Contáctanos
Iniciar sesión

Información sobre la seguridad en Wrike

Última actualización: junio de 2023. Wrike, Inc.

Seguridad del entorno físico Seguridad de la red y el sistema Seguridad de las aplicaciones Personas Adopción de IA Privacidad Conformidad

Información sobre seguridad

Wrike, la plataforma líder de gestión del trabajo colaborativo, ayuda a las empresas de todo el mundo a armonizar el trabajo con los principales objetivos empresariales, a mejorar la productividad y a impulsar los resultados.

Estamos totalmente empeñados en que Wrike destaque como la plataforma de gestión del trabajo colaborativo más segura y fiable del mercado. Tenemos el compromiso de proteger tus datos personales y profesionales, así como de garantizar una colaboración segura en nuestra plataforma; por ello, seguimos invirtiendo en la seguridad de nuestros servicios, y no solo para cumplir los estándares de la industria, sino para superarlos.

Desde que se fundó la empresa en 2006, la seguridad ha sido nuestra máxima prioridad y hemos aplicado sin descanso una estrategia de seguridad madura y sólida. A continuación te ofrecemos información sobre la estrategia de seguridad de Wrike, que aplica un enfoque integral en cinco categorías clave: el entorno físico, la red, el sistema, las aplicaciones y los usuarios.

Seguridad del entorno físico

Presencia mundial

Los servidores que garantizan el buen funcionamiento de Wrike se alojan en sitios especializados de los siguientes centros de datos de EE. UU. y la UE:

  • Energy Group Networks, LLC, nuestro centro de datos principal de EE. UU., sigue el estándar SOC 2. Las instalaciones se encuentran en Santa Clara (California).
  • Cloud Data Center se basa en la plataforma Google Cloud. Las instalaciones se atienen a los estándares ISO 27001/17/18 y SOC 2, y se ubican en Council Bluffs (Iowa).
  • El centro de datos principal de Wrike en la Unión Europea se ubica en Ámsterdam (Países Bajos), y opera conforme a los estándares ISO 27001 y ISAE 3402 (equivalente a SSAE 16). Este centro de datos está aislado específicamente para los clientes de la UE y sus datos.

Todas estas instalaciones cuentan con personal de seguridad ininterrumpidamente, sistemas de alimentación eléctrica de respaldo, controles de acceso físicos, sistemas de autenticación biométrica, refuerzos antisísmicos integrales, lo último en alarmas de humo e incendios de detección precoz, y sistemas de vigilancia digitales. El personal de Wrike y sus proveedores de colocación vigilan constantemente todos los componentes de los servidores y de la red.

La infraestructura de recuperación ante desastres de Wrike reside en la plataforma Google Cloud, tanto para EE. UU. como para la UE, con una increíble escalabilidad y seguridad que se atienen a los estándares SSAE16/ISAE 3402 Tipo II, ISO 27001, FedRAMP, PCI DSS y la HIPAA, entre otras certificaciones

El acceso a cada sistema, dispositivo de red y aplicación está restringido únicamente al personal autorizado, y los datos de inicio de sesión de los registros de eventos se revisan constantemente.

Tiempo de actividad superior al 99,9 %

Después de años prestando un servicio continuo, Wrike ha conseguido ofrecer un tiempo de actividad del 99,9, o incluso más, por lo que sus clientes pueden acceder sin interrupciones a sus tareas y proyectos siempre que quieran. Además, si Wrike queda fuera de servicio temporalmente por problemas técnicos o tareas de mantenimiento programadas, puedes iniciar sesión en la réplica independiente de solo lectura de Wrike para acceder a todos tus datos en https://login.wrike.com/login/?read.

Copia de seguridad continua de los datos

El modelo de copia de seguridad de datos de Wrike proporciona una replicación de la base de datos casi en tiempo real para garantizar la copia de seguridad de los datos de los clientes y su disponibilidad en servidores redundantes y geográficamente dispersos. Se realiza una copia de seguridad íntegra a diario, que se almacena cifrada en un entorno físicamente separado de los servidores principales para garantizar la tolerancia a fallos.

