법적 고지
수탁업체(서브프로세서) 목록
Draft 가 서비스 제공을 위해 개인정보 처리를 위탁하는 수탁업체를 모두 공개합니다. 각 업체의 처리 범위·보관 리전·국외 이전 근거·보안 증빙을 표로 정리했습니다. PIPA 제26조 및 엔터프라이즈 DPA(Data Processing Agreement) 대응 문서입니다.
최종 개정: 2026-04-22 · 변경 시 공개 릴리스 노트에 기록.
| 업체 | 목적 | 리전 | 이전 근거 | 보안 증빙 |
|---|---|---|---|---|
| Supabase Inc. (USA) | 데이터베이스 호스팅 · 인증 서버 · 스토리지 회원 프로필, 프로젝트, 감사 로그 등 서비스 전 영역 | ap-northeast-2 (서울 AWS) | 국내 리전 저장 — 표준계약조항(SCC) 제출 불요 | SOC 2 Type II · AWS KMS · Row-Level Security |
| Vercel Inc. (USA) | 웹 애플리케이션 호스팅 · Edge 네트워크 · 빌드 파이프라인 HTTP 로그(IP·UA·경로) 72시간 보관, 정적 자산 캐시 | Global Edge (SEO1 등) | 표준계약조항(EU-US DPF / K-US 프레임워크) | SOC 2 Type II · ISO 27001 · DDoS 방어 |
| Anthropic PBC (USA) | AI 초안 생성(주간 업데이트 Ghostwriter, 페르소나 엔진) 프롬프트·응답 (수집된 원문은 학습 미사용, 30일 후 삭제) | US-East | 표준계약조항 | SOC 2 Type II · HIPAA 준수 티어 보유 · zero-retention API |
| Google LLC (USA) | Gemini 임베딩·분류 · Google Analytics · Google OAuth 익명 임베딩 벡터, 사이트 접속 집계, OAuth 토큰 | Global (데이터 리전 Google 정책 준수) | 표준계약조항 · EU-US DPF | ISO 27001/27017/27018 · SOC 1/2/3 |
| Discord Inc. (USA) | Discord OAuth · 봇 메시지 수집 (FileTrail, GitHub DevSync 등) 유저가 명시적으로 연결한 길드 채널의 메시지·유저 ID | US | 표준계약조항 · 이용자 명시적 동의 기반 | SOC 2 Type II |
| Meta Platforms, Inc. (USA) | Threads Graph API — 외부 SNS 자동 발행 OAuth 액세스 토큰(AES-256-GCM 암호화 저장)·발행 텍스트/이미지 | US | 표준계약조항 · 이용자 명시적 연결·App Review | Meta Platform Terms § Data Security |
| Resend, Inc. (USA) | 트랜잭셔널 이메일 발송(가입 확인, 공지, 초대) 수신자 이메일 주소, 본문, 발송 로그(30일) | US · EU | 표준계약조항 | SOC 2 Type II (진행 중) · DKIM/SPF/DMARC |
| Cloudflare, Inc. (USA) | DNS · WAF · DDoS 방어 HTTP 메타데이터(IP·UA) | Global Anycast | 표준계약조항 · EU-US DPF | SOC 2 Type II · ISO 27001 · PCI DSS |
| PostHog Inc. (USA) | 제품 분석 · 에러 추적 · Feature Flag 익명/로그인 유저 이벤트(페이지뷰·클릭·에러 스택) | US-East | 표준계약조항 | SOC 2 Type II · GDPR 준수 · 자체 호스팅 옵션 보유 |
| Sentry (Functional Software, Inc.) (USA) | 예외·성능 모니터링 (opt-in) 스택 트레이스 · breadcrumb (PII 스크러빙 활성) | US | 표준계약조항 | SOC 2 Type II · ISO 27001 |
| Upstash, Inc. (USA) | Redis Rate Limit · 경량 캐시 레이트 리밋 카운터(유저 ID 해시), 일시 캐시 | us-east-1 / eu-west-1 | 표준계약조항 | SOC 2 Type II · TLS 1.3 |
| GitHub, Inc. (USA) | 소스 코드 저장소 · CI/CD · Dependabot · Secret Scan 코드 리포지터리, 커밋 메타데이터 (이용자 개인정보 저장 없음) | Global | 표준계약조항 · EU-US DPF | SOC 1/2/3 · ISO 27001 · FedRAMP Moderate |
변경 고지 정책
새로운 수탁업체 추가, 처리 범위 변경, 리전 이동 등 영향도가 있는 변경이 발생하면 본 페이지를 갱신하고 공개 릴리스 노트 에도 기재합니다. 엔터프라이즈 고객에게는 계약에 따라 14일 전 이메일 사전 고지가 기본입니다.
이의 제기 기간 내 서면 반대 의사를 보내시면 해당 고객에 한해 이전 수탁 구조 유지 또는 계약 종료 협의를 진행합니다.