Draft 의 보안·컴플라이언스·운영 투명성

가용성 목표 99.9%, P95 API 응답 800ms 이하, 인시던트 복구(RTO) 4시간 이내, 데이터 손실 허용(RPO) 24시간 이내. 전체 목표는 시스템 상태 페이지 에서 실시간 헬스체크와 함께 공개됩니다.

SEV-0·SEV-1 등급 장애는 발생 시 동일 페이지의 "최근 30일 인시던트" 섹션에 타임라인·영향 컴포넌트·원인과 함께 공개됩니다. 인시던트 데이터는 append-only 로 관리됩니다.

한국 개인정보 보호법(PIPA) 기준으로 수집·이용·위탁·국외 이전을 관리합니다. 전체 조항은 개인정보처리방침 에, 삭제 요청 경로는 데이터 삭제 안내 에 공개되어 있습니다.

OAuth 액세스 토큰은 AES-256-GCM 으로 암호화 저장되고, 연결 해제 시 즉시 완전 삭제됩니다. 모든 수탁업체(Supabase·Vercel·Anthropic·Google·Discord·Resend 등 12곳)의 처리 범위·리전·이전 근거·보안 증빙은 수탁업체 목록 에서 전수 확인 가능합니다.

데이터 유형별 보관 기간·파기 절차·법정 보존 예외는 데이터 보관·파기 정책 에, 쿠키·로컬 스토리지 전수는 쿠키 사용 방침 에 정리되어 있습니다.

TLS 1.3, HSTS(1년 · includeSubDomains · preload), Row-Level Security 전 테이블 적용, 감사 로그 append-only 3년 보존이 기본 통제선입니다. 부가로 Dependabot 주간 스캔, gitleaks·trufflehog secret-scan CI, 분기별 시크릿 로테이션 런북을 운영합니다.

보안 연구자용 공식 제보 경로는 취약점 제보 가이드 와 RFC 9116 security.txt. 초기 응답 24시간, 초기 평가 72시간, 수정 배포 최대 30일의 대응 SLA + Safe Harbor 조항을 공개 정책으로 운영합니다.

서비스 이용약관 에 회원·기관·클럽 간 권리·의무, 자동 발행 기능 특약(제7조 — 운영진 승인 없이는 외부 발행 없음), 지적재산권, 준거법·관할이 정리되어 있습니다.

주요 배포와 보안·기능 변경은 공개 릴리스 노트 에, 세부 변경은 GitHub 커밋 히스토리 에 열려 있습니다. 변경의 근거와 시점을 외부에서 직접 검증 가능하도록 한 것입니다.

Threads 외부 발행 기능은 Meta Platform Terms 기준 App Review 절차를 거칩니다. 제출 대상 문서(use-case·compliance-attestation·security-architecture·reviewer-expectations) 은 내부적으로 작성되어 있고, 실사 단계에서 필요하시면 이메일 요청 으로 개별 공유 드릴 수 있습니다.

파트너·자동화 도구 빌더가 Draft 공개 데이터에 프로그래밍적으로 접근할 수 있는 엔드포인트를 공개 API 레퍼런스 에 정리해두었습니다. 지표·인시던트·QR 생성·RSS 피드·검색 등 16개. 인증이 필요한 내부 API 는 별도 토큰 체계로 제공될 예정이며 기업 계약 단계에서 협의합니다.

PIPA 위탁업체 계약서 사본, 데이터 처리 위탁 현황(RoPA), 보안 아키텍처 상세 문서, 침입 시험 결과(예정) 등은 실사 단계에서 별도 공유합니다. 공개 자료로는 대체되지 않는 부분이 있어 서면 요청에 맞춰 제공하는 형태입니다.