본문으로 건너뛰기
SVDY Logo

컴플라이언스 프로그램

규제 환경이 인력 관리 SaaS와 만나는 지점, 그리고 거기에 대한 우리의 대응. 프로그램의 솔직한 현재 상태 — 이미 출시된 것, 진행 중인 것, 그리고 의도적으로 아직 로드맵에 올리지 않은 것까지 모두.

최종 업데이트:2026년 5월 24일

컴플라이언스 프레임워크

svdy는 시점적 체크리스트가 아닌 지속적 컴플라이언스 프로그램을 운영합니다. 구체적으로:

• Privacy by design — 모든 새 기능은 PII에 닿는 경우 머지 전에 프라이버시 영향 평가를 거칩니다. Wave 1-4 프라이버시 감사 로그는 내부 트래커에 있으며, 가시적 결과는 GDPR 제9조 얼굴 인식 동의 흐름, 삭제권 메커니즘, 구독 취소 후 30일 고객 데이터 삭제 윈도우입니다.

• 문서화된 통제 — 보안 정책(접근 통제, 변경 관리, 벤더 관리, 사고 대응)은 버전 관리되고 매년 검토됩니다.

• 벤더 관리 — 모든 수탁자는 고객 데이터에 대한 접근 권한을 얻기 전에 문서화된 도입 검토를 거칩니다. 현재 5개 수탁자는 /trust/sub-processors 에 게시되어 있으며, 업데이트는 30일 고객 통지를 트리거합니다.

• 지속적 모니터링 — SOC 2 이전에는 내부적(감사 로그, 접근 검토, 변경 티켓). Vanta가 연결되면(2026 3분기-4분기) 증거 수집은 지속적이고 외부 감사 가능해집니다.

• 규제 레이더 — 고객 기반에 영향을 미치는 입법(미국 주 프라이버시법, EU NIS2, 중국 PIPL, 브라질 LGPD)을 추적하고 범위 확장에 따라 DPA + 제품 기능을 조정합니다.

당사가 따르는 표준

당사는 다음과 같은 업계 표준 프레임워크에 정렬합니다. 따르는 것 ≠ 인증된 것 — /trust/soc2 에서 무엇이 공식 감사되며 언제인지 확인하세요.

• NIST 사이버 보안 프레임워크(CSF) 2.0: 내부 통제는 Identify / Protect / Detect / Respond / Recover에 매핑됨. 자체 평가; SOC 2 Type II 감사(2027년 1분기 이후)의 기반.

• OWASP Top 10(웹 애플리케이션): 엔지니어링 관행은 OWASP Top 10(2021)을 다룸: 매개변수화된 쿼리를 통한 인젝션 방지, 테넌트 범위 쿼리를 통한 끊긴 접근 통제 방지 등. 머지 전 SAST 도구 실행; SCA는 Dependabot을 통해.

• CIS AWS Foundations Benchmark: AWS 구성은 CIS Foundations v2.0 통제와 정렬 — IAM 최소 권한, 루트의 MFA, 암호화된 EBS, S3 공개 접근 차단, 중앙 계정으로 감사 로그. 오늘은 자체 어테스테이션; SOC 2 감사가 2027년 2분기에 검증.

• ISO/IEC 27001 — 방향성, 인증되지 않음: 당사 통제 세트는 ISO 27001 부속서 A 통제에서 차용. 공식 인증은 Phase 2(SOC 2 Type II 이후, 2027-2028 가능성) — EU 엔터프라이즈 고객이 요청하는 경우에만 시작.

지역별 규제

svdy 고객 데이터가 규제된 관할권에 닿는 곳, 그리고 각 관할권에서의 자세:

• 유럽연합 및 영국: GDPR(EU 2016/679), UK GDPR + Data Protection Act 2018, ePrivacy 지침(쿠키)

EU + UK 고객은 /trust/dpa 의 DPA에 포함된 표준계약조항(2021년 버전)과 UK Addendum의 적용을 받습니다. 개인정보 처리방침은 GDPR 제13/14조와 정렬됩니다. 정보 주체 권리 메커니즘은 legal@svdy.com 을 통해 30일 회신. 데이터 거주: 오늘은 us-east-1; EU / APAC 지역 가용성은 Enterprise 로드맵(2027).

• 미국: CCPA / CPRA(캘리포니아), VCDPA(버지니아), CPA(콜로라도), CTDPA(코네티컷), UCPA(유타)

당사는 적용되는 모든 미국 주 프라이버시법 하에서 Do-Not-Sell, Right-to-Know, Right-to-Delete를 존중합니다. 개인정보 처리방침에는 CCPA가 의무화한 카테고리 공개와 보존 윈도우가 포함됩니다. §1798.140(t)에 정의된 의미의 개인정보를 판매하지 않습니다.

• 브라질 및 APAC: LGPD(브라질), Singapore PDPA, Australia Privacy Act

고객 기반이 존재하는 범위에서 준수. 중국 PIPL의 데이터 현지화 요구는 현재 충족되지 않음(중국 본토 데이터 거주 없음); 중국 본토 인력을 보유한 고객은 LATAM / APAC 지역 구축(2027 이후) 전까지 해당 데이터를 기존 us-east-1 지역에 오프쇼어로 보관해야 합니다. 한국 고객의 경우 개인정보 보호법 정합성을 위해 legal@svdy.com 에 문의 가능합니다.

감사 및 제3자 보증

오늘 실제로 감사된 것, 다가오는 것, 의도적으로 추구하지 않는 것:

• SOC 2 Type II — 진행 중: 2027년 1분기 감사 시작 목표(6개월 관찰), 2027년 3분기 보고서 발행. Vanta + A-LIGN 선정. 공개 일정 /trust/soc2.

• GDPR — 자체 평가: GDPR에는 공식 컴플라이언스 인증이 없습니다(규제 기관은 인증서를 발급하지 않습니다). 당사는 내부 프라이버시 감사 Wave 1-4를 통해 검증된 GDPR 준비 아키텍처를 유지합니다. 처리자 서면 합의가 필요한 고객을 위해 /trust/dpa 에서 요청 시 DPA 제공.

• ISO 27001 — Phase 2: 아직 시작하지 않음. SOC 2 이후(2027-2028) EU 엔터프라이즈 수요가 감사 비용을 정당화하는 경우 진행 예상. 시작 시 /trust/soc2 에 업데이트.

• HIPAA / PCI-DSS / FedRAMP — 범위 외: svdy는 현재 HIPAA business associate가 아니며, PCI-DSS 범위에 있지 않으며(Stripe가 자사의 인증된 플랫폼에서 카드 소지자 데이터를 처리), FedRAMP를 추구하지 않습니다. 연방 / 규제 산업 고객은 가입 전에 support@svdy.com 으로 연락하여 특정 컴플라이언스 요구를 충족할 수 있는지 논의해야 합니다.

당사의 컴플라이언스 문서, 지역 규제 어테스테이션, 또는 SOC 2 일정이 필요하신가요? legal@svdy.com 으로 메일하세요 — SOC 2 진행 상황은 /trust/soc2 에서 확인하세요.