후추랩(이하 “회사”)은 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 본 처리방침을 수립·공개합니다.
제1조 (수집하는 개인정보 항목 및 수집 방법)
1.1 회원가입 시 (카카오 OAuth)
회원이 카카오 동의 화면에서 직접 동의·제공하는 항목입니다. 항목별로 필수/선택 여부가 다르며, 본 서비스는 다음과 같이 받습니다.
- 필수: 카카오 식별자(고유 ID), 닉네임, 카카오계정(이메일)
- 선택: 프로필 사진, 이름※ 회원이 카카오 동의 화면에서 별도 동의한 항목만 수신합니다. 프로필 사진은 동의 시 수신만 하며 화면 표시 등 별도 활용 없이 보관됩니다.
- 수집하지 않는 항목: 생일(월/일) 등 그 외 카카오 계정 정보
- 자동 수집: 접속 일시, 접속 IP (보안 및 부정 이용 방지 목적)
1.2 결제(주문 생성) 시
- 입금자명 접두어 (회원이 직접 입력, 무통장입금 매칭용)
- 입금 일시, 입금 금액
- 본인확인기관(KMC 등) 제공 식별 정보 — 연계정보(CI) 단방향 해시값, 중복가입확인정보(DI) 단방향 해시값, 인증 일시, 인증 방법(휴대폰/PASS/공동인증서 등), 통신사명※ 원본 식별 정보는 보관하지 않으며, 회원 식별 비교가 가능한 단방향 해시값(SHA-256 + 서버 시크릿)만 안전하게 저장합니다. 본 정보는 동일 회원의 중복 가입 방지 및 만 19세 이상 확인 목적으로만 활용됩니다.
※ 회사는 회원의 실명·주민등록번호·계좌번호·신용카드 정보를 직접 수집하지 않습니다.
1.3 수집 방법
카카오 OAuth 인증 화면을 통해 회원이 직접 동의·제공하는 방식으로 수집하며, 입금자명은 결제 단계에서 회원이 입력합니다.
제2조 (개인정보의 처리 목적)
- 회원 식별 및 로그인 기능 제공
- 유료 서비스(추출 조합 구매) 이용 시 만 19세 이상 이용 자격 확인 — 본인확인기관(KMC 등)이 제공하는 본인확인서비스를 통한 본인 및 성인 확인 (청소년 보호 정책 참조)
- 주문·결제 관리 및 입금 확인
- 추출 결과(조합) 생성·전달
- 고객 문의 응대 및 환불 처리
- 부정 이용 방지 및 서비스 안정 운영
- 법령상 의무 이행(전자상거래법, 통신판매법 등)
제3조 (개인정보의 보유 및 이용 기간)
회사는 회원 탈퇴 시 즉시 개인정보를 파기합니다. 단, 관계 법령에 따라 다음 기간 동안 보관이 필요한 정보는 별도 보관합니다.
| 보관 항목 | 기간 | 근거 |
|---|---|---|
| 계약·청약철회 기록 | 5년 | 전자상거래법 |
| 대금 결제·재화 공급 기록 | 5년 | 전자상거래법 |
| 소비자 불만·분쟁 처리 기록 | 3년 | 전자상거래법 |
| 접속 로그 | 3개월 | 통신비밀보호법 |
위 보관 항목은 개인을 식별할 수 있는 정보(이름·연락처·계정 식별자 등)를 제외한 거래 기록으로 보관되며, 각 보관 기간이 지나면 지체 없이 파기됩니다. 파기는 자동화된 절차에 따라 정기적으로 이루어집니다.
제4조 (개인정보 처리의 위탁)
회사는 서비스 운영에 필요한 업무를 다음과 같이 위탁하며, 위탁 계약 체결 시 개인정보 보호 관련 의무를 명시하고 있습니다.
| 수탁자 | 위탁 업무 | 국가 |
|---|---|---|
| Kakao | 카카오 OAuth 로그인 인증 | 대한민국 |
| Supabase Inc. | 회원 인증 세션, 회원·주문 데이터베이스 보관 | 미국 |
| Vercel Inc. | 프론트엔드 호스팅 및 분석 백엔드 호스팅 | 미국 |
| 넥스트클라우드(주) (Cloudtype) | 인증·주문·결제 BFF 호스팅 (개인정보 처리 영역) | 대한민국 |
| 본인확인기관(KMC 등) | 유료 서비스(추출 조합 구매) 이용 시 회원 본인 확인 및 만 19세 이상 성인 확인 | 대한민국 |
제5조 (개인정보의 국외 이전)
회사는 안정적이고 효율적인 서비스 제공을 위해 일부 개인정보를 국외로 이전합니다. 회원이 회원가입 및 본 처리방침 동의 시 본 항에 대한 동의도 함께 한 것으로 봅니다.
| 이전받는 자 | 이전 항목 | 이전 일시·방법 | 이전 국가 |
|---|---|---|---|
| Supabase Inc. | 회원 식별자, 닉네임, 카카오계정(이메일), 프로필 사진(선택), 이름(선택), 주문 기록 | 서비스 이용 시 즉시 / 네트워크 전송 | 미국 |
| Vercel Inc. | 서비스 접속 로그, 분석 요청 메타데이터 | 페이지 호출 시 즉시 / 네트워크 전송 | 미국 |
회원은 회원가입을 거부함으로써 국외 이전에 동의하지 않을 수 있으나, 이 경우 서비스 이용이 제한됩니다.
