> ## Documentation Index > Fetch the complete documentation index at: https://wavecnct.com/docs/llms.txt > Use this file to discover all available pages before exploring further. # Seguridad > Prácticas de seguridad, certificaciones y cumplimiento de Wave Connect ## Resumen Wave Connect se toma la seguridad muy en serio. Implementamos prácticas de seguridad estándar de la industria en toda la infraestructura, el desarrollo de aplicaciones, la gestión de acceso y las operaciones de empleados para proteger tus datos y la información de tu equipo. Para más detalles, visita [security.wavecnct.com](https://security.wavecnct.com). *** ## Cumplimiento y certificaciones | Certificación | Detalles | | ---------------------- | ----------------------------------------------------------------------------------------------------------- | | **SOC 2 Tipo II** | Certificado. Informe disponible bajo NDA — contacta a [security@wavecnct.com](mailto:security@wavecnct.com) | | **CSA STAR Nivel 1** | Registrado en el registro STAR de Cloud Security Alliance | | **RGPD** | Totalmente conforme. Acuerdo de procesamiento de datos disponible para clientes enterprise | | **Ley de IA de la UE** | Conforme con los requisitos aplicables | **Estándares de seguridad seguidos** (no certificados, pero alineados): * OWASP Top 10 * CSA CAIQ * Benchmarks de CIS * Prácticas alineadas con NIST *** ## Infraestructura La infraestructura de Wave está construida sobre servicios en la nube gestionados, operando bajo un modelo de responsabilidad compartida con nuestros proveedores. | Proveedor | Función | | ------------------------- | --------------------------------------------------------- | | **Google Cloud Platform** | Infraestructura principal de aplicaciones, cómputo y red | | **Vercel** | Entrega de frontend y red perimetral | | **PlanetScale** | Base de datos (compatible con MySQL, distribución global) | | **Cloud Storage** | Almacenamiento de archivos y recursos | La infraestructura está diseñada para alta disponibilidad con conmutación automática por error. Todos los proveedores mantienen sus propias certificaciones de seguridad independientes (SOC 2, ISO 27001). *** ## Residencia de datos * Los datos de aplicación de los clientes se almacenan y procesan en los **Estados Unidos** * Los datos se procesan únicamente en regiones aprobadas * Los clientes Enterprise pueden consultar sobre opciones de residencia de datos Una lista completa de sub-procesadores está disponible en nuestro [Acuerdo de procesamiento de datos](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## Cifrado **En tránsito** * TLS 1.3 para todas las conexiones * HTTPS aplicado en todos los endpoints * HSTS habilitado **En reposo** * Cifrado AES-256 para todos los datos almacenados * Claves de cifrado gestionadas en la nube a través de Google Cloud KMS * Rotación de claves y controles de acceso aplicados a través de Secret Manager *** ## Gestión de identidad y acceso **Opciones de autenticación** * SAML 2.0 Single Sign-On * OpenID Connect (OIDC) * Aprovisionamiento y desaprovisionamiento automatizado con SCIM 2.0 **Autenticación multifactor** * Aplicada a través de tu proveedor de SSO cuando SAML o OIDC está habilitado **Control de acceso basado en roles** | Rol | Acceso | | ----------------- | --------------------------------------------------------------------------------------------------------------- | | **Propietario** | Acceso completo a la cuenta, incluyendo facturación y gestión del plan | | **Administrador** | Gestiona usuarios, plantillas, contactos y configuraciones | | **Gerente** | Puede ver y editar perfiles y contactos de un equipo asignado, sin acceso a la configuración de toda la empresa | | **Miembro** | Usa su tarjeta de visita digital asignada y ve sus propios contactos | | **Visor** | Acceso de solo lectura | **Mínimo privilegio** * Todo el acceso interno sigue el principio de mínimo privilegio * Revisiones de acceso trimestrales realizadas internamente * Desaprovisionamiento automatizado a través de SCIM cuando los usuarios se van *** ## Seguridad de contraseñas * Requisitos mínimos de longitud y complejidad de contraseña aplicados * Bloqueo de cuenta después de intentos fallidos de inicio de sesión repetidos * Restablecimiento seguro de contraseña a través de correo electrónico verificado * Tiempo de espera de sesión aplicado en caso de inactividad *** ## Seguridad de aplicaciones **Ciclo de vida de desarrollo seguro** * Modelado de amenazas como parte del diseño de funciones * Revisión de código por pares obligatoria y aprobación de solicitudes de extracción antes de fusionar * Requisitos de seguridad revisados en cada versión * Proceso de aprobación de versión dedicado **Análisis estático y escaneo** * Análisis estático CodeQL en todos los cambios de código * Escaneo automatizado de vulnerabilidades de dependencias * Escaneo de secretos para prevenir filtraciones de credenciales en el código **Prácticas de codificación segura** * Directrices del OWASP Top 10 seguidas * Validación de entrada y codificación de salida aplicadas * Actualizaciones de dependencias aplicadas de forma regular *** ## Gestión de vulnerabilidades **Escaneo** * Escaneo continuo y automatizado de dependencias * Escaneo de vulnerabilidades de infraestructura **Plazos de gestión de parches** | Severidad | Tiempo objetivo de remediación | | --------- | ------------------------------ | | Crítica | 24 horas | | Alta | 7 días | | Media | 30 días | | Baja | 90 días | **Pruebas de penetración** * Prueba de penetración independiente de terceros realizada anualmente * Los hallazgos se clasifican y corrigen de acuerdo con los plazos de severidad *** ## Monitoreo y registro **Registros recopilados:** * Eventos de autenticación (inicio de sesión, cierre de sesión, intentos fallidos) * Acciones de administración (cambios de