보안 · 신뢰
설계 단계부터 셀프 호스팅. 고객의 데이터는 결코 인프라를 벗어나지 않습니다.
Olivares AI는 고객 인프라에서 동작하는 AI 에이전트에 대한 액세스를 거버넌스하므로, 보안을 최우선으로 설계되었습니다. 고객 자체 인프라 내부에서 실행되고, 읽기 전용으로 관찰하며, 데이터가 아니라 액세스 맵을 기록합니다. 이 페이지는 그 사실을 솔직하게 증명하는 곳입니다.
데이터 처리
우리가 다루는 것, 그리고 결코 벗어나지 않는 것
가장 강력한 프라이버시 보장은 인증서가 아니라 아키텍처에 있습니다. Olivares AI는 셀프 호스팅이므로 민감한 데이터가 고객의 경계 안에 머무르며, 우리는 그것을 결코 보지 않습니다.
고객 인프라에서 실행
고객 자체 호스트, 클러스터 또는 클라우드에서 셀프 호스팅됩니다. 컨트롤 플레인 자체를 완전히 에어갭 환경으로 실행할 수 있으며, 고객 데이터의 외부 전송 없이 액세스 맵을 기록합니다. 고객이 거버넌스하는 에이전트는 호스팅형 모델 제공자와 같이 자신이 호출하는 API에 여전히 접근하며, 셀프 호스팅이 가능한 모델만 완전히 오프라인으로 실행됩니다. 셀프 호스팅이란 고객의 데이터가 고객 환경을 벗어나지 않는다는 뜻입니다.
페이로드가 아닌 엣지
Olivares AI는 어떤 에이전트가 어떤 리소스에 도달할 수 있는지, 읽기인지 읽기/쓰기인지와 같은 액세스 관계를 기록할 뿐, 그 사이를 흐르는 쿼리 본문, 페이로드 또는 시크릿은 기록하지 않습니다. 저장하지 않는 것은 유출될 수 없습니다.
시크릿 및 PII 제거
시크릿이나 개인 데이터를 포함할 수 있는 입력은 기록되기 전에 제거(redact)되고 시크릿 스캔을 거칩니다. 그 이상의 세부 정보는 운영자가 의식적으로 옵트인해야 합니다.
읽기 전용 관찰
컬렉터는 관찰만 합니다. 고객의 데이터베이스에 결코 쓰지 않으며 고객의 호스트를 결코 변경하지 않습니다. 역할이나 애플리케이션 이름과 같은 식별자를 읽을 뿐, 자격 증명 값은 읽지 않습니다. 데이터 스니퍼가 아닙니다.
텔레메트리 미전송
기본값이 보안이라는 것은 폰홈이 없다는 의미입니다. 벤더 텔레메트리는 고객이 명시적으로 켜지 않는 한 꺼져 있습니다. 고객 자산에 관한 그 어떤 정보도 우리에게 전송되지 않습니다.
보존 기간은 고객이 제어
보존과 삭제는 구성할 수 있으며, 에어갭 배포에서는 그 어떤 것도 결코 외부로 나가지 않습니다. 그 이상은 없습니다.
취약점 공개
보안 문제 신고
우리는 협조적 공개를 환영하며, 동일하게 행동하는 연구자들과 선의로 협력합니다. 보안 모델 자체에 대한 발견도 명시적으로 환영합니다.
비공개 신고처
security@olivares.ai의심되는 취약점에 대해 공개 이슈, 풀 리퀘스트 또는 토론을 열지 마십시오. 세부 정보를 보내기 전에 요청하시면 PGP를 제공해 드립니다.
예상 절차
- 접수 확인 영업일 기준 3일 이내
- 초기 평가 영업일 기준 10일 이내
- 협조적 공개 최대 90일, 수정 사항이 배포되면 더 빠르게
보내지 마십시오
실제 시크릿, 자격 증명 또는 토큰은 보내지 마시고(마스킹해 주십시오), 고객이나 제3자의 개인 데이터 또는 프로덕션 덤프, 그리고 소유하지 않은 시스템에 대한 실제 악용 행위도 삼가 주십시오. 민감한 영향은 첨부하기보다 서술해 주시면, 안전한 채널을 마련해 드리겠습니다.
Olivares AI는 출시 전 단계입니다. 아직 지원되는 태그 버전이 없으며, 보안 수정 사항은 main 브랜치에만 적용됩니다.
하위 처리자
그 외에 데이터를 처리하는 주체
이 웹사이트는 분석, 광고 또는 추적 하위 처리자를 일절 사용하지 않습니다. 셀프 호스팅 폰트, 엄격한 동일 출처 Content-Security-Policy를 사용하고 쿠키가 없는 정적 사이트입니다. 콘텐츠 전송 네트워크를 통해 제공되며, 페이지를 전달하는 데 필요한 연결 메타데이터만 처리합니다. 고객이 사이트를 둘러보는 동안 우리는 어떤 개인 데이터도 수집하지 않습니다.
