LEGAL · PRIVACY POLICY

개인정보처리방침 (Privacy Policy)

v1.1.1·최종 업데이트 2026-05-16

개인정보처리방침

주식회사 하우앤컴퍼니(이하 "회사")는 Veacon 서비스(이하 "서비스") 이용자의 개인정보를 중요시하며, 「개인정보 보호법」(이하 "PIPA"), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "정보통신망법"), 「전자상거래 등에서의 소비자보호에 관한 법률」(이하 "전자상거래법") 을 준수합니다. EU·UK 거주자에게는 GDPR · UK GDPR 이 추가로 적용되며, 제15조에서 별도로 안내합니다.

제1조 (수집하는 개인정보 항목)

회사는 서비스 제공을 위해 다음의 최소 개인정보를 수집·이용합니다.

1-1. 회원 가입 및 인증 시

항목	저장 형태	수집 방법	필수/선택
Syncle SSO 식별자 (이메일의 SHA-256 해시)	해시 (복원 불가)	통합회원 (Syncle SSO)	필수
연락용 이메일 주소 (`contact_email`)	평문 (트랜잭션 발송·청구 의무 이행 위해 필수)	직접 가입 또는 온보딩 시 입력	필수
이름·닉네임	평문	직접 입력	선택
회사명·역할 (segmentation)	평문	온보딩 시 입력	선택

SSO 검증용 식별자는 SHA-256 해시로만 저장되어 복원이 불가능하며, 연락·과금·계약 이행을 위한 contact_email 은 별도로 평문 저장됩니다. 두 값은 서로 다른 테이블(external_users.email_hash 와 intel.api_consumers.contact_email)에 보관됩니다.

1-2. 결제 및 과금 시 (Stripe 위탁)

항목	회사 저장	Stripe 위탁	필수/선택
결제 수단 (카드번호·CVC·유효기간)	저장하지 않음	저장 (PCI-DSS 환경)	필수
카드 브랜드·끝 4자리 (마스킹)	Stripe API 응답에서 일시 표시, 회사 DB 미저장	저장	필수
청구지 주소·세금계산서용 사업자등록번호	저장하지 않음	저장	법인 고객 시 필수
Stripe 고객 ID (`stripe_customer_id`)	저장 (구독 식별 키)	저장	필수

원본 카드번호·CVC·유효기간은 회사가 일체 저장하지 않으며, Stripe 가 PCI-DSS Level 1 환경에서 직접 보관합니다. 회사는 Stripe 고객 ID 와 구독 ID 만 보관하여 결제 상태를 매핑합니다.

1-3. 서비스 이용 과정에서 자동 수집

API 호출 로그: 시각, 엔드포인트, 응답 코드, 응답 시간, IP 주소, User-Agent
인증 쿠키 (veacon_session, veacon_refresh) — 상세는 쿠키 정책 참조
장애·오류 로그 (Sentry breadcrumb, stack trace, IP, 인증된 사용자 ID)
집계 페이지뷰·디바이스·국가 (Vercel Web Analytics — cookieless, IP 는 해시 후 폐기)

제2조 (개인정보의 수집 및 이용 목적)

회사는 수집한 개인정보를 다음 목적으로만 이용합니다. 각 목적별 처리 근거는 제16조에서 매핑합니다.

서비스 제공 및 계약 이행: 회원 가입, API Key 발급, 플랜별 이용 권한 부여
과금 및 정산: 구독 결제, 세금계산서 발행, 환불 처리
고객 지원: 문의 응답, 이상 호출 감지 시 연락
서비스 안정성: 에러·오류 추적, 보안 사고 대응
서비스 개선 및 통계: 익명화된 집계 분석 (k-anonymity ≥ 3, 개별 식별 불가)
법령상 의무 이행: 전자상거래법, 정보통신망법 등

제3조 (개인정보의 보유 및 이용 기간)

개인정보는 수집 및 이용 목적이 달성된 후 지체 없이 파기합니다. 다만, 관련 법령에 따라 다음 기간 동안 보관합니다.

보관 대상	근거	보관 기간
계약·청약철회 등에 관한 기록	전자상거래법 제6조	5년
대금결제·재화 공급 기록	전자상거래법 제6조	5년
소비자 불만·분쟁처리 기록	전자상거래법 제6조	3년
보안 사고 대응 로그 (접근 기록 등)	정보통신망법 시행령 제15조의2	최소 6개월
API 호출 로그 (IP·UA 포함)	서비스 운영 목적	최대 12개월
에러 추적 로그 (Sentry)	서비스 안정성	90일 (Sentry 보존 정책)
트랜잭션 이메일 발송 로그 (Resend)	발송 기록 보관	30일 (Resend 보존 정책)
계정 삭제 후 사용량·로그	셀프 삭제 SLA	30일 후 영구 삭제 (활성 구독 선해지 필요)

제4조 (개인정보의 제3자 제공)

회사는 원칙적으로 이용자의 개인정보를 외부에 제공하지 않습니다. 다만, 아래의 경우에는 예외로 합니다.

