보안 — ScamLens

취약점 신고

설명, 재현 단계, 영향과 함께 [email protected] 로 이메일을 보내 주세요. 48 시간 이내에 수신을 확인하며, 심각한 문제는 7 일 이내 수정을 목표로 합니다.

범위, 세이프 하버 조건, 감사 표시에 대해서는 취약점 공개 정책 을 참조하세요.

기계 판독 가능한 요약: /.well-known/security.txt

데이터 보호 방식

• 모든 곳에서 TLS 1.2+ 강제 (HSTS preload, 1 년).
• Cloudflare Zero Trust + 네임스페이스별 D1 격리.
• API 키는 저장 시 암호화 (AES-256-GCM) 되며 프로젝트별 스코프 적용.
• 문서화된 위협 인텔리전스 집계 외에는 사용자가 제출한 콘텐츠를 제3자와 공유하지 않습니다.
• 모든 클라우드 통합에 최소 권한 IAM; 90 일마다 시크릿 로테이션.

사고 대응

진행 중인 사고와 과거 포스트모템은 status.scamlens.org (출시 중) 에 게시됩니다. 중대 사고는 GDPR Article 33 에 따라 72 시간 이내에 영향받은 사용자에게 공개됩니다.

컴플라이언스

• GDPR / UK GDPR: 법적 근거 문서화, 데이터 처리 계약 (DPA) 요청 시 제공.
• CCPA / CPRA: Do-Not-Sell 준수, DSAR 45 일 이내 처리.
• SOC 2 Type II: 감사 2026 Q3 예정.
• PCI: 결제는 Stripe 가 처리하며 ScamLens 는 카드 데이터를 저장하지 않습니다.

감사 표시

유효한 보고를 확인하는 대로, ScamLens 의 견고함에 기여한 연구자들의 명예의 전당이 이곳에 게재됩니다.