Exayard의 보안
도면, 가격 정보, 프로젝트 데이터를 보호하는 방법과, 에이전트 및 연동 기능이 이러한 데이터에 접근하도록 권한을 부여하는 방법을 소개합니다.
암호화
전송 중인 데이터는 TLS 1.3으로, 저장된 데이터는 AES-256으로 암호화됩니다. 도면 PDF, 물량 산출 측정값, 제품 가격은 저장소 계층에서 암호화됩니다.
인증
사용자 인증은 Clerk를 통해 관리됩니다. 이메일/비밀번호, Google, Microsoft를 지원하며 Enterprise의 경우 SAML SSO도 지원합니다. 다단계 인증은 모든 유료 등급에서 이용할 수 있습니다.
API 키 및 OAuth
API 키에는 명시적인 범위 목록(리소스별 읽기/쓰기)이 포함됩니다. OAuth는 RFC 7591 동적 클라이언트 등록을 따르므로, 등록된 MCP 클라이언트(Claude, Cursor 등)는 보호된 리소스 디스커버리 엔드포인트를 통해 토큰을 발급받습니다. 기본적으로 최소 권한 원칙이 적용됩니다.
감사 로그
모든 요청에는 X-Request-Id가 포함됩니다. 에이전트 신원은 OAuth 클라이언트 ID를 통해 유지되므로, 감사 로그는 "alice를 대신해 작동하는 Claude Desktop"과 "alice가 직접 수행한 작업"을 구분합니다.
웹훅
아웃바운드 웹훅은 HMAC-SHA256으로 서명됩니다. 서명에는 타임스탬프가 포함되며 5분이 지난 전송은 거부됩니다. 엔드포인트 시크릿은 생성 시점에만 반환됩니다.
데이터 보관 지역
운영 데이터는 SOC 2 Type II 인프라를 기반으로 미국에 호스팅됩니다. Enterprise 고객은 특정 데이터 보관 지역 옵션을 요청할 수 있습니다.
하위 처리자
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel, Sentry를 이용합니다. 요청 시 최신 목록을 제공하며, 고객 데이터를 처리하는 새로운 하위 처리자를 추가하기 전에 고객에게 통지합니다.
취약점 공개
보안 문제는 [email protected]으로 신고해 주세요. 신고는 영업일 기준 1일 이내에 접수 확인하며, 심각도가 높은 사안은 30일 이내 해결을 목표로 합니다. 선의로 활동하는 연구자에게는 법적 조치를 취하지 않습니다.
규정 준수
SOC 2 Type II 감사가 진행 중입니다. 침투 테스트는 독립적인 제3자에 의해 매년 수행됩니다. GDPR에 부합하는 데이터 처리를 따릅니다. HIPAA는 현재 지원하지 않습니다.
계정 삭제
언제든지 설정에서 프로젝트와 전체 계정을 삭제할 수 있습니다. 백업은 재해 복구를 위해 삭제 후 30일간 보관되며, 이후 모든 데이터가 영구적으로 삭제됩니다.