🟢 Public
공개
외부 공개 가능
예시
landing 콘텐츠, 기술 블로그, 회사소개서
처리 원칙
무제한 활용
오히려 더 정직하게 박았습니다. 데이터 분류·암호화·접근통제·사고 대응·파기 정책을 발주처가 묻는 형태 그대로 공개합니다.
SOC 2 Type II
Vercel · Cloudflare · OpenAI · Resend 위탁 운영
ISO 27001
Cloudflare · Google Workspace 인증 인프라
개인정보보호법 §26
처리 위탁 표준 계약 + 파기확인서 별첨
정보통신망법 §50
콜드메일 7 요건 자동 정합
고객사 임직원·고객 PII는 회사 운영 데이터와 물리·논리 격리.
🟢 Public
외부 공개 가능
예시
landing 콘텐츠, 기술 블로그, 회사소개서
처리 원칙
무제한 활용
🟡 Internal
회사 운영 정보
예시
견적 기록, 영업 파이프라인, 매출 데이터
처리 원칙
회사 계정만 접근
🟠 Confidential
고객사 기밀
예시
고객사 코드·문서·DB 구조, 사업계획
처리 원칙
계약 명시 후 접근
🔴 Sensitive
개인정보·결제정보
예시
고객사 임직원/고객 PII, 인증 토큰
처리 원칙
최소권한 · 암호화 · 격리
자체 보안팀을 운영하는 대신 SOC 2 Type II·ISO 27001 보유 대형 사업자에 위임.
| Vendor | 인증 | 용도 | 위치 |
|---|---|---|---|
| Vercel Inc. | SOC 2 Type II | 호스팅·CDN·서버리스 | 미국 글로벌 CDN |
| Cloudflare Inc. | ISO 27001 · SOC 2 · PCI DSS | DNS · WAF · 이메일 라우팅 | 미국 글로벌 엣지 |
| Google Workspace | ISO 27001 · 27017 · 27018 | 비즈니스 이메일·문서 | 미국 |
| OpenAI · Anthropic | SOC 2 Type II | LLM API (RAG 응답 생성) | 미국 |
| Resend | SOC 2 Type II | 이메일 발송 | 미국 |
| GitHub | SOC 2 Type II | 코드 저장 | 미국 |
개인정보 국외 이전 — 정보주체 동의 후 수행 · 한국 데이터센터 마이그레이션 옵션 제공 (NHN Cloud · Naver Cloud)
비밀번호 단방향 해시 · API 키 환경변수만 · 사적 사용 격리 · 분기 권한 검토.
개인정보 보호법 §34 정합. 영향 받은 고객사에는 24시간 안에 1차 통보 · 7일 안에 종합 보고서.
감지
alert 또는 외부 통보
격리
영향 받은 시스템 격리 · 계정 잠금 · 사고 일지 작성 시작
1차 보고
영향 받은 고객사에 이메일 + 전화 통보 (사고 개요 · 영향 범위 · 대응 현황)
규제 신고
개인정보 누출 시 개인정보보호위원회 · KISA 신고 (개보법 §34)
종합 보고
원인 · 영향 · 대응 · 재발 방지 — 고객사 · 정보주체 통지
사후 검토
정책 갱신 · 시스템 보강 · 학습 누적
비상 연락 — 김경민 010-7497-9564 · KISA 118 · privacy.go.kr
원본 · 임베딩 벡터 · 캐시 · 백업 모두 안전 wipe. 단순 휴지통 이동 금지.
DB 영구 삭제 · 인덱스 wipe
압축 후 매체 wipe
대상·항목·분량·방법·일시 표 + 대표 날인
법정 보존 의무
상법 §33 (5년) · 국세기본법 §85의3 (5년) · 정보통신망법 §50 (1년) 등 법령상 보존 의무가 있는 데이터는 해당 기간 동안 별도 격리 보관 후 파기.
개보법 제26조 정합. NDA · MSA · 본 위탁 계약 3건 묶음 발송이 첫 거래 직전 표준.
갑·을 정보 · 위탁 업무 범위 · 처리 항목 · 안전성 확보조치 · 재위탁 · 국외 이전 · 처리 현황 점검 · 종료 시 파기 · 사고 대응 · 비밀유지 · 손해배상 · 14 조항 + 파기확인서 별첨
처리 목적 · 처리 항목 · 보유 기간 · 제3자 제공 · 처리 위탁 · 국외 이전 · 정보주체 권리 · 안전성 확보 · 자동 수집 · 책임자 · 권익 구제 · 변경 이력 — 분기 1회 갱신
데이터 분류 · 접근통제 · 암호화 · 신뢰 위탁 · 비밀 관리 · 로그·감사 · 사고 대응 · 파기 · 재위탁 통제 · 교육 — ISMS · ISMS-P 요구 시 위탁 인프라 인증서로 대체
표시광고법 §3 정직 카피 가이드 · 정통망법 §50 콜드메일 7 요건 · MEDVi 사례 반대 포지셔닝 · 분기 자체 감사 · 위반 시 과태료 표
NDA · MSA · 개인정보 처리 위탁 계약 · 정보보호 정책 · 파기확인서 양식 ZIP.
발주처 벤더 등록 ZIP은 별도 요청 시.