# 올윈 Trust Review Kit

- 패키지 버전: 0.1
- 발행일: 2026-07-18
- 재검토 예정일: 2026-10-18
- 상태: 비구속 공개 검토본

> 이 패키지는 법률 자문, 체결 가능한 NDA·DPA, 보안 인증서 또는 특정 통제가 이미 구현되었다는 증명이 아닙니다. 실제 계약과 보안 부속서는 고객 환경·배포 방식·처리 데이터·운영 범위를 확인한 뒤 양사 담당자와 법률 전문가가 확정해야 합니다.

## 패키지 구성

1. SEC-01 보안 검토 시작 안내서
2. ARCH-01 배포·데이터 흐름 확인표
3. PRIV-01 DPA 협의 준비표
4. SEC-02 AI SI 보안 질문서
5. QA-01 수용·품질평가 계획서
6. OPS-01 운영·장애·인수인계 계획서
7. LEGAL-01 NDA·계약 검토 준비표

## 권장 사용 순서

1. SEC-01로 대상 업무, 데이터 등급, 승인자, 성공·중단 기준을 정합니다.
2. ARCH-01과 PRIV-01로 데이터 이동, 저장, 외부 처리자, 삭제 책임을 표시합니다.
3. SEC-02로 일반 보안과 AI·RAG·에이전트 특유의 통제를 확인합니다.
4. QA-01로 대표 질문, 근거 준수, 거절, 안전성, 업무 효과의 통과 기준을 합의합니다.
5. OPS-01로 운영 계정, 모니터링, 변경, 장애, 인수인계를 확정합니다.
6. LEGAL-01로 비공개 자료를 공유하기 전 공개 목적과 보호 조건을 확인합니다.

## 공통 의사결정 원장

| 결정 ID | 주제 | 결정 내용 | 근거·문서 | 결정자 | 결정일 | 재검토 트리거 |
|---|---|---|---|---|---|---|
|  |  |  |  |  |  |  |
|  |  |  |  |  |  |  |

## 공통 위험 원장

| 위험 ID | 위험·영향 | 현재 통제 | 남은 위험 | 수용·개선 책임자 | 기한 | 상태 |
|---|---|---|---|---|---|---|
|  |  |  |  |  |  |  |
|  |  |  |  |  |  |  |

## 핵심 확인 질문

### 업무·승인

- [ ] AI가 보조·자동화할 결정과 사람이 반드시 승인할 결정을 구분했는가?
- [ ] 현업 검토자, 보안 승인자, 수용 승인자를 지정했는가?
- [ ] 성공·중단·운영 전환 기준을 수치와 증거로 정의했는가?

### 데이터·배포

- [ ] 원문, 청크, 임베딩, 프롬프트, 응답, 평가셋, 로그, 백업의 위치를 확인했는가?
- [ ] 허용·금지 데이터와 외부 모델 전달 필드를 정했는가?
- [ ] 리전·보유기간·삭제 트리거·삭제 확인 방법을 합의했는가?
- [ ] 외부 처리자와 모델 변경 시 사전 통지·승인 방식을 정했는가?

### AI 품질·안전

- [ ] 대표 질문과 실패 사례를 포함한 평가셋이 있는가?
- [ ] 검색 적중, 근거 일치, 정답성, 거절, 권한 밖 노출을 측정하는가?
- [ ] 에이전트 도구가 허용 목록·최소권한·사람 승인으로 통제되는가?
- [ ] 모델·프롬프트·문서·검색 설정 변경 전 회귀평가를 수행하는가?

### 운영·종료

- [ ] 계정, 패치, 백업, 모니터링, 장애 대응 책임자를 계층별로 정했는가?
- [ ] 서비스 중단·품질 저하·보안 의심의 에스컬레이션 경로가 있는가?
- [ ] 운영 인계 문서와 교육 확인 방법이 있는가?
- [ ] 계약 종료 시 데이터·설정·로그 반환·삭제 절차가 있는가?

## 문서별 편집용 원문

최신 공개본은 Trust Center의 문서 패키지 페이지에서 개별 파일로 받을 수 있습니다.

- `/trust/documents`
- `/trust`

고객 식별정보가 포함된 사례 증거, 프로젝트별 상세 구성, 취약점·운영 계정 정보, 계약 상대방이 표시된 문서는 공개 패키지에 포함하지 않습니다. 이러한 자료는 목적과 열람자를 확인하고 필요한 경우 상호 NDA 이후 제한적으로 제공합니다.
