보안 안내

모든 업무 데이터는 organization_id와 site_id를 기준으로 분리하고, Supabase Row Level Security와 서버 Route Handler 권한 확인을 함께 적용합니다.

owner와 admin은 조직 설정과 전체 자료에 접근할 수 있고, staff는 소속 팀과 허용된 공정 범위에서 촬영·업로드할 수 있습니다.

사진 원본, 압축본, 썸네일은 데이터베이스에 직접 저장하지 않고 Cloudflare R2 비공개 객체 키로 관리합니다.

서버는 업로드 파일의 MIME 타입, 크기, 해시를 확인하고, Sharp 정규화와 워터마크 합성을 거친 뒤 감사 추적성 메타데이터를 저장합니다.

계정, 조직, 사진, PDF, 개선조치 등 주요 변경 이벤트는 감사 로그로 남기며, 원본 해시와 압축본 해시를 보관합니다.

감사 로그는 자료 정리와 추적성 강화를 위한 운영 기록이며, 공식 인증이나 심사 결과 보장을 의미하지 않습니다.

필드로그는 공장 내부 동선을 확인하기 위한 GPS를 수집하지 않습니다. 현장 위치는 사업장, 공정, 시설위치, QR 위치, 점검 대상 정보로 기록합니다.

얼굴, 서명부, 차량번호, 거래처 정보가 포함될 수 있는 사진은 조직 내부 고지와 접근권 관리를 전제로 처리해야 합니다.

운영 환경은 CSP, HSTS, X-Frame-Options, Permissions-Policy, Referrer-Policy, x-powered-by 제거, 분산 rate limit, Sentry 오류 추적을 적용합니다.

R2, Supabase service role, Sentry, Upstash 등 비밀값은 저장소에 커밋하지 않고 Vercel 환경변수로 관리합니다.