Exayardのセキュリティ
お客様の図面、価格、プロジェクトデータをどのように保護し、エージェントや連携にどのようにアクセス権を付与するかをご説明します。
暗号化
転送中のデータはTLS 1.3で暗号化されます。保存中のデータはAES-256で暗号化されます。図面のPDF、数量拾いの計測、製品価格はストレージ層で暗号化されます。
認証
IDはClerkで管理されます。メール/パスワード、Google、Microsoftに対応し、エンタープライズ向けにはSAML SSOをサポートします。多要素認証はすべての有料プランでご利用いただけます。
APIキーとOAuth
APIキーには明示的なスコープリスト(リソースごとの読み取り/書き込み)が付与されます。OAuthはRFC 7591の動的クライアント登録に準拠しており、登録済みのMCPクライアント(Claude、Cursorなど)は保護リソースのディスカバリーエンドポイントを通じてトークンを取得します。デフォルトで最小権限です。
監査ログ
すべてのリクエストにはX-Request-Idが付与されます。エージェントのIDはOAuthクライアントIDを通じて保持されるため、監査ログでは「aliceの代理として動作するClaude Desktop」と「alice本人」を区別できます。
Webhook
送信Webhookは HMAC-SHA256で署名されます。署名にはタイムスタンプが含まれ、5分より古い配信は拒否されます。エンドポイントのシークレットは作成時にのみ返されます。
データの保存地域
本番データはSOC 2 Type IIインフラ上の米国でホストされます。エンタープライズのお客様は特定のデータ保存地域オプションをリクエストできます。
サブプロセッサー
Stripe、Clerk、Convex、Cloudflare、Anthropic、OpenAI、Vercel、Sentry。最新のリストはリクエストに応じて提供し、顧客データを扱う新たなサブプロセッサーを追加する前にお客様へ通知します。
脆弱性の報告
セキュリティに関する問題は[email protected]までご報告ください。報告は1営業日以内に確認し、深刻度の高い問題については30日以内の修正を目指します。誠実に行動する研究者を訴追することはありません。
コンプライアンス
SOC 2 Type II監査を進行中です。ペネトレーションテストは独立した第三者によって毎年実施されます。GDPRに準拠したデータ取り扱い。HIPAAは現在サポートしていません。
アカウントの削除
プロジェクトやアカウント全体は、いつでも設定から削除できます。バックアップは災害復旧のために削除後30日間保持され、その後すべてのデータが完全に消去されます。