보안 개요
2026년 3월 14일 기준
이 문서는 pressor.ai 엔터프라이즈 v1 패키지에 포함된 기본 보안 통제를 요약합니다. 인증 취득을 보증하는 문서가 아니라 고객 보안 검토를 위한 현재 구현 기준 설명서입니다.
현재 보안 상태
pressor.ai는 2026년 3월 14일 기준 1차 제품형 보안·개인정보 하드닝 마감을 완료했습니다. 프로덕션 fail-closed 시크릿, 서버 관리형 refresh 세션 회전 및 폐기, 조직 단위 감사 범위, 메일함 자격증명 암호화, 보관 purge job, incident drill 절차가 포함됩니다.
인증 및 접근통제
- 엔터프라이즈 인증 방향은 OIDC 기준입니다. Okta와 Azure AD를 우선 참조 IdP 프로필로 둡니다.
- 조직 관리자는 허용 도메인, 강제 로그인 정책, 조직 멤버 목록, 조직 단위 세션 회수를 관리할 수 있습니다.
- 서비스 통합 계정은 allowlist 기반 이메일과 경로 단위 접근 통제로 일반 사용자와 분리됩니다.
세션 보안
- 브라우저 웹 세션은 HttpOnly 쿠키를 기준으로 동작합니다.
- Refresh token은 서버 추적형이며 사용 시 회전되고, 재사용 감지 시 family 단위로 폐기됩니다.
- 계정 단위와 조직 단위 강제 로그아웃 경로가 제공됩니다.
시크릿 및 암호화
- JWT 시크릿, 플랫폼 API 키, 메일함 암호화 전제값이 안전하지 않거나 비어 있으면 프로덕션 부팅이 실패합니다.
- 공유 리포트 비밀번호는 URL query string으로 받지 않습니다.
- 메일함 자격증명과 Google OAuth 메일함 토큰은 저장 시 암호화됩니다.
- Slack webhook 시크릿은 암호화 저장되며 브라우저에 평문으로 반환되지 않습니다.
감사 및 운영 모니터링
- 관리자 작업, 공유 리포트 변경, 메일함 해제, tenant export/delete, 외부 processor 호출은 감사 로그에 기록됩니다.
- 감사 payload는 비밀번호, 토큰, 쿠키, webhook URL, 대형 prompt/body를 마스킹합니다.
- 운영 closeout에는 repo hygiene, secret scan, runtime security audit, incident drill 기록이 포함됩니다.
데이터 수명주기
- Report share, refresh session, audit log, email log, unmatched inbound mail, journalist contact, workspace content에 retention job이 적용됩니다.
- 계정 export, tenant export, 계정 삭제, tenant deactivation 흐름이 제공되며 purge 파이프라인으로 이어집니다.
- Tenant export는 메일함 메타데이터를 sanitize 하므로 OAuth/SMTP/IMAP 원문 자격증명은 반환하지 않습니다.
현재 범위 밖 항목
- SOC 2 또는 ISO 27001 인증을 이 패키지에서 주장하지 않습니다.
- SCIM, BYOK, 공공 조달 전용 요구사항은 1차 엔터프라이즈 범위에 포함되지 않습니다.
- 공개 status page 기반 장애 공지는 포함되지 않으며, 현재는 이메일 기반 incident communication 정책을 사용합니다.
데이터 처리 부속서, 보관 / 삭제 정책, 서브프로세서 등록부에서 법무·수명주기 세부사항을 확인할 수 있습니다.
Security Overview
Effective March 14, 2026
This overview describes the baseline controls included in pressor.ai's first enterprise package. It is intended for customer security review, not as a warranty of certification.
Current posture
pressor.ai completed its first product-grade security and privacy hardening closeout on March 14, 2026. The implementation includes fail-closed production secrets, server-managed refresh session rotation and revocation, organization-level audit coverage, mailbox credential encryption, retention jobs, and incident drill procedures.
Identity and Access
- Primary enterprise identity direction is OIDC. Okta and Azure AD are the target IdP profiles for configuration guidance.
- Organization admins can define allowed email domains, set an enforced login method policy, list organization members, and revoke organization refresh sessions.
- Service integration accounts are isolated through allowlisted service emails and route-scoped access controls.
Session Security
- Browser sessions use HttpOnly cookies for primary web authentication.
- Refresh tokens are server-tracked, rotated on use, revocable, and family-revoked on reuse detection.
- Organization and account-level revoke endpoints are available for forced logout operations.
Secrets and Encryption
- Production startup fails if JWT secrets, platform API keys, or mailbox encryption prerequisites are insecure or missing.
- Shared report passwords are never accepted via URL query string.
- Mailbox credentials and Google OAuth mailbox tokens are stored encrypted at rest.
- Slack webhook secrets are stored encrypted and not returned to browsers as plaintext.
Audit and Monitoring
- Administrative actions, report sharing changes, mailbox disconnects, tenant export/delete actions, and external processor invocations are written to audit logs.
- Audit payloads are sanitized so passwords, tokens, cookies, webhook URLs, and large prompt or content bodies are redacted.
- Operational closeout includes repo hygiene checks, secret scanning, runtime security configuration audit, and incident drill records.
Data Lifecycle
- Retention jobs cover report shares, refresh sessions, audit logs, email logs, unmatched inbound mail, journalist contacts, and workspace content categories.
- Account and tenant exports are supported. Delete flows mark data for purge and feed the purge pipeline.
- Tenant exports sanitize mailbox metadata so raw OAuth or SMTP/IMAP credentials are not returned.
Known Gaps
- SOC 2 and ISO 27001 are not claimed in this package.
- SCIM, BYOK, and public-sector procurement requirements are not part of the first enterprise release.
- Status-page-based incident publishing is not bundled; the current policy uses email-based incident communication.
For legal and lifecycle details, see the Data Processing Addendum, Retention / Deletion Policy, and Subprocessor Register.