Beveiliging bij Exayard
Hoe we je bouwtekeningen, prijzen en projectgegevens beveiligen — en hoe agents en integraties geautoriseerd zijn om hiertoe toegang te krijgen.
Versleuteling
Gegevens in transit zijn versleuteld met TLS 1.3. Opgeslagen gegevens zijn versleuteld met AES-256. Pdf's van bouwtekeningen, hoeveelheidsmetingen en productprijzen zijn versleuteld op de opslaglaag.
Authenticatie
Identiteit wordt beheerd via Clerk. We ondersteunen e-mail/wachtwoord, Google, Microsoft en SAML SSO voor Enterprise. Multi-factor authenticatie is beschikbaar op alle betaalde pakketten.
API-sleutels en OAuth
API-sleutels bevatten een expliciete lijst met scopes (lezen/schrijven per bron). OAuth volgt RFC 7591 Dynamic Client Registration, zodat geregistreerde MCP-clients (Claude, Cursor, enz.) tokens ontvangen via het endpoint voor de detectie van beschermde bronnen. Standaard minimale rechten.
Auditlogs
Elk verzoek bevat een X-Request-Id. De identiteit van de agent blijft behouden via OAuth-client-ID's, zodat auditlogs onderscheid maken tussen "Claude Desktop namens alice" en "alice rechtstreeks".
Webhooks
Uitgaande webhooks worden ondertekend met HMAC-SHA256. Handtekeningen bevatten een tijdstempel en weigeren leveringen die ouder zijn dan 5 minuten. Endpoint-geheimen worden alleen geretourneerd op het moment van aanmaken.
Gegevenslocatie
Productiegegevens worden gehost in de Verenigde Staten op SOC 2 Type II-infrastructuur. Enterprise-klanten kunnen specifieke opties voor gegevenslocatie aanvragen.
Subverwerkers
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel en Sentry. We verstrekken op verzoek een actuele lijst en informeren klanten voordat we nieuwe subverwerkers toevoegen die klantgegevens verwerken.
Melding van kwetsbaarheden
Meld beveiligingsproblemen via [email protected]. We bevestigen ontvangst van meldingen binnen 1 werkdag en streven naar een oplossing binnen 30 dagen voor bevindingen met een hoge ernst. We ondernemen geen juridische stappen tegen onderzoekers die te goeder trouw handelen.
Compliance
SOC 2 Type II-audit in uitvoering. Penetratietests worden jaarlijks uitgevoerd door een onafhankelijke derde partij. Gegevensverwerking conform de AVG. HIPAA wordt momenteel niet ondersteund.
Account verwijderen
Je kunt projecten en je gehele account op elk gewenst moment verwijderen via de instellingen. Back-ups worden na verwijdering nog 30 dagen bewaard om herstel bij calamiteiten te ondersteunen, waarna alle gegevens definitief worden gewist.
Vragen over beveiliging?
Neem contact op met ons team voor SOC 2-rapporten, leveranciersbeoordelingen of DPA's.
Neem contact met ons opKlaar om meer opdrachten te winnen?
Sluit je aan bij honderden aannemers die Exayard gebruiken om sneller en nauwkeuriger te begroten. Start vandaag nog.