Bezpečnosť v Exayard
Ako chránime vaše výkresy, ceny a projektové dáta — a ako sú agenti a integrácie autorizovaní na prístup k nim.
Šifrovanie
Dáta pri prenose sú šifrované pomocou TLS 1.3. Uložené dáta sú šifrované pomocou AES-256. PDF súbory výkresov, merania výkazov výmer a ceny produktov sú šifrované na úrovni úložiska.
Autentifikácia
Identita je spravovaná prostredníctvom služby Clerk. Podporujeme e-mail/heslo, Google, Microsoft a SAML SSO pre verziu Enterprise. Viacfaktorové overenie je k dispozícii vo všetkých platených úrovniach.
API kľúče a OAuth
API kľúče obsahujú explicitný zoznam oprávnení (čítanie/zápis pre každý zdroj). OAuth sa riadi štandardom RFC 7591 Dynamic Client Registration, takže registrovaní MCP klienti (Claude, Cursor atď.) získavajú tokeny prostredníctvom chráneného koncového bodu na zisťovanie zdrojov. Predvolene s minimálnymi oprávneniami.
Auditné záznamy
Každá požiadavka obsahuje hlavičku X-Request-Id. Identita agenta je zachovaná prostredníctvom ID klientov OAuth, takže auditné záznamy rozlišujú medzi „Claude Desktop konajúci v mene alice“ a „priamo alice“.
Webhooky
Odchádzajúce webhooky sú podpísané pomocou HMAC-SHA256. Podpisy obsahujú časovú pečiatku a odmietajú doručenia staršie ako 5 minút. Tajné kľúče koncových bodov sa zobrazujú iba pri ich vytvorení.
Umiestnenie dát
Produkčné dáta sú hosťované v Spojených štátoch na infraštruktúre SOC 2 Type II. Zákazníci s verziou Enterprise môžu požiadať o špecifické možnosti umiestnenia dát.
Subdodávatelia
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel a Sentry. Aktuálny zoznam poskytujeme na vyžiadanie a zákazníkov informujeme pred pridaním nových subdodávateľov, ktorí spracúvajú zákaznícke dáta.
Nahlasovanie zraniteľností
Bezpečnostné problémy hláste na adresu [email protected]. Prijatie nahlásenia potvrdíme do 1 pracovného dňa a naším cieľom je vyriešiť nálezy s vysokou závažnosťou do 30 dní. Voči výskumníkom konajúcim v dobrej viere nepodnikáme žiadne právne kroky.
Súlad s predpismi
Prebieha audit SOC 2 Type II. Penetračné testy vykonáva ročne nezávislá tretia strana. Spracovanie údajov je v súlade s GDPR. Protokol HIPAA momentálne nie je podporovaný.
Vymazanie účtu
Projekty a celý svoj účet môžete kedykoľvek vymazať v nastaveniach. Zálohy sa po vymazaní uchovávajú 30 dní z dôvodu obnovy po havárii, po uplynutí ktorých sa všetky dáta natrvalo odstránia.
Otázky týkajúce sa bezpečnosti?
Pre správy SOC 2, hodnotenia dodávateľov alebo zmluvy o spracovaní údajov (DPA) kontaktujte náš tím.
Kontaktujte násSte pripravení získať viac zákaziek?
Pripojte sa k stovkám zhotoviteľov, ktorí používajú Exayard na rýchlejšie a presnejšie odhady. Začnite dnes.