima de 10 minutos. Las claves de seguridad son únicas por cada instalación del
DCA 4 y cada nuevo túnel utiliza un ID diferente de sesión para evitar la reutilización de las sesiones.
5. Se aplica una metodología compleja de autenticación para garantizar que todas las partes involucradas en cada
túnel SSH sean legítimas y tengan la autorización para abrir y mantener la conexión.
6. Antes de la apertura del túnel se realizan varias inspecciones sobre los datos del dispositivo para asegurarse de
que el dispositivo de destino coincida con el dispositivo por el cual se ha solicitado la conexión. Si una de estas
comprobaciones fracasa, el túnel no se abre.
7. La conexión Device Web Access es limitada solamente a algunos perfiles usuario autorizados y se puede activar
solo por parte de usuarios con autenticación estricta al portal MPS Monitor (autenticación de 2 factores o inicio
único de sesión a través de Directorio Activo). Esto impide el utilizo no autorizado o dañino de la función Device
Web Access en caso de robo de credenciales.
8. Todas las actividades web realizadas dentro del Device Web Access están registradas en el servidor SSH. Los
clientes pueden acceder a los registros para comprobar el uso de esta función por parte de otros usuarios.
9. El acceso Web del dispositivo se le puede desactivar a cualquier cliente, por parte del usuario, desde el portal
MPS Monitor o directamente a través de la interfaz usuario local DCA 4 por parte del cliente mismo. Si la función
está inhabilitada en la interfaz usuario local del DCA 4, no se puede reactivar desde el portal, asegurando así
que cada cliente pueda inhabilitar esta función localmente desde el sistema en donde está instalado el DCA 4.

Integración de los sistemas de Gestión de la impresión

DCA 4 permite también, si se ha instalado en una red donde existe un sistema de Print Management (como por ejemplo
PaperCut MF/NG o sistemas similares), que se configure para recopilar y elaborar datos relacionados con las tareas de
impresión y con los usuarios que imprimen, con el fin de proporcionar funciones de Inteligencia Empresarial y Análisis
sobre dichos datos.

Esto se realiza a través del siguiente procedimiento:

1. DCA 4 se puede configurar para acceder a una carpeta en la red del cliente en donde el sistema de Print
Management exporta archivos de texto / CSV que incluyen los datos de las tareas de impresión
2. Una vez que estos archivos se generan, el DCA 4 los recopila y los envía al sistema cloud de MPS Monitor para
procesarlos
 3. Los datos presentes en los archivos procesados se añaden a la base de datos principal de MPS Monitor y estarán
a disposición de los usuarios autorizados en la sección Analytics del sistema, para permitir la creación de
informes específicos y tableros de Inteligencia Empresarial
4. Si los archivos incluyen datos relativos al contenido de los documentos impresos (como nombres de archivo u
otra información potencialmente confidencial), estos datos se eliminan antes de importarlos en la base de
datos, para garantizar que ninguna información personal o confidencial se mantenga en el sistema MPS
Monitor por consecuencia de este procedimiento.

Milán, 24 de marzo 2022 MPS Monitor srl

Director ejecutivo
Nicola De Blasi

MPS Monitor Srl

Domicilio social: Via Borromei 2 – 20123 Milán (Italia)
Sede Comercial: Via Cipro, 1 - 25100 Brescia (Italia)
PEC: mpsmonitor@legalmail.it - No. Iva / NIF: 03122040987