Security
보안
API 키 보안 관리, 생체정보 동의 의무, 데이터 암호화 등 FIDOX 서비스 운영 시 반드시 지켜야 할 보안 지침입니다.
API 키 보안 관리
Access Key(ak_)와 Secret Key(sk_)는 채널에 대한 완전한 접근 권한을 가집니다. 유출 시 즉시 비활성화하고 재발급해야 합니다.
권장 사항
- API 키를 소스 코드, 앱 번들, 공개 저장소에 절대 포함하지 마세요.
- 서버 사이드 환경변수(
FIDOX_ACCESS_KEY,FIDOX_SECRET_KEY)로만 관리하세요. - 클라이언트 앱(웹·모바일)에서 직접 FIDOX API를 호출하지 마세요. 반드시 백엔드 프록시를 거치도록 구성하세요.
- 환경별(dev / staging / prod)로 채널과 API 키를 분리하세요.
- 정기적으로 또는 팀원 퇴사 시 API 키를 교체하세요.
키 유출 시 대응 절차
1
콘솔 → 채널 설정 → API 키 → 해당 키 비활성화
즉시 모든 요청이 차단됩니다.
2
새 API 키 발급 후 서비스에 배포
3
로그에서 비정상 요청 여부 확인
사용량 급증, 이상 패턴의 호출 등을 점검합니다.
의심스러운 활동이 발견되면 즉시 보안 신고로 접수하세요.
생체정보 동의 의무
얼굴 이미지는 개인정보보호법 제23조가 규정하는 민감정보(생체 인식 정보)입니다. 수집·이용 전 반드시 정보 주체로부터 별도의 명시적 동의를 받아야 합니다.
| 옵션 | 설명 |
|---|---|
| 동의 필수 항목 | 수집 목적, 보유 기간, 제3자 제공 여부, 거부 시 불이익 |
| 동의 방식 | 서면, 전자서명, 또는 클릭(체크박스). 번들 동의 불가 — 생체정보는 별도 동의란 필요 |
| 보존 의무 | 동의 기록을 수집·이용 기간 + 3년간 보존 |
채널의
requireConsent: true로 설정하면 API 요청마다 동의 여부(consent=true) 전달을 강제합니다. 미전달 요청은 자동으로 거부됩니다.데이터 암호화
| 옵션 | 설명 |
|---|---|
| 전송 구간 | TLS 1.2 이상 필수. HTTP 요청은 HTTPS로 자동 리다이렉트됩니다. |
| 얼굴 벡터 | AES-256으로 암호화해 저장. 원본 이미지는 복원 불가능합니다. |
| 보존 이미지 | AWS S3 SSE-KMS(AES-256). CloudTrail로 감사 추적 가능. |
| API 키 | Secret Key는 bcrypt hash로 저장. 발급 후 원문은 한 번만 표시됩니다. |
약관 재동의
서비스 약관이 변경되면 다음 로그인 시 재동의 화면이 표시됩니다. 동의 완료 후 정상적으로 콘솔을 사용할 수 있습니다.
규정 준수
- 개인정보보호법 — 생체정보 처리 시 별도 동의, 최소 수집 원칙 준수
- 신용정보법 — 금융 서비스 연동 시 별도 검토 필요
- 전자서명법 — 비대면 본인확인 시 본인확인기관 연동 여부 확인
규정 준수와 관련한 법적 판단은 귀사의 법무팀 또는 관계 기관과 협의하세요. 본 가이드는 참고용 정보만 제공합니다.