Seguridad en Exayard
Cómo protegemos tus planos, tus precios y los datos de tus proyectos, y cómo se autoriza a los agentes y las integraciones a acceder a ellos.
Cifrado
Los datos en tránsito se cifran con TLS 1.3. Los datos en reposo se cifran con AES-256. Los PDF de planos, las mediciones y los precios de los productos se cifran en la capa de almacenamiento.
Autenticación
La identidad se gestiona a través de Clerk. Admitimos correo electrónico/contraseña, Google, Microsoft y SSO mediante SAML para Enterprise. La autenticación multifactor está disponible en todos los niveles de pago.
Claves de API y OAuth
Las claves de API incluyen una lista explícita de ámbitos (lectura/escritura por recurso). OAuth sigue el registro dinámico de clientes de la RFC 7591, de modo que los clientes MCP registrados (Claude, Cursor, etc.) obtienen tokens a través del endpoint de descubrimiento de recursos protegidos. Privilegio mínimo de forma predeterminada.
Registros de auditoría
Cada solicitud lleva un X-Request-Id. La identidad del agente se conserva mediante los ID de cliente de OAuth, de modo que los registros de auditoría distinguen entre «Claude Desktop actuando en nombre de alice» y «alice directamente».
Webhooks
Los webhooks salientes se firman con HMAC-SHA256. Las firmas incluyen una marca de tiempo y rechazan las entregas con más de 5 minutos de antigüedad. Los secretos del endpoint solo se devuelven en el momento de la creación.
Residencia de los datos
Los datos de producción se alojan en Estados Unidos en una infraestructura SOC 2 Tipo II. Los clientes Enterprise pueden solicitar opciones específicas de residencia de datos.
Subencargados del tratamiento
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel y Sentry. Facilitamos una lista actualizada bajo petición y notificamos a los clientes antes de añadir nuevos subencargados que traten datos de clientes.
Divulgación de vulnerabilidades
Informa de los problemas de seguridad a [email protected]. Confirmamos la recepción de los informes en un plazo de 1 día laborable y nuestro objetivo es resolver las vulnerabilidades de gravedad alta en un plazo de 30 días. No emprendemos acciones contra los investigadores que actúan de buena fe.
Cumplimiento normativo
Auditoría SOC 2 Tipo II en curso. Las pruebas de penetración las realiza anualmente un tercero independiente. Tratamiento de datos conforme al RGPD. Actualmente no se admite HIPAA.
Eliminación de la cuenta
Puedes eliminar proyectos y toda tu cuenta desde los ajustes en cualquier momento. Las copias de seguridad se conservan durante 30 días tras la eliminación para facilitar la recuperación ante desastres, después de lo cual todos los datos se borran de forma permanente.
¿Tienes preguntas sobre seguridad?
Para obtener informes SOC 2, evaluaciones de proveedores o acuerdos de tratamiento de datos (DPA), ponte en contacto con nuestro equipo.
Contáctanos¿Listo para ganar más ofertas?
Únete a cientos de contratistas que usan Exayard para presupuestar más rápido y con mayor precisión. Empieza hoy mismo.