Exayard پر سیکیورٹی
ہم آپ کے نقشوں، قیمتوں اور پروجیکٹ کے ڈیٹا کی حفاظت کیسے کرتے ہیں — اور ایجنٹس اور انٹیگریشنز کو ان تک رسائی کی اجازت کس طرح دی جاتی ہے۔
انکرپشن
منتقل ہونے والا ڈیٹا TLS 1.3 کے ساتھ انکرپٹڈ ہے۔ اسٹور شدہ ڈیٹا AES-256 کے ساتھ انکرپٹڈ ہے۔ نقشوں کی PDFs، ٹیک آف کی پیمائشیں، اور پروڈکٹ کی قیمتیں اسٹوریج لیئر پر انکرپٹڈ ہیں۔
تصدیقِ شناخت
شناخت کا انتظام Clerk کے ذریعے کیا جاتا ہے۔ ہم انٹرپرائز کے لیے ای میل/پاس ورڈ، Google، Microsoft، اور SAML SSO کو سپورٹ کرتے ہیں۔ ملٹی فیکٹر آتھنٹیکیشن تمام بامعاوضہ پلانز پر دستیاب ہے۔
کردار اور رسائی کنٹرول
ہر ورک اسپیس میں دو تنظیمی کردار ہوتے ہیں۔ ایڈمنز ٹیم، دعوتوں، بلنگ اور آرگنائزیشن سیٹنگز کا انتظام کرتے ہیں، جبکہ ممبرز روزمرہ کا ٹیک آف اور تخمینہ کاری کا کام کرتے ہیں۔ اپنے ورک اسپیس سے باہر کام شیئر کرنے کے لیے، آپ کسی کو کسی ایک پروجیکٹ تک ویور رسائی (دیکھنا اور تبصرہ کرنا) یا ایڈیٹر رسائی (تبدیلیاں کرنا) دیتے ہیں، کبھی اپنا پورا اکاؤنٹ نہیں۔ یہ تمام جانچ پڑتال ہمارے سرورز پر چلتی ہے، لہٰذا کسی ایسی رسائی کے لیے انٹرفیس کو بائی پاس نہیں کیا جا سکتا جس کی اجازت کوئی کردار نہ دیتا ہو۔
API کیز اور OAuth
API کیز میں ایک واضح اسکوپ لسٹ (ہر ریسورس کے لیے پڑھنے/لکھنے کی اجازت) ہوتی ہے۔ OAuth پروٹوکول RFC 7591 ڈائنامک کلائنٹ رجسٹریشن کی پیروی کرتا ہے تاکہ رجسٹرڈ MCP کلائنٹس (مثلاً Claude، Cursor وغیرہ) محفوظ ریسورس ڈسکوری اینڈ پوائنٹ کے ذریعے ٹوکن حاصل کر سکیں۔ ڈیفالٹ طور پر کم سے کم مراعات (Least-privilege) کا اصول لاگو ہوتا ہے۔
آڈٹ لاگز
ہر درخواست (Request) میں ایک X-Request-Id شامل ہوتا ہے۔ ایجنٹ کی شناخت کو OAuth کلائنٹ IDs کے ذریعے محفوظ رکھا جاتا ہے تاکہ آڈٹ لاگز میں "alice کی جانب سے کام کرنے والے Claude Desktop" اور "براہِ راست alice" کے درمیان فرق کیا جا سکے۔
ویب ہکس
آؤٹ باؤنڈ ویب ہکس HMAC-SHA256 کے ساتھ سائن کیے جاتے ہیں۔ سگنیچرز میں ٹائم اسٹیمپ شامل ہوتا ہے اور یہ 5 منٹ سے پرانی ڈیلیوریز کو مسترد کر دیتے ہیں۔ اینڈ پوائنٹ سیکریٹس صرف تخلیق کے وقت ہی فراہم کیے جاتے ہیں۔
ڈیٹا ریزیڈنسی
پروڈکشن ڈیٹا ریاستہائے متحدہ (USA) میں SOC 2 Type II انفراسٹرکچر پر ہوسٹ کیا جاتا ہے۔ انٹرپرائز کسٹمرز ڈیٹا ریزیڈنسی کے مخصوص آپشنز کی درخواست کر سکتے ہیں۔
ذیلی پروسیسرز
Stripe، Clerk، Convex، Cloudflare، Anthropic، OpenAI، Vercel، اور Sentry۔ ہم درخواست پر موجودہ فہرست فراہم کرتے ہیں اور کسٹمر کا ڈیٹا ہینڈل کرنے والے نئے ذیلی پروسیسرز کو شامل کرنے سے پہلے کسٹمرز کو مطلع کرتے ہیں۔
سیکیورٹی خامیوں کا انکشاف
سیکیورٹی کے مسائل کی رپورٹ [email protected] پر کریں۔ ہم 1 کاروباری دن کے اندر رپورٹ موصول ہونے کی تصدیق کرتے ہیں اور زیادہ سنگین مسائل کے لیے 30 دنوں کے اندر حل فراہم کرنے کا ہدف رکھتے ہیں۔ ہم نیک نیتی سے کام کرنے والے محققین کے خلاف کوئی کارروائی نہیں کرتے۔
تعمیل
SOC 2 Type II آڈٹ جاری ہے۔ پینیٹریشن ٹیسٹ سالانہ ایک آزاد فریقِ ثالث کے ذریعے کیے جاتے ہیں۔ ڈیٹا ہینڈلنگ GDPR کے مطابق ہے۔ فی الحال HIPAA سپورٹڈ نہیں ہے۔
اکاؤنٹ حذف کرنا
آپ کسی بھی وقت سیٹنگز سے اپنے پروجیکٹس اور پورا اکاؤنٹ حذف کر سکتے ہیں۔ ڈیٹا کی بحالی (disaster recovery) کی مدد کے لیے بیک اپ حذف کرنے کے بعد 30 دنوں تک محفوظ رکھے جاتے ہیں، جس کے بعد تمام ڈیٹا مستقل طور پر مٹا دیا جاتا ہے۔
سیکیورٹی سے متعلق سوالات؟
SOC 2 رپورٹس، وینڈر اسیسمنٹس، یا DPAs کے لیے ہماری ٹیم سے رابطہ کریں۔
ہم سے رابطہ کریںمزید بِڈز جیتنے کے لیے تیار ہیں؟
Exayard استعمال کرنے والے سینکڑوں مقاولین کے ساتھ شامل ہوجئیے، جو تیز اور زیادہ درست تخمینے لگاتے ہیں۔ آج ہی شروع کریں۔