신뢰, 보안 및 컴플라이언스
학교는 교사, 학생, 가족 데이터를 KiwiBee에 맡깁니다. 이 페이지는 우리가 어떻게 보호하는지 설명합니다.
마지막 업데이트: 2026-05-23
보안 개요
kiwibee.io의 모든 응답에는 다음 보호 장치가 기본 적용됩니다.
HSTS preload
preload 지시어가 포함된 Strict-Transport-Security. 브라우저는 HTTPS로만 KiwiBee에 연결합니다.
교차 출처 격리
Cross-Origin-Opener-Policy: same-origin과 Cross-Origin-Resource-Policy: same-origin이 창 간 공격을 차단합니다.
Permissions Policy
카메라, 마이크, 위치, 결제, USB, interest-cohort API가 브라우저 레벨에서 차단됩니다.
클릭재킹 보호
X-Frame-Options: SAMEORIGIN이 외부 사이트가 KiwiBee를 iframe에 임베드하는 것을 방지합니다.
MIME 타입 고정
X-Content-Type-Options: nosniff가 브라우저가 콘텐츠 타입을 추측하는 것을 막습니다.
Referrer 정책
Referrer-Policy: strict-origin-when-cross-origin이 제3자 도메인으로의 데이터 유출을 최소화합니다.
Content Security Policy
CSP는 요청별 nonce와 함께 미들웨어를 통해 적용됩니다. 명시적 nonce가 없으면 인라인 스크립트가 실행되지 않습니다.
컴플라이언스 로드맵
주요 프레임워크에 대한 현재 위치.
SOC 2 Type I
감사가 진행 중이며 2026년 4분기 완료를 목표로 합니다.
진행 중GDPR
EU 고객에게 GDPR 데이터 처리 부록(DPA)을 요청 시 제공합니다.
제공 가능FERPA
미국 학교 고객에게 FERPA 정합 데이터 처리.
정합COPPA
13세 미만 학생에 대한 COPPA 준수 데이터 최소화, 학부모/학교 동의 흐름 적용.
준수베트남 시행령 13/2023
베트남 개인정보 보호 시행령과 정합되어 정보주체 권리 및 침해 통지 포함.
준수
하위 처리자
서비스 제공을 위해 사용하는 제3자 공급업체.
| 공급업체 | 목적 | 지역 |
|---|---|---|
| Vercel | 웹 호스팅 및 엣지 네트워크 | 글로벌 엣지 |
| Supabase | 데이터베이스 및 인증 | 싱가포르 |
| Anthropic | kiwibee.io 챗봇 AI | 미국 |
| Mistral | 교사 도구용 AI(워크시트 생성) | EU |
| Workspace 이메일 및 Analytics | 글로벌 |
데이터 위치
고객 데이터가 보관되는 곳.
기본 지역
싱가포르 (Supabase Asia-Southeast 지역)
엔터프라이즈 옵션
엔터프라이즈 학교 고객은 요청 시 EU와 미국 데이터 위치를 사용할 수 있습니다.
관련 정책
KiwiBee의 데이터 처리 방식을 형성하는 다른 문서.
SOC 2 레터, DPA 또는 하위 처리자 목록이 필요하신가요?
조달, 보안 또는 DPO 팀은 증거 패키지와 설문지에 대해 저희 팀에 직접 문의할 수 있습니다.