Data Protection데이터 보호

1. Encryption암호화

Lettaga applies a multi-layer encryption architecture to protect all personal and sensitive information. Data is encrypted during storage, transmission and processing — eliminating any possibility of unauthorised access or interception.Lettaga는 고객이 제공하는 모든 개인정보와 민감한 데이터를 보호하기 위해 다계층 암호화 구조를 적용합니다. 데이터는 저장·전송·처리 전 단계에서 안전하게 암호화되어 외부 접근이나 도청 가능성을 원천 차단합니다.

• Physical encryption물리적 암호화 — Storage and backup devices are protected by built-in encryption modules; data remains unreadable even if a medium is removed.스토리지·백업 장치는 자체 암호화 모듈로 보호되며, 장치가 유출되어도 데이터는 해독 불가능한 형태로 남습니다.
• Database encryption at rest데이터베이스 암호화 — Data is encrypted inside the database; even with DB access it cannot be read without decryption keys. Regular key rotation and access logging apply.모든 개인정보는 DB 내부에서도 암호화 저장되어, DB 접근 권한이 있어도 복호화 키 없이는 내용을 볼 수 없습니다. 정기 키 회전과 접근 로그를 운영합니다.
• Key-based processing (KMS)암호화 키 기반 처리(KMS) — An independent Key Management System stores keys separately; encryption/decryption only runs through authorised, audited processes.독립된 키 관리 시스템(KMS)으로 키를 별도 관리하며, 암·복호화는 승인된 보안 프로세스를 통해서만 수행됩니다.
• Transit encryption (TLS 1.2+)전송 구간 암호화(TLS 1.2+) — Browser-to-server communication is protected with TLS 1.2 or higher, ensuring confidentiality and integrity in transit.브라우저와 서버 간 통신은 TLS 1.2 이상으로 보호되어 전송 중 도청·변조를 방지합니다.
• Additional RSA layer추가 RSA 암호화 계층 — Beyond TLS, an RSA public/private-key layer re-encrypts data, delivering a Defence-in-Depth framework.TLS 외에 RSA 공개키/개인키 계층으로 데이터를 한 번 더 암호화하여 다계층 방어(Defense-in-Depth)를 구현합니다.

2. Access Control접근 제어

• RBAC — Role-Based Access Control ensures each user only accesses data relevant to their role.역할 기반 접근 제어로 각 사용자는 자신의 역할에 필요한 데이터에만 접근합니다.
• MFA — Multi-Factor Authentication adds OTP, authenticator apps or hardware tokens beyond passwords.비밀번호 외에 OTP·인증 앱·하드웨어 토큰 등 다중 인증을 요구합니다.
• Least privilege최소 권한 — Users receive only the permissions they need; additional access requires approval and is logged.업무에 필요한 최소 권한만 부여하며, 추가 권한은 승인 절차를 거치고 모든 변경이 기록됩니다.
• Dormant account review비활성 계정 점검 — Inactive accounts are detected and revoked after security verification.장기 미사용 계정은 자동 탐지되어 보안 확인 후 권한이 회수됩니다.
• Continuous logging상시 기록 — All access and permission changes are continuously logged and monitored for anomaly detection.모든 접근·권한 변경은 상시 기록·모니터링되어 이상 징후 탐지에 활용됩니다.

3. Backups & Disaster Recovery백업 및 복구

All data is backed up automatically every day and stored in geographically redundant, secure locations, minimising loss from regional disasters. Backups are regularly verified for integrity, and critical system configurations are backed up for rapid restoration. Disaster recovery procedures are tested at least annually, and Lettaga commits to defined Recovery Point Objectives (RPO) and Recovery Time Objectives (RTO) under its SLAs.모든 데이터는 매일 자동 백업되어 지리적으로 분리된 복수의 안전한 위치에 저장되며, 특정 지역의 재해로 인한 손실 위험을 최소화합니다. 백업은 정기적으로 무결성을 검증하고, 핵심 시스템 구성 정보도 함께 백업하여 신속한 복구가 가능합니다. 재해 복구 절차는 최소 연 1회 테스트하며, SLA에 따라 복구 목표 시점(RPO)과 복구 목표 시간(RTO)을 설정·준수합니다.

