보안·데이터 처리
최종 개정일: 2026년 4월 26일 · 적용 대상: junyul.com 웹사이트 + 도입 문의 수집
본 문서는 Junyul 웹사이트와 도입 문의 수집 범위의 보안·데이터 처리 정책입니다. 대시보드·API·SDK 운영 범위는 계약과 보안 검토 결과에 따라 별도 문서로 제공합니다. 현재 시점에서 SOC 2 / ISO 27001 인증을 보유하고 있지 않습니다.
1. 범위
본 문서는 도입 문의와 웹사이트 운영의 보안·데이터 처리 정책입니다. 고객 워크스페이스, 개발자 SDK, 대시보드, API 운영 범위는 도입 계약과 보안 검토 시 다음 항목을 포함해 제공합니다.
- 고객 데이터 암호화 (at rest / in transit) 키 관리
- Customer-Managed Key (CMK) 옵션
- 해시 체인·증거 보관 정책
- 접근 통제 (RBAC · MFA · 감사 로그)
- 침입 탐지 · 모니터링 · 인시던트 대응 절차
- 데이터 잔존 기간 · 삭제 SLA
2. 현재 수집·보관 데이터
| 데이터 | 경로 | 보관 위치 | 보관 기간 |
|---|---|---|---|
| 도입 문의 이메일·역할·회사명(선택) | POST /api/waitlist | Beehiiv (Production) | 구독 해지까지 + 30일 |
| 요청 IP·User-Agent (Rate Limit 카운터) | Edge Runtime 메모리 | Upstash Redis (TTL 10 분) | 10분 자동 만료 |
| 웹 통계 (페이지뷰·국가·브라우저) | Plausible script | Plausible (EU host) | 365일 (Plausible 정책) |
| 에러·스택 (PII 마스킹) | Sentry SDK | Sentry (US/EU) | 90일 (Sentry 무료 플랜) |
3. 전송 구간 보안
- HTTPS 강제:
Strict-Transport-Securitymax-age=63072000; includeSubDomains; preload(production). - TLS: Vercel Edge가 자동 갱신하는 인증서. 최소 TLS 1.2.
- CSP:
frame-ancestors 'none',object-src 'none',base-uri 'self',form-action 'self'등 strict 정책. 외부 도메인 화이트리스트는 운영 중인 분석·오류 추적·이메일 인프라로 제한. - Rate Limit:
/api/waitlist는 IP 기준 5건 / 1분 제한 (Upstash Redis). 초과 시 429. - 입력 검증: Zod schema (
emailmax 320자,companymax 200자, 동의 체크, honeypot). 클라이언트·서버 양쪽.
4. 하위 처리자 (Sub-processors)
다음 제3자 서비스에 데이터가 전달됩니다.
- Vercel (호스팅·CDN·Analytics·Speed Insights) — Frankfurt(EU) 또는 Seoul(AP) 엣지. Privacy Policy: vercel.com/legal/privacy-policy
- Beehiiv (이메일 구독 관리) — US. Privacy Policy: beehiiv.com/privacy
- Resend (트랜잭션 이메일) — US. Privacy Policy: resend.com/legal/privacy-policy
- Upstash (Redis Rate Limit) — Frankfurt(EU). Privacy Policy: upstash.com/trust/privacy
- Plausible Analytics (쿠키 미사용 웹 통계) — Frankfurt(EU). Privacy Policy: plausible.io/privacy
- Sentry (에러 모니터링, PII 마스킹 적용) — US/EU 선택. Privacy Policy: sentry.io/privacy
- Cloudflare (도메인 등록·DNS) — Global. Privacy Policy: cloudflare.com/privacypolicy
5. 취약점 신고 (Responsible Disclosure)
보안 취약점을 발견하셨다면 다음 경로로 비공개 신고를 부탁드립니다. Junyul은 신고를 받은 시점부터 90일 이내에 응답합니다 (CISA Coordinated Vulnerability Disclosure 표준).
- 이메일: support@junyul.com
- 제목 권장 형식:
[Junyul Security] <간단한 요약> - 본문에 다음을 포함해 주십시오: 재현 절차 · 영향 범위 · 신고자 연락처. 개념증명(PoC) 코드는 첨부 시 zip 압축.
신고에 대한 대응 진행 상황은 신고자에게 비공개로 전달되며, 상호 합의된 시점에 공개 disclosure (예: GitHub advisory) 가 가능합니다. 금전적 보상은 현재 운영하지 않습니다.
6. 데이터 주체의 권리 (PIPA · GDPR)
현재 수집된 도입 문의 정보 (이메일·역할·회사명)에 대해 다음 권리를 행사할 수 있습니다.
- 열람 청구
- 정정·삭제 요청
- 처리 정지 요청
- 제3자 제공 내역 조회
요청은 support@junyul.com으로 보내주시면 영업일 7일 이내 응답합니다.
7. 인시던트 대응
데이터 유출 또는 보안 사고가 발생할 경우 Junyul은 다음 절차를 따릅니다.
- 인지 시점부터 24시간 이내 내부 격리·원인 차단
- 72시간 이내 영향받은 데이터 주체에게 이메일 통지
- 법령에 따른 감독기관 신고 (개인정보보호위원회 § 34)
- 사후 분석 보고서 공개 (개인정보 마스킹 후)
8. 변경 이력
- 2026-04-26: 최초 작성 (웹사이트·도입 문의 보안 정책)
9. 문의
보안 관련 일반 문의: support@junyul.com
개인정보 관련 문의: support@junyul.com