Kintaria의 보안
Kintaria는 취약한 순간에 있는 사람들의 건강 정보를 다룹니다. 저희는 그것을 진지하게 받아들입니다. 이 페이지는 오늘 갖춰져 있는 것, 앞으로 갖춰질 것, 그리고 아직 갖춰지지 않은 것을 기록합니다 — 감사인뿐만 아니라, 자신이 무엇을 저희에게 맡기고 있는지 알고 싶어 하는 가족 구성원을 위해 쓰였습니다.
1. 오늘 갖춰진 통제 장치
모든 테이블에 행 수준 보안(RLS)
데이터베이스의 모든 행은 Postgres 자체 내에서 가족 구성원 자격 확인으로 보호됩니다. 애플리케이션 코드에 버그가 있더라도 데이터베이스는 다른 가족의 데이터를 반환하기를 거부합니다.
모든 변경에 감사 로그
워크스페이스 콘텐츠에 대한 모든 삽입, 갱신, 삭제는 감사 테이블에 한 행을 기록합니다 — 누가, 무엇을, 언제. 트리거 기반이므로 애플리케이션 코드로 우회할 수 없습니다.
전송 및 저장 시 암호화
모든 연결은 TLS 1.2+를 사용합니다. 데이터베이스 스토리지와 파일은 기반 공급자(Supabase / Postgres / Supabase Storage)에 의해 저장 시 암호화됩니다.
만료되는 공유 링크
"의사와 공유" 링크는 32바이트의 무작위 토큰을 사용하고 자동으로 만료되며(1–90일), 즉시 취소할 수 있습니다. 수신자는 워크스페이스의 다른 구성원도, 선택된 섹션 외의 데이터도 볼 수 없습니다.
비밀번호 없는 매직 링크 로그인
로그인은 이메일로 발송되는 일회용 링크를 사용합니다. 유출되거나, 재사용되거나, 피싱으로 도난당할 비밀번호가 없습니다. 세션은 기기에 묶인 HTTP-only 쿠키입니다.
케어기버 전용 메모
메모는 소유자 + 케어기버에게만 보이고, 부모 역할과 관찰자에게는 숨기도록 표시할 수 있습니다. 서버에서 강제됩니다 — 케어기버가 아닌 사용자는 API를 직접 호출해도 숨겨진 메모를 작성할 수 없습니다.
서비스 키 격리
Supabase의 권한 있는 서비스 키는 서버에만 존재하며 브라우저로 절대 전송되지 않습니다. 애플리케이션은 일반 트래픽에는 공개 키를 사용하고, 관리 작업(데모 시드, 공유 링크 디코딩)에서만 권한 있는 키로 전환합니다.
보안 헤더
Strict-Transport-Security, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy로 카메라/마이크/위치 차단. 앱 서브도메인은 색인되지 않도록 구성되어 있습니다.
2. 누가 무엇을 볼 수 있는가
워크스페이스 안의 네 가지 역할은 각각 점점 더 좁아지는 접근 권한을 갖습니다. 그 누구도 다른 가족의 워크스페이스를 볼 수 없습니다 — 이는 정책이 아니라 데이터베이스 계층의 보장입니다.
| 역할 | 읽기 | 쓰기 | 케어기버 전용 메모 |
|---|---|---|---|
| 소유자 | 워크스페이스의 모든 항목 | 모든 항목 | 읽고 쓸 수 있음 |
| 케어기버 | 워크스페이스의 모든 항목 | 워크스페이스 삭제를 제외한 모든 항목 | 읽고 쓸 수 있음 |
| 부모(돌봄을 받는 본인) | 케어기버 전용 메모를 제외한 모든 항목 | 메모, 프로필, 예약, 약물, 문서 | 숨김 |
| 관찰자 | 케어기버 전용 메모를 제외한 모든 항목 | 없음 | 숨김 |
Kintaria 직원은 일반 운영 과정에서 워크스페이스 콘텐츠를 읽을 수 없습니다. 엔지니어링 팀이 마이그레이션과 사고 대응에 사용하는 권한 있는 데이터베이스 역할은 기록되고 제한됩니다. 저희는 절대 귀하 가족의 데이터를 조용히 들여다보지 않습니다.
3. 데이터가 어디에 저장되는가
모든 워크스페이스 콘텐츠는 미국 리전의 단일 Supabase 프로젝트(데이터베이스 + 스토리지)에 저장됩니다. 리전 간 복제는 없습니다. 워크스페이스 페이지의 CDN 엣지 캐시도 없습니다.
공개 사이트(thrive.me)는 Vercel과 Cloudflare 네트워크에 호스팅되며 정적이고 비개인적인 콘텐츠(랜딩 페이지, 정책 문구, 마케팅 카피)만 제공합니다. 음성 회선 전화번호 조회는 Fly.io에서 실행됩니다.
