보안 정책
최종 수정일: 2025년 1월 27일 | 적용일자: 2025년 1월 27일
1. 보안 정책 개요
주식회사 페이턴티는 사용자의 데이터와 개인정보를 보호하기 위해 엔터프라이즈급 보안 시스템을 구축하고 운영합니다.
본 보안 정책은 당사의 보안 원칙과 실행 방안을 명시하며, 모든 사용자와 직원이 준수해야 할 보안 기준을 제시합니다.
2. 보안 목표
우리의 보안 시스템은 다음과 같은 핵심 목표를 달성하고자 합니다:
- 기밀성: 허가되지 않은 접근으로부터 정보를 보호
- 무결성: 데이터의 정확성과 완전성 보장
- 가용성: 서비스의 지속적이고 안정적인 제공
- 책임성: 모든 활동에 대한 추적 및 감사 기능
3. 데이터 보안
암호화
- 전송 암호화: TLS 1.3을 사용한 HTTPS 통신
- 저장 암호화: AES-256 암호화를 통한 데이터베이스 보안
- API 키 관리: 환경 변수를 통한 안전한 키 관리
- 클라우드 보안: Supabase의 엔터프라이즈급 암호화 서비스
데이터 관리
- 개인정보 최소 수집 원칙
- 데이터 보관 기간 자동 관리
- 정기적인 데이터 백업 및 복구 테스트
- 접근 권한의 정기적 검토 및 업데이트
4. 시스템 보안
클라우드 인프라
- Vercel 플랫폼: 자동 HTTPS, DDoS 보호, 글로벌 CDN
- Supabase 데이터베이스: Row Level Security, 자동 백업
- 웹 방화벽: 악성 트래픽 및 SQL 인젝션 차단
- 자동 업데이트: 보안 패치의 신속한 적용
웹 애플리케이션
- CSRF 토큰을 통한 크로스 사이트 요청 위조 방지
- XSS 방지를 위한 입력 데이터 검증 및 이스케이프
- SQL 인젝션 방지를 위한 매개변수화된 쿼리
- 보안 헤더를 통한 클릭재킹 및 콘텐츠 주입 방지
5. 접근 제어
인증
- Supabase Auth: OAuth 2.0 기반 인증 시스템
- 세션 관리: JWT 토큰 기반 보안 세션
- 비밀번호 정책: 강력한 비밀번호 요구사항 및 해시화
- 계정 보안: 비정상적 로그인 시도 감지 및 차단
권한 관리
- 역할 기반 접근 제어 (RBAC)
- 최소 권한 원칙에 따른 권한 부여
- 프로젝트별 세분화된 접근 권한
- 정기적인 권한 검토 및 갱신
6. AI 서비스 보안
제3자 AI 서비스
- AI 인프라: 엔터프라이즈급 클라우드 AI 인프라 기반의 안전하고 안정적인 성능
- OCR 서비스: Google Cloud Vision API의 보안 API
- API 키 보안: 서버 사이드에서만 접근 가능한 키 관리
- 데이터 최소화: AI 처리에 필요한 최소한의 데이터만 전송
AI 보안 원칙
- AI 모델에 전송되는 데이터의 사전 검증
- AI 응답의 후처리를 통한 민감 정보 필터링
- AI 서비스 이용 기록의 보안 로깅
- AI 모델 업데이트 시 보안 영향 평가
7. 보안 모니터링
기본 모니터링
- 실시간 시스템 상태 모니터링
- 비정상적인 접근 패턴 탐지
- 서비스 가용성 모니터링
- 성능 이상 징후 알림
로깅 및 감사
- 모든 사용자 활동 로그 기록
- 시스템 이벤트 및 오류 로그
- 데이터 접근 및 수정 이력 추적
- 정기적인 로그 분석 및 보고
8. 보안 사고 대응
대응 체계
- 담당 인력: 24/7 보안 담당자 배치
- 대응 절차: 사고 유형별 체계적 대응 매뉴얼
- 클라우드 지원: Vercel, Supabase 기술 지원팀 연계
- 외부 협력: 필요시 보안 전문업체 협력
사고 알림
- 즉시 내부 팀 알림 체계
- 사용자 영향 평가 및 공지
- 관련 기관 신고 (필요시)
- 사후 개선 방안 수립 및 적용
9. 보안 인식 및 교육
- 직원 대상 정기적 보안 교육
- 최신 보안 위협 정보 공유
- 보안 정책 숙지 및 준수 점검
- 사회공학적 공격 대응 훈련
- 보안 사고 시뮬레이션 및 대응 훈련
10. 제3자 서비스 보안
Patenty.AI는 서비스 제공을 위해 다음과 같은 신뢰할 수 있는 제3자 서비스를 이용하며, 각 서비스는 엄격한 보안 기준을 충족합니다:
- Vercel (호스팅): 엔터프라이즈급 CDN 및 DDoS 보호, SSL/TLS 자동 인증서 관리
- Supabase (데이터베이스): PostgreSQL 기반 데이터베이스, Row Level Security, 자동 백업
- Google Cloud AI: Gemini AI 모델, 데이터 최소화 및 암호화된 API 통신
- Mistral AI: 고급 AI 분석 서비스, EU 데이터 보호 규정 준수
모든 제3자 서비스는 SOC 2, ISO 27001 등의 국제 보안 인증을 보유하고 있습니다.
11. 법적 준수 사항
당사는 다음과 같은 법적 요구사항을 준수합니다:
- 국내 법령: 개인정보보호법, 정보통신망법, 클라우드컴퓨팅법
- 클라우드 보안: 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률
- 기본 보안: 정보통신기반 보호법, 사이버보안 기본법
- 국제 기준: GDPR (EU), CCPA (캘리포니아) 등 글로벌 개인정보보호 규정
12. 보안 정책 관리
본 보안 정책은 연 1회 이상 정기적으로 검토되며, 법령 변경이나 기술 발전에 따라 수시로 업데이트됩니다.
정책 변경 시에는 사전 공지를 통해 사용자에게 알려드리며, 중요한 변경사항은 명시적 동의를 받습니다.
보안 정책에 대한 문의사항이나 보안 사고 신고는 다음 연락처로 연락해 주시기 바랍니다:
보안 책임자: 이상민 (CEO)
이메일: contact@patenty.ai
주소: 부산광역시 해운대구 세실로 86 (좌동), 115호