보안 및 컴플라이언스

JazzNode는 뮤지션, 베뉴, 팬이 정말 중요한 공연에 대해 단일 출처를 신뢰할 수 있도록 존재합니다. 그 신뢰는 세 가지 원칙 위에 있습니다: 보유하는 데이터 최소화, 감사받은 인프라 위에서 운영, 가진 것과 가지지 않은 것에 대한 정직함.

저희는 대기업이 아니며 대기업인 척하지도 않습니다. 대신 대기업이 요구하는 감사를 통과한 제공업체 위에 구축함으로써, 같은 수준의 보장이 귀하의 데이터에도 적용됩니다.

JazzNode는 신중하게 선정된 소수의 제공업체에서 운영됩니다. 각 업체는 독립적인 제3자 감사를 유지합니다:

• Stripe(결제): PCI DSS Level 1 — 카드 업계 최고 등급 인증. Stripe가 모든 카드 데이터를 처리하며, JazzNode는 원본 카드 번호를 저장, 취급, 전송하지 않습니다.
• Supabase(데이터베이스, 인증, 스토리지): SOC 2 Type 2, ISO 27001, HIPAA 준수 준비. 저장 데이터는 암호화되며 Row Level Security가 사용자별 접근을 강제합니다.
• Vercel(호스팅, 엣지 네트워크, 빌드): SOC 2 Type 2, ISO 27001. 암호화된 환경 변수와 OIDC 클라우드 인증을 사용한 애플리케이션 호스팅.
• Google(OAuth 로그인): Google Identity Platform, OAuth 2.0 표준. JazzNode는 귀하의 Google 비밀번호를 보지 않습니다.
• Resend(트랜잭션 이메일): SOC 2 Type 2. APAC 지연 시간을 위해 도쿄 리전 사용. 모든 JazzNode 도메인에서 DKIM, SPF, DMARC가 적용됩니다.
• AWS S3(파일 스토리지): SOC 2, ISO 27001, PCI DSS. 프로필 이미지, 베뉴 사진, 프레스 킷에 사용됩니다.

JazzNode로 들어가고 나가는 모든 트래픽은 TLS 1.2 이상으로 암호화됩니다. HTTP Strict Transport Security(HSTS)가 모든 JazzNode 도메인에서 활성화되어 있습니다.

저장 데이터는 인프라 제공업체에 의해 AES-256으로 암호화됩니다(Supabase, AWS S3, Vercel).

티켓 QR 코드는 제3자가 위조하거나 재사용할 수 없는 서명된 토큰을 사용합니다.

사용자는 이메일/비밀번호(Supabase Auth가 bcrypt로 해싱) 또는 Google OAuth 2.0을 통해 인증합니다. JazzNode는 평문 비밀번호나 Google 자격 증명을 저장하지 않습니다.

내부 운영은 Owner, Admin, Editor 역할로 분할됩니다. 민감한 작업 — 환불, 정산, 데이터 내보내기, 계정 삭제 — 에는 승격된 역할이 필요하며 로그가 남습니다.

Row Level Security(RLS)는 데이터베이스 계층에서 강제됩니다. 애플리케이션 버그가 발생해도 데이터베이스가 무단 읽기 및 쓰기를 거부합니다.

서비스 운영에 필요한 것만 수집합니다: 기본 계정 정보, 구매한 티켓, 플랫폼을 통해 주고받은 메시지. 카드 데이터, Google 비밀번호, 기기 생체 인식 데이터는 JazzNode에 저장되지 않습니다.

요청 시 계정을 삭제할 수 있으며, 개인 데이터는 30일 이내에 삭제됩니다. 단, 법률로 보존이 요구되는 경우(예: 티켓 판매 세무 기록)는 예외입니다.

전체 내용은 개인정보 처리방침을 참조하세요.

프로덕션 시크릿은 Vercel의 암호화된 환경 변수 저장소에 보관됩니다. Preview, Development, Production 환경은 완전히 분리되어 있습니다.

클라우드 간 인증에는 짧은 수명의 OIDC 토큰을 사용합니다. 장기 자격 증명은 소스 제어에 커밋하지 않습니다.

내부 도구 접근은 검토되며 팀원이 역할을 변경하거나 떠날 때 해지됩니다.

런타임 오류와 이상 징후는 Vercel Observability와 Supabase 로그로 모니터링됩니다. 보안 관련 이벤트는 검토를 위해 플래그가 지정됩니다.

사고가 귀하의 데이터에 영향을 미치는 경우, GDPR 제33조 기대에 맞춰 확인 후 72시간 이내에 영향을 받은 사용자에게 알립니다.

프로덕션 데이터베이스에는 백업과 시점 복구가 마련되어 있습니다.

보안 취약점을 발견했다고 생각되시면 security@jazznode.com으로 이메일을 보내주세요.

저희는 다음을 약속합니다:

• 72시간 이내에 보고를 확인합니다.
• 조사 진행 상황을 계속 알려드립니다.
• 원하시면 문제 해결 후 크레딧을 표시합니다.
• 범위 및 세이프 하버 조항을 준수하는 선의의 연구자에게는 법적 조치를 취하지 않습니다.

범위: jazznode.com, *.jazznode.com, JazzNode iOS 및 Android 앱. 범위 외: 서비스 거부 공격, 소셜 엔지니어링, 물리적 공격, 다른 사용자의 서비스를 저하시키는 연구.

GDPR: EU 사용자는 데이터에 대한 접근, 수정, 내보내기, 삭제 권리가 있습니다. 프로세서는 EU 데이터 거주 및 표준 계약 조항을 지원합니다.

대만 PDPA (個人資料保護法): 娛興喂有限公司가 대만에서 개인자료보호법에 따라 JazzNode를 운영합니다.

대만 소비자보호법 제43조: 티켓 판매 프로세스는 票券定型化契約 단계별 환불 프레임워크를 따릅니다.

DMCA: 권리 보유자는 지정 대리인에게 테이크다운 통지를 제출할 수 있습니다. DMCA 정책을 참조하세요.

보유하지 않은 인증을 주장하지 않습니다. 정직한 현재 상태는 다음과 같습니다:

• 현재 보유: 계승된 인증: PCI DSS Level 1(Stripe), SOC 2 Type 2(Supabase, Vercel, Resend), ISO 27001(Supabase, Vercel, AWS).
• 진행 중: 자동화 컴플라이언스 도구를 사용한 SOC 2 준비 평가, 연간 제3자 침투 테스트, DPA 공개.
• 계획 중: SOC 2 Type 1 인증은 엔터프라이즈 수요 발생 시 시작합니다. SOC 2 Type 2는 Type 1 및 12개월 관찰 기간 이후 진행. ISO 27001 및 일본 P마크는 시장 수요에 따라 평가.

보안 문제는 security@jazznode.com으로 이메일을 보내주세요.

일반 프라이버시, 컴플라이언스, DPA 요청은 본사를 통해 연락해 주세요. 표준 DPA는 /legal/dpa에서 확인할 수 있습니다.

상업/기업 보안 설문지는 제목에 'security questionnaire'를 포함해 주시면 우선적으로 응답하겠습니다.