본 보안 정책은 TAEON Branding Agency Pte. Ltd.가 운영하는 SOUND.RADAR가 개인정보·고객 콘텐츠 보호를 위해 적용하는 기술적·관리적 조치를 요약합니다. 개인정보 처리방침 및 DPA를 보충합니다. 완벽히 안전한 시스템은 없으나 회사는 지속적으로 데이터를 보호합니다.
1. 접근 및 인증
- 비밀번호는 단방향 해시로만 저장되며, 회사는 평문 비밀번호를 알 수 없습니다.
- 2단계 인증(TOTP)을 제공하며 사용을 권장합니다.
- 역할 기반 접근통제(owner/manager/editor/viewer) 및 세부 권한·아티스트 스코프 제한.
- 고객 데이터에 대한 내부 접근은 필요 최소한으로 제한되며 감사 로깅의 대상입니다.
2. 애플리케이션·데이터 보안
- 전송 구간 암호화(HTTPS/TLS).
- 상태 변경 요청에 대한 CSRF 보호, XSS 완화를 위한 출력 이스케이프.
- SQL 인젝션 완화를 위한 파라미터화 쿼리.
- 업로드 검증(타입·용량 제한, 랜덤 파일명).
- 서명된 결제 웹훅(HMAC) 및 타임스탬프 검증.
- 공개 페이지 분석에서 원본 IP는 최소화 또는 해시 처리하며, 남용/속도 방지용 식별자는 해시·단기 보관.
3. 남용·부정 방지
- 공개 폼에 봇 방지(예: Cloudflare Turnstile).
- 속도/남용 탐지 및 의심 활동 플래깅.
- 활성화된 링크에 대한 URL 안전성 검사.
4. 운영 보안
- 관리·보안 관련 행위의 감사 로깅.
- 결제는 Stripe가 처리하며 전체 카드 번호는 저장하지 않습니다(PCI는 Stripe 담당).
- 개인정보 보호 의무를 부과한 신뢰할 수 있는 서브프로세서 이용(DPA 부속서 A 참조).
5. 침해 대응 및 유출 통지
개인정보에 영향을 주는 보안 사고를 인지하면 회사는 지체 없이 평가·복구 조치를 취하고, 개인정보 처리방침에 따라 싱가포르 PDPC 및 영향을 받은 개인에게 통지하며(통지 대상 판단일로부터 3일 이내), 필요한 경우 컨트롤러를 지원합니다.
6. 이용자의 역할
자격증명·API 키·2FA 기기를 안전하게 관리하고, 강력한 고유 비밀번호를 사용하며, 의심되는 취약점·사고는 contact@taeon.one로 신고해 주십시오.