Seguridad en Exayard
Cómo protegemos tus planos, tus precios y los datos de tus proyectos, y cómo se autoriza a los agentes y las integraciones a acceder a ellos.
Cifrado
Los datos en tránsito se cifran con TLS 1.3. Los datos en reposo se cifran con AES-256. Los PDF de planos, las mediciones de los cómputos de cantidades y los precios de los productos se cifran en la capa de almacenamiento.
Autenticación
La identidad se gestiona a través de Clerk. Admitimos correo electrónico y contraseña, Google, Microsoft y SSO SAML para Enterprise. La autenticación multifactor está disponible en todos los planes de pago.
Claves de API y OAuth
Las claves de API incluyen una lista explícita de alcances (lectura/escritura por recurso). OAuth sigue el registro dinámico de clientes de RFC 7591, de modo que los clientes MCP registrados (Claude, Cursor, etc.) obtienen tokens a través del endpoint de descubrimiento de recursos protegidos. Privilegio mínimo de forma predeterminada.
Registros de auditoría
Cada solicitud lleva un X-Request-Id. La identidad del agente se conserva mediante los ID de cliente de OAuth, por lo que los registros de auditoría distinguen entre "Claude Desktop actuando en nombre de alice" y "alice directamente".
Webhooks
Los webhooks salientes se firman con HMAC-SHA256. Las firmas incluyen una marca de tiempo y rechazan las entregas con más de 5 minutos de antigüedad. Los secretos del endpoint se devuelven únicamente en el momento de la creación.
Residencia de datos
Los datos de producción se alojan en Estados Unidos en infraestructura SOC 2 Tipo II. Los clientes Enterprise pueden solicitar opciones específicas de residencia de datos.
Subprocesadores
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel y Sentry. Proporcionamos una lista actualizada cuando se solicita y notificamos a los clientes antes de agregar nuevos subprocesadores que manejen datos de clientes.
Divulgación de vulnerabilidades
Informa los problemas de seguridad a [email protected]. Confirmamos la recepción de los informes en un plazo de 1 día hábil y procuramos resolver los hallazgos de alta gravedad en un plazo de 30 días. No tomamos medidas contra los investigadores que actúan de buena fe.
Cumplimiento
Auditoría SOC 2 Tipo II en curso. Las pruebas de penetración las realiza anualmente un tercero independiente. Manejo de datos conforme al RGPD. Actualmente no se admite HIPAA.
Eliminación de cuenta
Puedes eliminar proyectos y toda tu cuenta desde la configuración en cualquier momento. Las copias de seguridad se conservan durante 30 días después de la eliminación para facilitar la recuperación ante desastres, tras lo cual todos los datos se borran de forma permanente.
¿Tienes preguntas sobre seguridad?
Para informes SOC 2, evaluaciones de proveedores o acuerdos de tratamiento de datos (DPA), comunícate con nuestro equipo.
Contáctanos¿Listo para ganar más ofertas?
Únete a cientos de contratistas que usan Exayard para presupuestar de forma más rápida y precisa. Comienza hoy.