Exayardin tietoturva
Miten suojaamme piirustukset, hinnoittelun ja projektitiedot — ja miten agentit ja integraatiot valtuutetaan käyttämään niitä.
Salaus
Siirrettävä data on salattu TLS 1.3 -protokollalla. Levossa oleva data on salattu AES-256-menetelmällä. Piirustus-PDF:t, määrälaskentamittaukset ja tuotehinnoittelut on salattu tallennustasolla.
Tunnistautuminen
Identiteetin hallinnasta vastaa Clerk. Tuemme sähköpostia/salasanaa, Googlea, Microsoftia sekä SAML SSO -kertakirjautumista Enterprise-asiakkaille. Monivaiheinen tunnistautuminen on käytettävissä kaikissa maksullisissa tilaustasoissa.
API-avaimet ja OAuth
API-avaimilla on selkeä käyttöoikeusluettelo (luku/kirjoitus resurssikohtaisesti). OAuth noudattaa RFC 7591 Dynamic Client Registration -standardia, joten rekisteröidyt MCP-asiakasohjelmat (Claude, Cursor jne.) saavat tunnukset suojatun resurssin hakupisteen (discovery endpoint) kautta. Oletuksena käytetään pienimmän oikeuden periaatetta (least-privilege).
Auditointilokit
Jokainen pyyntö sisältää X-Request-Id-tunnisteen. Agentin identiteetti säilytetään OAuth-asiakastunnusten avulla, jotta auditointilokit erottavat tapahtuman "Claude Desktop toimii käyttäjän alice puolesta" tapahtumasta "alice suoraan".
Webhookit
Lähtevät webhook-kutsut allekirjoitetaan HMAC-SHA256-algoritmilla. Allekirjoitukset sisältävät aikaleiman, ja yli 5 minuuttia vanhemmat lähetykset hylätään. Päätepisteen salaisuudet palautetaan vain luontihetkellä.
Datan sijainti
Tuotantodataa isännöidään Yhdysvalloissa SOC 2 Type II -sertifioidussa infrastruktuurissa. Enterprise-asiakkaat voivat pyytää tiettyjä datan sijaintivaihtoehtoja.
Alikäsittelijät
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel ja Sentry. Toimitamme ajantasaisen luettelon pyynnöstä ja ilmoitamme asiakkaille ennen uusien, asiakastietoja käsittelevien alikäsittelijöiden lisäämistä.
Haavoittuvuuksien ilmoittaminen
Ilmoita tietoturvaongelmista osoitteeseen [email protected]. Kuittaamme ilmoitukset 1 arkipäivän kuluessa ja pyrimme korjaamaan kriittiset löydökset 30 päivän sisällä. Emme ryhdy oikeustoimiin vilpittömässä mielessä toimivia tutkijoita vastaan.
Vaatimustenmukaisuus
SOC 2 Type II -auditointi on käynnissä. Riippumaton kolmas osapuoli suorittaa tunkeutumistestit vuosittain. GDPR-vaatimusten mukainen tietojen käsittely. HIPAA-tukea ei ole tällä hetkellä.
Tilin poistaminen
Voit poistaa projekteja ja koko tilisi asetuksista milloin tahansa. Varmuuskopioita säilytetään 30 päivää poistamisen jälkeen vikatilanteista palautumista varten, minkä jälkeen kaikki tiedot poistetaan pysyvästi.
Kysyttävää tietoturvasta?
Ota yhteyttä tiimiimme SOC 2 -raportteihin, toimittaja-arviointeihin tai DPA-sopimuksiin liittyen.
Ota yhteyttäValmis voittamaan enemmän tarjouksia?
Liity satojen Exayardia käyttävien urakoitsijoiden joukkoon – arvioi nopeammin ja tarkemmin. Aloita tänään.