Resumen
Wave Connect se toma la seguridad muy en serio. Implementamos prácticas de seguridad estándar de la industria en toda la infraestructura, el desarrollo de aplicaciones, la gestión de acceso y las operaciones de empleados para proteger tus datos y la información de tu equipo. Para más detalles, visita security.wavecnct.com.Cumplimiento y certificaciones
| Certificación | Detalles |
|---|---|
| SOC 2 Tipo II | Certificado. Informe disponible bajo NDA — contacta a security@wavecnct.com |
| CSA STAR Nivel 1 | Registrado en el registro STAR de Cloud Security Alliance |
| RGPD | Totalmente conforme. Acuerdo de procesamiento de datos disponible para clientes enterprise |
| Ley de IA de la UE | Conforme con los requisitos aplicables |
- OWASP Top 10
- CSA CAIQ
- Benchmarks de CIS
- Prácticas alineadas con NIST
Infraestructura
La infraestructura de Wave está construida sobre servicios en la nube gestionados, operando bajo un modelo de responsabilidad compartida con nuestros proveedores.| Proveedor | Función |
|---|---|
| Google Cloud Platform | Infraestructura principal de aplicaciones, cómputo y red |
| Vercel | Entrega de frontend y red perimetral |
| PlanetScale | Base de datos (compatible con MySQL, distribución global) |
| Cloud Storage | Almacenamiento de archivos y recursos |
Residencia de datos
- Los datos de aplicación de los clientes se almacenan y procesan en los Estados Unidos
- Los datos se procesan únicamente en regiones aprobadas
- Los clientes Enterprise pueden consultar sobre opciones de residencia de datos
Cifrado
En tránsito- TLS 1.3 para todas las conexiones
- HTTPS aplicado en todos los endpoints
- HSTS habilitado
- Cifrado AES-256 para todos los datos almacenados
- Claves de cifrado gestionadas en la nube a través de Google Cloud KMS
- Rotación de claves y controles de acceso aplicados a través de Secret Manager
Gestión de identidad y acceso
Opciones de autenticación- SAML 2.0 Single Sign-On
- OpenID Connect (OIDC)
- Aprovisionamiento y desaprovisionamiento automatizado con SCIM 2.0
- Aplicada a través de tu proveedor de SSO cuando SAML o OIDC está habilitado
| Rol | Acceso |
|---|---|
| Propietario | Acceso completo a la cuenta, incluyendo facturación y gestión del plan |
| Administrador | Gestiona usuarios, plantillas, contactos y configuraciones |
| Gerente | Puede ver y editar perfiles y contactos de un equipo asignado, sin acceso a la configuración de toda la empresa |
| Miembro | Usa su tarjeta de visita digital asignada y ve sus propios contactos |
| Visor | Acceso de solo lectura |
- Todo el acceso interno sigue el principio de mínimo privilegio
- Revisiones de acceso trimestrales realizadas internamente
- Desaprovisionamiento automatizado a través de SCIM cuando los usuarios se van
Seguridad de contraseñas
- Requisitos mínimos de longitud y complejidad de contraseña aplicados
- Bloqueo de cuenta después de intentos fallidos de inicio de sesión repetidos
- Restablecimiento seguro de contraseña a través de correo electrónico verificado
- Tiempo de espera de sesión aplicado en caso de inactividad
Seguridad de aplicaciones
Ciclo de vida de desarrollo seguro- Modelado de amenazas como parte del diseño de funciones
- Revisión de código por pares obligatoria y aprobación de solicitudes de extracción antes de fusionar
- Requisitos de seguridad revisados en cada versión
- Proceso de aprobación de versión dedicado
- Análisis estático CodeQL en todos los cambios de código
- Escaneo automatizado de vulnerabilidades de dependencias
- Escaneo de secretos para prevenir filtraciones de credenciales en el código
- Directrices del OWASP Top 10 seguidas
- Validación de entrada y codificación de salida aplicadas
- Actualizaciones de dependencias aplicadas de forma regular
Gestión de vulnerabilidades
Escaneo- Escaneo continuo y automatizado de dependencias
- Escaneo de vulnerabilidades de infraestructura
| Severidad | Tiempo objetivo de remediación |
|---|---|
| Crítica | 24 horas |
| Alta | 7 días |
| Media | 30 días |
| Baja | 90 días |
- Prueba de penetración independiente de terceros realizada anualmente
- Los hallazgos se clasifican y corrigen de acuerdo con los plazos de severidad
Monitoreo y registro
Registros recopilados:- Eventos de autenticación (inicio de sesión, cierre de sesión, intentos fallidos)
- Acciones de administración (cambios de usuario, actualizaciones de configuración)
- Actividad de API
- Eventos de seguridad
- Monitoreo de infraestructura en la nube 24/7 a través de Google Cloud Monitoring
- Alertas automatizadas sobre anomalías y eventos de seguridad
- Detección de inicios de sesión sospechosos
Respuesta a incidentes
Wave mantiene un Plan formal de Respuesta a Incidentes que cubre:- Clasificación de severidad: Crítica, Alta, Media, Baja
- Proceso de investigación: contención, análisis y preservación de evidencias
