Безопасность в Exayard
Как мы защищаем ваши чертежи, расценки и данные проектов — и как агенты и интеграции получают авторизацию для доступа к ним.
Шифрование
Передаваемые данные шифруются с помощью TLS 1.3. Хранимые данные шифруются с помощью AES-256. PDF-файлы чертежей, результаты подсчета объемов работ и расценки шифруются на уровне хранения.
Аутентификация
Управление идентификационными данными осуществляется через Clerk. Мы поддерживаем вход по email и паролю, через Google, Microsoft, а также SAML SSO для тарифов Enterprise. Многофакторная аутентификация доступна на всех платных тарифах.
Ключи API и OAuth
Ключи API содержат явный список областей доступа (чтение/запись для каждого ресурса). Протокол OAuth соответствует стандарту RFC 7591 (Dynamic Client Registration), поэтому зарегистрированные MCP-клиенты (Claude, Cursor и т. д.) получают токены через защищенную конечную точку обнаружения ресурсов. По умолчанию применяется принцип наименьших привилегий.
Журналы аудита
Каждый запрос содержит заголовок X-Request-Id. Идентификатор агента сохраняется в ID OAuth-клиента, поэтому в журналах аудита действие «Claude Desktop от имени alice» отличается от действия «alice напрямую».
Вебхуки
Исходящие вебхуки подписываются с помощью HMAC-SHA256. Подписи содержат метку времени; запросы, доставленные позже чем через 5 минут, отклоняются. Секретные ключи конечных точек отображаются только в момент их создания.
Локализация данных
Рабочие данные размещаются в США на инфраструктуре, соответствующей стандарту SOC 2 Type II. Корпоративные клиенты могут запросить индивидуальные параметры локализации данных.
Субобработчики данных
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel и Sentry. Мы предоставляем актуальный список по запросу и уведомляем клиентов перед добавлением новых субобработчиков, имеющих доступ к их данным.
Раскрытие уязвимостей
Сообщайте о проблемах безопасности на адрес [email protected]. Мы подтверждаем получение отчетов в течение 1 рабочего дня и стремимся устранить критические уязвимости в течение 30 дней. Мы не преследуем исследователей безопасности, действующих добросовестно.
Соответствие стандартам
В настоящее время проходит аудит SOC 2 Type II. Тесты на проникновение проводятся ежегодно независимой третьей стороной. Обработка данных соответствует требованиям GDPR. Поддержка стандарта HIPAA в настоящее время не предусмотрена.
Удаление аккаунта
Вы можете в любое время удалить отдельные проекты или весь свой аккаунт в настройках. Резервные копии хранятся в течение 30 дней после удаления для возможности аварийного восстановления, после чего все данные удаляются безвозвратно.
Вопросы по безопасности?
Для получения отчетов SOC 2, прохождения оценки поставщиков или подписания соглашений об обработке данных (DPA) свяжитесь с нашей командой.
Связаться с намиГотовы выигрывать больше тендеров?
Присоединяйтесь к сотням подрядчиков, использующих Exayard, чтобы оценивать быстрее и точнее. Начните сегодня.