글로벌 개인정보 보호 및 규정 준수

EDDI는 GDPR, CCPA, EU AI법, HIPAA, PIPEDA, LGPD, APPI, POPIA, PDPA 말레이시아 PDPA, PIPL 등에 대한 내장 규정 준수를 제공합니다 — 캐스케이드 데이터 삭제, 암호화 감사 추적 및 통합 API와 함께.

시작하기 → GitHub에서 보기 ↗

아키텍처에 의한 규정 준수

규제 산업은 AI 시스템에 사후적으로 규정 준수를 추가할 수 없습니다. EDDI는 글로벌 규제 준수를 위한 기술적 기반을 플랫폼 아키텍처 자체에 내장합니다 — 불변 감사 추적, 캐스케이드 데이터 삭제, 처리 제한, 암호화 무결성 및 역할 기반 접근 제어는 추가 기능이 아닌 핵심 역량입니다. 하나의 통합 API가 모든 관할권의 데이터 주체 권리를 다룹니다.

AI 거버넌스 프레임워크

전 세계 정부가 AI 전용 법률을 도입함에 따라 조직은 투명성, 추적성 및 인적 감독을 처음부터 제공하는 플랫폼이 필요합니다. EDDI의 아키텍처는 주요 AI 거버넌스 프레임워크의 핵심 기술 요구사항을 충족합니다.

EU AI법 — 유럽연합

EU AI법(규정 2024/1689)은 세계 최초의 포괄적 AI 법률로, AI 시스템에 대한 위험 기반 요구사항을 수립합니다. EDDI는 고위험 AI 시스템 준수를 위한 기술적 기반을 제공합니다:

불변 감사 추적 — 모든 작업이 HMAC-SHA256 암호화 무결성으로 기록됨 (제12조 — 기록 보관)
의사결정 투명성 — 전체 파이프라인 트레이싱으로 AI 의사결정 과정을 보여줌, 모델명, 프롬프트 및 응답 포함 (제13조 — 투명성)
인적 감독 — 관리 UI에서 인적 검토, 개입 및 비상 정지 가능 (제14조 — 인적 감독)
위험 분류 — 아키텍처가 구성 가능한 제어로 고위험 AI 시스템 요구사항 지원 (제9조 — 위험 관리)
재현성 — Configuration-as-Code로 규제 감사를 위한 AI 행동의 정확한 재현 가능 (제17조 — 품질 관리)
데이터 거버넌스 — OIDC/Keycloak RBAC, Vault 기반 시크릿 관리, 입출력 로깅 (제10조 — 데이터 거버넌스)

NIST AI 위험 관리 프레임워크 — 미국

NIST AI RMF(AI 100-1)는 네 가지 기능을 통한 AI 위험 관리를 위한 자발적 프레임워크를 제공합니다: 거버넌스, 매핑, 측정 및 관리. EDDI의 아키텍처는 NIST AI RMF 정렬을 추구하는 조직을 지원하는 기술적 역량을 제공합니다:

거버넌스(Govern) — RBAC 역할(eddi-admin, eddi-editor, eddi-viewer), 불변 감사 원장, 문서화된 데이터 플로우가 AI 거버넌스 구조 지원
매핑(Map) — 파이프라인 트레이싱과 대화 로깅이 포괄적인 AI 위험 식별 및 문서화 지원
측정(Measure) — Prometheus 메트릭, 토큰/비용 추적, 에이전트별 사용량 분석이 측정 가능한 AI 성능 및 위험 지표 제공
관리(Manage) — 처리 제한 API, 매니저 UI를 통한 인적 감독, 구성 가능한 보존 정책이 위험 완화 제어 지원

ISO/IEC 42 001 — AI 관리 시스템

ISO/IEC 42 001:2023은 AI 관리 시스템(AIMS)의 요구사항을 수립합니다. EDDI는 ISO 42 001 인증을 추구하는 조직을 지원하는 기술적 역량을 제공합니다:

문서화된 AI 정책 — Configuration-as-Code는 모든 에이전트 행동이 감사 가능한 JSON으로 정의됨 — 규칙, 워크플로우, LLM 구성 및 배포 디스크립터
위험 평가 — 감사 추적이 위험 평가 및 영향 분석을 위한 완전한 의사결정 이력 캡처
운영 제어 — RBAC, Vault 기반 시크릿 관리 및 처리 제한이 운영 거버넌스 제공
성능 모니터링 — Prometheus 메트릭, Grafana 대시보드, CQRS 텔레메트리가 지속적인 AI 성능 평가 지원

데이터 개인정보 보호 규정

EDDI는 전 세계 모든 주요 개인정보 보호 규정의 기술적 요구사항을 충족하는 통합 데이터 주체 권리 엔드포인트를 제공합니다. 하나의 API가 캐스케이드 삭제, 전체 데이터 내보내기 및 처리 제한을 다룹니다 — 관할권에 관계없이.

