보안 정책

모든 비즈니스 테이블에는 company_id 컬럼이 있으며, PostgreSQL 의 RLS 정책으로 다음을 강제합니다.

• 사용자는 자신이 속한 회사의 행만 조회 가능
• 다른 회사의 행은 SELECT/UPDATE/DELETE 모두 불가능
• 코드에서 실수로 WHERE company_id 를 빠뜨려도 DB 가 자동 차단
• 슈퍼관리자(시스템 운영자)만 시스템 유지 목적으로 전체 접근 가능

• 전송 구간: TLS 1.2+ (HTTPS) 강제 — HTTP 접근 자동 차단
• 비밀번호: bcrypt 단방향 해시로 저장 — 평문 비밀번호는 어디에도 보관하지 않음
• 저장 구간: Supabase 인프라의 AES-256 디스크 암호화
• 파일 첨부: 회사별 prefix 경로 + Storage 정책으로 접근 제한

• owner: 회사 전체 권한 (직원 초대·플랜·삭제)
• manager: 업무 데이터 관리 (거래·재고·견적·발주)
• member: 읽기/제한 쓰기 (담당 업무만)
• 모든 권한은 owner 가 화면에서 즉시 부여·회수 가능

• 매일 자동 백업 (Supabase 인프라)
• 주요 데이터 변경 시 audit log 기록
• 회원사 요청 시 특정 시점 데이터 복구 지원

• 접속 IP · 시각 · 브라우저 로그 기록 (3개월 보관)
• 비정상 접근 패턴 모니터링
• 중요 데이터(전표·세금계산서) 삭제 시 audit table 자동 기록

• 「개인정보 보호법」(PIPA) — 분리 동의·이용 목적 명시·이용자 권리 보장
• 「정보통신망법」 — 안전성 확보 조치 의무 준수
• 「전자상거래법」 · 「국세기본법」 — 거래·세무 자료 법정 기간 보관
• 처리 위탁: Supabase Inc., Vercel Inc. (처리방침 5조)