Zabezpečení v Exayard
Jak chráníme vaše výkresy, ceny a projektová data – a jak jsou agenti a integrace autorizováni k přístupu k nim.
Šifrování
Přenášená data jsou šifrována pomocí TLS 1.3. Uložená data jsou šifrována pomocí AES-256. PDF soubory výkresů, naměřené výměry a produktové ceny jsou šifrovány na úrovni úložiště.
Ověřování
Správa identity probíhá přes Clerk. Podporujeme přihlášení e-mailem/heslem, Google, Microsoft a SAML SSO pro tarify Enterprise. Vícefaktorové ověřování je k dispozici ve všech placených tarifech.
Klíče API a OAuth
Klíče API obsahují explicitní seznam oprávnění (čtení/zápis pro každý prostředek). Protokol OAuth se řídí standardem RFC 7591 Dynamic Client Registration, takže registrovaní MCP klienti (Claude, Cursor atd.) získávají tokeny prostřednictvím koncového bodu pro vyhledávání chráněných prostředků. Výchozím nastavením je princip minimálních oprávnění.
Protokoly auditu
Každý požadavek obsahuje hlavičku X-Request-Id. Identita agenta je zachována prostřednictvím ID klientů OAuth, takže protokoly auditu rozlišují mezi "Claude Desktop jedná za uživatele alice" a "přímo uživatelem alice".
Webhooky
Odchozí webhooky jsou podepisovány pomocí HMAC-SHA256. Podpisy obsahují časové razítko a odmítají doručení starší než 5 minut. Tajné klíče koncových bodů se zobrazují pouze při jejich vytvoření.
Umístění dat
Produkční data jsou hostována ve Spojených státech na infrastruktuře splňující standard SOC 2 Type II. Zákazníci s tarifem Enterprise mohou požádat o specifické možnosti umístění dat.
Další zpracovatelé
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel a Sentry. Aktuální seznam poskytneme na vyžádání a zákazníky informujeme před přidáním nových zpracovatelů, kteří nakládají s jejich daty.
Nahlašování zranitelností
Bezpečnostní problémy hlaste na adresu [email protected]. Přijetí hlášení potvrdíme do 1 pracovního dne a u nálezů s vysokou závažností se snažíme o nápravu do 30 dnů. Nepodnikáme žádné právní kroky proti bezpečnostním výzkumníkům jednajícím v dobré víře.
Soulad s předpisy
Probíhá audit SOC 2 Type II. Penetrační testy jsou prováděny každoročně nezávislou třetí stranou. Nakládání s daty je v souladu s GDPR. Standard HIPAA v současné době není podporován.
Smazání účtu
Projekty i celý svůj účet můžete kdykoli smazat v nastavení. Zálohy jsou po smazání uchovávány po dobu 30 dnů pro účely obnovy po havárii, poté jsou všechna data trvale vymazána.
Máte dotazy k zabezpečení?
Pro získání zpráv SOC 2, hodnocení dodavatelů nebo dohod o zpracování osobních údajů (DPA) kontaktujte náš tým.
Kontaktujte násJste připraveni vyhrát více zakázek?
Připojte se ke stovkám dodavatelů používajících Exayard k rychlejšímu a přesnějšímu odhadování. Začněte dnes.