문서를 보호하는 실제 제어 장치.

AES-256 저장 암호화

업로드된 문서는 기본적으로 SSE-S3 서버 측 암호화를 통해 MinIO에 저장됩니다. 프로덕션(Railway)에서는 KMS가 활성화된 MinIO를 실행하므로 SSE-S3가 항상 적용됩니다. 지원되지 않는 자체 호스팅 배포에서 KMS가 없으면 MinIO가 암호화되지 않은 쓰기로 대체될 수 있으며, 이는 배포 선택 사항으로, 프로덕션에서 자동으로 다운그레이드되는 것은 아닙니다.

backend/app/services/storage_service.py · upload_file()

전송 중 TLS 1.2+

모든 네트워크 경로 — 브라우저에서 Vercel 엣지, 엣지에서 Railway 백엔드, 백엔드에서 LLM 제공업체까지 — TLS를 사용합니다. apex 도메인에 max-age=63072000 및 includeSubDomains를 포함한 HSTS가 설정되어 있습니다.

데이터 학습 없음

DocTalk는 LLM 호출을 OpenRouter를 통해 라우팅합니다. 귀하의 문서와 질문은 DocTalk가 모델 학습에 절대 사용하지 않습니다. 제공업체 측 보존은 업스트림 모델(DeepSeek / Mistral)에 따라 다릅니다. 보존이 없는 것을 보장하기 위해 OpenRouter의 계정 수준 개인정보 설정(운영 제어, 아직 요청 수준에서 코드 강제는 아님)에 의존하며, 요청 시 제공업체 허용 목록으로 더 강화할 수 있습니다.

매직 바이트 파일 검증

업로드는 파일 확장자가 아닌 파일 시그니처 바이트로 검증됩니다. 실행 파일 페이로드가 포함된 .pdf는 인제스트에서 거부됩니다. 파일 이름을 변경해도 파서를 속일 수 없습니다.

backend/app/services/upload_service.py · magic-byte check

URL 인제스트 시 SSRF 보호

URL을 요약하기 위해 입력하면, 백엔드는 공개 호스트의 허용 목록을 기준으로 대상을 검증하고 사설 IP 범위, 링크-로컬 주소 또는 클라우드 메타데이터 엔드포인트(169.254.169.254 등)에 대한 요청을 거부합니다.

backend/app/core/url_validator.py

익명 엔드포인트 속도 제한

공개 엔드포인트(공유 보기, 익명 읽기)에는 IP당 속도 제한이 있습니다. 실제 클라이언트 IP는 요청별 타임스탬프에 연결된 HMAC-SHA256 서명과 함께 Vercel 엣지에서 백엔드로 전달되므로, 백엔드는 프록시 출처를 인증하고 헤더 스푸핑 시도를 거부할 수 있습니다. 이는 활성 전선 수준 MITM에 대한 방어가 아닙니다. TLS가 해당 계층을 처리합니다. 인증된 사용자는 IP 속도 제한을 우회합니다.

backend/app/core/rate_limit.py · shared_view_limiter, anon_read_limiter

전체 데이터 내보내기

프로필 → 계정에서 모든 문서와 세션 데이터를 내보낼 수 있습니다. 내보내기에는 DocTalk가 저장하는 모든 정보가 휴대용 형식으로 포함됩니다.

계정 삭제

프로필 → 계정에서 계정을 삭제할 수 있습니다. 모든 문서, 세션, 채팅 기록, 임베딩, 청구 기록이 제거되며 삭제 후 계정을 복구할 수 없습니다.

사용자 격리

모든 문서와 세션은 데이터베이스 및 벡터 저장소 계층에서 소유자의 user_id로 범위가 지정됩니다. 공유 네임스페이스가 없고, 기본적으로 조직 차원의 수집이 없으며, 격리는 렌더링 시점뿐만 아니라 쿼리 시점에도 적용됩니다.