La sicurezza su Exayard
Come proteggiamo i tuoi disegni di progetto, i prezzi e i dati di progetto — e come gli agenti e le integrazioni sono autorizzati ad accedervi.
Crittografia
I dati in transito sono crittografati con TLS 1.3. I dati a riposo sono crittografati con AES-256. I PDF dei disegni, le misurazioni del computo metrico e i prezzi dei prodotti sono crittografati a livello di archiviazione.
Autenticazione
L'identità è gestita tramite Clerk. Supportiamo e-mail/password, Google, Microsoft e SAML SSO per le aziende (Enterprise). L'autenticazione a più fattori è disponibile su tutti i piani a pagamento.
Chiavi API e OAuth
Le chiavi API includono un elenco di autorizzazioni esplicito (lettura/scrittura per risorsa). OAuth segue lo standard RFC 7591 Dynamic Client Registration, in modo che i client MCP registrati (Claude, Cursor, ecc.) ottengano i token tramite l'endpoint di rilevamento delle risorse protette. Principio del privilegio minimo per impostazione predefinita.
Log di audit
Ogni richiesta include un ID X-Request-Id. L'identità dell'agente è preservata tramite gli ID client OAuth, in modo che i log di audit distinguano "Claude Desktop per conto di alice" da "alice direttamente".
Webhook
I webhook in uscita sono firmati con HMAC-SHA256. Le firme includono un timestamp e rifiutano le trasmissioni più vecchie di 5 minuti. I segreti degli endpoint vengono restituiti solo al momento della creazione.
Residenza dei dati
I dati di produzione sono ospitati negli Stati Uniti su un'infrastruttura SOC 2 Type II. I clienti Enterprise possono richiedere opzioni specifiche per la residenza dei dati.
Sub-responsabili del trattamento
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel e Sentry. Forniamo un elenco aggiornato su richiesta e informiamo i clienti prima di aggiungere nuovi sub-responsabili che trattano i dati dei clienti.
Divulgazione delle vulnerabilità
Segnala problemi di sicurezza a [email protected]. Confermiamo la ricezione delle segnalazioni entro 1 giorno lavorativo e puntiamo a una risoluzione entro 30 giorni per i problemi ad alta gravità. Non intraprendiamo azioni legali contro i ricercatori che agiscono in buona fede.
Conformità
Audit SOC 2 Type II in corso. I test di penetrazione vengono condotti annualmente da una terza parte indipendente. Trattamento dei dati conforme al GDPR. HIPAA non è attualmente supportato.
Eliminazione dell'account
È possibile eliminare i progetti e l'intero account dalle impostazioni in qualsiasi momento. I backup vengono conservati per 30 giorni dopo l'eliminazione per supportare il ripristino di emergenza (disaster recovery), dopodiché tutti i dati vengono cancellati in modo permanente.
Domande sulla sicurezza?
Per report SOC 2, valutazioni dei fornitori o DPA, contatta il nostro team.
ContattaciPronto a vincere più offerte?
Unisciti a centinaia di contrattisti che usano Exayard per stimare più velocemente e con maggiore precisione. Inizia oggi.