sgkstudio.
Security · Trust · Compliance

신뢰는 시스템에서
나옵니다

오히려 더 정직하게 박았습니다. 데이터 분류·암호화·접근통제·사고 대응·파기 정책을 발주처가 묻는 형태 그대로 공개합니다.

  • SOC 2 Type II

    Vercel · Cloudflare · OpenAI · Resend 위탁 운영

  • ISO 27001

    Cloudflare · Google Workspace 인증 인프라

  • 개인정보보호법 §26

    처리 위탁 표준 계약 + 파기확인서 별첨

  • 정보통신망법 §50

    콜드메일 7 요건 자동 정합

01 — Data Classification

4 등급으로 분리합니다.
민감 등급은 격리.

고객사 임직원·고객 PII는 회사 운영 데이터와 물리·논리 격리.

🟢 Public

공개

외부 공개 가능

예시

landing 콘텐츠, 기술 블로그, 회사소개서

처리 원칙

무제한 활용

🟡 Internal

내부

회사 운영 정보

예시

견적 기록, 영업 파이프라인, 매출 데이터

처리 원칙

회사 계정만 접근

🟠 Confidential

기밀

고객사 기밀

예시

고객사 코드·문서·DB 구조, 사업계획

처리 원칙

계약 명시 후 접근

🔴 Sensitive

민감

개인정보·결제정보

예시

고객사 임직원/고객 PII, 인증 토큰

처리 원칙

최소권한 · 암호화 · 격리

02 — Trusted Infrastructure

인프라는 글로벌 인증 사업자만 사용합니다.

자체 보안팀을 운영하는 대신 SOC 2 Type II·ISO 27001 보유 대형 사업자에 위임.

Vendor인증용도위치
Vercel Inc.SOC 2 Type II호스팅·CDN·서버리스미국 글로벌 CDN
Cloudflare Inc.ISO 27001 · SOC 2 · PCI DSSDNS · WAF · 이메일 라우팅미국 글로벌 엣지
Google WorkspaceISO 27001 · 27017 · 27018비즈니스 이메일·문서미국
OpenAI · AnthropicSOC 2 Type IILLM API (RAG 응답 생성)미국
ResendSOC 2 Type II이메일 발송미국
GitHubSOC 2 Type II코드 저장미국

개인정보 국외 이전 — 정보주체 동의 후 수행 · 한국 데이터센터 마이그레이션 옵션 제공 (NHN Cloud · Naver Cloud)

03 — Encryption & Access

암호화·MFA·최소권한은 기본입니다.

비밀번호 단방향 해시 · API 키 환경변수만 · 사적 사용 격리 · 분기 권한 검토.

암호화

전송
TLS 1.2+ 강제 (1.0/1.1 비활성)
저장
AES-256 (DB · 디스크)
비밀번호
bcrypt · argon2 단방향 해시
노트북
FileVault · BitLocker 활성

접근통제

인증
MFA 의무 · 세션 30분 idle 종료
권한
최소권한 · 고객사 계정 종료 시 즉시 회수
비밀 관리
Vercel env · Cloudflare Secrets · Git 저장 금지
검토
분기별 SaaS · 계정 권한 검토

로그·감사

인프라 로그
Vercel · Cloudflare · Resend 90일
인증 로그
Google · Vercel · GitHub 1년
PII 처리 로그
위탁 시스템 접속 2년 (개보법 §29)
이상 탐지
Cloudflare WAF · 자동 차단

비밀 관리

저장
Vercel Env · Cloudflare Workers Secrets
로컬
1Password · macOS Keychain (Phase 2)
회전
12개월 또는 유출 의심 즉시
고객사 키
계약 종료 즉시 회수 · 회수 확인서
04 — Incident Response

사고가 나면 72시간 안에 신고합니다.

개인정보 보호법 §34 정합. 영향 받은 고객사에는 24시간 안에 1차 통보 · 7일 안에 종합 보고서.

  1. T+0

    감지

    alert 또는 외부 통보

  2. T+1h

    격리

    영향 받은 시스템 격리 · 계정 잠금 · 사고 일지 작성 시작

  3. T+24h

    1차 보고

    영향 받은 고객사에 이메일 + 전화 통보 (사고 개요 · 영향 범위 · 대응 현황)

  4. T+72h

    규제 신고

    개인정보 누출 시 개인정보보호위원회 · KISA 신고 (개보법 §34)

  5. T+7d

    종합 보고

    원인 · 영향 · 대응 · 재발 방지 — 고객사 · 정보주체 통지

  6. T+30d

    사후 검토

    정책 갱신 · 시스템 보강 · 학습 누적

비상 연락 — 김경민 010-7497-9564 · KISA 118 · privacy.go.kr

05 — Destruction

계약 종료 후 30일 안에 파기 + 확인서 제출.

원본 · 임베딩 벡터 · 캐시 · 백업 모두 안전 wipe. 단순 휴지통 이동 금지.

계약 종료 + 30일

원본 데이터 · 임베딩

DB 영구 삭제 · 인덱스 wipe

계약 종료 + 90일

로그 · 백업

압축 후 매체 wipe

파기 후 7일

파기확인서 제출

대상·항목·분량·방법·일시 표 + 대표 날인

법정 보존 의무

상법 §33 (5년) · 국세기본법 §85의3 (5년) · 정보통신망법 §50 (1년) 등 법령상 보존 의무가 있는 데이터는 해당 기간 동안 별도 격리 보관 후 파기.

파기확인서 양식 보기
06 — Processing Agreement

개인정보 처리 위탁 계약은 표준 양식이 있습니다.

개보법 제26조 정합. NDA · MSA · 본 위탁 계약 3건 묶음 발송이 첫 거래 직전 표준.

개인정보 처리 위탁 계약 (PPA)

갑·을 정보 · 위탁 업무 범위 · 처리 항목 · 안전성 확보조치 · 재위탁 · 국외 이전 · 처리 현황 점검 · 종료 시 파기 · 사고 대응 · 비밀유지 · 손해배상 · 14 조항 + 파기확인서 별첨

자사 개인정보 처리방침

처리 목적 · 처리 항목 · 보유 기간 · 제3자 제공 · 처리 위탁 · 국외 이전 · 정보주체 권리 · 안전성 확보 · 자동 수집 · 책임자 · 권익 구제 · 변경 이력 — 분기 1회 갱신

정보보호 정책 (핵심 압축)

데이터 분류 · 접근통제 · 암호화 · 신뢰 위탁 · 비밀 관리 · 로그·감사 · 사고 대응 · 파기 · 재위탁 통제 · 교육 — ISMS · ISMS-P 요구 시 위탁 인프라 인증서로 대체

마케팅 컴플라이언스 가이드

표시광고법 §3 정직 카피 가이드 · 정통망법 §50 콜드메일 7 요건 · MEDVi 사례 반대 포지셔닝 · 분기 자체 감사 · 위반 시 과태료 표

보안 패키지를 24시간 안에
보내드립니다.

NDA · MSA · 개인정보 처리 위탁 계약 · 정보보호 정책 · 파기확인서 양식 ZIP.
발주처 벤더 등록 ZIP은 별도 요청 시.