Seguridad de la red y el sistema

Infraestructura de seguridad de red sostenible

Wrike utiliza los procedimientos de protección de la red típicos de la industria, como la segmentación de red mediante VLAN, tecnologías de firewall y router, sistemas de detección y prevención de intrusiones, agregación centralizada de registros y mecanismos de alerta. Estos procedimientos se combinan con una conectividad segura, que engloba canales seguros y la autenticación multifactor para el personal autorizado del equipo de operaciones de sistemas. Esto nos permite prevenir, detectar y reparar rápidamente los efectos dañinos del tráfico malintencionado y los ataques a la red.

Actualizaciones periódicas y gestión de parches de seguridad

El análisis y las auditorías internas constantes de la seguridad de la red nos ofrece una visión general para identificar rápidamente los sistemas y servicios afectados. De conformidad con nuestra política interna de gestión de parches de seguridad, los sistemas operativos, el software, los marcos de trabajo y las bibliotecas que se usan en la infraestructura de Wrike se actualizan a las versiones más recientes con regularidad. En caso de que algún producto utilizado por Wrike sufra alguna vulnerabilidad o de que se notifique públicamente alguna vulnerabilidad grave, se adoptan medidas inmediatas para mitigar los posibles riesgos para nuestros clientes. Además, aplicamos revisiones y parches de seguridad sin dilación en cuanto están disponibles o implementamos mecanismos proactivos, como la configuración de firewalls o de sistemas de detección o de prevención de intrusiones (IDS/IPS).

Protección de la integridad del sistema

Wrike utiliza servicios de control de la integridad personalizados y basados en el sistema operativo para garantizar la integridad de todos los archivos y objetos del sistema que resultan indispensables. Una respuesta rápida a los posibles cambios no autorizados del sistema ayuda a garantizar que los clientes utilicen servicios de aplicaciones aprobados por Wrike.

Seguridad de las aplicaciones

Proceso de seguridad de las aplicaciones

Existe un proceso minucioso para el ciclo de vida de seguridad de las aplicaciones totalmente integrado en el ciclo de vida de desarrollo del software de Wrike, que incluye lo siguiente:

  • Definición interna de requisitos de seguridad, políticas y prácticas recomendadas de seguridad del sector aplicados en cada fase del ciclo de vida.
  • Revisión continua de la seguridad de las arquitecturas, las funciones de diseño y las soluciones.
  • Revisión iterativa manual y automatizada (mediante analizadores de código estáticos) del código fuente para detectar deficiencias de seguridad, vulnerabilidades y problemas de calidad del código, aparte de asesoramiento y orientación apropiados para el equipo de desarrollo.
  • Evaluación manual regular y análisis dinámico del entorno previo a la producción.
  • Formación en materia de seguridad impartida para equipos de TI de conformidad con sus respectivas funciones de trabajo.
Autenticación de usuarios

Cada usuario de Wrike tiene una cuenta exclusiva protegida por una contraseña y con una dirección de correo electrónico verificada. La contraseña se valida conforme a nuestras políticas de contraseñas y se almacena de forma segura con un algoritmo hash seguro con un valor inicial único para cada contraseña. También se aplica la autenticación de dos factores como una medida adicional de seguridad para proteger las cuentas de Wrike. Wrike también admite varios métodos de autenticación federada, entre los que se incluyen Google Open ID, Azure, Office 365, ADFS y SAML2 para acceder de forma cómoda y segura a una cuenta de Wrike que utiliza credenciales corporativas. Wrike también ofrece ajustes avanzados de seguridad que permiten a los clientes gestionar la política de acceso a la red y la política de contraseñas. Puedes consultar más información en nuestra sección de ayuda.

