보안 정책.

BPM Reputation은 SOC 2 Type II와 ISO 27001 인증을 준비 중입니다 (2026 Q4 목표).인증 완료 전까지는 운영 통제 문서로 검토를 지원합니다 — 인증된 것으로 표현하지 않습니다.

데이터 암호화: 저장 AES-256, 전송 TLS 1.3.접근 통제: 4단계 권한 (Owner/Admin/Manager/Viewer) + 모든 접근 감사 로그.

주요 인프라(서브프로세서): AWS 서울 리전, Supabase.전체 서브프로세서 목록과 DPA(개인정보 처리 위탁 계약)는 계약·보안 검토 시 제공합니다.

데이터 유형별 보존: 계정·계약 정보는 계약 종료 후 30일 내 삭제 / 케이스 증거(원문 URL·캡처·해시·출처 맥락)는 계약 조건에 따라 최대 12개월 / 담당자·알림 로그는 감사 목적으로 분리 보존.

워크스페이스 분리: 외부 고객 워크스페이스는 계약 단위로 분리하는 것을 원칙으로 하며, 삭제 요청은 워크스페이스 관리자 경로로 처리합니다.데모·샘플은 익명화된 합성 예시로 실제 고객 데이터와 분리됩니다.

침해 사고 통지: 계약상 기준에 따라 통지합니다.취약점 공개: security@bpmreputation.com · 90일 책임 공개.백업: 일 1회 자동 · 4 리전 분산 (RPO 4h · RTO 1h).