이용자가 사전에 동의한 경우
법령의 규정 또는 수사 목적으로 법령에 정한 절차와 방법에 따라 수사기관의 요구가 있는 경우

통합회원 (Syncle SSO) 인증 위임: Veacon 은 Syncle 과 통합회원 체계를 운영하며, 하나의 계정으로 양 서비스에 로그인할 수 있습니다. 이용자의 Syncle 계정 JWT 는 Syncle Supabase /auth/v1/user 엔드포인트로 재전달되어 검증됩니다. 이는 PIPA 의 "인증 위탁" 에 해당하며 제3자 제공이 아닙니다. Syncle 의 개인정보 처리는 Syncle 의 개인정보처리방침을 따릅니다.

제5조 (개인정보 처리 위탁)

회사는 서비스 운영을 위하여 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다. 모든 수탁업체는 GDPR Standard Contractual Clauses (SCC) 또는 동등한 데이터 처리 계약 (DPA) 을 체결하고 있습니다.

수탁업체	본사	데이터 처리 리전	위탁 업무	위탁받는 정보
Supabase Inc.	미국	한국 (AWS `ap-northeast-2`, Seoul)	데이터베이스·인증 호스팅	이메일 해시·평문, 회사명, Stripe 고객 ID, API Key 해시, 사용량
Vercel Inc.	미국	글로벌 edge (한국 사용자는 ICN edge); 함수는 사용자 가까운 리전	서버리스 런타임 + 페이지뷰 집계 (Vercel Web Analytics, cookieless)	IP (해시 후 폐기), User-Agent, Referrer, Path
Upstash Inc.	미국	일본 (AWS `ap-northeast-1`, Tokyo)	Rate Limit / JWT 캐시 (Redis)	API Key 해시, IP 기반 카운터, JWT 캐시
Stripe Inc.	미국	글로벌 (주 데이터센터 미국)	결제 처리	결제 수단, 청구지, 청구 이메일, 사업자등록번호, 금액
Resend Inc.	미국	일본 (AWS SES Tokyo 경유)	트랜잭션 이메일 발송	평문 이메일 주소, 발송 내용, 발송 로그 (30일)
Functional Software, Inc. (Sentry)	미국	미국	에러·예외 추적	Stack trace, breadcrumb (URL, 클릭 대상), IP, 인증된 사용자 ID

Veacon 의 핵심 운영 데이터 (Supabase 의 사용자 계정·API Key·사용량·결제 메타데이터) 는 한국 (Seoul, ap-northeast-2) 에서 처리됩니다. 데이터 residency 가 요구되는 기관 고객의 평가에 활용 가능합니다.

회사는 수탁업체를 정기적으로 감사하며, 위탁 항목의 변경이 있을 경우 제14조의 절차에 따라 사전 공지합니다.

제6조 (국외 이전)

제5조에 명시된 수탁업체의 본사는 모두 미국에 소재하며, 일부 데이터는 미국·일본 리전에서 처리됩니다. Supabase 의 핵심 운영 데이터는 한국 리전에서 처리되나, 본사 (미국) 의 운영·기술 지원을 위한 부수적 접근이 발생할 수 있어 PIPA 제28조의8 의 국외 이전 범주에 포함됩니다.

이전 국가별 분포:
- 미국: Sentry (에러 추적), Stripe (결제), 그리고 모든 수탁업체의 본사 차원 부수적 접근
- 일본: Upstash (Tokyo, rate limit · JWT 캐시), Resend (Tokyo, 트랜잭션 메일)
- 한국: Supabase (Seoul, 핵심 운영 데이터)
이전 방법: HTTPS (TLS 1.3) 및 암호화된 API 호출
이전 시점: 서비스 이용 과정에서 실시간
이전 목적: 제2조의 서비스 제공 목적
이전 안전조치: GDPR Standard Contractual Clauses (SCC) 또는 데이터 처리 계약 (DPA) 체결, 전송 구간 암호화 (TLS), 저장 시 표준 암호화
이전 정보 관리자 연락처: hello@veacon.io

이용자는 제8조의 권리 행사 방법에 따라 국외 이전 거부를 요청할 수 있으나, 이 경우 서비스 이용이 제한될 수 있습니다.

