보안 · 프라이버시 · APPI 준수 (SR-*)

요구. 시스템은 아래 위협 모델 표의 각 자산·위협에 대해 표기된 1차 완화를 반드시 구현하고, 각 행을 그에 대응하는 SR로 추적해야 한다(MUST). 위협 모델은 분기 1회 또는 신규 외부 인터페이스 도입 시 반드시 재검토해야 한다(MUST).

수용기준

• Given 위협 모델 표의 임의 행, When 해당 완화가 코드/테스트에 부재, Then 릴리스 게이트는 그 행의 관련 SR을 미충족으로 표시한다(추적성 매트릭스 연동 — acceptance-traceability).
• Given 신규 외부 인터페이스(예: EDI·텔레매틱스 수신), When 위협 모델 재검토 없이 머지 시도, Then PR 체크가 차단한다(pipeline-ops).

요구. 모든 보호 엔드포인트는 자신이 요구하는 scope를 requireScope(ctx, …)로, role 제약은 requireRole(ctx, …)로 반드시 강제해야 한다(MUST). 스코프 누락은 403 PERMISSION_DENIED로 응답해야 한다(MUST). API Key는 반드시 최소 scope만 부여해야 한다(MUST, least-privilege).

role × scope 매트릭스 (✓=기본 부여, —=미부여; auth.ts ROLE_SCOPES as-built)

(*) DRIVER는 read 라우트의 positions:read(경로 replay)를 받지 않는다. 백그라운드 GPS 업로드용 positions:write는 일반 role-scope가 아니라, issueIngestToken()이 강제로 ['positions:write']만 실은 ingest 전용 토큰(FR-AUTH-001 · ingest TTL 604800s)을 통해서만 부여된다. CONSIGNEE role은 아직 코드에 없으며(Role 유니온은 5종), 受取人 가시성은 role이 아닌 tracking 응답의 position 생략으로 구현한다(SR-PII-001).

수용기준

• Given SHIPPER_VIEWER JWT, When POST /v1/shipments(shipments:write 필요) 호출, Then 403 PERMISSION_DENIED(missing scope: shipments:write).
• Given ingest 토큰(scopes=['positions:write']), When GET /v1/shipments/:id/positions(positions:read 필요) 호출, Then 403. When POST /v1/ingest/positions 호출, Then 정상 처리.
• Given role='constructor' 등 프로토타입체인 오염 시도, When 토큰 검증, Then VALID_ROLES Set 멤버십으로 거부(UNAUTHENTICATED) — in 연산자 구멍 차단.

요구. 모든 D1 읽기/쓰기는 인증 컨텍스트의 tenant_id를 WHERE 절에 반드시 바인딩해야 하며, 이 tenant_id는 토큰/키 클레임에서만 주입되고 클라이언트 입력으로는 절대 바인딩되지 않아야 한다(MUST). 모든 데이터 접근은 단일 리포지토리 레이어(server/src/lib/db.ts)를 통과시켜, tenant_id 바인딩 없는 쿼리가 코드상 작성 불가능하도록 한다(앱-레벨 RLS). 타 테넌트 리소스 요청은 403이 아니라 404로 응답하여 ID 존재 여부조차 노출하지 않아야 한다(MUST). DRIVER role 컨텍스트는 자신의 driver_id(=ctx.sub)로 한 번 더 스코프하여 배정된 案件만 보이게 해야 한다(MUST).

수용기준

• Given 테넌트 A 토큰, When 테넌트 B 소유 shipment_id로 GET /v1/shipments/:id, Then 0행 → 404 SHIPMENT_NOT_FOUND(존재 비노출). 응답·로그에 테넌트 B 식별자 미노출.
• Given ingest 배치에 타 테넌트/미배정 shipment_id 포함, When POST /v1/ingest/positions, Then 접근 가능한 핑만 수용(repo.getShipment 스코프 필터), 전부 불가 시 403 PERMISSION_DENIED.
• Given 리포지토리 레이어 우회 쿼리 PR, When CI, Then 회귀셋이 차단(pipeline-ops).

