Անվտանգությունը Exayard-ում

Ինչպես ենք մենք պաշտպանում ձեր գծագրերը, գնագոյացումը և նախագծերի տվյալները — և ինչպես են գործակալներն ու ինտեգրումները լիազորվում մուք գործել դրանք։

Գաղտնագրում

Տեղափոխվող տվյալները գաղտնագրվում են TLS 1.3-ով։ Պահպանվող տվյալները գաղտնագրվում են AES-256-ով։ Գծագրերի PDF ֆայլերը, չափագրումները և արտադրանքի գնագոյացումը գաղտնագրվում են պահպանման մակարդակում։

Նույնականացում

Ինքնությունը կառավարվում է Clerk-ի միջոցով։ Մենք աջակցում ենք էլ․ փոստ/գաղտնաբառ տարբերակին, Google-ին, Microsoft-ին և SAML SSO-ին Enterprise-ի համար։ Բազմագործոն նույնականացումը հասանելի է բոլոր վճարովի սակագներում։

Դերեր և մուտքի վերահսկում

Յուրաքանչյուր աշխատանքային տարածք ունի կազմակերպության երկու դեր։ Ադմինիստրատորները կառավարում են թիմը, հրավերները, վճարումները և կազմակերպության կարգավորումները, մինչդեռ անդամները կատարում են ամենօրյա քանակագրման և գնահատման աշխատանքը։ Ձեր աշխատանքային տարածքից դուրս աշխատանքով կիսվելու համար դուք մեկ նախագծի նկատմամբ որևէ մեկին տալիս եք դիտողի մուտք (դիտում և մեկնաբանում) կամ խմբագրողի մուտք (փոփոխություններ կատարել)՝ երբեք ձեր ամբողջ հաշիվը։ Այս բոլոր ստուգումներն աշխատում են մեր սերվերների վրա, այնպես որ ինտերֆեյսը հնարավոր չէ շրջանցել՝ ստանալու համար մուտք, որը դերը չի թույլատրում։

API բանալիներ և OAuth

API բանալիներն ունեն հստակ սահմանված հասանելիության տիրույթներ (կարդալ/գրել յուրաքանչյուր ռեսուրսի համար)։ OAuth-ը հետևում է RFC 7591 Dynamic Client Registration-ին, այնպես որ գրանցված MCP հաճախորդները (Claude, Cursor և այլն) ստանում են թոքեններ պաշտպանված ռեսուրսների հայտնաբերման վերջնակետի միջոցով։ Նվազագույն արտոնությունների սկզբունքը գործում է լռելյայն։

Աուդիտի մատյաններ

Յուրաքանչյուր հարցում պարունակում է X-Request-Id։ Գործակալի ինքնությունը պահպանվում է OAuth client ID-ների միջոցով, որպեսզի աուդիտի մատյանները տարբերեն "Claude Desktop-ը գործում է alice-ի անունից" տարբերակը "անմիջապես alice"-ից։

Վեբհուկեր

Ելքային վեբհուկերը ստորագրվում են HMAC-SHA256-ով։ Ստորագրությունները ներառում են ժամանակային դրոշմ և մերժում են 5 րոպեից հին հարցումները։ Վերջնակետի գաղտնիքները (secrets) վերադարձվում են միայն ստեղծման պահին։

Տվյալների տեղակայում

Աշխատանքային (production) տվյալները հոստավորվում են Ամերիկայի Միացյալ Նահանգներում՝ SOC 2 Type II ենթակառուցվածքի վրա։ Enterprise հաճախորդները կարող են պահանջել տվյալների տեղակայման հատուկ տարբերակներ։

Ենթամշակողներ

Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel և Sentry։ Մենք տրամադրում ենք ընթացիկ ցուցակը ըստ պահանջի և տեղեկացնում ենք հաճախորդներին նախքան հաճախորդների տվյալները մշակող նոր ենթամշակողներ ավելացնելը։

Խոցելիությունների բացահայտում

Անվտանգության խնդիրների մասին զեկուցեք [email protected] հասցեով։ Մենք հաստատում ենք զեկույցների ստացումը 1 աշխատանքային օրվա ընթացքում և նպատակ ունենք վերացնել բարձր խիստության խոցելիությունները 30 օրվա ընթացքում։ Մենք հետապնդում չենք իրականացնում բարեխղճորեն գործող հետազոտողների նկատմամբ։

Համապատասխանություն

SOC 2 Type II աուդիտն ընթացքի մեջ է։ Ներթափանցման թեստերն անցկացվում են ամեն տարի անկախ երրորդ կողմի կողմից։ GDPR-ին համապատասխանեցված տվյալների մշակում։ HIPAA-ն ներկայումս չի աջակցվում։

Հաշվի ջնջում

Դուք կարող եք ցանկացած պահի կարգավորումներից ջնջել նախագծերը և ձեր ամբողջ հաշիվը։ Պահուստային պատճենները պահվում են ջնջումից հետո 30 օրվա ընթացքում՝ արտակարգ իրավիճակներից հետո վերականգնումն ապահովելու համար, որից հետո բոլոր տվյալները վերջնականապես ջնջվում են։

Անվտանգության վերաբերյալ հարցե՞ր։

SOC 2 հաշվետվությունների, մատակարարների գնահատումների կամ DPA-ների համար կապվեք մեր թիմի հետ։

Կապ մեզ հետ

Պատրաստ եք շահել ավելի շատ մրցակցային առաջարկներ?

Միացե՛ք Exayard-ից օգտվող հարյուրավոր կապալառուներին՝ ավելի արագ և ճշգրիտ գնահատումներ կատարելու համար: Սկսե՛ք այսօր: