AIIncode.labsAI GRC Center준비 중
AIAI GRC Center

Trust Center

Trust Center

AI를 막는 제품이 아니라, 허용 가능한 경로로 보내는 제품입니다.

AI GRC Center는 채팅과 API 호출을 승인된 Gateway로 모으고, 정책 검사, 민감정보 탐지, 사용량, audit evidence를 남겨 기업이 AI 사용을 설명할 수 있게 합니다.

Current readinessDev SaaS ready

로컬 MVP를 넘어 dev.ai-grc.center 배포, Gateway trace, signed evidence, 플랜 한도, BYOK 운영 흐름까지 준비된 상태입니다.

데이터 보관Implemented

기본 보관 기간은 tenant retentionDays 기준입니다. 운영 화면에는 request id, 모델, 토큰, latency, 탐지 유형, 정책 결과를 남기고 원문/응답 전문 저장은 기본 비활성 옵션으로 둡니다.

BYOK keyImplemented

회사별 Provider key는 암호화 저장되고 마스킹된 preview만 UI에 노출합니다. dev/prod 운영 secret은 GCP Secret Manager에 두고, 고객 BYOK는 회전/테스트/폐기 이력을 audit로 남깁니다.

Gateway auditImplemented

Gateway 호출은 UsageLog와 AuditLog에 연결되며, 관리자는 request id 기준으로 latency p95, token, 정책 차단, provider 오류, trace quality를 추적합니다.

Evidence exportImplemented

리포트는 NIST AI RMF와 OWASP LLM Top 10 매핑, customer-visible evidence pack, HMAC signature, v1/v2 snapshot compare를 제공합니다.

운영 배포Dev ready

dev.ai-grc.center는 Cloud Run, Cloud SQL, Redis, Secret Manager, shared HTTPS LB 패턴으로 구성됩니다. GitHub Actions는 Workload Identity secrets가 연결되면 remote smoke gate로 동작합니다.

Incident responseImplemented

Provider 장애, key 오용, 정책 오탐, 고객 데이터 요청은 AuditLog와 Evidence pack을 기준으로 추적합니다. SEV 기준, 응답 목표, 고객 evidence 항목을 문서화했습니다.

Security questionnaireImplemented

구매자가 묻는 BYOK, tenant isolation, key rotation, evidence verification, 비용 비노출, 배포 통제 질문에 답하는 보안 질문지 패키지를 제공합니다.

Framework mapping

구매자가 묻는 보안/거버넌스 질문에 바로 연결됩니다.

NIST AI RMFGovern, Map, Measure, Manage

AI 사용 신청, 정책 동의, 탐지 룰, usage trace, 리포트

OWASP LLM Top 10Prompt Injection, Sensitive Information Disclosure, Excessive Agency

민감정보/Secret 탐지, 차단 사유, 승인 workflow, Gateway audit

Enterprise procurementSecurity posture, data handling, admin control

BYOK key 관리, token 회전/폐기, 역할 기반 권한, Trust Center

GCP operationsCloud Run, Cloud SQL, Redis, Secret Manager, Workload Identity

dev/prod Secret Manager, remote smoke, deploy summary, Cloud Run revision

5 minute demo

짧은 데모에서 보여줄 구매 포인트

  1. 개인/회사 가입 후 회사 관리자가 Gateway Project와 API key를 발급합니다.
  2. 개발자는 OpenAI SDK의 baseURL과 apiKey만 바꿔 테스트 호출을 실행합니다.
  3. 정책 위반 프롬프트는 차단되고, 정상 호출은 trace detail에 request id로 남습니다.
  4. 관리자는 리포트에서 NIST/OWASP evidence와 사용량 흐름을 확인합니다.
  5. Trust Center에서 데이터 보관, BYOK, audit, 운영 준비 상태를 설명합니다.

Incident and procurement

도입 검토 때 바로 넘길 수 있는 운영 문서

Incident/SLA

SEV-1/2/3 기준, 응답 목표, evidence export 기준, 고객 커뮤니케이션 절차를 정리했습니다.

Incident 문서
Security questionnaire

BYOK, key rotation, tenant isolation, evidence verification, 배포 통제 질문에 대한 표준 답변입니다.

보안 질문지
Evidence verification

고객이 받은 Evidence pack JSON을 공개 검증 페이지에서 확인할 수 있습니다.

검증 페이지

Data policy

구매자가 확인하는 데이터 처리 기준

Prompt handling

정책 검사와 감사에 필요한 metadata 중심으로 저장하고, 원문 저장은 tenant 설정으로 분리합니다.

Secret handling

서비스 secret은 GCP Secret Manager에 저장하고, 고객 BYOK key는 UI에서 원문을 재노출하지 않습니다.

Evidence handling

고객 공개 evidence pack에는 내부 원가와 raw provider key가 포함되지 않으며 signature와 snapshot hash를 제공합니다.