אבטחה ב-Exayard
כיצד אנו מגינים על תוכניות הבנייה, התמחור ונתוני הפרויקט שלכם — וכיצד סוכנים ואינטגרציות מורשים לגשת אליהם.
הצפנה
נתונים במעבר מוצפנים באמצעות TLS 1.3. נתונים במנוחה מוצפנים באמצעות AES-256. קובצי PDF של תוכניות בנייה, מדידות כמויות ותמחור מוצרים מוצפנים בשכבת האחסון.
אימות
ניהול הזהויות מתבצע באמצעות Clerk. אנו תומכים בדוא"ל/סיסמה, Google, Microsoft ו-SAML SSO לארגוני Enterprise. אימות רב-גורמי זמין בכל המסלולים בתשלום.
מפתחות API ו-OAuth
מפתחות API כוללים רשימת הרשאות (scopes) מפורשת (קריאה/כתיבה לכל משאב). OAuth פועל בהתאם לתקן רישום לקוחות דינמי RFC 7591, כך שלקוחות MCP רשומים (כמו Claude, Cursor וכו') מקבלים אסימונים (tokens) דרך נקודת הקצה לגילוי משאבים מוגנים. גישת הרשאות מינימליות כברירת מחדל.
יומני ביקורת
כל בקשה כוללת מזהה X-Request-Id. זהות הסוכן נשמרת באמצעות מזהי לקוח (client IDs) של OAuth, כך שיומני הביקורת מבחינים בין "Claude Desktop הפועל בשם alice" לבין "alice ישירות".
Webhooks
Webhooks יוצאים נחתמים באמצעות HMAC-SHA256. החתימות כוללות חותמת זמן ודוחות מסירות הישנות מ-5 דקות. מפתחות הסוד של נקודת הקצה (endpoint secrets) מוחזרים רק בעת היצירה.
מיקום אחסון הנתונים
נתוני הסביבה המבצעית (Production) מאוחסנים בארצות הברית על גבי תשתית בתקן SOC 2 Type II. לקוחות Enterprise יכולים לבקש אפשרויות ספציפיות למיקום אחסון הנתונים.
מעבדי משנה
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel ו-Sentry. אנו מספקים רשימה מעודכנת לפי דרישה ומעדכנים את הלקוחות לפני הוספת מעבדי משנה חדשים המטפלים בנתוני לקוחות.
חשיפת פגיעויות
יש לדווח על בעיות אבטחה לכתובת [email protected]. אנו מאשרים קבלת דיווחים בתוך יום עסקים אחד ושואפים לספק תיקון בתוך 30 יום לממצאים בחומרה גבוהה. איננו נוקטים הליכים משפטיים נגד חוקרים הפועלים בתום לב.
תאימות
ביקורת SOC 2 Type II נמצאת בעיצומה. מבדקי חדירות מבוצעים מדי שנה על ידי צד שלישי עצמאי. טיפול בנתונים מותאם לתקנות GDPR. נכון לעכשיו, אין תמיכה בתקן HIPAA.
מחיקת חשבון
באפשרותכם למחוק פרויקטים ואת החשבון כולו מתוך הגדרות המערכת בכל עת. גיבויים נשמרים למשל 30 יום לאחר המחיקה כדי לתמוך בהתאוששות מאסון, ולאחר מכן כל המידע נמחק לצמיתות.