요구. 화주(SHIPPER_*) 및 受取人(CONSIGNEE) 스코프로 직렬화되는 모든 응답은 아래 마스킹 규칙을 반드시 적용해야 한다(MUST). 운송사(CARRIER_OPS, 자사) 스코프는 자사 드라이버 실명·번호판을 원시 노출할 수 있다(MAY, 고용 관계); 타 캐리어 데이터는 노출 불가(MUST NOT).

마스킹 규칙 (함수형 정의)

수용기준

• Given 화주 토큰, When 드라이버 display_name="佐藤太郎"·plate="品川 12-34" 화물 조회, Then 응답은 佐**·品川 1*-**만 포함하고 원시값을 절대 포함하지 않는다(스냅샷 테스트).
• Given 受取人 스코프 tracking 조회, When 응답 직렬화, Then position 키 부재 AND next_stop.eta 존재.
• Given 마스킹 함수, When 동일 입력 반복, Then 동일 출력(결정론적, 가역 정보 누출 없음).

요구. 시스템은 드라이버의 동의 시각(driver.consent_at)이 없으면 그 드라이버의 위치 핑 수집을 반드시 거부해야 한다(MUST). 인제스트 경로(POST /v1/ingest/positions)는 각 드라이버에 대해 consentGate(consent_at)를 반드시 평가하고, false면 해당 핑을 수용하지 않아야 한다(MUST). 동의 철회 경로(앱 내)를 제공하고, 철회 시 이후 수집을 중단해야 한다(MUST).

수용기준

• Given consent_at = null인 드라이버 토큰, When POST /v1/ingest/positions로 핑 업로드, Then 핑은 거부되고 DO·이벤트·R2에 기록되지 않는다(PERMISSION_DENIED 또는 핑 단위 drop + 거부 카운트).
• Given 동의 후 철회한 드라이버, When 철회 시각 이후 핑, Then 동일하게 거부.
• Given consent_at 설정된 드라이버 + 활성 案件, When 핑, Then 정상 수용.

요구. 수집한 위치는 명시한 목적(가시성·荷待ち 측정·ETA·규제 산출물) 내에서만 이용해야 한다(MUST). 목적 외(무관한 마케팅·개별 드라이버 감시)로 전용하지 않아야 한다(MUST NOT). 위치 공유는 案件이 실린 기간 동안만 ON("항상 추적"이 아니라 "업무 중 추적")이며, 화주↔캐리어 공유 범위는 계약서와 시스템 권한이 일치해야 한다(MUST). 案件 종료 시 공유는 자동 OFF되어야 한다(MUST).

수용기준

• Given 案件이 종료된 shipment, When 화주가 해당 캐리어 차량 실시간 위치 조회, Then 위치 미노출(공유 OFF).
• Given 신규 데이터 사용처 추가 PR, When 리뷰, Then 목적 적합성 점검(Inspection) 체크리스트 통과 필수.

요구. 데이터는 수명별로 저장 위치·보존 기간을 분리하고(핫/이벤트/원시/규제), 보존 기간 경과분은 자동 만료해야 한다(MUST). 무기한 보존하지 않으며, 목적이 끝난 데이터는 아카이브/삭제 경로를 둔다(MUST). 아래 보존표의 수치는 마스터 §4.5 정규치이며 전부 법무 서명 플래그가 필요하다.

보존표 (마스터 §4.5 인용, 기간은 추정 — 법무 서명 전)

수용기준

• Given 원시 GPS 아카이브 객체 age > 365일, When R2 라이프사이클/Cron 배치 실행, Then 해당 객체 purge(테스트: age 경계 ±1일).
• Given 보존표의 임의 기간, When 법무 서명 미완, Then 문서·릴리스 게이트에 추정 플래그 표기 유지(서명 시 확인으로 승격).

요구. 데이터 주체(드라이버)의 삭제 요청에 대응하는 경로를 두고, 개인 식별 필드를 삭제/익명화하고 R2 원시 GPS 아카이브에서 해당 주체분을 제거하는 절차를 제공해야 한다(MUST). 삭제 요청 접수 후 처리 SLA를 명시해야 한다(초기 확정치 30일 이내 처리, 운영 베이스라인으로 조정 — 설계). 단, 법정 보존 의무가 있는 규제 산출물(RET-REG-001 7년)은 삭제권보다 보존 의무가 우선할 수 있으며(MUST), 충돌 시 "개인 식별과 사실 기록 분리"로 양립시킨다.

수용기준

• Given 드라이버 삭제 요청, When 삭제 잡 실행, Then 해당 driver_id 원시 GPS R2 객체 0개 잔존 AND D1 식별 필드 익명화 AND 규제 산출물은 보존(분리 검증).
• Given 삭제 요청 접수, When 30일 경과, Then 미처리 건은 알람(SLA 위반).

요구. 모든 클라이언트↔엣지·엣지↔외부(웹훅·지도/JMA API) 통신은 TLS(HTTPS)를 반드시 사용해야 한다(MUST). 시크릿(JWT_SIGNING_KEY·WEBHOOK_SIGNING_KEY·MAPS_API_KEY·JMA_API_KEY·LINE_CHANNEL_TOKEN)은 반드시 wrangler secret(환경별)으로 주입하고 코드/레포에 하드코딩하지 않아야 한다(MUST NOT). JWT 서명 키는 키 ID(kid) 기반 다중 키로 운용하여 무중단 교체가 가능해야 하며(MUST), 폐기 키·revocation 목록을 AUTH_KEYS KV로 전파하여 ≤60s 내 무효화(FR-AUTH-001)해야 한다(MUST).

수용기준

• Given 발급된 JWT, When 토큰 헤더 검사, Then kid 클레임 존재 AND 검증기가 kid로 AUTH_KEYS에서 해당 키 상태(active/retired/revoked) 조회.
• Given kid가 revocation-list에 등재, When 그 키로 서명된 토큰 제시, Then 401 UNAUTHENTICATED ≤60s 내(KV 전파).
• Given 시크릿, When 레포 스캔, Then 평문 시크릿 0건(CI secret-scan).
• Given API Key revoked=1, When 해당 키로 호출, Then 401(resolveApiKey revoked=0 필터) — 이미 DONE.

요구. 브라우저 컨트롤 타워(console)의 인증 토큰은 XSS로 탈취 가능한 localStorage가 아니라 httpOnly·Secure·SameSite 쿠키로 저장해야 한다(권장→MUST). 전환에는 sunset 일정(localStorage 경로 폐기 기한)을 명시하고, 그 기한까지는 짧은 액세스 TTL과 회전으로 노출 창을 최소화해야 한다(MUST). 결정 추적은 OD-003(토큰 저장 하드닝)이 소유한다.

수용기준

• Given httpOnly 쿠키 전환 완료, When 브라우저 콘솔에서 localStorage 조회, Then 인증 토큰 부재 AND 쿠키는 HttpOnly; Secure; SameSite 속성 보유.
• Given sunset 기한, When 기한 경과, Then localStorage 토큰 경로 코드 제거(회귀셋).

요구. 보안 관련 사건(인증 실패·권한 거부·키 발급/폐기·웹훅 비활성·규제 산출물 다운로드·데이터 주체 삭제)은 반드시 감사 로그로 남겨야 한다(MUST). 각 레코드는 누가(actor=ctx.sub/tenant_id)·무엇(action·resource)·언제(occurred_at, ISO 8601 +09:00 — DM-TS-001)·request_id·outcome(allow/deny)를 포함해야 한다(MUST). 로그에는 개인정보를 최소화하여(위치 원좌표·실명 대신 식별자) request_id로 상관해야 한다(MUST).

감사 레코드 스키마

수용기준

• Given 권한 거부(403) 발생, When 요청 처리, Then 감사 레코드 1건 생성(action·actor·request_id·outcome=deny) AND 위치 원좌표·실명 미포함.
• Given 규제 산출물 다운로드, When 응답, Then 감사 레코드의 request_id가 API 응답 X-Request-Id 및 에러 엔벨로프 request_id와 동일(상관 가능).