투명성 센터

60초 안에 확인할 수 있는 다섯 가지

• 제 서버에는 데이터가 0입니다. 끝. ('하위 처리자' 참조 — 암호문에 접근하는 것은 Apple뿐이며, 그것도 당신이 iCloud 동기화에 동의했기 때문입니다.)
• 분석 0, 광고 SDK 0, 오류 보고 서비스 0. (아래 전체 하위 처리자 목록 참조.)
• 공개 보안 사고 로그. 현재 비어 있습니다. (아래 '사고' 참조.)
• 날짜가 명시된 로드맵. 암호 코어의 오픈소스화와 독립 감사는 2026년 실시를 약속합니다. (아래 '로드맵' 참조.)
• 독립 검증 경로. 화이트페이퍼 + GitHub + 감사자 이메일. 어떤 주장이든 원본과 대조할 수 있습니다. (아래 '검증' 참조.)

데이터 처리자 (전체 목록)

다음은 본인을 대신하여 귀하의 데이터를 처리하는 모든 주체의 전체 목록입니다. 이 목록은 의도적으로 짧게 유지됩니다.

• Apple Inc.: 미국 캘리포니아주 쿠퍼티노. 역할: iCloud Keychain 동기화, CloudKit 비공개 데이터베이스 동기화, StoreKit 구독 처리를 위한 데이터 처리자. 처리되는 데이터: AES-256-GCM 암호문만(Apple은 복호화할 수 없음). 프라이버시 연락처: [email protected] / apple.com/privacy. EU/UK 이전을 위한 법적 메커니즘: EU-미국 DPF + SCCs Module 2.
• Have I Been Pwned (haveibeenpwned.com): Troy Hunt가 운영합니다. 역할: 선택적 유출 감지(사용자가 활성화한 경우에만). 전송되는 데이터: 비밀번호 SHA-1 해시의 앞 5자리(k-익명성). 실제 비밀번호는 기기를 절대 떠나지 않습니다. 어떠한 개인 식별자도 전송되지 않습니다.
• (이상입니다.): 분석 제공자, 광고 네트워크, 오류 보고 서비스, 마케팅 자동화, 이메일 서비스, 채팅 위젯, 제3자 SDK 어떤 것도 존재하지 않습니다. 새로운 하위 처리자가 추가될 경우 이 페이지가 업데이트되며, 중대한 변경 사항은 인앱 알림으로 안내됩니다.

보안 사고 로그

아키텍처상 본인은 귀하의 금고 데이터에 평문으로 접근할 수 없으며, 이로 인해 발생 가능한 침해 범위는 본인의 인프라(예: 마케팅 데이터베이스 침해)로 실질적으로 제한됩니다. 개인정보 침해가 발생할 경우, 본인은 다음과 같이 약속합니다: (1) 인지 후 72시간 이내에 관련 감독 기관에 통지(GDPR 제33조 / PIPL 제57조); (2) 영향을 받은 사용자에게 부당한 지연 없이 통지(GDPR 제34조 / CCPA § 1798.82); (3) 이 페이지에 공개 공지 게시.

현재 상태: 사고 0건: 현재 보고할 보안 사고가 없습니다. 이 페이지는 상태가 변경될 때마다 업데이트됩니다. 이전 사고(있었을 경우)는 투명성을 위해 계속 표시됩니다.

공개 로드맵

신뢰는 막연한 약속이 아니라 구체적인 일정을 요구합니다. 아래는 본인이 이행을 약속한 항목입니다.

• 암호 코어 오픈소스화 (2026년 3분기): Argon2id 키 파생, HKDF 키 계층, AES-256-GCM 필드 암호화 코드가 MIT 라이선스로 GitHub에 공개됩니다. 암호화와 무관한 UI / 비즈니스 로직은 당분간 비공개로 유지됩니다. 출시 알림을 받으시려면 GitHub에서 @ByteGuardApp 을 팔로우하세요.
• 독립 제3자 보안 감사 (2026년 4분기): Trail of Bits, Cure53, Doyensec 중 한 곳을 목표로 합니다. 범위: 암호 코어 + Keychain 통합 + iCloud 동기화 + AutoFill 확장. 최종 보고서는 /security/audit-2026 에 전문 공개됩니다.
• Bug Bounty 프로그램 (감사 이후): 감사가 완료되는 대로 HackerOne 또는 Intigriti에서 버그 바운티 프로그램을 시작합니다. 초기 범위: 암호화 / 인증 흐름. 최소 보상: USD 100.
• SOC 2 Type II 자체 검증 페이지: 정식 SOC 2 감사를 받지는 않지만(소규모 처리자), 다섯 가지 신뢰 원칙(보안, 가용성, 처리 무결성, 기밀성, 프라이버시)을 실제 구현과 매핑한 SOC 2 정합 자체 검증 페이지를 공개하겠습니다.

어떠한 주장이든 독립적으로 검증하는 방법

저를 덜 신뢰하시고, 더 검증하세요. 본 사이트의 모든 아키텍처 주장은 다음과 대조하여 확인할 수 있습니다:

• /whitepaper 에 게시된 보안 백서 — 모든 암호화 결정이 공식 사양 형식으로 파라미터, 위협 모델, 참고 문헌과 함께 문서화되어 있습니다.
• GitHub 저장소(2026년 3분기 이후) — Argon2id 파라미터, AES-256-GCM IV 처리, BIP39 엔트로피 소스를 직접 읽고 사양과 소스가 일치하는지 검증할 수 있습니다.
• /security 의 키 파생 다이어그램 — 마케팅용 다이어그램이 아닌 앱 내부의 실제 흐름입니다. 백서와 비교해 보세요.
• 이해되지 않는 소스 라인이 있다면 구체적인 질문과 함께 [email protected] 으로 메일을 보내 주세요. 7일 이내에 답변드립니다(답변이 없다면 그 자체가 신호입니다).
• 2026년 4분기 이후: /security/audit-2026 에서 제3자 감사 보고서를 확인하세요.

문의 채널

용건에 따라 연락 주소가 달라집니다. 명시된 SLA 내에 응답하는 것을 목표로 합니다.

• 일반 프라이버시 / 정보 주체 요청: [email protected] · 30일 SLA(GDPR 제12조 3항) · 15영업일(PIPL 제50조) · 45일(CCPA / CPRA, 연장 가능).
• 보안 취약점 보고: [email protected] (제목: [SECURITY]) · 48시간 이내 접수 확인 · 책임 있는 공개를 우선합니다. 2026년 4분기 이후 HackerOne / Intigriti 채널이 이를 대체합니다.
• B2B / DPA 요청 (데이터 처리 계약): [email protected] (제목: [DPA REQUEST]) · 사전 서명된 DPA 템플릿은 보유하지 않습니다(소규모, 아직 기업 고객 없음). 현재로서는 GDPR 제28조 3항 요건이 게시된 개인정보 처리방침 + 본 투명성 페이지를 통해 충족됩니다. 확정된 기업 파일럿에 한해 맞춤형 DPA 협의가 가능합니다.
• 언론 / 미디어 문의: [email protected] (제목: [PRESS]) · 공개 정보만 제공하며, 어떠한 경우에도 개별 사용자나 계정에 대해서는 답변하지 않습니다.
• 법적 감독 기관 민원: EU/UK: 자국 DPA(ICO, CNIL, BfDI, IDPC 등). 중국 본토: 중국 사이버 공간 관리국(CAC) 또는 지역 사이버 공간 당국. 캘리포니아: 캘리포니아 주 검찰총장. 모든 합법적 조회에 협조하겠습니다.