usuario, actualizaciones de configuración) * Actividad de API * Eventos de seguridad **Monitoreo** * Monitoreo de infraestructura en la nube 24/7 a través de Google Cloud Monitoring * Alertas automatizadas sobre anomalías y eventos de seguridad * Detección de inicios de sesión sospechosos *** ## Respuesta a incidentes Wave mantiene un Plan formal de Respuesta a Incidentes que cubre: * **Clasificación de severidad**: Crítica, Alta, Media, Baja * **Proceso de investigación**: contención, análisis y preservación de evidencias * **Análisis de causa raíz**: revisión post-incidente para todos los eventos significativos * **Notificación al cliente**: los clientes afectados son notificados de manera oportuna de acuerdo con los requisitos reglamentarios * **Notificación regulatoria**: notificaciones de brechas del RGPD en un plazo de 72 horas donde aplique * **Postmortems**: documentados y revisados internamente después de incidentes importantes Para reportar una vulnerabilidad de seguridad, contacta a [security@wavecnct.com](mailto:security@wavecnct.com). *** ## Continuidad del negocio y copias de seguridad **Objetivos de recuperación** * RTO (Objetivo de tiempo de recuperación): 4 horas * RPO (Objetivo de punto de recuperación): 1 hora **Plan de continuidad del negocio** * BCP formal en vigor y probado semestralmente * Plan de recuperación ante desastres probado de forma regular **Copias de seguridad** * Copias de seguridad automatizadas diarias * Copias de seguridad cifradas en reposo * Pruebas de restauración realizadas regularmente * Retención de copias de seguridad alineada con las políticas de clasificación de datos *** ## Disponibilidad * Arquitectura de alta disponibilidad con conmutación automática por error * Página de estado disponible en [status.wavecnct.com](https://status.wavecnct.com) * SLA disponible para clientes Enterprise *** ## Seguridad de red * Google Cloud Firewall y Cloud Armor * Mitigación de DDoS en la capa de red y de aplicación * Limitación de velocidad en todos los endpoints de API * Protecciones alineadas con OWASP (inyección, XSS, CSRF) * Sistemas de detección y prevención de intrusiones (IDS/IPS) *** ## Seguridad de endpoints Todos los dispositivos de empleados están sujetos a: * Cifrado completo del disco * Política de dispositivos gestionados por la empresa * Antivirus y protección de endpoints * Actualizaciones automáticas del sistema operativo y de seguridad * Aplicación de bloqueo de pantalla * Requisitos mínimos de dispositivo para acceso remoto *** ## Seguridad física Wave es una empresa que trabaja en remoto. No hay centros de datos en las instalaciones. La seguridad de la infraestructura física está gestionada por Google Cloud, cuyos centros de datos están certificados de forma independiente según ISO 27001, SOC 2 y otros estándares. Los empleados siguen los requisitos de oficina en casa segura, y los dispositivos se desechan de forma segura al final de su vida útil. *** ## Seguridad de empleados * Verificaciones de antecedentes realizadas para todos los empleados * Formación en concienciación sobre seguridad en la incorporación * Formación trimestral en seguridad y privacidad * Política de uso aceptable firmada por todos los empleados * Acuerdos de confidencialidad en vigor *** ## Seguridad de proveedores Wave mantiene un Programa de gestión de riesgos de proveedores. Los proveedores de terceros se revisan antes de incorporarse y se evalúan según su postura de seguridad (informes SOC 2, cuestionarios de seguridad y evaluaciones de proveedores). **Sub-procesadores clave** | Proveedor | Propósito | | ------------ | ----------------------------- | | Google Cloud | Infraestructura y cómputo | | Vercel | Frontend y entrega perimetral | | PlanetScale | Base de datos | | Twilio | Comunicaciones SMS | | Stripe | Procesamiento de pagos | | Shopify | Comercio electrónico | | Zendesk | Soporte al cliente | | Microsoft | Productividad e integraciones | | MaxMind | Geolocalización por IP | Lista completa de sub-procesadores disponible en nuestro [Acuerdo de procesamiento de datos](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## Seguridad de IA Wave usa IA en las siguientes funciones: * **Escáner universal de badges**: OCR para extraer información de contacto de tarjetas de visita y badges de eventos * **Enriquecimiento de contactos**: completar los campos de perfil faltantes desde fuentes públicas * **Moderación de contenido**: detectar contenido que viola las políticas en los perfiles **Declaraciones clave:** * Los datos de clientes **no** se usan para entrenar modelos de IA * Las funciones de IA se pueden deshabilitar cuando aplique * Los proveedores de IA se divulgan en nuestra lista de sub-procesadores *** ## Clasificación de datos | Clasificación | Descripción | | ---------------- | ------------------------------------------------------------------------ | | **Pública** | Contenido de marketing, documentación de acceso público | | **Interna** | Datos operativos, comunicaciones internas | | **Confidencial** | Datos de clientes, datos comerciales, configuraciones de seguridad | | **Restringida** | Credenciales de autenticación, claves de cifrado, registros de auditoría | *** ## Protección de datos * Aislamiento lógico de inquilinos: los datos de cada organización se separan en el nivel de aplicación y base de datos * El control de acceso basado en roles evita el acceso a datos entre inquilinos * Registro de auditoría para todas las operaciones sensibles * Principios de minimización de datos aplicados en la recopilación *** ## Funciones de seguridad Enterprise Autentica a los usuarios a través de tu proveedor de identidad mediante SAML 2.0 u OIDC. Automatiza el aprovisionamiento, desaprovisionamiento y mapeo de equipos de usuarios. Usa tu propio dominio para los perfiles de Wave y los enlaces de compartición.