4. 공급업체 목록
귀하의 데이터에 접촉하는 모든 외부 서비스를 평이한 언어로, 그리고 각자가 비즈니스 어소시에이트 계약(BAA)에 관해 어디에 있는지 함께 안내합니다:
| 공급업체 | 역할 | BAA |
|---|---|---|
| Supabase | 데이터베이스 + 스토리지 + 인증 | Pro 플랜, BAA 가능 — 진행 중 |
| Vercel | 앱 + 공개 사이트 호스팅 | BAA를 위해 Enterprise 플랜 필요 — 아직 아님 |
| Anthropic (Claude) | AI 기능: 진료 요약, 검사 추출, 문서 태깅 — 사용자 옵트인 시에만 | BAA를 위해 Enterprise 등급 필요 — 협의 중 |
| Resend | 트랜잭션 이메일(초대, 알림, 요약) | BAA 가능 — 진행 중 |
| Twilio | 긴급 알림용 SMS(옵트인) | BAA 가능 — 진행 중 |
| Cloudflare | 공개 사이트 thrive.me의 DNS + 엣지 | 워크스페이스 데이터는 이곳을 통과하지 않음 |
| Plausible | 쿠키 없는 프라이버시 친화적 사이트 분석 | 집계 카운트만, PII 없음 |
5. AI 기능
AI 기능(진료 요약, 문서 분류, 사진에서의 검사 결과 추출)은 기본적으로 비활성화되어 있습니다. 워크스페이스 소유자는 「설정 → AI 기능」에서 명시적으로 켜야 합니다. AI가 꺼져 있을 때는 워크스페이스의 어떤 콘텐츠도 어떤 AI 서비스에도 전송되지 않습니다.
AI가 켜져 있을 때: 콘텐츠는 TLS 연결을 통해 Anthropic (Claude)에 전송됩니다. Anthropic은 API 콘텐츠를 자사 모델 학습에 사용하지 않습니다(이는 기본 정책이며 옵트인이 아닙니다). Anthropic은 신뢰 및 안전 검토를 위해 API 콘텐츠를 최대 30일 보관한 후 삭제합니다. 저희는 각 기능에 필요한 최소한의 콘텐츠만 전송합니다. AI를 사용하는 모든 페이지에는 AI가 미리보기 상태이며 결과를 검토하는 것이 좋다는 배너가 표시됩니다.
6. 의료 제공자와의 공유
「의사와 공유」 기능은 케어기버가 의사, 응급실, 사회복지사 또는 변호사에게 부모님 의료 기록의 읽기 전용 뷰를 계정 생성 없이 제공할 수 있도록 합니다. 토큰은 32바이트의 암호학적으로 무작위인 문자열로, 사실상 추측이 불가능합니다. 어떤 섹션을 포함할지 귀하가 선택합니다. 링크는 자동으로 만료됩니다. 언제든지 취소할 수 있습니다. 각 접근은 카운트됩니다. 수신자는 선택된 섹션 밖의 어떤 것도 볼 수 없습니다 — 다른 가족 구성원이나 워크스페이스 이력도 포함됩니다. 공유 페이지는 검색 엔진에 색인되지 않습니다.
해당 URL은 일회용 비밀번호처럼 취급하십시오. 공개 포럼에 게시하지 마십시오. 민감한 수신자에게는 일반 SMS 대신 환자 포털 메시지나 전화로 전달하십시오.
7. HIPAA 입장 — 솔직하게
Kintaria는 아직 HIPAA 적용 대상 기관이 아닙니다. 저희는 출시 전 단계이며, 워크스페이스 데이터에 접촉하는 모든 공급업체와 비즈니스 어소시에이트 계약을 아직 체결하지 않았습니다.
아키텍처는 HIPAA에 부합하는 통제(감사 로깅, 암호화, 접근 통제, 최소 필요 공개, 보안 개발 관행)로 구축되었습니다. 공식 BAA 프레임워크, 프라이버시 관행 통지, 그리고 HIPAA가 요구하는 운영 정책(사고 대응, 위반 통지, 직원 교육, 비즈니스 어소시에이트 인벤토리)은 모두 출시 전 준비 경로에 있습니다. 이러한 것들이 완료되고 Supabase, Anthropic, Resend, Twilio와의 BAA가 서명될 때까지, 오늘 HIPAA 계약으로 보호되어야 할 어떤 것도 업로드하지 말아 주십시오.
전체 BAA 프레임워크가 갖춰진 정식 출시에 도달하면 본 페이지가 업데이트되며, 필요한 조직(클리닉, FQHC, 케어 코디네이션 회사 등)에 BAA를 제공할 것입니다.
