Privacy draft
개인정보처리방침 초안
CubeNexus 계정, OAuth 로그인, API key, 사용량 로그, 결제와 환불, 조직, 고객지원, AI 공급사 라우팅 과정에서 처리되는 개인정보 항목과 보호 조치를 정리한 공개 전 초안입니다.
상태
최종 검토 항목: 실제 수탁사 목록, 국외 이전, 보유기간, 개인정보 보호책임자, 고객지원/고충 처리 채널, 시행일.
제1조 개인정보 처리 목적
디자인유니크는 CubeNexus 회원의 개인정보를 소중하게 생각하며 개인정보 보호법 등 관련 법령을 준수합니다. 수집한 개인정보는 아래 목적 범위에서 이용하고, 목적이 변경되는 경우 관련 법령에 따라 별도 동의를 받거나 필요한 고지를 합니다.
- 회원 가입 및 관리: OAuth 로그인, 계정 식별, 회원자격 유지, 약관/크레딧 정책 동의 이력 관리, 부정 이용 방지, 공지와 통지
- 서비스 제공 및 계약 이행: API key 발급/관리, AI 모델 라우팅, 사용량 측정, Cube 차감, 지갑/원장 관리, 조직과 조직원 사용량 관리, 모델별 단가표와 대시보드 제공
- 결제와 정산: 선불 Cube 충전, 월 멤버십 구독, 결제 승인/취소/실패 기록, 환불 검토, 영수증과 세무 처리를 위한 기록 관리
- 고객 상담 및 민원 처리: 문의자 확인, 결제/환불/사용량/계정 문의 처리, 장애 조사, 처리 결과 통보
- 보안과 안정성 확보: 인증 실패, API key 남용, 요청 제한 우회, 결제 사기, 비정상 트래픽, 보안 사고 탐지와 대응
- 서비스 개선: 오류 분석, 성능 측정, 라우팅 품질 검증, 통계 작성. 단, 마케팅성 광고 발송은 별도 선택 동의가 있는 경우에만 진행합니다.
제2조 처리하는 개인정보 항목과 수집 방법
회사는 서비스 제공에 필요한 최소한의 개인정보를 수집합니다. CubeNexus는 자체 비밀번호 기반 회원가입보다 Google/GitHub 등 OAuth 로그인을 우선 사용하므로, 비밀번호를 직접 수집하거나 저장하지 않는 구성을 기본으로 합니다.
- 계정 정보: 이메일 주소, OAuth 제공자 식별자, GitHub 사용자명, 프로필 식별자, 최근 로그인 시각, 약관 및 크레딧 정책 동의 버전과 시각
- API key 정보: key label, key prefix, key hash, 발급/폐기/만료 시각, 마지막 사용 시각, 개인/조직 과금 범위, 시스템 또는 사용자 비활성 상태. API key secret 원문은 최초 발급 시 한 번만 표시하고 서버에는 저장하지 않습니다.
- 조직 정보: 조직명, 조직 ID, owner/manager/member 역할, 초대 이메일 또는 GitHub username, 조직원 표시명, 조직과 조직원의 최대 Cube 사용량, 초대/수락/거절/탈퇴/회수 이력
- 사용량 정보: 요청 시각, API key ID, 조직 ID, 요청 사용자 ID, 모델, 공급사, token 수, cache 관련 수치, Cube 차감량, provider cost, 요청 상태, latency, usage metadata
- 결제/환불 정보: 내부 주문번호, 결제 제공사 거래 ID, 결제 금액, 지급 Cube 수량, 결제/취소/실패/환불 상태, 결제 이벤트 ID, 원장 기록, 환불 요청 사유와 관리자 검토 이력
- 고객지원 정보: 문의 내용, 연락처, 환불 요청 정보, 장애 신고, 남용 신고, 첨부 자료, 처리 결과
- 자동 수집 정보: IP 주소, user agent, 쿠키, 접속/방문 기록, 인증/권한 실패 기록, 요청 제한 기록, 기기와 브라우저 정보
- 수집 방법: 웹사이트와 대시보드 입력, OAuth 인증, API 호출, 결제 제공사 callback/webhook, 고객지원 이메일 또는 문의, 서버와 보안 로그의 자동 생성
제3조 개인정보의 보유 및 이용 기간
회사는 법령에 따른 보유 기간 또는 개인정보 수집 시 동의받은 기간 동안 개인정보를 처리하고 보유합니다. 목적이 달성되거나 보유 기간이 지나면 지체 없이 파기합니다.
- 계정 정보: 회원 탈퇴 시까지. 단, 부정 이용 방지, 분쟁 대응, 재가입 제한이 필요한 최소 식별 정보는 탈퇴 후 6개월까지 보관할 수 있습니다.
- API key와 사용량 기록: 서비스 제공, 요금 정산, 보안 조사, 환불 검토, 원장 대조에 필요한 기간 동안 보관하며, 구체 보유 기간은 공개 오픈 전 확정합니다.
- 결제, 주문, 환불, 원장 기록: 전자상거래법상 계약 또는 청약철회 등에 관한 기록과 대금결제 및 재화 등의 공급에 관한 기록은 5년, 소비자 불만 또는 분쟁처리에 관한 기록은 3년 보관합니다.
- 상업장부와 영업에 관한 중요서류: 상법 등 관련 법령에 따라 최대 10년 보관할 수 있습니다.
- 웹사이트 방문 기록: 통신비밀보호법에 따라 3개월 보관할 수 있습니다.