Nuestro equipo de asistencia estará siempre a tu entera disposición para ayudarte con cualquier cuestión relacionada con Wrike. Si el equipo de asistencia necesita acceder a tu cuenta para resolver algún problema o verificar algún aspecto, solo el usuario puede concederle dicho acceso. Para ello, el sistema genera un token de seguridad que debes proporcionar a nuestro equipo de soporte para que pueda ahondar en la resolución del problema durante un tiempo limitado. Este planteamiento sistemático garantiza una confidencialidad adicional para los datos que tienes almacenados en Wrike.

Intercambio de datos y control de acceso basado en roles

Un administrador de la cuenta de Wrike gestiona y controla los derechos individuales de los usuarios mediante la concesión de tipos específicos de licencias de usuario. Puedes consultar información detallada sobre las diferentes licencias de usuarios, los roles y los controles de autorización de Wrike en nuestra sección de ayuda.

Los demás usuarios de tu cuenta de Wrike solo pueden acceder a los datos de los clientes, incluidas las tareas y las carpetas, si estos elementos se han compartido con ellos expresamente o si se encuentran en carpetas compartidas.

Wrike ofrece una configuración flexible del control de acceso a los datos al permitir a los administradores configurar roles de acceso personalizados, que ofrecen la posibilidad de elegir entre más de 20 permisos diferentes para las acciones de los usuarios en Wrike, y se pueden utilizar para especificar los niveles de acceso de los usuarios o grupos a carpetas, proyectos y tareas concretos. También se puede habilitar el uso compartido selectivo para no seguir los ajustes predeterminados del uso compartido heredado, lo que permite controlar más de cerca subcarpetas y subproyectos específicos. Por otra parte, los informes de acceso de Wrike permiten a los administradores revisar a nivel general el acceso de los usuarios a los datos confidenciales.

Supervisión de la actividad del usuario

Wrike permite a los clientes obtener un informe con datos actualizados sobre la actividad de la cuenta, que engloba las acciones de autenticación, los cambios en los controles de autorización y acceso, las carpetas y tareas compartidas, y otras medidas de seguridad. Este mismo informe está disponible a través de una API de REST que permite realizar una integración con los sistemas de gestión de eventos e información de seguridad (SIEM) y del agente de seguridad de acceso a la nube (CASB).

Cifrado de datos

Wrike utiliza la seguridad de la capa de transporte (TLS) 1.2 con un algoritmo AES seleccionado de 256 bits en modo CBC y una longitud de la clave del servidor de 2048 bits con los principales navegadores que lideran el sector hoy en día. Cuando accedes a Wrike a través de navegadores web, aplicaciones móviles, complementos de correo electrónico o extensiones de navegador, la tecnología TLS protege tu información mediante la autenticación en el servidor y el cifrado de los datos. Esto equivale a los métodos de seguridad de red usados en entidades bancarias y los principales sitios web de comercio electrónico.

Por tanto, las contraseñas, las cookies y la información confidencial de todos los usuarios está totalmente a salvo de cualquier interceptación. Los archivos que los usuarios suben a los servidores de Wrike a través de una aplicación web y de las API se cifran automáticamente con el algoritmo AES de 256 bits mediante claves exclusivas para cada archivo. Si alguien consigue tener acceso físico al almacén de archivos, esta información estaría cifrada y no se podría leer directamente. Las claves de cifrado se guardan en un almacén de claves seguro, que es una base de datos independiente disociada de la capa de almacenamiento de archivos. Además, todas las estaciones de trabajo y los servidores de Wrike se cifran en reposo mediante el cifrado del sistema de archivos utilizando un algoritmo AES de 256 bits.

