Segurança no Exayard
Como protegemos os seus projetos, preços e dados de projeto — e como os agentes e integrações são autorizados a aceder-lhes.
Encriptação
Os dados em trânsito são encriptados com TLS 1.3. Os dados em repouso são encriptados com AES-256. Os PDFs dos projetos, as medições e os preços dos produtos são encriptados na camada de armazenamento.
Autenticação
A identidade é gerida através do Clerk. Suportamos e-mail/palavra-passe, Google, Microsoft e SAML SSO para Enterprise. A autenticação multifator está disponível em todos os planos pagos.
Chaves de API e OAuth
As chaves de API contêm uma lista de âmbitos explícita (leitura/escrita por recurso). O OAuth segue o RFC 7591 Dynamic Client Registration, pelo que os clientes MCP registados (Claude, Cursor, etc.) obtêm tokens através do endpoint de descoberta de recursos protegidos. Privilégio mínimo por predefinição.
Registos de auditoria
Cada pedido contém um X-Request-Id. A identidade do agente é preservada através de IDs de cliente OAuth, para que os registos de auditoria distingam "Claude Desktop a agir em nome de alice" de "alice diretamente".
Webhooks
Os webhooks de saída são assinados com HMAC-SHA256. As assinaturas incluem um carimbo de data/hora e rejeitam envios com mais de 5 minutos. Os segredos do endpoint são devolvidos apenas no momento da criação.
Residência de dados
Os dados de produção são alojados nos Estados Unidos em infraestrutura SOC 2 Tipo II. Os clientes Enterprise podem solicitar opções específicas de residência de dados.
Subprocessadores
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel e Sentry. Fornecemos uma lista atualizada mediante solicitação e notificamos os clientes antes de adicionar novos subprocessadores que tratem dados de clientes.
Divulgação de vulnerabilidades
Reporte problemas de segurança para [email protected]. Confirmamos a receção dos relatórios no prazo de 1 dia útil e pretendemos corrigir as descobertas de gravidade alta no prazo de 30 dias. Não avançamos com ações judiciais contra investigadores que ajam de boa-fé.
Conformidade
Auditoria SOC 2 Tipo II em curso. Os testes de intrusão são realizados anualmente por uma entidade independente. Tratamento de dados em conformidade com o RGPD. O HIPAA não é suportado atualmente.
Eliminação de conta
Pode eliminar projetos e toda a sua conta a partir das definições a qualquer momento. As cópias de segurança são retidas durante 30 dias após a eliminação para apoiar a recuperação de desastres, após o que todos os dados são apagados permanentemente.
Dúvidas sobre segurança?
Para relatórios SOC 2, avaliações de fornecedores ou DPAs, contacte a nossa equipa.
Contacte-nosPronto para ganhar mais propostas?
Junte-se a centenas de empreiteiros que usam Exayard para estimar mais rápido e com maior precisão. Comece hoje.