| 카테고리 | 세부사항 |
|---|---|
| 데이터 주체 | 관리자의 직원, 초대된 최종 사용자, 입력된 데이터의 개인, 제출된 콘텐츠, 캘린더 이벤트, 메시지, 통화 또는 공개 출처에서 언급된 개인 |
| 데이터 유형 | 연락처 데이터, 자격 증명, 사용 데이터, 콘텐츠(텍스트/이미지/오디오/파일/URL), 프롬프트 및 출력, 임베딩, API/OAuth 토큰, 캘린더 이벤트 및 참석자 메타데이터, SMS/WhatsApp/음성 메타데이터, 기술 데이터, 결제 데이터(Stripe) |
| 위치 | EU 주요(독일, 스웨덴), DPF/SCC에 따라 선택된 API를 위한 미국 및 기타 제3국, 선택된 음성 서비스를 위한 영국 |
| 보존 | 계약 기간 + 30일 삭제, 단, 짧은 기능별 보존, 동의 철회, 법적 보존 또는 감사/보안 보존이 적용되는 경우 제외 |
| 목적 | AI 플랫폼 서비스, 고객 지향 시뮬레이션, 통합, 소스 수집, 메시징/음성, 보안 및 지원. 일반 목적 모델의 교육은 명시적으로 선택한 경우를 제외하고는 없습니다. |
| 기술 | LLM API(OpenAI, Anthropic, Google), 음성 서비스(ElevenLabs, Fish Audio, Deepgram), 소스/검색 제공업체(Tavily, Firecrawl, Apify, Serper, OCR.space), 통합(Google Calendar, Twilio), 인프라(DigitalOcean Frankfurt, Supabase Stockholm), 보안(Cloudflare, TLS 1.2+, AES-256). |
| 위험 | 가능성 | 심각도 | 잔여 위험 | 완화 조치 |
|---|---|---|---|---|
| 무단 접근 | 낮음 | 높음 | 낮음 | MFA, RBAC, AES-256, 행 수준 보안, 범위가 지정되고 철회 가능한 토큰 |
| 데이터 유출 | 낮음 | 높음 | 낮음 | TLS 1.2+, 암호화된 백업, Cloudflare, 사고 처리 프로세스, 48시간 통지 |
| 고객 데이터에 대한 AI 교육 지침 없이 | 매우 낮음 | 높음 | 매우 낮음 | 교육 없음 기본 설정, 선택적 제어, 제공업체 계약, ZDR/보존 없음 제어가 가능한 경우 |
| 크로스 테넌트 유출 | 매우 낮음 | 치명적 | 매우 낮음 | 행 수준 보안, 테넌트 검사, 자동 테스트 |
| 정부 접근(FISA/CLOUD Act) | 낮음 | 중간 | 낮음 | EU 주요 인프라, DPF/SCC, 전송 검토, 투명성 조항 |
| 음성, 유사성 또는 클론 음성 남용 | 낮음 | 높음 | 중간 | 동의 요구 사항, 허용 사용 제한, 로깅, 삭제 및 중단 권리 |
| 캘린더/OAuth 토큰 남용 | 낮음 | 높음 | 낮음 | 범위가 지정된 Google Calendar 권한, 암호화된 토큰 저장, 철회/연결 해제 흐름, 웹후크 정리, 감사 로그 |
| 불법 또는 민감한 데이터의 공개 출처 추출 | 중간 | 중간 | 중간 | 사용자 보증, 금지된 사용 규칙, 소스 로깅, 최소화, 삭제 권리, 제공업체 제어 |
| AI 투명성 또는 출처 격차가 Article 50 적용 전 | 중간 | 중간 | 중간 | 현재 가시 UI 레이블, 생성 메타데이터, 2026년 8월 2일을 위한 내보내기/출처 준비 작업 |
| 가용성 손실 | 낮음 | 중간 | 낮음 | 일일 백업, PITR, RPO 24시간, RTO 8시간 |