<p>Write Lock</p>

Write Lock

El complemento Wrike Lock del plan Wrike Enterprise aporta una capa adicional de seguridad gracias al cifrado de las claves de cifrado de los datos del espacio de trabajo de Wrike (se incluyen las tareas, las carpetas, los proyectos, los flujos de trabajo y los comentarios) y de los archivos adjuntos de Wrike con una clave maestra administrada por el cliente (CMK), que se almacena en AWS Key Management Service (AWS KMS). Gracias a AWS KMS, el cliente es el único que ejerce la titularidad y el control de la clave maestra de cifrado, que se almacena fuera de Wrike, y solo el cliente puede controlar o revocar el acceso a los datos de Wrike. Así es como se ilustra en el diagrama.

Aparte de todo lo anterior, Wrike también dispone de un procedimiento de recuperación de emergencia para descifrar los datos de Wrike en casos de pérdida o no disponibilidad de la clave maestra CMK del cliente. Esto se consigue con el cifrado de las claves de cifrado de los datos de Wrike mediante un par de claves RSA asimétricas generadas por el cliente; la clave pública se envía a Wrike para que configure el procedimiento y la clave privada la conserva el cliente (la clave pública se puede almacenar en un módulo de seguridad de hardware).

Aplicaciones móviles

Puedes acceder a tu espacio de trabajo de Wrike a través de aplicaciones Android y iOS, que heredan la funcionalidad de seguridad de la aplicación web de Wrike. Estas aplicaciones también cuentan con otras funciones de seguridad, como el cifrado en reposo, la asignación de certificados, controles en los dispositivos rooteados o liberados, y medidas de seguridad en la propia aplicación mediante un código PIN o una huella dactilar.

Recuperación de cuentas y contenido

Wrike ofrece una herramienta de copia de seguridad para que los clientes hagan una copia de seguridad de sus datos que pueden descargar en un equipo local. Consulta aquí información detallada sobre las copias de seguridad de las cuentas ejecutadas por el usuario.

También puedes recuperar fácilmente los elementos eliminados accidentalmente desde la papelera de reciclaje de Wrike. Además, si eliminas un usuario por error, puedes recuperarlo (incluidas algunas de sus tareas) si te pones en contacto con nosotros en el plazo de tres días hábiles. Parte de la información de una cuenta de usuario se puede recuperar hasta un mes después de su eliminación.

Personas

Procesos

Para diseñar y gestionar una infraestructura de centro de datos, no solo se necesita tecnología, sino también un enfoque disciplinado para los procesos. Esto incluye políticas sobre escalabilidad, gestión, intercambio de información, gestión de riesgos y operaciones cotidianas. Los equipos de operaciones y seguridad de Wrike cuentan con años de experiencia en el diseño y la gestión de centros de datos, y trabajamos sin cesar para que nuestros procesos sean cada vez mejores. Wrike también ha desarrollado las mejores prácticas de gestión de los riesgos relacionados con la seguridad y la protección de los datos. Todos estos elementos son fundamentales en la cultura de seguridad de Wrike.

Confidencialidad y privilegios mínimos 

Solo un número limitado de empleados tienen acceso a nuestro centro de datos y a los datos almacenados en nuestras bases de datos. Se aplican estrictas políticas de seguridad para regular el acceso de los empleados, todos los eventos de seguridad se registran y supervisan, y nuestros datos y métodos de autenticación están sujetos a controles estrictos. Para acceder a producción, se necesita un canal VPN, la autenticación multifactor, una contraseña de un solo uso y un certificado personal.

Restringimos el acceso a los datos de los clientes solo a los empleados que los necesiten para el desempeño de sus funciones y les exigimos que firmen un contrato de confidencialidad. Solo se puede acceder a los datos de los clientes cuando sea estrictamente necesario y únicamente si lo autoriza el cliente (por ejemplo, durante una incidencia para la que se solicita asistencia) a través de un token de asistencia, o bien con el beneplácito del equipo directivo o de seguridad a efectos de prestar asistencia, hacer labores de mantenimiento o mejorar la calidad del servicio.

Principios para la adopción de la IA de Wrike

Con esta información pretendemos demostrar nuestro compromiso con las prácticas de la industria con respecto al uso seguro, transparente y legítimo de la IA en las funciones de Wrike.

