Bezpieczeństwo w Exayard
Jak chronimy Twoje plany, wyceny i dane projektowe — oraz jak agenci i integracje uzyskują autoryzację dostępu do nich.
Szyfrowanie
Dane w transmisji są szyfrowane za pomocą protokołu TLS 1.3. Dane w spoczynku są szyfrowane za pomocą AES-256. Pliki PDF z planami, pomiary przedmiarowe oraz wyceny produktów są szyfrowane na poziomie warstwy przechowywania danych.
Uwierzytelnianie
Tożsamość jest zarządzana za pośrednictwem platformy Clerk. Obsługujemy logowanie za pomocą adresu e-mail/hasła, Google, Microsoft oraz SAML SSO dla planów Enterprise. Uwierzytelnianie wieloskładnikowe (MFA) jest dostępne we wszystkich płatnych pakietach.
Klucze API i OAuth
Klucze API zawierają jawną listę zakresów (odczyt/zapis dla każdego zasobu). Standard OAuth jest zgodny z protokołem RFC 7591 (Dynamic Client Registration), dzięki czemu zarejestrowani klienci MCP (Claude, Cursor itp.) otrzymują tokeny za pośrednictwem punktu końcowego wykrywania chronionych zasobów. Domyślnie stosowana jest zasada najmniejszych uprawnień.
Dzienniki audytu
Każde żądanie zawiera nagłówek X-Request-Id. Tożsamość agenta jest zachowywana za pomocą identyfikatorów klienta OAuth, dzięki czemu dzienniki audytu odróżniają "Claude Desktop działający w imieniu alice" od "bezpośrednio alice".
Webhooki
Wychodzące webhooki są podpisywane algorytmem HMAC-SHA256. Podpisy zawierają znacznik czasu, a żądania starsze niż 5 minut są odrzucane. Klucze tajne punktów końcowych są zwracane wyłącznie w momencie ich tworzenia.
Lokalizacja przechowywania danych
Dane produkcyjne są hostowane w Stanach Zjednoczonych na infrastrukturze zgodnej z SOC 2 Typ II. Klienci planów Enterprise mogą ubiegać się o określone opcje lokalizacji przechowywania danych.
Podprzetwarzający
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel oraz Sentry. Na żądanie udostępniamy aktualną listę i powiadamiamy klientów przed dodaniem nowych podprzetwarzających, którzy obsługują dane klientów.
Zgłaszanie podatności
Zgłoszenia dotyczące bezpieczeństwa prosimy kierować na adres [email protected]. Potwierdzamy otrzymanie zgłoszenia w ciągu 1 dnia roboczego i dążymy do usunięcia podatności o wysokim poziomie ostrości w ciągu 30 dni. Nie podejmujemy kroków prawnych wobec badaczy działających w dobrej wierze.
Zgodność
Audyt SOC 2 Typ II w toku. Testy penetracyjne są przeprowadzane corocznie przez niezależną firmę zewnętrzną. Przetwarzanie danych jest zgodne z RODO. Standard HIPAA nie jest obecnie obsługiwany.
Usuwanie konta
Możesz usunąć projekty oraz całe swoje konto w ustawieniach w dowolnym momencie. Kopie zapasowe są przechowywane przez 30 dni po usunięciu w celu odzyskiwania danych po awarii, po czym wszystkie dane są trwale usuwane.
Pytania dotyczące bezpieczeństwa?
Aby uzyskać raporty SOC 2, oceny dostawców lub umowy DPA, skontaktuj się z naszym zespołem.
Skontaktuj się z namiGotowy wygrać więcej przetargów?
Dołącz do setek wykonawców korzystających z Exayard, aby szacować szybciej i dokładniej. Zacznij już dziś.