제6조 (정보주체의 권리·의무)
회원은 언제든지 다음 권리를 행사할 수 있습니다.
- 개인정보 열람 요구
- 오류 등이 있을 경우 정정 요구
- 삭제 요구 (단, 법령상 보관 의무가 있는 정보는 제외)
- 처리 정지 요구
- 회원 탈퇴 (마이페이지 또는 고객센터 요청)
권리 행사는 서면, 전자우편 등을 통해 가능하며, 회사는 이에 대해 지체 없이 조치합니다.
제7조 (개인정보의 안전성 확보 조치)
- 접근 통제: 개인정보 처리 시스템(Supabase)에 Row-Level Security(RLS) 적용, 어드민 인증은 JWT 토큰 검증.
- 암호화 통신: 모든 통신은 HTTPS(TLS 1.2 이상)로 전송.
- 인증·결제 분리: 인증·주문 BFF는 한국 리전(Cloudtype)에서 처리하여 개인정보 한국 내 처리 원칙 준수.
- 접속 기록 관리: 시스템 접속 로그를 보관하여 부정 접근 시도 모니터링.
- 비인가자 접근 방지: 어드민 사용자 ID 화이트 리스트로 제한.
제8조 (쿠키 등 자동 수집 도구)
회사는 로그인 세션 유지를 위해 Supabase 인증 쿠키를 사용합니다. 광고·트래킹 목적의 쿠키는 사용하지 않습니다.
- 회원은 브라우저 설정에서 쿠키 저장을 거부할 수 있습니다.
- 다만 쿠키 저장을 거부할 경우 로그인 기능을 사용할 수 없습니다.
제9조 (개인정보 보호책임자)
회사는 개인정보 처리에 관한 업무를 총괄하여 책임지고, 정보주체의 불만 처리 및 피해 구제를 위하여 다음과 같이 보호책임자를 지정합니다.
- 성명
- — (대표자 겸임)
- 소속
- —
- 연락처
- —
제10조 (권익 침해에 대한 구제 방법)
개인정보 침해로 인한 신고·상담이 필요한 경우 다음 기관에 문의하실 수 있습니다.
- 개인정보분쟁조정위원회 — 1833-6972 (privacy.go.kr)
- 개인정보침해신고센터 — 118 (privacy.kisa.or.kr)
- 대검찰청 — 1301 (spo.go.kr)
- 경찰청 — 182 (ecrm.cyber.go.kr)
제11조 (처리방침의 변경)
본 방침은 시행일자로부터 적용되며, 법령 및 회사 내부 방침의 변경에 따라 내용을 개정할 수 있습니다. 변경 시 시행일자 7일 전부터 서비스 내 공지합니다.
부칙
본 처리방침은 2026-06-27 부터 적용됩니다. 가입 단계는 만 19세 이상 자기 선언으로 1차 차단을 운영하며, 유료 서비스(추출 조합 구매) 이용 시점에 본인확인기관(KMC 등) 본인확인서비스를 통한 본인 및 성인 확인을 수행합니다. 회사는 본 처리방침의 변경 시 시행일자 7일 전부터 서비스 내 공지합니다.
주요 개정 이력:
· 2026-06-27 — 카카오 수집 항목 축소: 출생연도·전화번호·성별· 연령대 수집 중단(가입 OAuth 동의항목에서 제거). 해당 정보는 저장· 이용하지 않으며, 만 19세 이상 확인은 본인확인기관(KMC 등) 본인확인서비스로 일원화. §1.1·§2·§5(국외 이전 항목) 갱신.
· 2026-05-28 — 본인확인 시점 변경: 회원가입 단계의 본인확인 의무를 유료 서비스(추출 조합 구매) 이용 시점으로 이동(§1.1 · §2 · §4 개정). §1.2 결제 시 수집 항목에 본인확인기관 식별 정보 (CI/DI 단방향 해시값 + 인증 메타) 신규 추가. KMC 발급 옵션 정정 — CI/DI 모두 발급되며 SHA-256 + 서버 시크릿 salt 단방향 해시값 으로만 저장 (정보통신망법 제23조의5 안전성 확보).
· 2026-05-26 (hotfix b) — Supabase Auth Kakao Provider 분리 scope 정책 반영에 따른 수집 항목 보강: 선택 동의에 '프로필 사진' 추가 (§1.1 + §5 동기화). PIPA 최소 수집 원칙 부합 — 회원이 동의 거부 해도 가입 가능, 회사는 데이터 사용 안 함.
· 2026-05-26 — 본인확인기관(KMC 등) 본인확인서비스 도입에 따른 만 19세 검증 방식 표기 변경(§1·§2·§4). 카카오 출생연도 수집은 유지하되 처리 목적을 회원 식별 보조 및 거래 안내로 명확화. 위탁 처리자에 본인확인기관 추가.
· 2026-05-26 (보완) — 닉네임 항목을 필수에서 선택으로 변경 (§1.1 · §5 표 갱신).
· 2026-05-26 — 카카오 동의항목 확장(이름·출생연도·전화번호 필수 + 성별·연령대 선택) 반영, 만 19세 이상 이용 자격 확인 목적 추가, 국외 이전 항목 갱신.
· 2026-05-09 — 최초 시행.