Standada Commerce

PIPA 2026 컴플라이언스

시행일: 2026-09-11 (개정 PIPA 시행)

주식회사 스탠다다는 2026년 9월 11일부터 시행되는 개인정보 보호법(PIPA) 개정안에 따른 모든 의무를 준수하며, 다음 18가지 보호 조치를 기본 ON 상태로 제공합니다.

  1. 1. 데이터 거주 (Korean Data Residency)

    모든 세션 녹화 데이터, 데이터베이스, 백업은 AWS Seoul (ap-northeast-2) 리전에 저장됩니다. 한국 외 리전으로의 자동 복제는 발생하지 않습니다.

  2. 2. 입력 마스킹 기본 ON

    rrweb 트래커는 모든 input/textarea/select 입력값을 기본 마스킹합니다. 회원 페이지에서 비밀번호, 이메일, 휴대폰, 카드, 주소 등은 길이만 보존되고 실제 값은 저장되지 않습니다.

  3. 3. 한국어 PII 정규식 차단

    주민등록번호(6-7자리), 휴대폰 번호(010~019 prefix), 카드번호(13~19자리), 계좌번호 패턴이 모든 텍스트 노드에서 자동 차단됩니다. 패턴 매칭 시 동일 길이의 별표(*)로 치환됩니다.

  4. 4. IP 주소 익명화

    IPv4 주소의 마지막 옥텟은 0으로 처리됩니다 (예: 203.0.113.45 → 203.0.113.0). IPv6는 /48 prefix만 보존되어 GeoIP 도시 단위 추정만 가능합니다.

  5. 5. 회원 식별자 해싱

    Cafe24 회원 ID는 mall별 salt + SHA-256으로 해시되어 저장됩니다. 원본 복원이 불가능하며, 해시는 mall 간 교차 식별이 불가능합니다.

  6. 6. 1st-party 쿠키 정책

    익명 식별자 쿠키 _st_aid는 1st-party로 발급되며, 3rd-party 쿠키는 사용하지 않습니다. SameSite=Lax + Secure (HTTPS) 플래그가 설정됩니다.

  7. 7. 동의 배너 (Consent Banner)

    스토어프론트에서 _st_consent 쿠키 부재 시 한국어 동의 배너가 자동 표시되며, 사용자가 “동의” 버튼을 누르기 전까지 트래커는 데이터를 수집하지 않습니다. “거부” 시 1년간 수집이 차단됩니다.

  8. 8. AI 분석의 raw data 미사용

    Anthropic Claude API에는 rrweb raw 이벤트가 절대 전송되지 않습니다. 집계된 통계, 셀렉터 라벨, 선택 옵션 텍스트만 전송되며, 원본 비디오는 한국 S3에만 저장됩니다.

  9. 9. 보존 기간 정책

    rrweb 세션 녹화는 요금제별로 7일(Free) / 30일(Starter) / 90일(Pro) 자동 삭제됩니다. S3 Lifecycle Policy로 자동화되며, 운영자가 수동으로 삭제 요청도 가능합니다.

  10. 10. 자기 결정권 (Self-Service)

    회원은 대시보드 → 계정 → 개인정보 페이지에서 자신의 데이터를 ZIP 파일로 다운로드할 수 있으며, 계정 삭제도 셀프서비스로 가능합니다 (30일 처리 기간).

  11. 11. 처리 위탁 동의

    Anthropic(미국), Resend(미국)로의 국외 이전이 발생하는 처리 위탁 사항은 회원가입 시 별도 동의를 받습니다. 동의 거부 시 일부 기능이 제한될 수 있음을 명시합니다.

  12. 12. 토큰 암호화 저장

    Cafe24 OAuth access/refresh 토큰은 AES-256-GCM으로 암호화되어 저장됩니다. 키 분리(application-level) + 환경별 분리(staging/prod)로 다층 보호됩니다.

  13. 13. TLS 1.3 강제

    모든 API 엔드포인트는 TLS 1.3을 강제합니다. 인증서는 Let's Encrypt(Caddy 자동 갱신)로 운영되며, HSTS 헤더로 다운그레이드를 차단합니다.

  14. 14. RBAC + 테넌트 격리

    모든 데이터는 workspace_id 기준으로 격리되며, 한 회원 계정은 자신의 workspace에만 접근할 수 있습니다. 데이터베이스 쿼리에 워크스페이스 필터가 강제 적용됩니다.

  15. 15. 감사 로그 (Audit Trail)

    OAuth 인증, 토큰 회전, 데이터 접근, ScriptTags 주입 등 모든 권한 행위는 installation_events 테이블에 append-only로 기록되며, 영구 보존됩니다.

  16. 16. 90일 grace 삭제

    회원이 Cafe24 앱을 삭제하면 90일의 grace 기간 후 모든 관련 데이터(rrweb 녹화, 토큰, 분석 결과)가 영구 삭제됩니다. 90일 내 재설치 시 데이터가 복원됩니다.

  17. 17. DPO 지정 및 연락처 공개

    회사는 개인정보 보호책임자(DPO)를 지정하고 연락처를 공개합니다. 정보주체는 contact@standada.com 으로 24시간 문의·요청을 보낼 수 있습니다.

  18. 18. 정기 점검 및 18-항목 자동 audit

    회사는 packages/scripts/pipa-audit.ts 스크립트로 18가지 컴플라이언스 항목을 정기 자동 점검합니다. 점검 결과는 docs/launch/mvp-dod-report.md 에 기록되며 분기별 갱신됩니다.

이상 18개 항목은 코드 레벨, 인프라 레벨, 운영 정책 레벨에서 자동화되어 있습니다. 정식 KISA 인증 또는 ISMS-P 인증은 매출 임계 도달 후 진행 예정이며, 그 이전까지는 본 자체 점검을 정기 갱신·공개합니다.

PIPA 관련 문의 또는 신고는 contact@standada.com 로 연락 주시기 바랍니다.