Exayard 的安全保障
我们如何保护你的图纸、定价和项目数据——以及智能体和集成如何获得访问授权。
加密
传输中的数据使用 TLS 1.3 加密。静态数据使用 AES-256 加密。图纸 PDF、工程量计算的测量数据和产品定价均在存储层进行加密。
身份验证
身份通过 Clerk 进行管理。我们支持邮箱/密码、Google、Microsoft,以及面向企业版的 SAML SSO。所有付费层级均可使用多因素身份验证。
API 密钥与 OAuth
API 密钥携带明确的作用域列表(针对各资源的读/写权限)。OAuth 遵循 RFC 7591 动态客户端注册,因此已注册的 MCP 客户端(Claude、Cursor 等)可通过受保护资源发现端点获取令牌。默认遵循最小权限原则。
审计日志
每个请求都携带 X-Request-Id。智能体身份通过 OAuth 客户端 ID 得以保留,因此审计日志可区分“Claude Desktop 代表 alice 执行”与“alice 直接操作”。
Webhook
出站 webhook 使用 HMAC-SHA256 签名。签名包含时间戳,并拒绝超过 5 分钟的投递。端点密钥仅在创建时返回。
数据驻留
生产数据托管在美国,基于符合 SOC 2 Type II 的基础设施。企业客户可申请特定的数据驻留方案。
子处理方
Stripe、Clerk、Convex、Cloudflare、Anthropic、OpenAI、Vercel 和 Sentry。我们可应要求提供最新清单,并在新增处理客户数据的子处理方前通知客户。
漏洞披露
请将安全问题报告至 [email protected]。我们将在 1 个工作日内确认收到报告,并力争在 30 天内修复高严重程度的问题。对于善意行事的研究人员,我们不会追究责任。
合规
SOC 2 Type II 审计正在进行中。每年由独立的第三方进行渗透测试。数据处理符合 GDPR。目前不支持 HIPAA。
账户删除
你可以随时在设置中删除项目和整个账户。删除后备份将保留 30 天以支持灾难恢复,之后所有数据将被永久清除。