Bảo mật tại Exayard

Cách chúng tôi bảo vệ bản vẽ, giá cả và dữ liệu dự án của bạn — và cách các agent cùng tích hợp được cấp quyền truy cập chúng.

Mã hóa

Dữ liệu khi truyền tải được mã hóa bằng TLS 1.3. Dữ liệu khi lưu trữ được mã hóa bằng AES-256. Tệp PDF bản vẽ, phép đo bóc tách khối lượng và giá sản phẩm đều được mã hóa ở lớp lưu trữ.

Xác thực

Danh tính được quản lý thông qua Clerk. Chúng tôi hỗ trợ email/mật khẩu, Google, Microsoft và SAML SSO cho Enterprise. Xác thực đa yếu tố khả dụng trên tất cả các gói trả phí.

Khóa API và OAuth

Khóa API mang theo danh sách phạm vi rõ ràng (đọc/ghi cho từng tài nguyên). OAuth tuân theo Đăng ký Máy khách Động RFC 7591 để các máy khách MCP đã đăng ký (Claude, Cursor, v.v.) nhận token qua endpoint khám phá tài nguyên được bảo vệ. Mặc định theo nguyên tắc đặc quyền tối thiểu.

Nhật ký kiểm toán

Mỗi yêu cầu đều mang theo một X-Request-Id. Danh tính agent được lưu giữ thông qua ID máy khách OAuth nên nhật ký kiểm toán phân biệt được "Claude Desktop thực hiện thay cho alice" với "alice trực tiếp."

Webhook

Các webhook gửi đi được ký bằng HMAC-SHA256. Chữ ký bao gồm dấu thời gian và từ chối các lượt gửi cũ hơn 5 phút. Khóa bí mật của endpoint chỉ được trả về tại thời điểm tạo.

Lưu trú dữ liệu

Dữ liệu vận hành được lưu trữ tại Hoa Kỳ trên hạ tầng đạt chuẩn SOC 2 Type II. Khách hàng Enterprise có thể yêu cầu các lựa chọn lưu trú dữ liệu cụ thể.

Đơn vị xử lý phụ

Stripe, Clerk, Convex, Cloudflare, Anthropic, OpenAI, Vercel và Sentry. Chúng tôi cung cấp danh sách hiện hành theo yêu cầu và thông báo cho khách hàng trước khi bổ sung đơn vị xử lý phụ mới xử lý dữ liệu khách hàng.

Công bố lỗ hổng bảo mật

Báo cáo các vấn đề bảo mật tới [email protected]. Chúng tôi xác nhận báo cáo trong vòng 1 ngày làm việc và đặt mục tiêu khắc phục trong vòng 30 ngày đối với các phát hiện mức độ nghiêm trọng cao. Chúng tôi không truy cứu các nhà nghiên cứu hành động một cách thiện chí.

Tuân thủ

Kiểm toán SOC 2 Type II đang được tiến hành. Kiểm thử xâm nhập được thực hiện hằng năm bởi bên thứ ba độc lập. Xử lý dữ liệu phù hợp với GDPR. HIPAA hiện chưa được hỗ trợ.

Xóa tài khoản

Bạn có thể xóa các dự án và toàn bộ tài khoản của mình từ phần cài đặt vào bất kỳ lúc nào. Bản sao lưu được giữ lại trong 30 ngày sau khi xóa để hỗ trợ khôi phục sau sự cố, sau đó toàn bộ dữ liệu sẽ bị xóa vĩnh viễn.

Có câu hỏi về bảo mật?

Để nhận báo cáo SOC 2, đánh giá nhà cung cấp hoặc thỏa thuận xử lý dữ liệu (DPA), hãy liên hệ với đội ngũ của chúng tôi.

Liên hệ với chúng tôi

Sẵn sàng thắng thầu nhiều hơn?

Tham gia cùng hàng trăm nhà thầu đang dùng Exayard để dự toán nhanh hơn và chính xác hơn. Bắt đầu ngay hôm nay.

Bắt đầu Đặt lịch demo