Exayard 的安全性

我們如何保護你的圖紙、定價與專案資料——以及代理與整合如何取得存取授權。

加密

傳輸中的資料以 TLS 1.3 加密。靜態資料以 AES-256 加密。圖紙 PDF、工料估算量測與產品定價均在儲存層加密。

驗證

身分透過 Clerk 管理。我們支援電子郵件/密碼、Google、Microsoft,以及供企業使用的 SAML SSO。所有付費方案皆提供多重要素驗證。

角色與存取控制

每個工作區都有兩種組織角色。管理員負責管理團隊、邀請、帳務與組織設定,而成員則負責日常的工料估算與估價工作。若要與工作區以外的人分享工作,你可以授予對方對單一專案的檢視者權限(檢視與留言)或編輯者權限(進行變更),而非你的整個帳號。所有這些檢查都在我們的伺服器端執行,因此無法透過介面繞過權限,取得角色不允許的存取權。

API 金鑰與 OAuth

API 金鑰帶有明確的範圍清單(每項資源的讀/寫權限)。OAuth 遵循 RFC 7591 動態用戶端註冊,因此已註冊的 MCP 用戶端(Claude、Cursor 等)會透過受保護資源探索端點取得權杖。預設採最小權限原則。

稽核紀錄

每筆請求都帶有 X-Request-Id。代理身分透過 OAuth 用戶端 ID 保留,因此稽核紀錄能區分「Claude Desktop 代表 alice 操作」與「alice 直接操作」。

Webhook

對外送出的 webhook 以 HMAC-SHA256 簽署。簽章包含時間戳記,並會拒絕逾 5 分鐘的傳遞。端點密鑰僅於建立時回傳。

資料落地

生產資料託管於美國的 SOC 2 Type II 基礎架構上。企業客戶可要求特定的資料落地選項。

次級處理者

Stripe、Clerk、Convex、Cloudflare、Anthropic、OpenAI、Vercel 與 Sentry。我們可應要求提供最新清單,並會在新增處理客戶資料的次級處理者前通知客戶。

弱點揭露

請將安全問題回報至 [email protected]。我們會在 1 個工作天內確認回報,並針對高嚴重性的發現以 30 天內修復為目標。我們不會對出於善意的研究人員採取追究行動。

合規性

SOC 2 Type II 稽核進行中。每年由獨立第三方執行滲透測試。資料處理符合 GDPR。目前不支援 HIPAA。

帳號刪除

你可隨時於設定中刪除專案及整個帳號。刪除後備份會保留 30 天以支援災難復原,之後所有資料將永久清除。

有安全方面的問題嗎?

如需 SOC 2 報告、供應商評估或 DPA,請聯絡我們的團隊。

聯絡我們

準備好贏得更多投標了嗎?

加入數百家承包商的行列,使用 Exayard 更快速、更精準地估價。立即開始使用。