Segurança no Exayard
Como protegemos suas pranchas, seus preços e os dados dos seus projetos — e como agentes e integrações são autorizados a acessá-los.
Criptografia
Os dados em trânsito são criptografados com TLS 1.3. Os dados em repouso são criptografados com AES-256. PDFs de pranchas, medições de levantamentos de quantitativos e preços de produtos são criptografados na camada de armazenamento.
Autenticação
A identidade é gerenciada pelo Clerk. Oferecemos suporte a e-mail/senha, Google, Microsoft e SSO SAML para o plano Enterprise. A autenticação multifator está disponível em todos os níveis pagos.
Chaves de API e OAuth
As chaves de API têm uma lista explícita de escopos (leitura/gravação por recurso). O OAuth segue o Registro Dinâmico de Clientes RFC 7591, de modo que clientes MCP registrados (Claude, Cursor etc.) obtêm tokens por meio do endpoint de descoberta de recursos protegidos. Privilégio mínimo por padrão.
Logs de auditoria
Cada requisição inclui um X-Request-Id. A identidade do agente é preservada por meio dos IDs de cliente OAuth, de modo que os logs de auditoria distinguem "Claude Desktop agindo em nome de alice" de "alice diretamente".
Webhooks
Os webhooks de saída são assinados com HMAC-SHA256. As assinaturas incluem um carimbo de data/hora e rejeitam entregas com mais de 5 minutos. Os segredos do endpoint são retornados apenas no momento da criação.
Residência de dados
Os dados de produção são hospedados nos Estados Unidos em infraestrutura SOC 2 Tipo II. Clientes Enterprise podem solicitar opções específicas de residência de dados.
Subprocessadores
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel e Sentry. Fornecemos uma lista atualizada mediante solicitação e notificamos os clientes antes de adicionar novos subprocessadores que lidam com dados de clientes.
Divulgação de vulnerabilidades
Relate problemas de segurança para [email protected]. Confirmamos o recebimento dos relatos em até 1 dia útil e buscamos uma correção em até 30 dias para descobertas de alta severidade. Não tomamos medidas contra pesquisadores que agem de boa-fé.
Conformidade
Auditoria SOC 2 Tipo II em andamento. Testes de penetração são realizados anualmente por um terceiro independente. Tratamento de dados alinhado ao GDPR. Atualmente não há suporte a HIPAA.
Exclusão de conta
Você pode excluir projetos e toda a sua conta nas configurações a qualquer momento. Os backups são mantidos por 30 dias após a exclusão para dar suporte à recuperação de desastres, após o que todos os dados são apagados permanentemente.
Dúvidas sobre segurança?
Para relatórios SOC 2, avaliações de fornecedores ou DPAs, entre em contato com nossa equipe.
Fale conoscoPronto para ganhar mais propostas?
Junte-se a centenas de empreiteiros que usam a Exayard para orçar com mais rapidez e precisão. Comece hoje.