보안 안내 · 2026.05.03
보안 정책
서류항이 고객 데이터와 무역 서류를 보호하기 위해 적용하는 보안 운영 기준입니다.
시행일: 2026-05-03
01
데이터 분리와 접근 제어
- 모든 업무 데이터는 조직 단위로 분리하고, 사용자는 소속 조직과 권한에 따라 접근합니다.
- 데이터베이스에는 조직 격리 정책과 RLS를 적용하고, 서버 API에서도 조직 멤버십을 확인합니다.
- 운영자 접근은 장애 대응, 고객지원, 보안 조사 등 필요한 목적과 범위로 제한합니다.
02
인증과 세션
- 이메일/비밀번호, Google, Kakao, Naver 등 인증 방식은 동일한 약관 동의와 조직 온보딩 흐름을 거칩니다.
- 비밀번호는 평문으로 저장하지 않으며, 인증 제공자 토큰과 API 키는 환경변수 또는 보안 저장소로 관리합니다.
- CSRF, rate limit, 보안 헤더, 세션 확인을 통해 무단 요청과 자동화 남용을 줄입니다.
03
문서와 파일
- 무역 서류 원본은 접근 권한이 있는 조직 구성원에게만 제공되며, 다운로드 URL은 제한된 조건에서 발급합니다.
- 사업자등록증, CI, PL, B/L, AWB 등 업무 문서는 제출 전 검증과 제출 번들 정리 목적에 한해 처리합니다.
- 고객은 주민등록번호, 여권번호, 금융 비밀번호 등 서비스 목적에 불필요한 민감정보가 포함된 파일 업로드를 피해야 합니다.
04
사고 대응
- 보안 이벤트가 의심되면 접근 로그와 시스템 로그를 확인하고 영향을 받은 조직 범위를 식별합니다.
- 고객 데이터에 영향을 줄 수 있는 사고는 법령상 요구와 계약상 의무에 따라 통지합니다.
- 재발 방지를 위해 권한, 키, 정책, 코드, 인프라 설정을 점검하고 필요한 수정 조치를 적용합니다.