제7조 (개인정보의 파기 절차 및 방법)

파기 절차: 보유 기간 경과 또는 처리 목적 달성 시 별도의 데이터베이스로 옮겨져(종이 문서의 경우 별도의 서류함) 내부 방침 및 관련 법령에 따라 일정 기간 저장된 후 파기됩니다.
파기 방법: 전자적 파일 형태는 복원 불가능한 방법으로 삭제하며, 종이 문서는 분쇄하거나 소각합니다.

제8조 (이용자의 권리)

이용자는 언제든지 다음의 권리를 행사할 수 있습니다.

개인정보 열람 요구
오류 정정 요구
삭제 요구
처리 정지 요구
개인정보 이동 요구 (전자적 파일 형태)

행사 방법: hello@veacon.io 로 요청하거나 대시보드의 Danger Zone 에서 직접 접수.

처리 기한:

대한민국 거주자: PIPA 제35조에 따라 10일 이내 처리
EU·UK 거주자: GDPR 제12조 제3항에 따라 1개월 이내 처리 (복잡한 경우 추가 2개월 연장 가능, 연장 시 사전 통지)

제9조 (자동 수집 장치 — 쿠키 등)

회사는 이용자의 로그인 세션 유지 및 서비스 이용 편의를 위하여 쿠키 (veacon_session, veacon_refresh) 를 사용합니다. 광고 추적·마케팅 픽셀·식별 가능한 분석 쿠키는 사용하지 않습니다. 상세 내용은 쿠키 정책 을 참조하시기 바랍니다.

제10조 (개인정보의 안전성 확보 조치)

회사는 개인정보 보호를 위해 다음 조치를 취하고 있습니다.

전송 구간 암호화: 모든 통신은 TLS 1.3 이상으로 암호화됩니다.
저장 데이터 암호화: Supabase (AWS RDS) 의 표준 저장 암호화 (AES-256) 및 디스크 수준 암호화를 활용합니다.
API Key 해싱: 이용자의 API Key 는 SHA-256 해시 (BYTEA) 로만 저장되며, 평문은 발급 시점 1회 표시 이외에 복원 불가합니다.
인증 토큰 보호: 세션·refresh 쿠키는 HttpOnly · Secure · SameSite=Lax 속성을 강제합니다.
접근 제한: 개인정보 처리 시스템 접근은 업무상 필요한 최소 인원에게만 권한을 부여하며, 관리자 작업은 감사 로그로 기록됩니다.
접근 기록 관리: 시스템 접근 기록은 최소 6개월 이상 보관, 위변조 방지 조치를 합니다.
k-anonymity: 제공되는 집계 데이터는 k ≥ 3 (출시 후 5로 상향)을 강제하여 개별 매물 식별이 불가능합니다 (db/migrations/20260421000001_intel_schema.sql 참조).
정기 보안 점검: 분기 1회 내부 보안 감사. 외부 침투 테스트는 2027년부터 연 1회 실시 예정.

제11조 (만 14세 미만 아동의 개인정보)

회사는 만 14세 미만 아동의 개인정보를 수집하지 않습니다. 서비스는 법인·연구기관의 B2B 이용자를 대상으로 하며, 가입 시 만 14세 이상이자 법인 임직원임을 약관으로 전제합니다. 회사가 만 14세 미만의 가입 사실을 인지한 경우, 즉시 계정을 폐지하고 수집된 모든 개인정보를 파기합니다.

제12조 (개인정보 보호책임자)

회사는 이용자의 개인정보를 보호하고 개인정보와 관련한 불만 처리를 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

성명: 박진희
직위: 대표이사
이메일: hello@veacon.io
전화: 0507-1367-0463

제13조 (권익 침해 구제 방법)

이용자는 개인정보 침해로 인한 구제를 받기 위하여 아래 기관에 문의할 수 있습니다.

개인정보보호위원회 (PIPC) — privacy.go.kr / 국번없이 182
개인정보침해 신고센터 (KISA) — privacy.kisa.or.kr / 국번없이 118
개인정보분쟁조정위원회 — www.kopico.go.kr / 1833-6972
대검찰청 사이버수사과 — spo.go.kr / 국번없이 1301
경찰청 사이버수사국 — ecrm.police.go.kr / 국번없이 182

제14조 (개정 및 통지)

중대한 변경 (새 수탁업체 추가, 처리 목적 변경, 국외 이전 추가, 보존기간 연장, 이용자에게 불리한 변경): 시행 30일 전 본 페이지·대시보드 알림·개별 이메일을 통해 사전 통지.
경미한 변경 (오타, 문구 정리, 법령 인용 갱신): 본 페이지의 "최종 업데이트" 일자만 갱신.
모든 개정 이력은 GitHub 저장소의 commit 기록을 통해 추적 가능합니다.

