보안 정책
최종 업데이트: 2025년 4월
SavePorn에서 본 서비스 및 사용자 데이터의 보안은 최우선 과제입니다. 본 정책은 당사의 보안 관행, 취약점 보고 방법 및 보고 시 기대할 수 있는 사항에 대해 설명합니다.
1. 보안 취약점 보고
SavePorn에서 보안 취약점을 발견하신 경우, 책임감 있게 보고해 주시기 바랍니다. 세부 사항을 다음 주소로 보내주십시오:
보고 시 다음 사항을 포함해 주십시오:
- 취약점에 대한 설명 및 잠재적 영향.
- 관련 URL, 매개변수 또는 페이로드를 포함한 문제 재현 단계.
- 취약점 유형(예: XSS, SQL injection, 인증 우회, 데이터 노출).
- 문제를 입증하는 스크린샷, 로그 또는 개념 증명 코드.
2. 책임 있는 공개
다음 사항을 준수해 주시기 바랍니다:
- 당사가 문제를 해결할 합리적인 기회를 갖기 전까지 취약점을 공개적으로 공개하지 마십시오.
- 연구의 일환으로 다른 사용자의 데이터에 접근, 수정 또는 삭제하지 마십시오.
- 다른 사용자에 대한 서비스를 저하시킬 수 있는 행위(예: 서비스 거부 공격, 대규모 무차별 대입 시도)를 수행하지 마십시오.
- 다른 사람의 개인정보를 침해하지 않도록 성실하게 노력하십시오.
당사는 본 정책에 따라 취약점을 발견하고 보고한 개인에 대해 법적 조치를 취하지 않습니다.
3. 당사의 대응
취약점을 보고하시면 다음을 기대하실 수 있습니다:
- 보고 후 48시간 이내의 수신 확인.
- 5영업일 이내의 문제에 대한 초기 평가.
- 문제 해결 진행 상황에 대한 정기적인 업데이트.
- 취약점이 해결된 후 공개 인정 시 크레딧(희망하는 경우).
4. 범위
보안 보고의 범위에 포함되는 사항은 다음과 같습니다:
- save.porn의 SavePorn 웹 애플리케이션.
- SavePorn API.
- 인증 및 세션 관리.
- 결제 처리 흐름.
- SavePorn이 게시한 브라우저 확장 프로그램 및 네이티브 애플리케이션.
다음은 범위에 포함되지 않습니다:
- 당사가 통합하는 제3자 서비스(이메일 제공업체, 블록체인 네트워크).
- SavePorn 직원 또는 사용자에 대한 소셜 엔지니어링 공격.
- SavePorn 인프라에 대한 물리적 공격.
- SavePorn이 소유하거나 운영하지 않는 소프트웨어 또는 시스템의 취약점.
5. 보안 관행
SavePorn은 사용자 데이터를 보호하기 위해 다음과 같은 보안 조치를 시행합니다:
- 전송 중 암호화: 모든 연결은 TLS를 사용합니다. 암호화되지 않은 HTTP 요청은 HTTPS로 리디렉션됩니다.
- 인증: 이메일로 전송되는 시간 제한 매직 코드를 사용합니다. 비밀번호는 저장되지 않습니다. 세션은 httpOnly, Secure, SameSite=Lax 쿠키를 사용합니다.
- 접근 제어: 사용자 데이터에 접근하는 모든 API 엔드포인트는 인증을 요구합니다. 사용자는 자신의 데이터에만 접근할 수 있습니다.
- 속도 제한: API 엔드포인트는 악용을 방지하기 위해 속도 제한이 적용됩니다.
- 추적 없음: 당사는 분석, 광고 트래커 또는 핑거프린팅을 사용하지 않습니다. 자세한 내용은 개인정보 처리방침을 참조하십시오.
- 최소한의 데이터 수집: 당사는 서비스 운영에 필요한 데이터만 수집합니다.
6. security.txt
RFC 9116에 따라, 당사는 보안 연락처 정보와 본 정책의 URL이 포함된 security.txt 파일을 /.well-known/security.txt에 게시합니다.
7. 연락처
보안 관련 모든 사항에 대해 다음 주소로 연락해 주십시오: