La sécurité chez Exayard
Comment nous protégeons vos plans, vos prix et les données de vos projets — et comment les agents et les intégrations sont autorisés à y accéder.
Chiffrement
Les données en transit sont chiffrées avec TLS 1.3. Les données au repos sont chiffrées avec AES-256. Les PDF de plans, les mesures de métré et les prix des produits sont chiffrés au niveau de la couche de stockage.
Authentification
L'identité est gérée via Clerk. Nous prenons en charge l'e-mail/mot de passe, Google, Microsoft et le SSO SAML pour les forfaits Enterprise. L'authentification multifacteur est disponible sur tous les forfaits payants.
Clés d'API et OAuth
Les clés d'API comportent une liste explicite de portées (lecture/écriture par ressource). OAuth suit l'enregistrement dynamique de client RFC 7591, de sorte que les clients MCP enregistrés (Claude, Cursor, etc.) obtiennent des jetons via le point de terminaison de découverte des ressources protégées. Moindre privilège par défaut.
Journaux d'audit
Chaque requête comporte un X-Request-Id. L'identité de l'agent est préservée grâce aux identifiants de client OAuth, de sorte que les journaux d'audit distinguent « Claude Desktop agissant pour alice » de « alice directement ».
Webhooks
Les webhooks sortants sont signés avec HMAC-SHA256. Les signatures incluent un horodatage et rejettent les livraisons datant de plus de 5 minutes. Les secrets des points de terminaison ne sont communiqués qu'au moment de leur création.
Résidence des données
Les données de production sont hébergées aux États-Unis sur une infrastructure SOC 2 Type II. Les clients Enterprise peuvent demander des options spécifiques de résidence des données.
Sous-traitants
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel et Sentry. Nous fournissons une liste à jour sur demande et informons les clients avant d'ajouter de nouveaux sous-traitants qui traitent les données des clients.
Divulgation des vulnérabilités
Signalez les problèmes de sécurité à [email protected]. Nous accusons réception des signalements sous 1 jour ouvré et visons une correction sous 30 jours pour les vulnérabilités de gravité élevée. Nous ne poursuivons pas les chercheurs agissant de bonne foi.
Conformité
Audit SOC 2 Type II en cours. Des tests d'intrusion sont réalisés chaque année par un tiers indépendant. Traitement des données conforme au RGPD. La norme HIPAA n'est pas prise en charge actuellement.
Suppression de compte
Vous pouvez supprimer des projets et l'intégralité de votre compte depuis les paramètres à tout moment. Les sauvegardes sont conservées pendant 30 jours après la suppression à des fins de reprise après sinistre, après quoi toutes les données sont définitivement effacées.
Des questions sur la sécurité ?
Pour les rapports SOC 2, les évaluations de fournisseurs ou les DPA, contactez notre équipe.
Nous contacterPrêt à gagner plus d'appels d'offres ?
Rejoignez des centaines d'entrepreneurs qui utilisent Exayard pour chiffrer plus vite et plus précisément. Lancez-vous dès aujourd'hui.