제품 자체의 경우: Olivares AI는 고객 자체 인프라에서 셀프 호스팅되므로, 고객 데이터에 대한 벤더 측 하위 처리자가 존재하지 않습니다. 데이터는 고객의 경계 안에 머무르며 우리는 그것을 보지 않습니다. 향후 관리형 서비스가 제공된다면 자체 하위 처리자 목록을 게시하겠지만, 현재 제공되는 것은 없습니다.
데이터 처리
데이터 처리 계약 (GDPR 제28조)
엔터프라이즈 조달을 위한 데이터 처리 계약을 요청 시 제공해 드립니다. Olivares AI는 셀프 호스팅이므로, 대부분의 배포에서 고객은 자체 인프라 내에서 자신의 데이터에 대한 컨트롤러이자 프로세서로 남습니다. 그럼에도 상업적 관계에서의 책임을 공식화하기 위해 DPA를 체결할 수 있습니다.
컴플라이언스 태세
현재 위치에 대한 솔직함
Olivares AI는 출시 전 단계이며 SOC 2, ISO/IEC 27001, EU AI Act 또는 그 밖의 어떤 프레임워크로도 인증을 받지 않았고, 진행 중인 감사도 없습니다. 우리는 이러한 프레임워크가 검토하는 통제 항목 — 감사 로깅, 액세스 제어, 무결성, 암호화, 변경 관리 — 에 매핑되도록 제품을 설계하여, 때가 되었을 때 감사를 받을 준비가 되도록 합니다. 공식 인증(예: SOC 2 Type 2)은 아키텍처가 가능하도록 설계된 후속 단계이며, 첫 출시를 가로막지 않습니다.
우리가 설계 목표로 삼는 프레임워크
-
SOC 2 / ISO 27001
우리가 설계 목표로 삼는 통제 목표 — 인증된 것이 아니며 로드맵상에 있습니다.
-
EU AI Act
통제 및 문서화 요구사항을 지원하도록 설계되었습니다.
-
CSA MAESTRO
우리가 매핑하는 위협 모델링 방법론 — 인증 가능한 표준이 아닙니다.
-
OWASP agentic threats
에이전틱 위협 및 완화 목록에 매핑되어 있습니다.
-
CISA / NIST guidance
인증 가능한 표준이 아닌 지침 — 적합성 주장이 없는 설계 지향입니다.
외부 프레임워크와의 정합성을 설명할 때, 이는 기술적 매핑이지 인증이 아닙니다. 그리고 아직 확정되지 않은 표준의 경우, 이는 적합성 주장이 없는 설계 지향 신호입니다.
빌드 무결성
- 릴리스는 암호학적으로 서명되며, 소프트웨어 자재 명세서(SBOM)와 함께 제공되고 빌드 출처(provenance)를 포함합니다.
- 최소화되고 강화된 컨테이너 이미지에 담긴 단일 메모리 안전 정적 바이너리.
- 최소화되고 버전이 고정된 의존성 — 검증되지 않은 코드를 실행하는 설치 스크립트가 없습니다.
- CI에서 모든 변경에 대해 의존성 및 시크릿 스캔이 게이트 역할을 합니다.
이 보장은 첫 태그 릴리스 시점부터 효력이 발생합니다. 프로젝트는 현재 프리 알파 단계입니다.
취약점 수정 목표
- Critical 7일
- High 14일
- Medium 30일
- Low 다음 예정 릴리스
첫 태그 릴리스 시점부터 효력이 발생하는, 우리가 약속한 수정 주기입니다. 현재 악용되고 있는 취약점은 Critical로 취급합니다.
신뢰에 관한 질문
내 데이터는 어디로 가나요?
셀프 호스팅 에디션에서 고객의 데이터는 고객 자체 인프라 안에 머무르며, Olivares AI는 그것을 수신하지 않습니다. 제품은 액세스 맵을 기록할 뿐, 그 사이를 이동하는 페이로드, 시크릿 또는 개인 데이터는 기록하지 않습니다.
SOC 2 또는 ISO 27001 인증을 받았나요?
아직 받지 않았습니다. 제품은 감사를 받을 준비가 되도록 SOC 2 및 ISO 27001 통제 목표에 매핑되게 설계되었지만, 공식 인증은 로드맵상에 있으며 아직 취득하지 않았습니다. 보유하지 않은 인증을 주장하지 않겠습니다.
보안 취약점은 어떻게 신고하나요?
security@olivares.ai로 비공개로 이메일을 보내 주십시오. 공개 이슈는 열지 마십시오. 전체 정책은 SECURITY.md에 있으며, /.well-known/security.txt (RFC 9116)에서 링크되어 있습니다. 영업일 기준 3일 이내에 접수를 확인해 드립니다.
DPA를 제공하나요?
예, GDPR 제28조 데이터 처리 계약을 엔터프라이즈 조달을 위해 요청 시 제공해 드립니다. enterprise@olivares.ai로 문의해 주십시오.