> ## Documentation Index
> Fetch the complete documentation index at: https://woku.app/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Seguridad

> Controles de seguridad y autenticación implementados en Woku

Woku está diseñado para clientes empresariales que exigen controles
auditables sobre quién accede a la plataforma, qué hace, y cómo se
protege la información. Esta sección documenta los controles
concretos en operación.

## Resumen de capacidades

| Capacidad                                             | Estado                                            | Página                                              |
| ----------------------------------------------------- | ------------------------------------------------- | --------------------------------------------------- |
| Autenticación con sesión persistente + idle timeout   | ✅ activo                                          | [Autenticación](/seguridad/autenticacion)           |
| MFA TOTP per-usuario (opt-in)                         | ✅ activo                                          | [MFA](/seguridad/mfa)                               |
| Sesiones activas visibles + revocables por el usuario | ✅ activo                                          | [Sesiones](/seguridad/sesiones)                     |
| Registro de auditoría per-empresa con export CSV      | ✅ activo                                          | [Registro de auditoría](/seguridad/audit-log)       |
| Bloqueo anti-fuerza-bruta + notificación por email    | ✅ activo                                          | [Anti-fuerza bruta](/seguridad/anti-brute-force)    |
| Headers HTTP de seguridad (HSTS, CSP nonce, etc.)     | ✅ activo                                          | [Headers y CSP](/seguridad/headers-y-csp)           |
| Allowlist de IPs por empresa (CIDR IPv4 + IPv6)       | ✅ activo                                          | [Allowlist de IPs](/seguridad/ip-allowlist)         |
| SSO empresarial (SAML 2.0 + OIDC vía Stytch)          | ✅ activo                                          | [SSO](/seguridad/sso)                               |
| Gestión de secrets (SSM Parameter Store + KMS)        | ✅ activo                                          | [Gestión de secrets](/seguridad/secrets-management) |
| Cifrado AES-256-GCM en reposo + firmas HMAC-SHA256    | ✅ activo (firma de documentos opt-in por empresa) | [Cifrado y firmas](/seguridad/cifrado-y-firmas)     |

## Principios

* **Defensa en profundidad**: cada capa tiene su propia protección
  (transport con HSTS, ruteo con CSP, sesión con idle timeout, cuenta
  con anti-fuerza bruta, acciones sensibles con MFA).
* **Auditabilidad**: cada acción crítica (login, cambios de empresa,
  CRUD en wokus y formularios, etc.) queda registrada con actor, IP,
  user-agent y timestamp.
* **Cifrado en reposo**: secretos sensibles (TOTP secrets, tokens de
  integraciones) se almacenan cifrados con AES-256-GCM.
* **Mínimo privilegio**: los códigos de respaldo MFA son hashes
  bcrypt; los refresh tokens son rotativos de un solo uso.

## Cómo se reporta una vulnerabilidad

Escribir a `team@woku.app` con el detalle. Respondemos en menos de
24 horas hábiles, **o según el SLA pactado en tu contrato Corporate**.