4. Monitoring & Logging모니터링 및 로깅

Lettaga continuously monitors all systems and networks to detect unusual or unauthorised access early, combining automated systems with regular expert review. Security logs capture all access records, system events and errors, are retained for a minimum of 12 months, and are protected with encryption and access controls to guarantee integrity and confidentiality. Monitoring also supports performance optimisation, and all procedures comply with applicable laws and periodic security audits.Lettaga는 모든 시스템과 네트워크를 상시 모니터링하여 비정상·미승인 접근을 즉시 탐지하며, 자동화 시스템과 전문가 점검을 병행합니다. 보안 로그는 모든 접근 기록·시스템 이벤트·오류를 포함하여 최소 12개월 보관되고, 암호화와 접근 제어로 무결성·기밀성을 보장합니다. 모니터링은 성능 최적화에도 활용되며, 모든 절차는 관련 법규 및 정기 보안 감사와 연계해 운영됩니다.

5. Incident Response사고 대응

Lettaga maintains a formal incident response plan. Upon detection, responsible personnel immediately assess the situation, take initial measures and notify affected Clients without undue delay. A Root Cause Analysis identifies underlying causes, and remedial measures are implemented promptly — with external experts where needed. Every stage is documented for audit, employees receive regular response training, and the policy is reviewed periodically to stay aligned with legal requirements and best practices.Lettaga는 공식 사고 대응 계획을 운영합니다. 사고 탐지 시 담당자는 즉시 상황을 확인하고 초기 조치를 수행하며, 영향을 받는 고객에게 지체 없이 통보합니다. 근본 원인 분석(RCA)으로 원인을 파악하고 재발 방지 조치를 신속히 시행하며, 필요 시 외부 전문가와 협력합니다. 모든 단계는 문서화되어 감사에 활용되고, 전 직원이 정기 대응 훈련을 받으며, 정책은 법적 요구사항과 모범 사례에 맞춰 주기적으로 검토·업데이트됩니다.

6. Third-Party Hosting & Compliance3rd 파티 호스팅 및 컴플라이언스

Lettaga is primarily hosted on Microsoft Azure, with AWS or Alibaba Cloud used depending on the country of service, ensuring data is managed in compliance with local laws. All providers adhere to ISO 27001, SOC 2 or equivalent standards. Lettaga conducts regular third-party penetration tests and vulnerability scans, and designates data regions per country. Example data regions:Lettaga의 서비스는 주로 Microsoft Azure에서 호스팅되며, 서비스 국가에 따라 AWS 또는 Alibaba Cloud를 함께 활용하여 현지 법규를 준수합니다. 모든 클라우드 제공자는 ISO 27001, SOC 2 또는 이에 상응하는 표준을 준수합니다. 정기적으로 제3자 침투 테스트와 취약점 점검을 수행하며, 국가별 데이터 리전을 명확히 지정합니다. 국가별 데이터 리전 예시:

7. Right to Erasure데이터 삭제 요구권

Clients may request deletion of any data related to their account or entities at any time. Once verified, Lettaga immediately initiates deletion — removing data completely from servers, databases and backups via automated scripts that overwrite it irreversibly. Every request is logged, verified by the security team, and confirmed with a Deletion Confirmation Report. Records that must be retained for legal obligations (e.g. accounting records, audit logs) are stored separately in encrypted form and automatically purged once the mandated retention period ends. This reflects Lettaga's core principle of Data Sovereignty.고객은 언제든 본인 또는 엔터티와 관련된 모든 데이터의 삭제를 요청할 수 있습니다. 내부 인증을 거친 후 Lettaga는 즉시 삭제를 시작하여, 자동화 스크립트로 서버·데이터베이스·백업 전반에서 데이터를 복구 불가능하게 덮어쓰며 완전히 제거합니다. 모든 요청은 로그로 기록되고 보안팀이 완료를 검증하며, 삭제 완료 보고서로 확인됩니다. 단, 법적 의무로 보관이 필요한 데이터(회계기록·감사 로그 등)는 암호화된 별도 영역에 보관되며 법정 기간 종료 시 자동 삭제됩니다. 이는 데이터 주권(Data Sovereignty)을 보장하는 Lettaga의 핵심 원칙입니다.

← Back to security overview보안 개요로 돌아가기