보안 · 데이터 보호

🌐01. 인프라 · 호스팅

• 엔터프라이즈급 클라우드 인프라의 한국(Seoul) region에서 운영됩니다 — 데이터가 한국 내에 머무릅니다.
• 기관별 데이터 격리 (row-level 접근 정책, 다른 기관 데이터 접근 차단).
• 관리형 DB · point-in-time 복구 + 매일 암호화 백업.
• Edge network 위에서 DDoS 방어가 기본 동작합니다.

사용 중인 클라우드 제공자는 ISO 27001 · SOC 2 Type II · ISMS 동급 인증 보유.

🔐02. 암호화

• 전송 중 — 클라이언트–서버 + 서버–DB 구간 모두 TLS 1.3. HSTS 활성. HTTP 요청은 HTTPS 로 리다이렉트.
• 저장 시 — DB · 파일 저장소 · 백업 모두 AES-256 암호화.
• 비밀 정보 — 환경변수 · API 키는 관리형 시크릿 스토어에서 보관, 저장소에 커밋 X.
• 민감 식별자 — 직접 조회가 불필요한 항목은 해시 또는 토큰화.

🔑03. 접근 제어 · 인증

• 사용자 인증 — 엔터프라이즈 이메일 + 비밀번호 (bcrypt 해시) · TOTP 2단계 인증 옵션.
• 역할 기반 접근 — 원장 / 치료사 / 관찰자 / 보호자 각각 역할에 허용된 데이터만 조회 가능.
• Row-level security — 기관별 격리가 애플리케이션 층이 아닌 DB 정책으로 강제됩니다.
• 관리자 접근 — TaleNest 직원은 기본적으로 여러분의 데이터를 조회할 수 없습니다. 운영 접근은 시간 제한된 지원 케이스에만 부여되고, 로그에 남고, 종료 후 즉시 해제됩니다.
• 감사 로그 — 모든 로그인 · 데이터 export · 관리자 작업은 시각 + 실행자와 함께 기록됩니다.

📦04. 데이터 소유권 · 이동성

• 기관이 입력한 데이터는 기관 소유 ( 이용약관 제10조).
• 학습자 · 보호자 데이터는 해당 보호자 소유.
• 언제든 export — 대시보드에서 CSV / PDF 다운로드, 분량 제한 X, 추가 비용 X.
• 떠나실 때 — 30일 유예 · 90일 보관 · 그 후 완전 삭제.
• 데이터를 판매하지 않습니다. 여러분의 화면 · 가족의 화면 어디에도 광고 X. 예외 없음.
• 여러분 데이터로 AI 모델을 학습시키지 않습니다 — 별도 명시적 동의 없이는.

B2B 의사결정자께서 가장 많이 묻는 영역입니다. 위 내용은 마케팅 페이지의 약속이 아니라 이용약관 본문에 명시되어 있습니다.

🤝05. 위탁 · 하위처리자

TaleNest 는 서비스 제공을 위해 소수의 하위처리자를 이용합니다. 보안상 개별 vendor 명 대신 카테고리만 공개합니다.

• 클라우드 호스팅 · DB — 엔터프라이즈 제공자, 한국(Seoul) region.
• 트랜잭션 이메일 — 계정 / 결제 / 시스템 알림 발송용.
• 결제 처리 — 국내 + 해외 PG, PCI-DSS 준수.
• 운영 알림 — 한국 메시징 채널을 운영 알림에만 사용 (광고 X).
• 웹 분석 — 개인정보 보호 분석 도구, 식별자 익명화.

전체 하위처리자 명단 (vendor 명 포함) 은 활성 고객 기관에 요청 시 공개합니다. [email protected] 로 문의 주세요. 이는 성숙한 SaaS 의 표준 공개 방식입니다.

🚨06. 침해 대응 · 신고

• 72시간 통지 — 침해 확인 시 영향 받는 기관에 72시간 이내 통지. 한국 개인정보보호법 일치.
• 봉쇄 우선 — 침해 대응 절차: 탐지 → 격리 → 평가 → 통지 → 복구 → 사후 분석.
• 신고 의무 — 신고 대상 침해는 한국 인터넷진흥원(KISA) 에 법정 기한 내 신고합니다.
• 책임 있는 취약점 신고 — 보안 연구자께서는 [email protected] 에 제목 [SECURITY] 로 신고해 주세요. 영업일 5일 내 응답.

개인정보 보호책임자는 창업자 본인입니다. 연락처: 개인정보처리방침 제11조 참조.