- Análisis de causa raíz: revisión post-incidente para todos los eventos significativos
- Notificación al cliente: los clientes afectados son notificados de manera oportuna de acuerdo con los requisitos reglamentarios
- Notificación regulatoria: notificaciones de brechas del RGPD en un plazo de 72 horas donde aplique
- Postmortems: documentados y revisados internamente después de incidentes importantes
Continuidad del negocio y copias de seguridad
Objetivos de recuperación- RTO (Objetivo de tiempo de recuperación): 4 horas
- RPO (Objetivo de punto de recuperación): 1 hora
- BCP formal en vigor y probado semestralmente
- Plan de recuperación ante desastres probado de forma regular
- Copias de seguridad automatizadas diarias
- Copias de seguridad cifradas en reposo
- Pruebas de restauración realizadas regularmente
- Retención de copias de seguridad alineada con las políticas de clasificación de datos
Disponibilidad
- Arquitectura de alta disponibilidad con conmutación automática por error
- Página de estado disponible en status.wavecnct.com
- SLA disponible para clientes Enterprise
Seguridad de red
- Google Cloud Firewall y Cloud Armor
- Mitigación de DDoS en la capa de red y de aplicación
- Limitación de velocidad en todos los endpoints de API
- Protecciones alineadas con OWASP (inyección, XSS, CSRF)
- Sistemas de detección y prevención de intrusiones (IDS/IPS)
Seguridad de endpoints
Todos los dispositivos de empleados están sujetos a:- Cifrado completo del disco
- Política de dispositivos gestionados por la empresa
- Antivirus y protección de endpoints
- Actualizaciones automáticas del sistema operativo y de seguridad
- Aplicación de bloqueo de pantalla
- Requisitos mínimos de dispositivo para acceso remoto
Seguridad física
Wave es una empresa que trabaja en remoto. No hay centros de datos en las instalaciones. La seguridad de la infraestructura física está gestionada por Google Cloud, cuyos centros de datos están certificados de forma independiente según ISO 27001, SOC 2 y otros estándares. Los empleados siguen los requisitos de oficina en casa segura, y los dispositivos se desechan de forma segura al final de su vida útil.Seguridad de empleados
- Verificaciones de antecedentes realizadas para todos los empleados
- Formación en concienciación sobre seguridad en la incorporación
- Formación trimestral en seguridad y privacidad
- Política de uso aceptable firmada por todos los empleados
- Acuerdos de confidencialidad en vigor
Seguridad de proveedores
Wave mantiene un Programa de gestión de riesgos de proveedores. Los proveedores de terceros se revisan antes de incorporarse y se evalúan según su postura de seguridad (informes SOC 2, cuestionarios de seguridad y evaluaciones de proveedores). Sub-procesadores clave| Proveedor | Propósito |
|---|---|
| Google Cloud | Infraestructura y cómputo |
| Vercel | Frontend y entrega perimetral |
| PlanetScale | Base de datos |
| Twilio | Comunicaciones SMS |
| Stripe | Procesamiento de pagos |
| Shopify | Comercio electrónico |
| Zendesk | Soporte al cliente |
| Microsoft | Productividad e integraciones |
| MaxMind | Geolocalización por IP |
Seguridad de IA
Wave usa IA en las siguientes funciones:- Escáner universal de badges: OCR para extraer información de contacto de tarjetas de visita y badges de eventos
- Enriquecimiento de contactos: completar los campos de perfil faltantes desde fuentes públicas
- Moderación de contenido: detectar contenido que viola las políticas en los perfiles
- Los datos de clientes no se usan para entrenar modelos de IA
- Las funciones de IA se pueden deshabilitar cuando aplique
- Los proveedores de IA se divulgan en nuestra lista de sub-procesadores
Clasificación de datos
| Clasificación | Descripción |
|---|---|
| Pública | Contenido de marketing, documentación de acceso público |
| Interna | Datos operativos, comunicaciones internas |
| Confidencial | Datos de clientes, datos comerciales, configuraciones de seguridad |
| Restringida | Credenciales de autenticación, claves de cifrado, registros de auditoría |
Protección de datos
- Aislamiento lógico de inquilinos: los datos de cada organización se separan en el nivel de aplicación y base de datos
- El control de acceso basado en roles evita el acceso a datos entre inquilinos
- Registro de auditoría para todas las operaciones sensibles
- Principios de minimización de datos aplicados en la recopilación
Funciones de seguridad Enterprise
Inicio de sesión único (SAML)
Autentica a los usuarios a través de tu proveedor de identidad mediante SAML 2.0 u OIDC.
Sincronización de directorio (SCIM)
Automatiza el aprovisionamiento, desaprovisionamiento y mapeo de equipos de usuarios.
Dominios personalizados
Usa tu propio dominio para los perfiles de Wave y los enlaces de compartición.