- 고객지원과 민원 처리 기록: 처리 완료 후 3년 또는 관련 분쟁이 종료될 때까지 보관할 수 있습니다.
제4조 개인정보의 제3자 제공
회사는 회원의 개인정보를 처리 목적 범위 내에서 이용하며, 회원의 동의가 있거나 법령에 특별한 규정이 있는 경우를 제외하고 원칙적으로 외부에 제공하지 않습니다.
단, API 요청을 처리하기 위해 선택된 AI 모델 공급사 또는 인프라 제공자에게 요청 내용, 응답 처리에 필요한 metadata, 라우팅에 필요한 기술 정보가 전달될 수 있습니다. 이 경우 제공 또는 위탁의 구체 범위와 국외 이전 여부는 공개 오픈 전 확정해 고지합니다.
수사기관이나 감독기관이 법령에 따른 적법한 절차와 방법으로 요구하는 경우 필요한 범위에서 정보를 제공할 수 있습니다.
제5조 개인정보 처리의 위탁
회사는 원활한 서비스 제공을 위해 결제, 호스팅, 데이터베이스, 인증, AI 모델 제공, 모니터링, 이메일 또는 고객지원 도구를 외부 서비스에 위탁할 수 있습니다.
- Supabase: 인증, 데이터베이스, storage, local/hosted backend 기능 제공
- Vercel 및 Google/Cloud Run 계열 인프라: frontend/backend hosting, 배포, 로그와 운영 인프라
- Toss Payments: 선불 Cube 충전 결제 승인, 취소, 환불, 결제 이벤트 처리
- Steppay: 월 멤버십 구독 결제, 구독 상태, 갱신, 해지, 결제 실패 처리
- AI 모델 공급사 및 라우팅 공급사: 회원 API 요청 처리와 AI 응답 생성
- 이메일, 모니터링, 고객지원 도구: 공지, 장애 대응, 문의 처리, 보안 알림. 실제 업체명, 보유 기간, 국외 이전 여부는 공개 오픈 전 확정해야 합니다.
제6조 개인정보의 파기 절차와 방법
회사는 개인정보 보유 기간 경과, 처리 목적 달성, 회원 탈퇴 등 개인정보가 불필요하게 된 때에는 지체 없이 해당 개인정보를 파기합니다.
전자적 파일 형태의 개인정보는 복구 또는 재생할 수 없도록 삭제하거나 접근할 수 없는 상태로 처리합니다. 종이 문서가 발생하는 경우 분쇄 또는 소각합니다.
법령에 따라 보관해야 하는 정보는 별도 보관 영역으로 분리하거나 접근 권한을 제한해 보관하고, 보관 목적 외로 사용하지 않습니다.
제7조 회원의 권리와 행사 방법
- 회원은 언제든지 개인정보 열람, 정정, 삭제, 처리정지, 동의 철회, 회원 탈퇴를 요청할 수 있습니다.
- 권리 행사는 서비스 내 계정 기능, 고객지원 이메일, 서면 등 공개된 채널을 통해 할 수 있으며, 회사는 본인 확인 후 관련 법령에 따라 지체 없이 조치합니다.
- 회원이 개인정보 오류 정정을 요청한 경우 회사는 정정을 완료하기 전까지 해당 정보를 이용하거나 제공하지 않습니다.
- 법령상 보존 의무가 있거나 결제/환불/보안 조사/분쟁 처리를 위해 필요한 정보는 삭제 요청 후에도 정해진 기간 동안 보관될 수 있습니다.
제8조 쿠키와 자동 수집 장치
CubeNexus는 로그인 유지, 언어 설정, 보안, 세션 관리, 서비스 안정성 확인을 위해 쿠키와 유사한 기술을 사용할 수 있습니다.
회원은 브라우저 설정을 통해 쿠키 저장을 거부할 수 있습니다. 다만 쿠키 저장을 거부하면 로그인, 언어 전환, 대시보드 접근 등 일부 기능 이용이 어려울 수 있습니다.
제9조 개인정보의 안전성 확보 조치
- 관리적 조치: 개인정보 접근 권한 최소화, 운영자 권한 분리, 감사 로그, 내부 점검과 보안 인식 제고
- 기술적 조치: HTTPS, API key hash 저장, secret 원문 미저장, 인증/권한 검증, 요청 제한, 보안 header, 접근 로그와 이상 징후 모니터링
- 물리적 조치: 클라우드 인프라와 수탁사의 물리적 보안 통제에 의존하며, 자체 오프라인 자료가 발생하는 경우 접근 권한을 제한합니다.
제10조 개인정보 보호책임자 및 고충 처리
- 개인정보 담당: 오픈 전 입력 필요
- 개인정보 관련 고충 처리 주소: 오픈 전 입력 필요
- 고객센터 이메일: 오픈 전 입력 필요
- 고객센터 전화: 오픈 전 입력 필요
제11조 개인정보 처리방침의 변경
본 개인정보처리방침은 공개 오픈 전 초안이며 정식 시행일은 개인정보 보호책임자, 수탁사, 국외 이전, 보유 기간 검토가 완료된 뒤 확정합니다.
법령, 서비스, 수탁사, 처리 항목, 보유 기간이 변경되는 경우 시행 7일 전부터 서비스 공지사항 또는 법무 페이지를 통해 고지합니다. 회원에게 불리하거나 중요한 변경은 더 긴 사전 고지를 적용할 수 있습니다.