Sicherheit bei Exayard

Wie wir Ihre Pläne, Preise und Projektdaten schützen – und wie Agenten und Integrationen für den Zugriff autorisiert werden.

Verschlüsselung

Daten während der Übertragung werden mit TLS 1.3 verschlüsselt. Ruhende Daten werden mit AES-256 verschlüsselt. Plan-PDFs, Mengenermittlungsmessungen und Produktpreise werden auf der Speicherebene verschlüsselt.

Authentifizierung

Die Identität wird über Clerk verwaltet. Wir unterstützen E-Mail/Passwort, Google, Microsoft und SAML SSO für Enterprise. Mehrstufige Authentifizierung ist in allen kostenpflichtigen Tarifen verfügbar.

API-Schlüssel und OAuth

API-Schlüssel tragen eine explizite Scope-Liste (Lesen/Schreiben pro Ressource). OAuth folgt der Dynamic Client Registration nach RFC 7591, sodass registrierte MCP-Clients (Claude, Cursor usw.) Token über den Discovery-Endpunkt für geschützte Ressourcen erhalten. Standardmäßig nach dem Least-Privilege-Prinzip.

Audit-Protokolle

Jede Anfrage trägt eine X-Request-Id. Die Agentenidentität wird über OAuth-Client-IDs bewahrt, sodass Audit-Protokolle „Claude Desktop handelt für alice" von „alice direkt" unterscheiden.

Webhooks

Ausgehende Webhooks werden mit HMAC-SHA256 signiert. Signaturen enthalten einen Zeitstempel und weisen Zustellungen ab, die älter als 5 Minuten sind. Endpunkt-Geheimnisse werden nur bei der Erstellung zurückgegeben.

Datenstandort

Produktionsdaten werden in den USA auf einer SOC-2-Type-II-Infrastruktur gehostet. Enterprise-Kunden können spezifische Optionen für den Datenstandort anfragen.

Unterauftragsverarbeiter

Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel und Sentry. Wir stellen auf Anfrage eine aktuelle Liste bereit und benachrichtigen Kunden, bevor wir neue Unterauftragsverarbeiter hinzufügen, die Kundendaten verarbeiten.

Offenlegung von Schwachstellen

Melden Sie Sicherheitsprobleme an [email protected]. Wir bestätigen Meldungen innerhalb von 1 Werktag und streben bei Befunden hoher Schwere eine Behebung innerhalb von 30 Tagen an. Gegen Forscher, die in gutem Glauben handeln, gehen wir nicht vor.

Compliance

SOC-2-Type-II-Audit in Bearbeitung. Penetrationstests werden jährlich von einem unabhängigen Dritten durchgeführt. DSGVO-konforme Datenverarbeitung. HIPAA wird derzeit nicht unterstützt.

Kontolöschung

Sie können Projekte und Ihr gesamtes Konto jederzeit über die Einstellungen löschen. Backups werden nach der Löschung 30 Tage lang zur Notfallwiederherstellung aufbewahrt, danach werden alle Daten endgültig gelöscht.

Fragen zur Sicherheit?

Für SOC-2-Berichte, Lieferantenbewertungen oder Auftragsverarbeitungsverträge wenden Sie sich an unser Team.

Kontaktieren Sie uns

Bereit, mehr Aufträge zu gewinnen?

Schließen Sie sich Hunderten von Bauunternehmen an, die mit Exayard schneller und genauer kalkulieren. Legen Sie noch heute los.

Loslegen Demo buchen