--- title: "기술적 및 조직적 조치 (TOM)" description: "최종 업데이트: 2026년 5월 30일" canonical_url: "https://getminds.ai/legal/ko/tom" last_updated: "2026-06-02T02:49:16.325Z" --- # 기술적 및 조직적 조치 (TOM) **최종 업데이트: 2026년 5월 30일** Art of X UG (haftungsbeschränkt) ("Minds")는 개인 데이터 처리와 관련된 위험에 적합한 보안 수준을 보장하기 위해 GDPR 제32조에 따라 다음과 같은 기술적 및 조직적 조치를 시행합니다. --- ## 1. 접근 제어 ### 물리적 접근 제어 Minds 인프라는 인증된 클라우드 제공업체에서만 호스팅됩니다: - **DigitalOcean** – 독일 프랑크푸르트 데이터 센터 (EU). 인증: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018. - **Supabase** – 스웨덴 스톡홀름 데이터 센터 (EU), AWS에서 호스팅. 인증: SOC 2 Type II. 물리적 보안(생체 인식 접근 제어, 24/7 감시, 접근 기록)은 클라우드 제공업체에 의해 완전히 관리됩니다. ### 논리적 접근 제어 - 모든 내부 시스템 및 관리 인터페이스에 대한 역할 기반 접근 제어 (RBAC). - 모든 직원의 생산 시스템 접근에 대해 다중 인증 (MFA) 필수. - 개별 사용자 계정 – 공유 자격 증명 없음. - 최소 권한 원칙에 따라 접근 권한의 정기적인 검토 및 철회. - API 키 및 자격 증명은 암호화된 비밀 관리자에서 관리. - OAuth 토큰, 통합 자격 증명 및 API 키는 범위가 지정되고, 저장 시 암호화되며, 철회 가능. --- ## 2. 암호화 ### 전송 중 암호화 - 모든 데이터 전송은 TLS 1.2 이상으로 보호됩니다. - 모든 공개 엔드포인트에 대해 HSTS (HTTP Strict Transport Security)가 활성화되어 있습니다. - 내부 서비스 간 통신도 암호화됩니다. ### 저장 중 암호화 - 데이터베이스 (Supabase/PostgreSQL)는 저장된 데이터에 대해 AES-256 암호화를 사용합니다. - 파일 저장소 (DigitalOcean Spaces / Supabase Storage)는 서버 측 AES-256 암호화를 사용합니다. - 백업은 암호화된 형태로 저장됩니다. --- ## 3. 데이터 분리 (테넌트 격리) - 데이터베이스 수준에서 고객 데이터의 엄격한 논리적 분리 (PostgreSQL의 행 수준 보안). - 각 고객은 자신의 데이터만 접근할 수 있으며, 이는 데이터베이스 및 API 수준에서 시행됩니다. - 자동화된 테스트를 통해 테넌트 간 데이터 유출이 발생하지 않도록 보장합니다. --- ## 4. 가용성 및 복원력 ### 호스팅 아키텍처 - 애플리케이션은 자동 확장 및 상태 점검이 가능한 DigitalOcean App Platform에서 실행됩니다. - Supabase에서 고가용성 구성으로 데이터베이스 운영. ### 백업 및 복구 - 최소 7일의 보존 기간을 가진 일일 자동 데이터베이스 백업. - PostgreSQL 데이터베이스에 대한 시점 복구 (PITR). - 복구 절차의 정기적인 테스트. - 복구 시간 목표 (RTO): SLA에 정의된 대로. - 복구 지점 목표 (RPO): 최대 24시간. --- ## 5. 사고 대응 - 보안 사고에 대한 문서화된 사고 대응 프로세스. - 개인 데이터 유출을 인지한 후 **48시간** 이내에 고객에게 통지, 데이터 처리 계약 (DPA)에 따라. - 모든 보안 관련 사고의 기록 및 추적. - 사고 대응 계획의 정기적인 검토 및 업데이트. --- ## 6. 기밀성 및 직원 의무 - 모든 직원 및 계약자는 기밀 유지 계약 (NDA)에 구속됩니다. - 모든 직원에 대한 정기적인 데이터 보호 교육. - GDPR에 따라 데이터 비밀 유지 의무. - 개인 데이터에 대한 접근은 필요에 따라 부여됩니다. --- ## 7. 하위 처리자 관리 - 데이터 보호 및 보안 기준에 따라 하위 처리자를 신중하게 선택. - 모든 하위 처리자의 GDPR 준수 데이터 처리 계약 의무. - 하위 처리자의 정기적인 검토. - 현재 하위 처리자 목록은 [하위 처리자](/legal/subprocessors)에서 확인 가능합니다. - DPA에 따라 변경 사항에 대한 사전 통지. --- ## 8. 로깅 및 모니터링 - 시스템 이벤트 및 접근의 중앙 집중식 로깅. - 감사 로그는 API/MCP 접근, OAuth 및 통합 변경, 캘린더 동기화/웹훅 이벤트, 보안 관련 관리 작업을 포함합니다. - **Langfuse**는 AI 모델 상호작용 모니터링 및 추적을 위해 사용됩니다 (EU에서 호스팅). - **PostHog**는 제품 분석 및 선택적 세션 재생을 위해 사용됩니다 - 분석 동의가 있는 경우에만 지속적인 분석/세션 재생; 합법적인 경우 제한된 쿠키 없는 진단. - 자동 알림이 있는 중요한 시스템 메트릭 모니터링. - 이상 징후에 대한 로그의 정기적인 검토. --- ## 9. 데이터 최소화 및 가명화 ### 데이터 최소화 - 각 처리 목적에 필요한 개인 데이터만 수집 및 처리. - 처리된 데이터 범주의 필요성에 대한 정기적인 검토. - 정의된 보존 기간에 따라 더 이상 필요하지 않은 데이터의 자동 삭제. ### 가명화 - 기술적으로 가능하고 적절한 경우, 개인 데이터는 가명화된 형태로 처리됩니다. - 내부 처리에서는 실제 이름 대신 UUID를 주로 사용합니다. - 분석 평가는 집계 또는 가명화된 기준으로 수행됩니다. --- ## 10. 정기적인 검토 및 평가 - 인프라 및 애플리케이션에 대한 정기적인 보안 평가. - 의존성에 대한 알려진 취약점 정기 점검 (의존성 스캐닝). - 처리 활동의 중대한 변경 시 또는 최소 연 1회 이 TOM을 검토 및 업데이트. - 현재 위협 환경에 기반한 보안 조치의 지속적인 개선. --- ## 11. 추가 조치 ### 입력 제어 - 개인 데이터 변경 사항의 로깅 (감사 추적). - 누가, 언제 어떤 데이터를 입력, 수정 또는 삭제했는지 추적 가능. ### 전송 제어 - 데이터 전송은 전적으로 암호화됩니다. - 적절한 보호 수준(적합성 결정 또는 표준 계약 조항) 없이 제3국으로 개인 데이터 전송 없음. ### 처리 제어 - 개인 데이터는 오직 고객의 지침에 따라 처리됩니다. - DPA에서 위탁 처리에 대한 계약적 규정. --- *이 기술적 및 조직적 조치는 정기적으로 검토되며, 현재 기술 수준에 일치하는 보호 수준을 보장하기 위해 필요에 따라 업데이트됩니다.* **Art of X UG (haftungsbeschränkt)** 대표 이사: Friedrich von Borries 및 Alexander Doudkin