Patenty 로고
Beta v3.0

보안 정책

최종 수정일: 2025년 6월 23일 | 적용일자: 2025년 6월 23일

1. 보안 정책 개요

Patenty 주식회사(이하 "회사")는 AI 기반 특허 실무 플랫폼 서비스를 제공하는 과정에서 이용자의 개인정보와 중요 데이터를 보호하기 위해 클라우드 우선(Cloud-First) 보안 전략을 채택하고 있습니다.

본 보안 정책은 개인정보보호법, 정보통신망법 등 관련 법령을 준수하며, 신뢰할 수 있는 클라우드 서비스 제공업체의 보안 인프라를 기반으로 추가적인 보안 조치를 적용합니다.

2. 보안 목표

회사는 다음의 보안 목표를 달성하기 위해 노력합니다:

  • 기밀성(Confidentiality): 인가되지 않은 개인이나 시스템이 정보에 접근하는 것을 방지
  • 무결성(Integrity): 정보가 인가되지 않은 방법으로 변경되거나 파괴되는 것을 방지
  • 가용성(Availability): 인가된 사용자가 필요할 때 정보와 시스템에 접근할 수 있도록 보장
  • 책임추적성(Accountability): 시스템 사용자의 활동을 추적하고 기록

3. 데이터 보안

가. 데이터 암호화

  • 전송 중 암호화: 모든 데이터 전송은 HTTPS/TLS를 통해 암호화
  • 저장 시 암호화: Supabase의 표준 암호화를 통한 데이터베이스 암호화
  • API 키 관리: 환경 변수를 통한 안전한 API 키 관리
  • 클라우드 보안: 클라우드 제공업체의 엔터프라이즈급 보안 인프라 활용

나. 데이터 관리

  • 사용자 데이터와 시스템 데이터의 분리 관리
  • 개인정보보호법에 따른 데이터 보관 및 삭제
  • 클라우드 제공업체의 백업 및 복구 시스템 활용
  • 최소 권한 원칙에 따른 데이터 접근 제어

4. 시스템 보안

가. 클라우드 인프라 보안

  • Vercel 플랫폼: 자동 HTTPS, DDoS 방어, 글로벌 CDN 보안
  • Supabase: PostgreSQL 기반 보안, Row Level Security(RLS)
  • 클라우드 방화벽: 클라우드 제공업체의 네트워크 보안 활용
  • 자동 업데이트: 플랫폼 레벨의 보안 패치 자동 적용

나. 웹 애플리케이션 보안

  • Next.js 프레임워크의 기본 보안 기능 활용
  • 보안 HTTP 헤더 설정 (X-Frame-Options, X-Content-Type-Options 등)
  • 입력 데이터 검증 및 SQL 인젝션 방지
  • Supabase를 통한 안전한 API 인증 및 권한 부여

5. 접근 제어

가. 사용자 인증

  • Supabase Auth: 이메일/비밀번호 기반의 안전한 인증
  • 세션 관리: JWT 토큰 기반 세션 관리 및 자동 만료
  • 비밀번호 정책: 최소 8자 이상의 안전한 비밀번호 권장
  • 계정 보안: 이메일 인증을 통한 계정 확인

나. 권한 관리

  • 프로젝트 기반 접근 권한 관리
  • 사용자별 데이터 격리 (Row Level Security)
  • 각 API 엔드포인트별 인증 필수
  • 최소 권한 원칙에 따른 데이터 접근

6. AI 서비스 보안

가. 제3자 AI 서비스 보안

  • 특허 특화 AI 모델: 특허 특화 AI 모델의 보안 정책 및 데이터 처리 관행 준수
  • 문서 분석 AI 서비스: 문서 분석 및 OCR 서비스의 안전한 활용
  • API 키 관리: 환경 변수를 통한 안전한 API 키 저장
  • 데이터 최소화: AI 서비스 호출 시 최소한의 필요 데이터만 전송

나. AI 서비스 사용 원칙

  • 사용자 입력 데이터의 기본적인 검증 및 필터링
  • AI 생성 결과에 대한 면책 조항 및 사용자 주의사항 제공
  • 개인정보의 AI 서비스 전송 최소화
  • 제3자 AI 서비스의 데이터 보관 정책 준수

7. 보안 모니터링

가. 기본 모니터링

  • Vercel Analytics 및 Supabase 모니터링 대시보드 활용
  • 애플리케이션 오류 및 비정상 접근 시도 추적
  • API 호출 패턴 및 사용량 모니터링
  • 시스템 오류 발생 시 책임자 알림

나. 로깅 및 점검

  • 기본적인 시스템 접근 및 사용자 활동 로깅
  • 클라우드 제공업체의 로그 보관 정책 준수
  • 정기적인 시스템 업데이트 및 보안 패치 적용
  • 필요 시 보안 취약점 점검 및 개선

8. 보안 사고 대응

가. 사고 대응 체계

  • 담당자 지정: 보안 사고 대응 담당자 지정 및 연락 체계 구축
  • 대응 절차: 사고 탐지, 신속 대응, 복구, 사후 조치의 기본 절차
  • 클라우드 지원: 클라우드 제공업체의 기술 지원 및 복구 서비스 활용
  • 외부 협력: 필요 시 전문 기관의 도움 요청 및 자문

나. 사고 통지 및 복구

  • 개인정보 유출 시 개인정보보호법에 따른 신고 및 통지
  • 서비스 중단 시 신속한 복구 및 사용자 공지
  • 원인 파악 및 재발 방지를 위한 기본적인 개선 조치
  • 사고 대응 과정 기록 및 향후 대응 능력 강화

9. 보안 인식 및 교육

  • 팀원 대상 기본적인 정보보안 인식 제고
  • 개인정보보호법 및 관련 규정 이해
  • 피싱 및 사회공학적 공격에 대한 기본 대응 방법
  • 보안 사고 예방을 위한 기본 수칙 준수
  • 클라우드 서비스 사용 시 보안 주의사항

10. 제3자 서비스 보안

회사는 서비스 제공을 위해 다음의 신뢰할 수 있는 제3자 서비스를 사용합니다:

  • Vercel: 웹 호스팅 및 배포 플랫폼 (SOC 2 Type II 인증)
  • Supabase: 데이터베이스 및 인증 서비스 (SOC 2 Type II 인증)
  • Google LLC: AI 서비스 및 클라우드 인프라
  • Security.sections.thirdPartyServices.services.mistral.title: Security.sections.thirdPartyServices.services.mistral.description

각 제3자 서비스 제공업체의 보안 인증 및 데이터 처리 정책을 확인하고 준수합니다.

11. 법적 준수 사항

회사는 다음의 법령 및 기준을 준수합니다:

  • 국내 법령: 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률
  • 클라우드 보안: 제3자 서비스 제공업체의 보안 인증에 의존 (SOC 2 Type II 등)
  • 기본 보안 원칙: OWASP 등 기본적인 웹 보안 가이드라인 참고
  • 국제 기준: 필요 시 GDPR 등 국제 개인정보보호 규정 준수

12. 보안 정책 관리

① 본 보안 정책은 연 1회 이상 검토하며, 필요 시 개정합니다.

② 보안 정책 변경 시 사전 공지하며, 중요한 변경사항은 사용자 동의를 받습니다.

③ 보안 관련 문의사항은 다음으로 연락주시기 바랍니다:

보안 책임자: 이상민 (대표이사)

연락처: contact@patenty.ai

주소: 대한민국 부산광역시 해운대구 세실로 86, 115호