Exayard 的安全性
我們如何保護你的圖紙、定價與專案資料——以及代理與整合如何取得存取授權。
加密
傳輸中的資料以 TLS 1.3 加密。靜態資料以 AES-256 加密。圖紙 PDF、工料估算量測與產品定價均在儲存層加密。
驗證
身分透過 Clerk 管理。我們支援電子郵件/密碼、Google、Microsoft,以及供企業使用的 SAML SSO。所有付費方案皆提供多重要素驗證。
API 金鑰與 OAuth
API 金鑰帶有明確的範圍清單(每項資源的讀/寫權限)。OAuth 遵循 RFC 7591 動態用戶端註冊,因此已註冊的 MCP 用戶端(Claude、Cursor 等)會透過受保護資源探索端點取得權杖。預設採最小權限原則。
稽核紀錄
每筆請求都帶有 X-Request-Id。代理身分透過 OAuth 用戶端 ID 保留,因此稽核紀錄能區分「Claude Desktop 代表 alice 操作」與「alice 直接操作」。
Webhook
對外送出的 webhook 以 HMAC-SHA256 簽署。簽章包含時間戳記,並會拒絕逾 5 分鐘的傳遞。端點密鑰僅於建立時回傳。
資料落地
生產資料託管於美國的 SOC 2 Type II 基礎架構上。企業客戶可要求特定的資料落地選項。
次級處理者
Stripe、Clerk、Convex、Cloudflare、Anthropic、OpenAI、Vercel 與 Sentry。我們可應要求提供最新清單,並會在新增處理客戶資料的次級處理者前通知客戶。
弱點揭露
請將安全問題回報至 [email protected]。我們會在 1 個工作天內確認回報,並針對高嚴重性的發現以 30 天內修復為目標。我們不會對出於善意的研究人員採取追究行動。
合規性
SOC 2 Type II 稽核進行中。每年由獨立第三方執行滲透測試。資料處理符合 GDPR。目前不支援 HIPAA。
帳號刪除
你可隨時於設定中刪除專案及整個帳號。刪除後備份會保留 30 天以支援災難復原,之後所有資料將永久清除。