SECURITY · 학과장·전산팀용
기관 도입 검토에 필요한 보안 정보
Vercel·Railway·Supabase 위에서 동작하며 한국 개인정보보호법을 준수합니다.
1. 데이터 암호화
- 전송 구간: TLS 1.3 (Let's Encrypt + HSTS)
- 저장 구간: AES-256 (Supabase Postgres)
- DB 컬럼 단위 암호화: 학번·이메일 등 식별자
2. 접근 통제
- RBAC (Role-Based Access Control)
- 교수자 → 자기 강의 데이터만 조회
- 학과장 (Phase 4) → 학과 단위 통계만, 개별 학생 미접근
- JWT + httpOnly refresh token (XSS 방어)
3. 인시던트 대응
- Sentry + Prometheus 24/7 모니터링
- 침해 사고 시 72시간 내 통지 (개인정보보호법 §34)
- 분기별 보안 감사 (외부 점검 포함 예정)
4. 외부 감사 (계획)
- ISMS-P 인증 (2027 목표)
- SOC 2 Type II (글로벌 확장 단계)
- 모의 침투 테스트 연 1회
5. 한국 법률 준수
- 개인정보보호법
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률
- KISA 가이드라인 (개인정보 처리 위탁 포함)
6. API 보안
- OAuth 2.0 (Google 학교 계정)
- Rate limiting: IP·사용자 단위
- API 키 회전 정책 (90일)
- CSRF state 토큰 1회용 sessionStorage
인프라 구성
- FrontendVercel · ICN1 (서울)
- Backend / CeleryRailway · Asia-Northeast
- Database / Auth / StorageSupabase · ap-northeast-2 (서울)
- AI 모델Anthropic / OpenAI · 글로벌 (개인정보 위탁 약관)
- Avatar / TTSHeyGen / ElevenLabs / Google TTS · 글로벌 (해외 이전 동의)
다운로드 자료 (요청 시 제공)
- 보안 백서 (Security Whitepaper)
- 데이터 처리 약관 (DPA)
- 벤더 위탁 명세 (Sub-processor List)
현재 베타 단계로 일부 자료는 작성 중입니다. 기관 검토용으로 필요하시면 아래 이메일로 요청해주세요.
보안 문의 / 취약점 제보
일반 문의: security@classauto.live
취약점 제보: 책임 있는 공개 정책에 따라 90일 내 패치 후 공개합니다.