GDPR — 유럽연합 / EEA

일반 데이터 보호 규정(EU 2016/679)은 데이터 개인정보 보호의 황금 표준입니다. EDDI는 GDPR 데이터 주체 권리를 모든 5개 데이터 저장소에 걸친 캐스케이드 작업으로 지원되는 일급 API 엔드포인트로 구현합니다:

CCPA / CPRA — 미국 캘리포니아

캘리포니아 소비자 개인정보 보호법과 캘리포니아 개인정보 보호 권리법은 소비자에게 알 권리, 삭제권, 데이터 판매 거부권을 부여합니다. EDDI는 GDPR 호환 API를 통해 CCPA의 기술적 요구사항을 충족합니다:

알 권리(§1798.100) — GDPR 내보내기 엔드포인트가 모든 개인정보를 구조화된 머신 리더블 형식으로 제공
삭제권(§1798.105) — GDPR 삭제 엔드포인트가 모든 데이터 저장소에 걸친 캐스케이드 삭제 제공
판매 금지(§1798.120) — EDDI는 아키텍처적으로 개인정보를 판매할 수 없음 — 배포자를 대신하여 데이터를 처리하는 미들웨어 인프라

PIPEDA — 캐나다

캐나다의 개인정보 보호 및 전자문서법(2000, 2023년 개정)은 10개의 공정 정보 원칙을 통해 상업 데이터 처리를 규율합니다. EDDI의 아키텍처는 각 원칙에 직접 매핑됩니다:

책임성 — 불변 HMAC 서명 감사 원장이 모든 작업 추적
수집 제한 — 토큰 인식 윈도잉이 LLM에 전송되는 데이터 제한; 구성 가능한 보존이 오래된 대화 자동 삭제
사용/공개 제한 — 데이터는 구성된 에이전트 상호작용에만 사용; 감사 추적이 모든 LLM 호출 기록
안전장치 — AES-256-GCM 봉투 암호화(Secrets Vault), HMAC-SHA256 감사 무결성, Keycloak OIDC, RBAC
개인 접근 — REST API를 통한 전체 데이터 내보내기가 모든 메모리, 대화 및 관리 대화 매핑을 JSON으로 반환
규정 준수 이의제기 — 모든 5개 데이터 저장소에 걸친 캐스케이드 삭제; 법적 보존 의무를 위해 감사 추적은 가명 처리(삭제되지 않음)

LGPD — 브라질

브라질의 일반 데이터 보호법(2018, 2020년 시행)은 GDPR을 밀접하게 반영하는 광범위한 데이터 주체 권리를 부여합니다. EDDI는 내장 기술적 역량으로 제18조의 모든 권리를 다룹니다:

데이터 접근(제18조, II) — 전체 JSON 데이터 내보내기
수정(제18조, III) — 사용자 메모리가 PUT /usermemorystore/memories를 통해 업데이트 가능
익명화/삭제(제18조, IV) — 감사 기록의 SHA-256 가명 처리와 함께 캐스케이드 삭제
데이터 이동성(제18조, V) — 머신 리더블 JSON 내보내기에 모든 사용자 데이터 포함
불필요한 데이터 삭제(제18조, VI) — 자동 정리가 포함된 구성 가능한 보존 정책
동의 철회(제18조, IX) — 대화 종료 및 캐스케이드 삭제 엔드포인트가 기술적 메커니즘 제공

APPI — 일본

일본의 개인정보 보호법(2003, 2022년 대폭 개정)은 아시아에서 가장 성숙한 데이터 보호법 중 하나입니다. 일본은 EU 적절성 결정을 보유하고 있습니다. EDDI는 다음을 제공합니다:

보안 조치(제23조) — AES-256-GCM Vault 암호화, HMAC-SHA256 감사 무결성, Keycloak OIDC, RBAC, SSRF 보호
데이터 주체에 대한 공개(제33조) — REST API를 통한 전체 데이터 내보내기
수정 및 삭제(제34-35조) — 수정을 위한 메모리 업데이트; 삭제를 위한 캐스케이드 삭제
가명 정보(2022년 개정) — GDPR 삭제가 SHA-256 가명 처리를 사용하여 APPI의 가명 정보 카테고리 충족
국경 간 이전 문서화(제28조) — LLM 프로바이더 데이터 플로우 문서화; 감사 추적이 각 턴을 처리한 모델/프로바이더 기록