Cumplimiento y seguridad en materia de datos

El desarrollo y el mantenimiento de la solución Work Intelligence® de Wrike se organizan de la misma forma que para todas nuestras soluciones y ofertas. Wrike opera conforme a las certificaciones SOC 2 Tipo II, ISO 27001, ISO 27017, ISO 27018, ISO 27701 y TX-RAMP Nivel 1.

Las soluciones de aprendizaje automático de Wrike se someten a una revisión de seguridad avanzada que engloba controles respecto a los riesgos de seguridad del aprendizaje automático de la OWASP

Todas las fases de los proyectos de IA, desde su diseño hasta su ejecución, están sujetas a revisiones de seguridad y de modelos de amenazas.

Uso aceptable y alojamiento de los datos

Las funciones de IA generativa, como la creación de contenido de IA, se basan en la tecnología Microsoft Azure OpenAI Service. Los datos se alojan de forma segura con controles de nivel empresarial, como la inclusión voluntaria, los derechos de acceso y la moderación de contenidos nocivos, ilegales y protegidos por PI, y se regulan conforme a un marco jurídico favorable para las empresas. Los datos de los clientes no se usan para mejorar los productos o servicios de Microsoft y otros terceros, incluidos los modelos de aprendizaje automático. La forma en que Microsoft Azure OpenAI Service procesa los datos y las medidas de seguridad y protección pertinentes se establecen en la política de datos, privacidad y seguridad de Microsoft para Azure OpenAI Service

Los datos generales, como las estadísticas anónimas sobre el uso histórico en relación con las búsquedas, podrían utilizarse para entrenar los modelos de aprendizaje automático de Wrike, pero los datos específicos, como los nombres de los usuarios y las descripciones de tareas asociadas, nunca se almacenan ni utilizan para el entrenamiento de los modelos.

Puedes consultar más información en nuestro Anexo de IA

Transparencia y controles manuales

Las funciones de Work Intelligence de Wrike están diseñadas sin estado. Esto significa que, al activar las funciones basadas en IA, los usuarios no tienen ninguna comunicación directa con las bases de datos que contienen los datos de los clientes. La funcionalidad se puede activar y desactivar sin que afecte a la privacidad de los datos históricos.

El contenido generado por las funciones de Work Intelligence de Wrike se puede verificar, editar o utilizar en el momento en que se crea. El usuario debe intervenir en todos los casos de uso para verificar que se puedan interpretar los resultados, es decir, que un humano pueda entender y aprobar sus decisiones.

Protección de datos y gestión de la IA

Wrike prohíbe utilizar IIP confidencial y ciertas categorías de datos regulados y confidenciales en cualquier tipo de solución basada en IA en toda la empresa. La solución Work Intelligence de Wrike sigue este mismo enfoque.

Estamos siempre muy atentos a los grupos de trabajo y la normativa que regulan la IA en todo el mundo para atenernos a los principios de la centralización y supervisión humanas, la responsabilidad, la imparcialidad, la transparencia, la protección de datos y la seguridad, a fin de asegurarnos de que incluso los clientes más exigentes con la seguridad prueben nuestras nuevas funciones.

Consulta más información aquí sobre nuestra política de ética de la IA.

Privacidad

RGPD y CCPA: para los clientes que lo soliciten, tenemos un anexo sobre el tratamiento de los datos y un anexo de la CCPA en los que se describen las obligaciones de Wrike como proveedor de su propio servicio de atención al cliente. Pueden incluir obligaciones relacionadas con el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (RGPD), Cláusulas contractuales estándar (SCC, por sus siglas en inglés) y la Ley de privacidad del consumidor de California (CCPA, por sus siglas en inglés), así como otras leyes aplicables.

