Ai Business Agents

보안 정책

사장님 데이터, 진심으로 지킵니다.

받을돈·세무·고객정보는 회사의 생명선. 6 기둥으로 다중 보호합니다.

암호화 (Encryption)

  • 전송 구간: TLS 1.3 강제 (HTTPS 전체)
  • 저장: AES-256 (Supabase Postgres + Storage)
  • 비밀번호: bcrypt + 페퍼링 (평문 저장 X)
  • API 키: 환경변수 격리, .env 절대 git 미반영

접근 통제 (Access Control)

  • 조직별 RLS (Row Level Security) 강제
  • service_role 키는 서버 only (브라우저 노출 0)
  • OAuth 1번 (Google·카카오) — 로컬 비밀번호 X
  • 관리자 콘솔: HMAC 패스워드 8h 세션 + 2단계 사인

데이터 격리

  • organization_id 컬럼 = 모든 테이블 강제
  • 테넌트 간 데이터 누출 0 (DB 레벨 강제)
  • 회사 두뇌 (RAG) = pgvector + RLS 동일 정책
  • 민감 정보 마스킹 (주민번호·계좌·카드)

법적 보호

  • 개인정보처리방침 명시 + 동의 절차
  • 사업자 정보는 공개 정보 (마스킹 X)
  • 약관·환불 정책 명문화
  • 분쟁 시 한국 법원 관할 (국내법 우선)

사고 대응 (Incident Response)

  • 관리자 콘솔 모든 처리 로그 기록
  • 이상 패턴 감지 시 알림 (속도·지역·기기)
  • 데이터 유출 시 통보 절차 (관계 법령 준수)
  • 백업: 일 단위 + 7일 보존 (Supabase 자동)

결제 보안

  • Toss Payments PG 연동 (PCI-DSS Level 1)
  • 카드 정보 우리 서버 저장 X (Toss 위탁)
  • 결제 웹훅 서명 검증 (위변조 차단)
  • 환불 정책 + 분쟁 대응 채널

솔직히 말씀드리면

완벽한 보안은 없습니다. 우리도 1인 사장님과 같은 마음으로 다중 방어를 합니다. 사고 발생 시 24시간 내 통보하고, 원인·범위·대응을 투명하게 공개합니다.

개인정보처리방침보안 문의