Woku está diseñado para clientes empresariales que exigen controles auditables sobre quién accede a la plataforma, qué hace, y cómo se protege la información. Esta sección documenta los controles concretos en operación.Documentation Index
Fetch the complete documentation index at: https://woku.app/docs/llms.txt
Use this file to discover all available pages before exploring further.
Resumen de capacidades
| Capacidad | Estado | Página |
|---|---|---|
| Autenticación con sesión persistente + idle timeout | ✅ activo | Autenticación |
| MFA TOTP per-usuario (opt-in) | ✅ activo | MFA |
| Sesiones activas visibles + revocables por el usuario | ✅ activo | Sesiones |
| Registro de auditoría per-empresa con export CSV | ✅ activo | Registro de auditoría |
| Bloqueo anti-fuerza-bruta + notificación por email | ✅ activo | Anti-fuerza bruta |
| Headers HTTP de seguridad (HSTS, CSP nonce, etc.) | ✅ activo | Headers y CSP |
| Allowlist de IPs por empresa (CIDR IPv4 + IPv6) | ✅ activo | Allowlist de IPs |
| SSO empresarial (SAML 2.0 + OIDC vía Stytch) | ✅ activo | SSO |
| Gestión de secrets (SSM Parameter Store + KMS) | ✅ activo | Gestión de secrets |
| Cifrado AES-256-GCM en reposo + firmas HMAC-SHA256 | ✅ activo (firma de documentos opt-in por empresa) | Cifrado y firmas |
Principios
- Defensa en profundidad: cada capa tiene su propia protección (transport con HSTS, ruteo con CSP, sesión con idle timeout, cuenta con anti-fuerza bruta, acciones sensibles con MFA).
- Auditabilidad: cada acción crítica (login, cambios de empresa, CRUD en wokus y formularios, etc.) queda registrada con actor, IP, user-agent y timestamp.
- Cifrado en reposo: secretos sensibles (TOTP secrets, tokens de integraciones) se almacenan cifrados con AES-256-GCM.
- Mínimo privilegio: los códigos de respaldo MFA son hashes bcrypt; los refresh tokens son rotativos de un solo uso.
Cómo se reporta una vulnerabilidad
Escribir ateam@woku.app con el detalle. Respondemos en menos de
24 horas hábiles, o según el SLA pactado en tu contrato Corporate.