Securitatea la Exayard

Cum vă protejăm planurile, prețurile și datele proiectelor — și cum sunt autorizați agenții și integrările să le acceseze.

Criptare

Datele în tranzit sunt criptate cu TLS 1.3. Datele în repaus sunt criptate cu AES-256. PDF-urile planurilor, măsurătorile pentru extragerea cantităților și prețurile produselor sunt criptate la nivelul de stocare.

Autentificare

Identitatea este gestionată prin Clerk. Acceptăm e-mail/parolă, Google, Microsoft și SAML SSO pentru Enterprise. Autentificarea multifactor este disponibilă pentru toate abonamentele plătite.

Chei API și OAuth

Cheile API conțin o listă explicită de permisiuni (citire/scriere per resursă). OAuth respectă specificația RFC 7591 Dynamic Client Registration, astfel încât clienții MCP înregistrați (Claude, Cursor etc.) primesc tokenuri prin intermediul endpoint-ului de descoperire a resurselor protejate. Privilegiu minim în mod implicit.

Jurnale de audit

Fiecare solicitare conține un antet X-Request-Id. Identitatea agentului este păstrată prin ID-urile de client OAuth, astfel încât jurnalele de audit să distingă „Claude Desktop care acționează în numele lui alice” de „alice în mod direct”.

Webhook-uri

Webhook-urile de ieșire sunt semnate cu HMAC-SHA256. Semnăturile includ o marcă temporală și resping livrările mai vechi de 5 minute. Cheile secrete ale endpoint-urilor sunt returnate doar în momentul creării.

Rezidența datelor

Datele de producție sunt găzduite în Statele Unite pe o infrastructură SOC 2 Tip II. Clienții Enterprise pot solicita opțiuni specifice pentru rezidența datelor.

Subîmputerniciți

Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel și Sentry. Oferim o listă actualizată la cerere și notificăm clienții înainte de a adăuga noi subîmputerniciți care prelucrează datele clienților.

Dezvăluirea vulnerabilităților

Raportați problemele de securitate la [email protected]. Confirmăm primirea rapoartelor în termen de 1 zi lucrătoare și ne propunem să remediem problemele cu severitate ridicată în termen de 30 de zile. Nu inițiem acțiuni legale împotriva cercetătorilor care acționează cu bună-credință.

Conformitate

Audit SOC 2 Tip II în curs de desfășurare. Testele de penetrare sunt efectuate anual de către o parte terță independentă. Gestionarea datelor este aliniată la GDPR. În prezent, HIPAA nu este acceptat.

Ștergerea contului

Puteți șterge proiectele și întregul cont din setări în orice moment. Copiile de rezervă sunt păstrate timp de 30 de zile de la ștergere pentru a permite recuperarea în caz de dezastru, după care toate datele sunt șterse definitiv.

Întrebări legate de securitate?

Pentru rapoarte SOC 2, evaluări ale furnizorilor sau acorduri de prelucrare a datelor (DPA), contactați echipa noastră.

Contactați-ne

Gata să câștigați mai multe licitații?

Alătură-te sutei de contractori care folosesc Exayard pentru a estima mai rapid și mai precis. Începe astăzi.

ÎncepețiProgramați o demonstrație