이용약관
제1조 (서비스의 정의와 데이터 흐름에 대한 인지)
DroFi는 이용자가 입력한 팀의 설계 결정·프로세스 콘텐츠를 구조화하고, 그 맥락(다이제스트·export)을 이용자가 직접 선택해 연결한 외부 AI 제공자(Anthropic·OpenAI·Google 등)에게 MCP 표준으로 전달하는 도구입니다. 이용자는 본 서비스의 본질이 "팀 콘텐츠를 외부 AI에 주입하는 통로"임을 인지하며, 이에 따른 데이터 전송에 동의합니다. ※ 본 약관 초안은 법률 자문이 아니며, 정식 시행 전 변호사 검토가 필요합니다.
제2조 (금지된 콘텐츠 입력 — 비밀·민감정보)
이용자는 다음 정보를 노드·메모·계약 필드·첨부·import 문서 등 어떤 형태로도 입력하거나 저장하지 않아야 합니다. (1) 자격증명·비밀정보: API 키, 액세스 토큰, 비밀번호, 개인키·인증서(PEM 등), .env 파일 내용, DB 접속 문자열, 클라우드 시크릿 등. (2) 민감 개인정보: 주민등록번호·여권번호 등 식별번호, 결제 카드번호, 건강·생체 정보 등 관련 법령상 민감정보. DroFi는 시크릿 스캐닝을 보조 수단으로 제공하나 그 완전성을 보장하지 않으며, 위반으로 인한 유출·손해의 책임은 이용자에게 있습니다. DroFi는 탐지 시 해당 콘텐츠를 차단·삭제할 수 있습니다.
제3조 (악성·기만 콘텐츠 금지)
이용자는 AI 에이전트를 조종하려는 프롬프트 인젝션, 악성 지시, 맬웨어 유도, 데이터 탈취 유도 등의 콘텐츠를 입력하지 않습니다. 또한 타인을 사칭하거나 허위 출처로 콘텐츠를 등록하지 않습니다. 대규모 언어모델의 특성상 이러한 위협을 기술적으로 완전히 차단할 수 없으므로, 본 의무는 이용자의 책임으로 명시됩니다.
제4조 (외부 AI 연동 시 데이터 전송 인지·동의)
이용자는 DroFi의 컨텍스트(다이제스트·export)가 이용자가 선택해 연결한 외부 AI 제공자로 전송됨을 인지하고 이에 동의합니다. 해당 제3자 제공자의 약관 및 데이터 처리 방식에 대한 검토·준수는 이용자의 책임입니다. 규제 대상 데이터를 취급하는 경우, 이용자는 온프렘·Enterprise 등 적정한 구성을 사용할 책임이 있습니다.
제5조 (토큰·접근 권한 관리)
이용자는 MCP·액세스 토큰을 공개 저장소에 평문으로 커밋하지 않으며, 환경변수(예: ${CODOC_TOKEN}) 참조 방식을 사용할 것을 권장합니다. 토큰 유출 시 이용자는 즉시 회전·취소할 책임이 있습니다. 워크스페이스·프로젝트 멤버 초대 및 권한(viewer/editor/admin) 관리는 관리자인 이용자의 책임이며, 무단 공유나 권한 오남용을 금지합니다. export 링크는 전체 컨텍스트를 노출할 수 있으므로 신뢰 범위 밖으로 공유하지 않아야 합니다.
제6조 (Import 소스에 대한 책임)
이용자는 신뢰할 수 있는 출처의 문서만 import해야 합니다. 신뢰할 수 없는 문서를 import함으로써 발생하는 간접 프롬프트 인젝션·악성 콘텐츠 유입의 위험은 이용자가 인지하고 부담합니다. DroFi는 import 파서에 안전 장치(안전 파서·크기·시간 제한 등)를 제공하나, 콘텐츠 자체의 신뢰성은 이용자가 판단해야 합니다.
제7조 (책임의 한계 — AI 고유 위험 고지)
대규모 언어모델의 특성상 프롬프트 인젝션·오작동을 완전히 방지할 수 없음을 고지합니다. DroFi는 데이터/지시 분리, provenance 표기, 민감 노드 제외, 시크릿 스캐닝 등 합리적 방어를 best-effort로 제공하나 그 완전성을 보증하지 않습니다. AI 출력 및 에이전트 행위에 대한 최종 검토·승인 책임은 이용자에게 있습니다.
제8조 (보안 조치 및 테넌트 격리)
DroFi는 멀티테넌트 환경에서 모든 객체 접근에 프로젝트 스코프 검증과 Postgres RLS를 적용하여 교차 테넌트 접근(IDOR)을 방어하고, 토큰은 프로젝트에 바인딩되며 read-only를 기본 스코프로 합니다. 계약 변경·export·토큰 사용에 대한 감사 로그를 유지하며, 토큰·다이제스트 본문 등 민감 정보는 로깅 시 레닥션합니다. 다만 이러한 조치는 합리적 보안 노력이며 절대적 안전을 보증하지 않습니다.
제9조 (신고·집행)
DroFi는 보안 취약점 및 악용에 대한 신고 채널(security@drofi.ai 등)을 제공합니다. 본 약관의 보안 조항을 위반할 경우, DroFi는 해당 콘텐츠의 차단, 계정의 일시 정지 등 필요한 조치를 취할 수 있습니다.
제9조의2 (베타 기간의 비밀유지)
본 서비스가 베타(비공개 시험) 기간인 동안, 이용자는 서비스의 기능·화면·구조·성능 및 이용 과정에서 알게 된 비공개 정보를 회사의 사전 서면 동의 없이 제3자에게 공개·누설·전송하지 않습니다. 본 조는 서비스가 일반에 공개되기 전까지 적용되며, 이용자가 본 약관에 동의함으로써 효력이 발생합니다(동의 일시는 기록·보관됩니다). 회사가 공개를 명시적으로 허용한 자료(공식 홈페이지·공개 데모 등)는 제외합니다.
제10조 (관련 문서 및 약관의 효력)
본 약관은 별도의 개인정보처리방침, 데이터 처리 계약(DPA, Enterprise·B2B 대상), 하위 처리자(sub-processor) 목록과 함께 적용됩니다. 본 문서는 제품·보안 관점의 초안 골자로서 법률 자문이 아니며, 정식 약관화 전 반드시 법무 검토를 완료해야 합니다. 위 사항이 확정되기 전까지 본 조항은 운영 가이드로서의 효력을 가집니다.