1. 개인정보 수집 항목 및 방법
회사는 서비스 제공을 위해 다음 항목을 수집합니다.
필수 항목
- 회원 인증: 이메일, Google 계정 ID, 표시 이름 (Google OAuth 통해 자동 수집)
- 서비스 이용 기록: 로그인 시각, 접속 IP (보안 목적), 기능 사용 로그
- 결제 관련: 결제 상태, 구독 플랜, 결제일 (카드 정보는 Polar 가 직접 보관하며, 회사는 보관하지 않습니다)
선택 항목 (이용자 입력 시)
- 본업 시급, 통화, 표시 언어 등 설정
- 프로젝트 메모, 주간 회고 노트
- BYOK Anthropic API 키 (AES-256-GCM 암호화 저장)
- 제3자 서비스 연결 자격 증명 (API 토큰·OAuth refresh token — AES-256-GCM 암호화 저장)
서비스 연결로 수집되는 데이터
- 결제 서비스 연결(Stripe, LemonSqueezy, Polar, App Store Connect, Google Play): 매출 금액, 통화, 결제 시각, 상품/구독 식별자, 환불 정보
- 시간 트래커 연결(Toggl, WakaTime, Google Calendar): 작업 시간, 프로젝트 이름, 시작·종료 시각
2. 수집·이용 목적
- 회원 인증 및 본인 확인
- 프로젝트별 시간당 수익(시급) 자동 계산 및 대시보드 제공
- 주간/월간 인사이트 자동 생성 (AI 처리 포함)
- 유료 플랜 결제 및 환불 처리
- 고객 문의 응대
- 서비스 안정성 모니터링 및 보안 사고 대응
- 법령상 의무 이행 (전자상거래법, 부가가치세법 등)
3. 보유 및 이용 기간
- 회원 정보: 회원 탈퇴 시 또는 마지막 로그인 후 3년 경과 시 지체 없이 파기
- 서비스 연결 자격 증명: 연결 해제 또는 회원 탈퇴 즉시 파기 (CASCADE 삭제)
- 결제 기록: 「전자상거래 등에서의 소비자 보호에 관한 법률」에 따라 계약·청약철회 5년, 결제 기록 5년
- 세금계산서·전자세금계산서: 「부가가치세법」에 따라 5년
- 접속 로그(IP·시각): 「통신비밀보호법」에 따라 3개월
- AI 사용 로그 (질의·응답): 6개월 후 익명화
4. 제3자 제공
회사는 이용자의 동의 또는 법령상 근거 없이 개인정보를 제3자에게 제공하지 않습니다. 단, 다음의 경우에 한해 최소한의 범위에서 제공할 수 있습니다.
- 이용자가 사전 동의한 경우
- 법령에 의해 적법한 절차에 따라 수사기관이 요구하는 경우
5. 개인정보 처리 위탁
회사는 원활한 서비스 제공을 위해 아래 수탁자에게 개인정보 처리를 위탁하고 있으며, 위탁 계약 시 개인정보보호법 제26조에 따라 안전한 관리·감독에 필요한 사항을 약정합니다.
| 수탁자 | 위탁 업무 | 국외 이전 |
|---|---|---|
| Supabase Inc. | 데이터베이스·인증·저장소 | 미국 (AWS us-east-1) |
| Vercel Inc. | 웹 호스팅·서버리스 실행 | 미국 (Global Edge Network) |
| Anthropic PBC | AI 인사이트 생성·자연어 질의 | 미국 |
| Polar Software Inc. | 구독 결제 처리 (Merchant of Record) | 미국 |
| Resend Inc. | 트랜잭션 이메일 발송 | 미국 |
| Functional Software Inc. (Sentry) | 오류 모니터링 | 미국 |
| PostHog Inc. | 제품 분석 (이벤트 통계) | 미국 |
국외 이전 동의: 회원가입 시 본 처리방침에 동의함으로써 위 국외 이전에 동의한 것으로 간주됩니다. 이전 거부 시 서비스 가입이 제한될 수 있습니다.
6. 정보주체의 권리 및 행사 방법
이용자는 다음의 권리를 행사할 수 있습니다.
- 개인정보 열람·정정·삭제 요청
- 처리 정지 요청
- 개인정보 다운로드 (CSV·JSON — 서비스 내 데이터 내보내기 기능)
- 회원 탈퇴 (설정 페이지에서 직접 가능)
- 동의 철회 (마케팅 수신 등)
권리 행사는 설정 페이지 또는 hello@horog.app 로 요청하실 수 있으며, 회사는 지체 없이 조치하겠습니다.
7. 개인정보의 안전성 확보 조치
- 암호화: 외부 API 자격 증명 및 BYOK 키는 AES-256-GCM 으로 저장 시 암호화. 데이터베이스 전송 구간은 TLS 1.3.
- 접근 통제: Supabase Row Level Security (RLS) 로 사용자별 데이터 격리. 관리자 권한은 화이트리스트 이메일 + 별도 감사 로그.
- 비밀번호 정책: 자체 비밀번호 미수집 (Google OAuth 만 사용). Google 측 정책 적용.
- 인가된 직원만의 접근: 운영 데이터에 접근 가능한 직원은 최소화하며, 접근 시 별도 감사 로그 기록.
- 침해 사고 대응: 사고 인지 시 72시간 내 영향받은 이용자에게 통지하고, 필요 시 개인정보보호위원회에 신고.
8. 쿠키 및 자동 수집 도구
- 필수 쿠키: 세션 유지 (Supabase Auth), 언어 설정 (horog_locale)
- 분석 쿠키: PostHog (제품 사용 패턴 분석 — 개인식별정보 비포함, 이벤트 단위 통계만)
- 브라우저 설정에서 쿠키 차단 시 일부 기능(자동 로그인, 언어 유지)이 제한됩니다.
- 본 서비스는 Do Not Track (DNT) 신호를 존중합니다.
9. 만 14세 미만 아동의 개인정보
본 서비스는 만 14세 미만 아동의 가입을 허용하지 않으며, 의도치 않게 만 14세 미만의 정보가 수집된 사실을 인지한 경우 즉시 파기합니다.
10. 개인정보 보호책임자
11. 권익 침해 구제 방법
개인정보 침해로 인한 신고나 상담이 필요한 경우 아래 기관에 문의하실 수 있습니다.
- 개인정보침해 신고센터: 국번 없이 118 · privacy.go.kr
- 대검찰청 사이버수사과: 국번 없이 1301 · spo.go.kr
- 경찰청 사이버범죄 신고시스템: 국번 없이 182 · ecrm.cyber.go.kr
12. 처리방침의 변경
본 처리방침은 법령·서비스 변경에 따라 수정될 수 있으며, 변경 시 서비스 내 공지 및 시행일 7일 전(이용자에게 불리한 변경의 경우 30일 전) 가입 이메일로 안내드립니다.