SFIN PAY 투명경영 보고서 2025
SFIN PAY는 결제 기술 회사가 아니라 신뢰 인프라를 만드는 회사라고 생각합니다.
이 페이지는 서비스 안정성, 정보보호, 준법·컴플라이언스, ESG 활동을 한 눈에 이해할 수 있도록 정리한 공개 보고 허브입니다.
SFIN PAY 투명경영 4대 원칙
모든 정책과 의사결정은 아래 네 가지 원칙을 기준으로 설계·점검합니다.
여신전문금융업법, 전자금융거래법, 개인정보보호법 등 관련 규제 준수를 서비스 설계의 최우선으로 둡니다.
기획 단계부터 암호화·접근통제·로그감사를 반영하며, 사후 보정이 아닌 사전 설계를 지향합니다.
감에 의존하지 않고, 지연·오류·정산 지표를 기반으로 SLA/운영 개선을 반복합니다.
SFIN PAY · 가맹점 · 최종고객이 함께 이익을 보는 구조가 아니라면 사업을 진행하지 않습니다.
지배구조와 책임 체계
투명한 의사결정과 이해관계자 보호를 위해 내부 위원회와 책임 구분을 명확히 운영합니다.
경영위원회
회사의 중장기 전략, 신규 사업, 대규모 투자를 검토·의결하는 기구입니다.
- · 연 4회 정기 회의 + 필요시 수시 소집
- · 리스크·컴플라이언스 보고 정례화
- · 외부 전문가 자문 제도 운영
리스크·보안위원회
정보보호, 서비스 장애, 사기·부정거래 리스크를 통합 관리하는 위원회입니다.
- · 월 1회 정기 리스크 리뷰
- · SEV-1/SEV-2 인시던트 필수 보고
- · 연 1회 이상 모의 침해 대응 훈련
컴플라이언스 책임
관련 법규 및 카드사·금융기관 가이드라인을 준수하기 위한 내부 규정을 제정·개정합니다.
- · 여신전문금융업법·전자금융거래법 검토
- · 개인정보보호·정보통신망법 정기 점검
- · 임직원 대상 연 1회 이상 교육 필수
법규 준수 및 인증 로드맵
국내외 결제·정보보호 규제 환경을 반영해, 단계별 인증 취득과 기준 상회를 목표로 합니다.
국내 규제·가이드라인
- · 여신전문금융업법 및 하위 규정
- · 전자금융거래법 및 감독규정
- · 개인정보보호법·정보통신망법
- · 금융보안원·카드사 보안 가이드라인
※ 실제 라이선스·등록 현황은 계약·검토 단계에서 별도 안내문서로 제공합니다.
정보보호·보안 인증 로드맵
- · ISMS/ISMS-P 수준의 관리체계 설계
- · 결제 데이터 구간 PCI DSS 요구사항 준수 지향
- · 클라우드 인프라(예: ISO 27001 인증 리전) 활용
- · 연 1회 이상 외부 보안 진단 및 취약점 점검
※ 인증 취득·갱신 현황은 추후 별도 공지 및 문서로 갱신됩니다.
서비스 신뢰성 지표 & SLA 기준
가맹점이 안심하고 결제·정산을 운영할 수 있도록 명시적인 서비스 수준 목표를 제시합니다.
월 단위 목표(월간 다운타임 22분 이내)
스케줄 기준 D+0 / D+1 정산 처리 비율
3회 재시도 포함 최종 성공 기준
장애 심각도(Severity) 및 대응 목표
| SEV | 영향도 | 초동 대응 목표 | 커뮤니케이션 원칙 |
|---|---|---|---|
| SEV-1 | 대부분의 결제/정산 기능이 사용 불가 | 5분 이내 온콜·핫라인 가동 | 15분 이내 1차 공지, 30분 간격 진행 상황 공유 |
| SEV-2 | 일부 가맹점·기능에서 지연·제한적 사용 | 15분 이내 대응 담당자 배정 | 30~60분 주기로 상태 페이지/알림 업데이트 |
| SEV-3 | 기능 저하 또는 UI/정산 리포트 상의 오표기 | 다음 배포 주기 내 수정 목표 | 주간 리포트·변경 내역에 반영 |
장애·사고 공개 및 사후 보고
문제를 숨기기보다는, 빠르게 공유하고 투명하게 설명하는 것이 재발 방지의 출발점이라고 믿습니다.
