ITDA | 보안·권한·감사 체크리스트(1페이지)

목적
- 내담 기록은 “공유”가 아니라 “동의 기반 제공”이다.
- 동의/권한/추적이 명확할 때만 운영 가능한 형태로 제공한다.

1) 제공 원칙(동의)
- 동의 범위(항목/기간/제공 대상)가 명시되어 있다
- 동의 만료/철회 시 즉시 차단된다
- 동의/권한 불명확=기본 차단(Fail-Closed)

2) 권한(RBAC)
- 역할(원장/상담사/스태프)이 정의되어 있다
- 케이스/센터 단위 접근이 강제된다
- 권한 변경 이력이 남는다(누가/언제/무엇을)

3) 감사로그
- 열람/검색/다운로드/출력 이벤트가 기록된다
- 로그 필드가 일관되다(사용자/시간/대상/행위)
- 운영자가 필요 시 조회할 수 있다

4) 출력(PDF)
- 워터마크/출력 제한/템플릿 정책이 있다
- 출력도 감사로그로 남는다
- 외부 공유 기본값이 보수적이다

빠른 확인 질문(미팅 10분)
- 누가(역할) 어떤 기록을(범위) 언제까지(기간) 볼 수 있나요?
- 다운로드/출력은 허용하나요? 허용한다면 어떤 조건인가요?
- 문제 발생 시 “누가 무엇을 했는지” 1분 내로 확인 가능한가요?

문의(파일럿)
- https://itda-notifications.web.app/#contact