POPIA — 남아프리카공화국

남아프리카의 개인정보 보호법(2013, 2021년 시행)은 EU 표준에 맞춘 8개의 데이터 처리 조건을 수립합니다. EDDI는 각 조건에 대한 내장 기술적 역량을 제공합니다:

책임성(조건 1) — HMAC 서명 감사 원장, 문서화된 데이터 플로우, Apache 2.0 오픈소스 코드
처리 제한(조건 2) — 토큰 인식 윈도잉, 구성 가능한 보존, 유휴 대화 자동 종료
정보 품질(조건 5) — 타임스탬프, 버전화된 대화 상태; REST API를 통해 사용자 메모리 업데이트 가능
보안 안전장치(조건 7) — AES-256-GCM 암호화, HMAC 무결성, Keycloak OIDC, RBAC, SSRF 보호
데이터 주체 참여(조건 8) — 전체 데이터 내보내기 및 캐스케이드 삭제 엔드포인트

PDPA — 싱가포르 및 태국

싱가포르(2012, 2021년 개정)와 태국(2019, 2022년 시행)의 개인데이터 보호법은 동남아시아에서 가장 성숙한 개인정보 보호 프레임워크입니다. EDDI는 양 관할권의 기술적 의무를 다룹니다:

접근 의무 — REST API 및 MCP 도구를 통한 전체 데이터 내보내기
수정 의무 — REST API를 통해 사용자 메모리 업데이트 가능
보호 의무 — AES-256-GCM 암호화, HMAC 감사 무결성, Keycloak OIDC, RBAC
보존 제한 — 유휴 대화 타임아웃이 포함된 구성 가능한 자동 정리
데이터 침해 통지 — EDDI 문서에 인시던트 대응 런북 템플릿 포함

PDPA — 말레이시아

말레이시아의 2010년 개인정보보호법(법률 709, 2024년 개정)은 7가지 데이터 보호 원칙을 통해 상업적 개인정보 처리를 규율합니다. EDDI는 배포자 규정 준수를 지원하는 기술적 제어를 제공합니다:

일반 원칙 (§6) — 구성 가능한 보존 정책과 처리 제한 엔드포인트가 목적 제한적, 동의 기반 처리 지원
보안 원칙 (§9) — AES-256-GCM 볼트 암호화, HMAC-SHA256 감사 무결성, Keycloak OIDC, RBAC, SSRF 보호
보존 원칙 (§10) — 카테고리별 구성 가능한 보존과 자동 정리; 유휴 대화 자동 종료
데이터 무결성 원칙 (§11) — 타임스탬프가 있는 버전 관리 대화 상태; REST API를 통해 사용자 메모리 업데이트 가능
접근 원칙 (§12) — GET /admin/gdpr/{userId}/export를 통한 전체 데이터 내보내기가 모든 사용자 데이터를 구조화된 JSON으로 반환
국경 간 이전 (§129) — 자체 호스팅 아키텍처로 배포자가 데이터 거주지 제어 가능; 감사 추적이 모든 LLM 제공자 데이터 흐름 문서화

PIPL — 중국

중국의 개인정보보호법(2021)은 세계에서 가장 포괄적인 데이터 보호법 중 하나로, 중국 내 개인의 개인정보 처리를 규율합니다. EDDI는 PIPL 준수 배포를 위한 기술 인프라를 제공합니다:

합법적 처리 (제13조) — 구성 기반 에이전트 동작이 처리를 정의된 목적 범위 내로 유지; 처리 제한 API가 요청 시 활동 동결
개인 권리 (제44-49조) — 전체 데이터 내보내기, 캐스케이드 삭제, 처리 제한 엔드포인트가 알 권리, 복사권, 정정권, 삭제권, 제한권 충족
데이터 보안 (제51조) — AES-256-GCM 볼트 암호화, HMAC-SHA256 감사 무결성, Keycloak OIDC, RBAC, 제로 eval()
국경 간 이전 (제38-39조) — 자체 호스팅 아키텍처로 중국 내 온프레미스 배포 가능; 감사 추적이 보안 평가를 위해 모든 외부 데이터 흐름 문서화
자동화된 의사결정 (제24조) — 전체 파이프라인 추적이 포함된 불변 감사 추적이 AI 의사결정 투명성 제공; 관리 UI를 통한 인간 감독
데이터 보존 (제19조) — 자동 정리가 포함된 구성 가능한 보존 정책이 최소 필요 저장 기간 시행

추가 관할권

UK GDPR(영국) — EU GDPR을 실질적으로 반영; EDDI의 GDPR 엔드포인트가 모든 UK GDPR 데이터 주체 권리 충족. ICO 감독.PIPA(한국) — 엄격한 동의 요구사항, 의무적 DPO, 72시간 침해 통지. EDDI는 기술적 감사 및 삭제 인프라 제공.DPDPA(인도, 2023) — 국경 간 제한이 있는 동의 기반 프레임워크. EDDI의 내보내기 및 삭제 엔드포인트가 디지털 개인데이터 보호법 요구사항 충족.Privacy Act + APPs(호주) — 13개 호주 개인정보 보호 원칙. EDDI의 감사 추적 및 데이터 내보내기가 기술적 의무 충족.CCPA 유형 주법(버지니아 VCDPA, 콜로라도 CPA, 코네티컷 CTDPA 등) — GDPR/CCPA 호환 API가 모든 신흥 미국 주 개인정보 보호법 충족.