장애 발생 시 공개 원칙
- · SEV-1, SEV-2급 장애는 상태 페이지/공지로 외부에 공개
- · 영향 범위, 기간, 원인 후보, 임시 완화 조치 명시
- · 완전 복구 후, 재발 방지 대책을 포함한 요약 보고 공유
- · 주요 가맹점에는 1:1 상세 보고서 제공 가능
포스트모템(Postmortem) 원칙
- · 개인 비난이 아닌, 프로세스·시스템 관점에서 원인 분석
- · “어떻게 막을 수 있었는가?”에 초점을 둔 액션 도출
- · 재발 방지 과제의 담당자·기한을 명시해 추적
- · 중요 장애는 가맹점/파트너와 공유 가능한 버전으로 정리
인시던트 타임라인 예시 (공개용 서술 포맷)
- [00:00] 일부 가맹점에서 결제 승인 지연 증가 탐지 (p95 지연 3초 → 8초)
- [00:05] SEV-2로 분류, 온콜·리스크·CS 채널에 동시 알림
- [00:12] 외부 카드사 게이트웨이 지연 확인, 우회 라우팅 비율 상향
- [00:25] 승인 성공률·지연 시간 정상화, 대기 요청 백필 처리 시작
- [01:10] SEV-2 종료 선언, 24시간 이내 포스트모템 초안 배포
정보보호 및 개인정보 보호 체계
정산 계좌·결제 정보·개인 정보는 SFIN PAY가 가장 먼저 지켜야 할 자산입니다.
데이터 보호
- · 전 구간 TLS 암호화(HTTPS) 통신
- · 저장 시 민감 정보 암호화(계좌·주민번호 등)
- · 최소 권한 원칙(권한·역할 기반 접근제어)
- · 중요 데이터 접근 내역 전량 로깅·점검
내부 통제
- · 신규 입사 시 정보보호·개인정보 교육 필수 수료
- · 외부 반출·스크린샷·다운로드 정책 명시
- · 계정 공유 금지 및 2단계 인증 적용
- · 퇴사·이동 시 접근 권한 즉시 회수
개인정보 처리 원칙
- · 목적 외 이용·제공 금지, 최소 수집 원칙 준수
- · 보유 기간 경과 후 안전한 파기 절차 운영
- · 마케팅 활용 시 명시적 동의 및 옵트아웃 제공
- · 개인정보처리방침을 통해 처리 현황 상시 공개
리스크 관리와 사기·부정거래 방지
유동성 상품·정산 구조·결제 패턴을 함께 보며, 건전한 거래 흐름을 유지하는 것을 목표로 합니다.
사전 심사 · 모니터링
- · 업종·매출 규모·정산 주기·유동성 이용 패턴을 종합 심사
- · 고위험 업종·비정상 패턴에 대한 추가 서류·확인 절차
- · 월 단위 매출·취소·차지백 비율 모니터링
- · 이상 징후 발견 시 정산 보류·추가 확인 프로세스 운영
탐지·차단 체계
- · 동일 IP/카드/기기 반복 결제 패턴 점검
- · 비정상 고액 결제·짧은 주기의 취소 비율 모니터링
- · 특정 기준 이상 위험도 시 추가 인증 또는 차단 처리
- · 가맹점과의 리스크 공유·설명 체계 운영
ESG 및 사회적 책임
결제 인프라는 일상의 기반이기 때문에, SFIN PAY는 기술적 효율 이상의 가치를 추구합니다.
환경(E)
- · 클라우드 인프라 활용으로 데이터센터 효율성 극대화
- · 페이퍼리스 정산·명세서 기능으로 종이 사용 절감
- · 온라인 보고·원격 회의 우선 운영
사회(S)
- · 영세·소상공인 대상 합리적 수수료 체계 설계 지향
- · 교육·비영리 영역에 대한 별도 지원 프로그램 검토
- · 금융 취약 계층을 고려한 고객 안내 문구 설계
지배구조(G)
- · 이해상충 가능성이 있는 제휴·상품에 대한 사전 검토
- · 가맹점·파트너의 의견을 반영하는 피드백 채널 운영
- · 주요 정책 변경 시 사전 고지 원칙 준수
관련 문서 및 FAQ
세부적인 정책·지표·절차는 아래 자료를 통해 보다 깊이 있게 확인하실 수 있습니다.
문서·레포트 예시
- · 투명경영 개요자료 (요약 PDF)
- · 장애·사고 공지 샘플 템플릿
- · 정보보호·개인정보 보호 정책 요약본
- · 정산·유동성 상품 구조 설명 자료
실제 계약·검토 시에는 개별 NDA 체결 후, 보다 상세한 정책·지표 자료를 제공합니다.
자주 묻는 질문(FAQ)
- Q. 실제 SLA·가용성 수치는 어떻게 확인할 수 있나요?
→ 가맹 계약 시 월간·분기별 통계 자료를 제공하며, 장애 발생 시 별도 리포트를 공유합니다. - Q. 사고가 났을 때 손해 보상 기준은 어떻게 되나요?
→ 개별 계약서 및 약관에서 보상 한도·범위를 명시하고, 실제 상황에 따라 협의합니다. - Q. 유동성 상품(매출 기반 단기 자금)의 리스크 관리는 어떻게 하나요?
→ 매출 흐름·카드사 리스크 신호·업종 특성을 함께 보고 한도·수수료·정산 속도를 조정합니다.
더 깊이 있는 자료가 필요하신가요?
SFIN PAY의 투명경영·보안·정책에 대해 보다 구체적인 수치·지표·자료가 필요하시다면,
전담 매니저를 통해 별도의 설명·자료 제공 미팅을 요청하실 수 있습니다.