Seguretat a Exayard
Com protegim els vostres plànols, preus i dades de projectes, i com s'autoritza el seu accés a agents i integracions.
Xifratge
Les dades en trànsit estan xifrades amb TLS 1.3. Les dades en repòs estan xifrades amb AES-256. Els PDF dels plànols, els amidaments i els preus dels productes estan xifrats a la capa d'emmagatzematge.
Autenticació
La identitat es gestiona a través de Clerk. Admetem correu electrònic/contrasenya, Google, Microsoft i SSO SAML per a Enterprise. L'autenticació de doble factor està disponible en tots els plans de pagament.
Claus d'API i OAuth
Les claus d'API inclouen una llista d'abast explícita (lectura/escriptura per recurs). L'OAuth segueix l'RFC 7591 (Dynamic Client Registration), de manera que els clients MCP registrats (Claude, Cursor, etc.) obtenen els tokens mitjançant el punt d'accés de descobriment de recursos protegits. Mínims privilegis per defecte.
Registres d'auditoria
Cada petició inclou un X-Request-Id. La identitat de l'agent es conserva mitjançant els ID de client d'OAuth perquè els registres d'auditoria distingeixin "Claude Desktop actuant en nom d'alice" d'"alice directament."
Webhooks
Els webhooks de sortida estan signats amb HMAC-SHA256. Les signatures inclouen una marca de temps i rebutgen els lliuraments de més de 5 minuts d'antiguitat. Els secrets dels punts d'accés només es mostren en el moment de la creació.
Residència de les dades
Les dades de producció s'allotgen als Estats Units en una infraestructura SOC 2 Tipus II. Els clients d'Enterprise poden sol·licitar opcions específiques de residència de les dades.
Subprocessadors
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel i Sentry. Facilitem una llista actualitzada a petició i notifiquem als clients abans d'afegir nous subprocessadors que tractin dades de clients.
Divulgació de vulnerabilitats
Informeu de problemes de seguretat a [email protected]. Confirmarem la recepció de l'informe en el termini d'1 dia laborable i tenim com a objectiu resoldre els problemes de gravetat alta en un termini de 30 dies. No emprendrem accions contra els investigadors que actuïn de bona fe.
Conformitat
Auditoria SOC 2 Tipus II en curs. Proves de penetració dutes a terme anualment per un tercer independent. Tractament de dades alineat amb l'RGPD. Actualment no s'admet HIPAA.
Eliminació del compte
Podeu eliminar projectes i tot el vostre compte des de la configuració en qualsevol moment. Les còpies de seguretat es conserven durant 30 dies després de l'eliminació per facilitar la recuperació davant de desastres, i després totes les dades s'esborren permanentment.
Teniu preguntes sobre seguretat?
Per a informes SOC 2, avaluacions de proveïdors o DPA, poseu-vos en contacte amb el nostre equip.
Contacteu amb nosaltresEstàs preparat per guanyar més contractes?
Uneix-te a centenars de contractistes que utilitzen Exayard per estimar més ràpidament i amb més precisió. Comença avui mateix.