모든 레이어에 내장된 보안
고객 데이터·운영·평판을 엔터프라이즈급 통제로 지켜요.
접근 제어
누가 무엇을 볼 수 있는지 — UI가 아니라 데이터베이스 계층에서 결정돼요.
행 단위 접근 제어
모든 쿼리가 데이터베이스 계층(RLS)에서 사용자와 워크스페이스 단위로 필터링돼서, 권한 없는 데이터는 클라이언트에 도달하지 않아요.
워크스페이스 단위 완전 격리
워크스페이스별 키워드·콘텐츠·분석 데이터가 설계 단계부터 분리돼 있어, 다른 고객의 데이터는 조회할 수 없어요.
역할 기반 권한 (Admin · Editor)
최소 권한 원칙으로 역할이 분리되고, 모든 요청의 권한 검증은 서버 측에서 수행돼요.
암호화된 시크릿 볼트
API 키·OAuth 토큰·연동 자격증명은 암호화된 볼트에 저장돼서, 클라이언트나 애플리케이션 로그에는 노출되지 않아요.
데이터 보호
저장·전송·복구 전 단계의 다층 안전 장치를 갖췄어요.
AES-256 저장 암호화
전 세계 금융기관이 신뢰하는 AES-256으로 모든 워크스페이스 데이터를 저장 계층에서 암호화해요.
엔터프라이즈급 저장 암호화
TLS 1.2+ 전송 암호화
대시보드 요청, API 호출, 연동 통신 모두 최신 TLS로 보호돼요.
모든 API · 대시보드 트래픽
일일 백업 + 시점 복구
자동 일일 백업과 시점 복구(PITR)로 실수 삭제나 데이터 손상에서 되돌릴 수 있어요.
최대 7일 시점 복구
글로벌 DDoS 방어
마케팅과 앱 도메인 모두 멀티 리전 엣지에서 대규모 공격을 흡수해요.
글로벌 엣지 방어
AI와 프라이버시
프롬프트와 분석 데이터를 어떻게 다루는지 알려드려요.
AI 학습에 사용되지 않아요
OpenAI · Anthropic · Google Gemini는 기본 정책상 API 트래픽을 모델 학습에 사용하지 않아요. Enterprise 플랜에서는 별도 No-Training 약정을 추가할 수 있어요.
GA4 / GSC 읽기 전용 접근
분석 연동은 읽기 전용 OAuth 스코프로 설계돼 있어요. 데이터를 수정하거나, 판매하거나, 외부에 공유하지 않아요.
삭제 요청권
계정 삭제 요청은 30일 이내에 처리돼요. 백업은 정해진 보존 주기에 따라 만료돼요.
컴플라이언스
인증·감사를 받은 플랫폼 위에서 운영하고, 현재 제공 범위를 투명하게 공개해요.
SOC 2 Type II 클라우드 플랫폼
HaloX는 지속적인 외부 감사를 받는 SOC 2 Type II 인증 클라우드 플랫폼 위에서 운영돼요.
PCI Level 1 결제
카드 정보는 자사 서버를 거치지 않아요. PCI Level 1 인증을 받은 Stripe · Paddle · NicePay가 결제를 처리해요.
GDPR 원칙
데이터 최소 수집, 열람권, 정정권, 삭제권 등 GDPR 원칙에 따라 운영해요.
위 인증은 자사가 사용하는 클라우드 플랫폼과 결제 사업자에 적용돼요. HaloX 자체 SOC 2 Type II 감사는 2026년 진행할 예정이에요.