텍사스 책임 있는 인공지능 거버넌스 법(TRAIGA, 2026년 1월 1일 시행). 텍사스는 이제 면허를 가진 의료 종사자가 진단이나 치료에서 AI 사용에 대해 환자에게 눈에 띄는 서면 공개를 제공하도록 요구합니다. Kintaria의 AI 기능(진료 요약, 검사 추출, 문서 태깅)은 기본 비활성화되어 있고, 워크스페이스 소유자가 기능별로 명시적으로 옵트인해야 합니다 — 가족 케어기버가 가져온 메모를 검토하는 텍사스 의료진이 필요할 때 AI 관여를 정확히 공개할 수 있도록 설계되었습니다.
HHS HIPAA 보안 규칙 업데이트(최종 규칙은 2026년 후반 예상). 제안된 규칙은 전송 중 및 저장 시 ePHI 암호화(Kintaria에 이미 적용됨), 핵심 및 원격 시스템에 대한 MFA(저희는 오늘 선택적 두 단계 로그인 제공), 그리고 환자 데이터를 다루는 AI 시스템에 대한 명시적 처리 요건(서면 인벤토리, 지속적인 취약점 모니터링)을 의무화할 것입니다. 기존 상태는 제안된 통제 대부분과 일치하며, 최종 규칙이 확정되는 대로 본 섹션을 업데이트하겠습니다.
8. 데이터 보존 및 삭제
워크스페이스 데이터는 워크스페이스가 존재하는 동안 보존됩니다. 워크스페이스를 삭제하시면: 모든 콘텐츠가 7일 이내에 데이터베이스에서 영구 삭제됩니다. 데이터베이스 백업(생성 시점의 데이터를 포함)은 자체 보존 일정에 따라 만료됩니다 — 일반적으로 시점 복구를 위해 7일 보관 후 삭제. 문서 보관함 파일은 스토리지에서 즉시 삭제됩니다. 삭제된 가족을 참조하는 감사 로그 행은 연쇄적으로 삭제됩니다. 다른 워크스페이스가 없을 경우 귀하의 계정은 요청 시 영구 삭제됩니다 — info@kintaria.com으로 이메일을 보내 주십시오.
삭제 전에 워크스페이스 전체를 ZIP으로 다운로드할 수 있는 「내 데이터 내보내기」 기능은 가까운 로드맵에 있습니다. 그 전에는 info@kintaria.com으로 요청해 주시면 직접 패키지로 만들어 보내 드립니다.
9. 보안 문제 신고
Kintaria에서 보안 문제를 발견하셨다면 — 다른 가족의 데이터를 볼 수 있는 방법, 인증이 필요해야 하는데 인증되지 않은 엔드포인트, 공개 산출물에 유출된 시크릿, 또는 취약점처럼 보이는 무엇이든 — security@thrive.me로 이메일을 보내시거나 (888) 704-0999로 전화해 주십시오. 영업일 기준 1일 이내에 확인 회신을 드립니다.
10. 운영 관행
- 프로덕션 인프라(Supabase, Vercel, GitHub, Cloudflare, 도메인 등록기관)에 접근하는 모든 계정에 이중 인증이 필수입니다.
- 프로덕션 시크릿(API 키, DB 비밀번호)은 Vercel 환경 변수와 Supabase 대시보드에 있습니다. 절대 버전 관리에 커밋하지 않습니다. 리포지토리는 비공개입니다.
- 데이터베이스 마이그레이션은 버전 관리되며, 프로덕션 적용 전 엔지니어링 팀이 검토하고, Supabase의 마이그레이션 도구를 통해 적용됩니다(프로덕션 데이터베이스 직접 편집 없음).
- 의존성 취약점은 GitHub Dependabot을 통해 추적되며, 보안 권고는 1주 이내에 검토됩니다.
11. 앞으로의 계획
- Supabase, Anthropic, Resend, Twilio와의 BAA 체결 완료.
- SOC 2 Type 1 준비 작업 — 정책 문서화, 증거 수집, 통제 프레임워크 점검. 목표: 정식 출시 후 1년 이내.
- 워크스페이스 설정 페이지에서의 셀프서비스 「내 데이터 내보내기」 다운로드.
- 워크스페이스의 셀프서비스 삭제(현재는 저희에게 이메일).
- 케어기버가 변경 이력을 볼 수 있도록 워크스페이스 내부에 감사 로그 뷰어.
12. 문의
info@kintaria.com으로 이메일을 보내시거나 (888) 704-0999로 전화해 주십시오. 저희는 모든 메시지에 답장합니다. 저희는 입구에 봇을 둔 벤처 캐피털 지원 스타트업이 아닙니다.