La sécurité chez Exayard
Comment nous protégeons vos plans, vos tarifs et vos données de projet — et comment les agents et les intégrations sont autorisés à y accéder.
Chiffrement
Les données en transit sont chiffrées avec TLS 1.3. Les données au repos sont chiffrées avec AES-256. Les PDF de plans, les mesures de relevé et les tarifs des produits sont chiffrés au niveau de la couche de stockage.
Authentification
L'identité est gérée par Clerk. Nous prenons en charge la connexion par courriel/mot de passe, Google, Microsoft et l'authentification unique (SSO) SAML pour les entreprises. L'authentification multifacteur est disponible pour tous les forfaits payants.
Clés API et OAuth
Les clés API comportent une liste de portées explicite (lecture/écriture par ressource). OAuth suit la norme RFC 7591 (Dynamic Client Registration) afin que les clients MCP enregistrés (Claude, Cursor, etc.) obtiennent des jetons via le point de terminaison de découverte des ressources protégées. Le moindre privilège est appliqué par défaut.
Journaux d'audit
Chaque requête comporte un en-tête X-Request-Id. L'identité de l'agent est préservée grâce aux identifiants de client OAuth, de sorte que les journaux d'audit distinguent "Claude Desktop agissant pour alice" de "alice directement".
Webhooks
Les webhooks sortants sont signés avec HMAC-SHA256. Les signatures incluent un horodatage et rejettent les envois datant de plus de 5 minutes. Les secrets des points de terminaison ne sont renvoyés qu'au moment de leur création.
Résidence des données
Les données de production sont hébergées aux États-Unis sur une infrastructure conforme à la norme SOC 2 Type II. Les clients de niveau Entreprise peuvent demander des options spécifiques de résidence des données.
Sous-traitants
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel et Sentry. Nous fournissons une liste à jour sur demande et informons les clients avant d'ajouter de nouveaux sous-traitants qui traitent des données client.
Divulgation de vulnérabilités
Signalez les failles de sécurité à [email protected]. Nous accusons réception des signalements dans un délai de 1 jour ouvrable et visons une résolution sous 30 jours pour les vulnérabilités de gravité élevée. Nous n'engagerons pas de poursuites contre les chercheurs agissant de bonne foi.
Conformité
Audit SOC 2 Type II en cours. Des tests d'intrusion sont réalisés annuellement par un tiers indépendant. Traitement des données conforme au RGPD. La norme HIPAA n'est pas prise en charge actuellement.
Suppression de compte
Vous pouvez supprimer vos projets et l'ensemble de votre compte à tout moment depuis les paramètres. Les sauvegardes sont conservées pendant 30 jours après la suppression afin de permettre la récupération après sinistre, après quoi toutes les données sont définitivement effacées.
Des questions sur la sécurité?
Pour obtenir les rapports SOC 2, les évaluations des fournisseurs ou les ADD (accords sur le traitement des données), communiquez avec notre équipe.
Contactez-nousPrêt à remporter plus de soumissions ?
Rejoignez des centaines d’entrepreneurs qui utilisent Exayard pour estimer plus rapidement et plus précisément. Commencez dès aujourd’hui.