산업별 규정 준수

HIPAA — 미국 의료

건강보험 이전성 및 책임에 관한 법률은 보호 건강 정보(PHI)에 대한 안전장치를 수립합니다. EDDI는 HIPAA 준수 AI 배포를 위한 기술 인프라를 제공합니다:

접근 제어(§164.312(a)) — 역할 기반 접근의 Keycloak OIDC(eddi-admin, eddi-editor, eddi-viewer)
감사 제어(§164.312(b)) — HMAC 서명, 불변 감사 원장이 모든 작업을 타임스탬프, 사용자 ID 및 결과와 함께 기록
무결성 제어(§164.312(c)) — 모든 감사 항목에 대한 HMAC-SHA256 변조 감지
전송 보안(§164.312(e)) — 전송 중 TLS; Secrets Vault를 통한 정적 시크릿에 AES-256-GCM
데이터 폐기(§164.310(d)(2)(i)) — GDPR 캐스케이드 삭제 엔드포인트가 모든 데이터 저장소에서 PHI를 영구 제거
BAA 템플릿 — 의료 배포를 위한 비즈니스 제휴 계약 템플릿이 EDDI 문서에 포함

SOC 2 준비

SOC 2 Type II는 신뢰 서비스 기준에 따라 시스템을 평가합니다. EDDI의 아키텍처는 SOC 2 인증을 추구하는 조직을 지원하는 기술적 제어를 제공합니다:

보안 — OIDC/Keycloak 인증, RBAC, Secrets Vault(AES-256-GCM), eval() 제로, 경로 순회 보호, URL 검증
가용성 — NATS JetStream을 통한 수평 확장, 듀얼 데이터베이스 지원(MongoDB/PostgreSQL), Kubernetes 네이티브 배포
처리 무결성 — 작업당 암호화 무결성 검증이 포함된 불변 HMAC 서명 감사 원장
기밀성 — 시크릿 삭제 필터가 감사 항목에서 API 키 및 Vault 참조 제거; SHA-256 가명을 사용한 PII 안전 로깅
개인정보 보호 — 전체 데이터 주체 권리 API(삭제, 내보내기, 제한), 구성 가능한 보존, 처리 제한 제어

글로벌 규정 준수를 위한 하나의 API

위에 나열된 모든 개인정보 보호 규정은 동일한 통합 REST API 및 MCP 도구로 서비스됩니다. 독일에서 GDPR 삭제 요청에 응답하든, 캘리포니아에서 CCPA 삭제 요청에 응답하든, 싱가포르에서 PDPA 접근 요청에 응답하든 — 동일한 엔드포인트가 모든 것을 처리합니다:

DELETE /admin/gdpr/{userId} — 5개 데이터 저장소에 걸친 캐스케이드 삭제(사용자 메모리, 대화, 관리 매핑, 로그, 감사 항목)

GET /admin/gdpr/{userId}/export — 구조화된 JSON으로 전체 사용자 데이터 내보내기(메모리, 대화, 감사 기록)

POST /admin/gdpr/{userId}/restrict — 분쟁 해결을 위해 데이터를 보존하면서 처리 동결

MCP: delete_user_data — AI 오케스트레이션 캐스케이드 삭제(명시적 확인 필요)

MCP: export_user_data — 자동화된 DSAR 워크플로우를 위한 AI 오케스트레이션 데이터 내보내기

전 세계 규제 산업을 위해 구축

의료, 금융 서비스, 정부, 제조 및 기타 규제 부문은 EDDI를 자신 있게 배포할 수 있습니다. 플랫폼은 유럽의 EU AI법과 GDPR부터 미국의 HIPAA, 캐나다의 PIPEDA, 브라질의 LGPD, 일본의 APPI, 남아프리카의 POPIA, 동남아시아의 PDPA까지 15개 이상의 규제 프레임워크에 필요한 투명성, 감사 가능성 및 제어 메커니즘을 제공합니다. 규정 준수는 사후 고려가 아닙니다 — 아키텍처의 기반입니다.