🛡️ 회사별 데이터 격리 (멀티테넌트)
VisitPass는 멀티테넌트 구조로, 회사(테넌트)별 전용 서브도메인(예: 회사아이디.visitpass.co.kr)을 통해 접속하며, 모든 방문·사용자·사업장 데이터는 회사 단위로 격리됩니다.
- 모든 데이터 조회·저장은 로그인 사용자가 속한 회사 범위로 스코핑되어, 다른 회사의 데이터에 접근할 수 없습니다.
- 요청 단계에서 테넌트(회사)를 식별하고, 다른 회사 영역에 대한 접근 시도는 차단됩니다.
- 사업장 단위로 방문 접수·승인·발급이 분리되어, 한 회사 안에서도 사업장별 통제가 가능합니다.
📋 개인정보 수집 · 이용
방문 신청·승인·출입 관리에 필요한 최소한의 개인정보만 수집하며, 회사(입주사)별로 처리방침과 수집·이용 동의를 운영합니다.
| 수집 항목(예) | 성명, 휴대전화번호, 소속(회사명), 차량번호, 이메일, 방문일시·목적·장소 |
| 수집 목적 | 방문 신청 접수·승인, 출입증 발급, 시설 보안·출입 관리, 방문 안내(알림), 비상시 연락 |
| 동의 관리 | 회사별 개인정보 수집·이용 동의서를 버전 이력으로 관리하며, 방문자 동의 내역을 기록합니다. |
실제 수집 항목·목적은 회사(입주사)별 설정에 따라 달라질 수 있으며, 각 회사의 개인정보 처리방침을 따릅니다.
🗑️ 보관 및 파기
개인정보는 수집 목적 달성에 필요한 기간 동안만 보관하고, 기간이 지나면 지체 없이 파기합니다.
| 기본 보관기간 | 방문 종료 후 1년(회사별 정책으로 조정 가능) |
| 파기 방법 | 전자적 파일은 복구 불가능한 방식으로 삭제, 출력물은 분쇄·소각 |
| 파기 시점 | 보유기간 경과 또는 처리목적 달성 시 |
🔐 접근통제 · 인증
- 역할 기반 접근통제(RBAC): 시스템관리자·입주사관리자·운영자·담당자 등 역할별로 접근 가능한 화면과 기능이 분리됩니다.
- 비밀번호 보호: 사용자 비밀번호는 평문으로 저장하지 않고 단방향 해시(BCrypt)로 저장합니다.
- 세션·인증: 표준 보안 프레임워크 기반의 인증·세션 관리를 적용합니다.
- 최소 권한 원칙: 각 사용자는 업무에 필요한 최소한의 권한만 부여받습니다.
🔒 전송 · 저장 보안
- 전송 구간 암호화: 모든 통신은 HTTPS(TLS)로 암호화하여 전송합니다.
- 저장 데이터 보호: (운영 환경 기준 확인 후 기입: 저장 암호화/민감정보 처리 방식)
- 접근 로깅: (확인 후 기입: 관리자 접근·주요 변경 이력 로깅 정책)
⚖️ 법적 준수
- 개인정보보호법 및 정보통신망법을 준수하여 개인정보를 수집·이용·보관·파기합니다.
- 회사별 개인정보 처리방침과 수집·이용 동의서를 버전 이력으로 관리합니다.
- 알림(카카오메시지·이메일)은 수신 정책에 따라 발송하며, 광고성 정보는 관련 법령을 준수합니다.
- 보유 인증/심사: (보유 시 기입 — ISMS 등. 미보유 항목은 표기하지 말 것)
☁️ 가용성 · 백업
- 인프라/호스팅: (확인 후 기입: 클라우드/데이터센터, 리전)
- 백업 정책: (확인 후 기입: 백업 주기·보관)
- 장애 대응: (확인 후 기입: 모니터링·복구 절차)