Keamanan di Exayard
Bagaimana kami melindungi gambar proyek, harga, dan data proyek Anda — serta bagaimana agen dan integrasi diotorisasi untuk mengaksesnya.
Enkripsi
Data dalam transit dienkripsi dengan TLS 1.3. Data tersimpan dienkripsi dengan AES-256. PDF gambar proyek, pengukuran takeoff, dan harga produk dienkripsi pada lapisan penyimpanan.
Autentikasi
Identitas dikelola melalui Clerk. Kami mendukung email/kata sandi, Google, Microsoft, dan SSO SAML untuk Enterprise. Autentikasi multifaktor tersedia di semua paket berbayar.
Kunci API dan OAuth
Kunci API membawa daftar cakupan eksplisit (baca/tulis per sumber daya). OAuth mengikuti Registrasi Klien Dinamis RFC 7591 sehingga klien MCP yang terdaftar (Claude, Cursor, dll.) mendapatkan token melalui endpoint penemuan sumber daya yang dilindungi. Hak akses minimal secara default.
Log audit
Setiap permintaan membawa X-Request-Id. Identitas agen dipertahankan melalui ID klien OAuth sehingga log audit dapat membedakan "Claude Desktop bertindak atas nama alice" dari "alice secara langsung."
Webhook
Webhook keluar ditandatangani dengan HMAC-SHA256. Tanda tangan menyertakan stempel waktu dan menolak pengiriman yang lebih lama dari 5 menit. Rahasia endpoint hanya dikembalikan pada saat pembuatan.
Residensi data
Data produksi dihosting di Amerika Serikat pada infrastruktur SOC 2 Tipe II. Pelanggan Enterprise dapat meminta opsi residensi data tertentu.
Sub-prosesor
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel, dan Sentry. Kami menyediakan daftar terbaru berdasarkan permintaan dan memberi tahu pelanggan sebelum menambahkan sub-prosesor baru yang menangani data pelanggan.
Pengungkapan kerentanan
Laporkan masalah keamanan ke [email protected]. Kami akan mengonfirmasi laporan dalam waktu 1 hari kerja dan menargetkan perbaikan dalam waktu 30 hari untuk temuan dengan tingkat keparahan tinggi. Kami tidak akan menuntut peneliti yang bertindak dengan iktikad baik.
Kepatuhan
Audit SOC 2 Tipe II sedang berlangsung. Uji penetrasi dilakukan setiap tahun oleh pihak ketiga yang independen. Penanganan data selaras dengan GDPR. HIPAA saat ini belum didukung.
Penghapusan akun
Anda dapat menghapus proyek dan seluruh akun Anda dari pengaturan kapan saja. Cadangan disimpan selama 30 hari setelah penghapusan untuk mendukung pemulihan bencana, setelah itu semua data akan dihapus secara permanen.
Pertanyaan tentang keamanan?
Untuk laporan SOC 2, penilaian vendor, atau DPA, hubungi tim kami.
Hubungi kamiSiap memenangkan lebih banyak tender?
Bergabunglah dengan ratusan kontraktor yang menggunakan Exayard untuk estimasi lebih cepat dan akurat. Mulai hari ini.