# 보안 개요 (고객·멘토용 1페이지)

> [서비스명](가칭: 정산자동화)이 고객사의 정산 데이터를 어떻게 안전하게 다루는지 설명합니다.
> **초안 — 법무·보안 검토 예정 (2026-07-04)**

## 1. 무엇을 받나 (최소 수집)
- 받는 것: 고객사가 **직접 전달하거나 참조로 보낸** 정산서·발주서·지출/반품 내역 **엑셀(.xlsx)** 뿐.
- 이 파일에 포함될 수 있는 개인정보: **수령인/고객명** 등. → 개인정보로 간주하고 그에 맞게 취급합니다.
- 받지 않는 것: 고객사 메일함 접근, 로그인 정보, 계좌 비밀번호, 그 외 첨부되지 않은 어떤 것도.

## 2. 어떻게 받나 (당신이 수도꼭지를 쥔다)
- 고객사별 **전용 수신 주소**(예: `intake+[고객사]@…`)로 서류가 모입니다.
- 도착 방법은 고객사가 **1회만** 정합니다: ① 자기 메일함에서 자동전달 규칙 1개, 또는 ② 거래처에게 참조(CC) 요청.
- 우리 시스템 권한은 **읽기 전용**(`gmail.readonly`)입니다. 메일 삭제·수정·발송(별칭 수집용) 불가.
- **우리는 고객사 메일함을 열지 않습니다.** 오직 우리 수신함 하나만 읽습니다.

## 3. 어디에 저장되나
- 클라우드: **Supabase (서울 리전, ap-northeast-2)** — 데이터가 국내에 머뭅니다.
- **전송 구간 암호화(TLS)** + **저장 구간 암호화(at-rest)** 기본 적용.
- 접근 키(서비스 키)는 코드 저장소에 절대 포함하지 않으며, 암호화된 비밀 저장소(GitHub Actions Secrets)에서만 주입됩니다.

## 4. 고객사 간 격리 (다른 회사 데이터와 절대 안 섞임)
- 테넌트(고객사)별 **전용 주소 · 전용 저장 폴더**.
- 데이터베이스는 **행 단위 보안(RLS, Row-Level Security)** — 로그인한 고객사의 `tenant_id`가 아닌 행은 **쿼리 자체가 반환하지 않음**.
- 격리 자동 시험 포함: A사 계정으로 B사 데이터 조회 시 **0건** 확인(자동 테스트).

## 5. 접근 통제·감사
- 서비스 운영 접근은 최소 인원, 접근 로그 기록(예정: 단계9).
- OAuth 권한은 필요한 최소 범위만: `gmail.readonly`(수집), `gmail.send`(보고 발송), `drive.file`(앱이 만든 파일만).

## 6. 보관·파기
- 검증·보고 목적 달성 및 보유기간 경과 시 **파기**. (기본 보유기간: 정식 계약서에 명시)
- 고객사 요청 시 데이터 **삭제·반환**.

## 7. 제3자 제공·판매
- **판매하지 않습니다.** 광고·마케팅에 사용하지 않습니다.
- 처리 위탁(클라우드 인프라: Supabase, Google)은 처리방침·위탁계약서에 명시하며, 그 외 제3자 제공 없음.

## 8. 사고 대응
- 이상 징후 감시(Sentry). 침해 인지 시 지체 없이 고객사에 통지하고 관계 법령에 따라 신고.

---
문의: [담당자/이메일]  ·  관련 문서: 개인정보처리방침 · 처리위탁계약서 · 이용약관 (같은 폴더)