HIPAA: es la Ley de Responsabilidad y Portabilidad del Seguro de Salud de EE. UU., que establece disposiciones de seguridad y protección de datos para salvaguardar la información médica. Si Wrike procesa información médica protegida (IMP) en nombre de una entidad cubierta o un socio comercial (ambos conocidos como “funciones” en virtud de la HIPAA), Wrike tiene un acuerdo de socio comercial que cumple con los estándares y requisitos de la industria, así como con la norma de seguridad de la HIPAA. Está disponible a petición del interesado.

La política de confidencialidad de Wrike se ha elaborado minuciosamente para abordar tus inquietudes sobre la privacidad y tus derechos con respecto a tus datos personales. Si se solicita, Wrike también proporcionará un anexo sobre protección de datos en el que se describen nuestras prácticas en relación con los datos.

Conformidad

<h5>SOC 2 Tipo II<br></h5>
SOC 2 Tipo II

Este análisis independiente de terceros evalúa la naturaleza y eficacia de los controles internos que Wrike aplica para proteger los datos de los clientes. Las auditorías de cumplimiento del estándar SOC 2 Tipo II acreditan el compromiso de Wrike de adoptar un enfoque maduro, sólido y seguro en la gestión de los productos, los procesos y la seguridad para velar por los datos de sus clientes.

<h5>SOC 3 Tipo II<br></h5>
SOC 3 Tipo II

Este informe se basa en la auditoría del estándar SOC 2 Tipo II y demuestra el compromiso de Wrike con el cumplimiento de los principios de seguridad, confidencialidad, disponibilidad y privacidad del sector.

Descargar informe

<h5>ISO/IEC 27001:2013</h5>
gestión de la seguridad de la información
ISO/IEC 27001:2013

Esta certificación independiente de terceros garantiza que Wrike dispone de una infraestructura de seguridad integral y que aplica un enfoque basado en el riesgo para gestionar la seguridad de la información. La certificación ilustra la dedicación de Wrike a una estrategia de seguridad de prácticas recomendadas en consonancia con los estándares internacionales de seguridad.

<h5>ISO/IEC 27017:2015</h5>
gestión de la seguridad de la nube
ISO/IEC 27017:2015

Esta certificación acredita a Wrike como un proveedor de servicios en la nube que otorga máxima prioridad a los aspectos de la seguridad de la información de la informática en la nube que, además, cuenta con un sistema de controles rigurosos que son específicos de los servicios en la nube.

<h5>ISO/IEC 27018:2019</h5>
Datos personales en la nube
ISO/IEC 27018:2019

Esta certificación acredita que Wrike aplica medidas para proteger la información de identificación personal (IIP) de acuerdo con los principios de privacidad del estándar ISO/IEC 29100 que regulan el entorno informático en la nube pública.

<h5>ISO/IEC 27701:2019</h5>
Gestión de la información de privacidad
ISO/IEC 27701:2019

Esta certificación acredita que Wrike, como responsable del tratamiento de los datos de IIP, cuenta con un sistema fiable de gestión de la información de privacidad que garantiza la aplicación de controles efectivos no solo para cumplir las disposiciones del RGPD o de la CCPA, sino también para utilizar las mejores prácticas para acogerse a las disposiciones de muchas otras normativas sobre privacidad.

<h5>CSA STAR</h5>
seguridad en la nube
CSA STAR

Wrike ha superado la etapa de terceros de esta certificación (nivel 1 de CSA STAR). Esto demuestra que Wrike, como proveedor de servicios en la nube, ha abordado problemas críticos para la seguridad de la nube como se describe en la matriz de controles en la nube de CSA. Asimismo, demuestra que se ha evaluado a Wrike según el modelo de madurez de capacidades de STAR para la gestión de actividades en áreas de control de seguridad de la nube. CSA STAR es una evaluación independiente y de terceros de la seguridad de los proveedores de servicios en la nube. La certificación de neutralidad tecnológica aprovecha los requisitos de las normas del sistema de gestión ISO/IEC 27001:2013 y se centra en los requisitos específicos del servicio en la nube.