제15조 (EU · UK 거주자 추가 권리 — GDPR · UK GDPR)

EU·UK 거주자에게는 본 정책과 함께 GDPR · UK GDPR 이 적용되며 다음의 추가 권리가 인정됩니다.

열람권 (Art. 15) · 정정권 (Art. 16) · 삭제권 / 잊혀질 권리 (Art. 17)
처리 제한권 (Art. 18) · 데이터 이동권 (Art. 20) · 반대권 (Art. 21)
자동화된 결정의 대상이 되지 않을 권리 (Art. 22)

회사는 EU 내에 사업장이 없으며, 한국 본사 (하우앤컴퍼니 주식회사) 가 처리자로서 책임을 집니다. 이용자는 거주 회원국의 감독기관 (Data Protection Authority) 에 진정을 제기할 수 있습니다. UK 거주자는 ICO (ico.org.uk) 에 진정할 수 있습니다.

EU·UK 국외 이전 보호장치: 모든 미국 소재 수탁업체 (제5조) 와 EU 표준계약조항 (Standard Contractual Clauses, SCC) 또는 동등한 데이터 처리 계약 (DPA) 을 체결하고 있습니다.

제16조 (처리 근거 — GDPR Art. 6 · PIPA 제15조)

각 처리 목적별 법적 근거는 다음과 같습니다.

처리 목적	GDPR 근거	PIPA 근거
회원 가입·API Key 발급·서비스 제공	Art. 6(1)(b) 계약 이행	제15조 제1항 제4호 (계약 이행)
결제·세금계산서 발행	Art. 6(1)(b) 계약 이행 + Art. 6(1)(c) 법적 의무	제15조 제1항 제2호 (법령 의무)
보안 사고 대응·로그 보관	Art. 6(1)(f) 정당한 이익	제15조 제1항 제6호 (정당한 이익)
익명화 집계 분석	Art. 6(1)(f) 정당한 이익	제15조 제1항 제6호
향후 마케팅 발송 (현재 미실시)	Art. 6(1)(a) 동의	정보통신망법 제50조 (별도 동의)

제17조 (개인정보 침해 통지)

회사는 개인정보 침해 사고 발생 시 다음 절차에 따라 통지합니다.

PIPA 제34조 (2023 개정): 1,000명 이상의 정보주체 개인정보가 유출된 것을 알게 된 경우, 72시간 이내 한국인터넷진흥원 (KISA) 에 신고하고 정보주체에게 통지합니다.
GDPR Art. 33-34 (EU 거주자 대상): 감독기관에는 72시간 이내 신고, 고위험으로 판단되는 경우 정보주체에게도 부당한 지체 없이 통지합니다.
통지 내용에는 유출 항목, 시점·경위, 대응 조치, 문의 창구를 포함합니다.

제18조 (자동화된 의사결정)

현재 회사는 GDPR Art. 22 의 "프로파일링을 포함한 자동화된 의사결정만으로 이용자에게 법적 또는 이에 준하는 중대한 영향을 미치는 결정" 을 수행하지 않습니다. 향후 도입 시 사전 고지 및 옵트아웃·이의제기 절차를 마련합니다.

Rate limit · quota 초과에 따른 자동 차단은 계약상 합의된 플랜 한도에 근거한 기술적 제어이며, GDPR Art. 22 의 적용 대상이 아닙니다.

제19조 (마케팅 발송 동의)

현재 회사는 이용자에게 직접 마케팅 정보를 발송하지 않습니다. 본 정책 시행일 기준 발송되는 모든 이메일은 트랜잭션성 (서비스 알림·결제 영수증·보안 알림) 에 한정됩니다. 향후 마케팅 발송이 도입될 경우:

정보통신망법 제50조에 따라 별도의 사전 명시적 동의 (opt-in) 를 받습니다.
발송되는 모든 마케팅 메시지에 옵트아웃 (수신거부) 링크를 포함합니다.
야간 시간 (21시–08시) 발송 시 추가 동의를 받습니다.

제20조 (관련 정책)

쿠키 정책 — 인증 쿠키 상세, 분석·모니터링 도구
데이터 처리 위탁 (DPA) — B2B 고객사 대상 데이터 처리 계약
보안 정책 — 보안 통제·취약점 공개
이용약관 — 서비스 이용 조건

시행일: 2026-05-16 · 버전: v1.1.0