Безпека в Exayard
Як ми захищаємо ваші креслення, ціни та дані проєктів — і як агенти та інтеграції отримують авторизований доступ до них.
Шифрування
Дані під час передачі шифруються за допомогою TLS 1.3. Збережені дані шифруються за допомогою AES-256. PDF-файли креслень, виміри підрахунку обсягів та ціни на товари шифруються на рівні зберігання.
Автентифікація
Ідентифікація здійснюється через Clerk. Ми підтримуємо вхід за допомогою email/пароля, Google, Microsoft та SAML SSO для Enterprise. Багатофакторна автентифікація доступна на всіх платних тарифах.
Ключі API та OAuth
Ключі API містять чіткий список дозволів (читання/запис для кожного ресурсу). OAuth відповідає специфікації RFC 7591 Dynamic Client Registration, тому зареєстровані MCP-клієнти (Claude, Cursor тощо) отримують токени через кінцеву точку виявлення захищених ресурсів. За замовчуванням застосовується принцип найменших привілеїв.
Журнали аудиту
Кожен запит містить заголовок X-Request-Id. Ідентифікація агента зберігається за допомогою клієнтських ID OAuth, тому в журналах аудиту запис «Claude Desktop діє від імені alice» відрізняється від «alice безпосередньо».
Вебхуки
Вихідні вебхуки підписуються за допомогою HMAC-SHA256. Підписи містять часову позначку, а запити, надіслані понад 5 хвилин тому, відхиляються. Секретні ключі кінцевих точок повертаються лише під час створення.
Розміщення даних
Робочі дані розміщуються в США на інфраструктурі, сертифікованій за стандартом SOC 2 Type II. Клієнти тарифу Enterprise можуть запросити індивідуальні варіанти розміщення даних.
Субобробники даних
Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel та Sentry. Ми надаємо актуальний список за запитом і сповіщаємо клієнтів перед додаванням нових субобробників, які працюють із даними клієнтів.
Розкриття вразливостей
Повідомляйте про проблеми з безпекою на адресу [email protected]. Ми підтверджуємо отримання звітів протягом 1 робочого дня та намагаємося усунути критичні вразливості протягом 30 днів. Ми не переслідуємо дослідників, які діють добросовісно.
Відповідність вимогам
Триває аудит SOC 2 Type II. Тести на проникнення проводяться щороку незалежною третьою стороною. Обробка даних відповідає вимогам GDPR. Стандарт HIPAA наразі не підтримується.
Видалення облікового запису
Ви можете будь-коли видалити проєкти та весь свій обліковий запис у налаштуваннях. Резервні копії зберігаються протягом 30 днів після видалення для аварійного відновлення, після чого всі дані видаляються остаточно.
Маєте запитання щодо безпеки?
Для отримання звітів SOC 2, оцінки постачальників або угод про обробку даних (DPA) зв’яжіться з нашою командою.
Зв’язатися з намиГотові вигравати більше тендерів?
Приєднуйтеся до сотень підрядників, які використовують Exayard, щоб складати кошториси швидше та точніше. Почніть сьогодні.