토닥토닥 개인정보 처리방침
운영주체: 주식회사 테라노바 서비스 도메인: https://xhekr.kr 개인정보 보호책임자: theranova.inc@gmail.com 시행일: 2026년 5월 24일
제1조 (개인정보의 처리 목적)
| 처리 목적 | 처리 항목 |
|---|---|
| 회원 가입·인증·자격 확인 | 이메일, 비밀번호(bcrypt 해시), 의원명, 대표 원장 성명, 연락처(선택), 사업자등록증 사본 |
| 서비스 제공 (사례·게시판) | 회원 ID, 익명 닉네임, 작성 시각, 접근 IP(마스킹) |
| 보안·운영 (워터마크·캡처 추적·접근 로그) | 회원 ID, 의원명, 열람 시각, 마스킹 IP, User-Agent, 워터마크 토큰 |
| 운영자 알림 (가입·신고·모더레이션) | 회원 이메일, 의원명, 신고자 이메일 |
| 권리침해 신고 처리 | 신고자 이메일, 신고 사유, 신고 본문, 침해 소명자료 |
제2조 (개인정보의 수집 항목 및 수집 방법)
필수 수집 항목 (회원가입 시)
- 이메일 주소
- 비밀번호 (서버에는 bcrypt 해시값만 저장, 평문 미저장)
- 의원명, 대표 원장 성명
- 사업자등록증 사본 (PDF/JPG/PNG, 최대 10MB)
선택 수집 항목
- 연락처 (운영자 검토 시 필요한 경우에만 회사가 회원에게 연락하는 용도)
자동 수집 항목
- 접근 IP 주소(마스킹 저장), User-Agent, 접근 시각, 워터마크 토큰
- 서비스 이용 기록 (열람한 사례 ID, 등록·신고 이력)
수집 방법
- 회원가입 시 회원이 직접 입력
- 사업자등록증 파일 업로드
- 서비스 이용 과정에서 자동 생성·수집
제3조 (개인정보의 보유 및 이용 기간)
| 항목 | 보유 기간 |
|---|---|
| 회원 가입 정보 (이메일·의원명·대표 원장) | 회원 탈퇴 시까지 |
| 사업자등록증 사본 | 가입 승인 또는 반려 결정일로부터 30일 이내 자동 파기 |
| 접근 로그 (AccessLog)·워터마크 토큰 | 작성일로부터 3개월 (서비스 안전성 확보 목적, 통신비밀보호법 시행령상 통신사실확인자료 보존의무 대상 아님) |
| 케이스 카드 | 회원이 선택한 보존 기간(30·90·180일) 후 자동 비공개. 비공개 후 1년 경과 시 영구 파기 |
| 게시판 글·댓글 | 회원 탈퇴 또는 운영자 삭제 시까지. 삭제 후 30일 보존 후 영구 파기 |
| 권리침해 신고 | 처리 완료일로부터 3년 (전자상거래법 본 처리방침 제6조 준용, 분쟁 대응) |
| 이메일 인증·비밀번호 재설정 토큰 | 발급 후 30분 (만료 후 자동 파기, sha256 해시만 저장) |
| 세션 토큰 | 발급 후 14일 또는 로그아웃·비밀번호 재설정 시 즉시 폐기 (해시만 DB 저장) |
제4조 (개인정보의 제3자 제공 — 개보법 제17조 준수)
회사는 회원의 개인정보를 원칙적으로 외부에 제공하지 않는다. 다만 다음의 경우 예외로 한다.
- 회원이 사전에 동의한 경우 — 동의 시 회사는 (i) 제공받는 자, (ii) 제공받는 자의 이용 목적, (iii) 제공하는 개인정보 항목, (iv) 제공받는 자의 보유·이용 기간, (v) 동의 거부 권리 및 거부 시 불이익을 사전에 고지한다.
- 법령에 의하거나 수사 목적으로 법령에 정한 절차와 방법에 따라 수사기관의 요구가 있는 경우.
현재 동의 기반 제3자 제공은 없음. 변경 시 약관 개정 절차에 따라 사전 동의를 받는다.
제5조 (개인정보 처리의 위탁)
회사는 안정적인 서비스 제공을 위하여 다음 업무를 외부에 위탁하고 있으며, 위탁 계약에 따라 수탁자는 개인정보 보호 의무를 준수한다.
| 수탁자 | 위탁 업무 | 이전 국가 |
|---|---|---|
| Amazon Web Services (AWS) — Lightsail | 클라우드 인프라(서버·파일 저장) | 대한민국 (ap-northeast-2 서울 리전) |
| Google LLC — Gmail SMTP | 이메일 발송 (가입 인증·비밀번호 재설정·운영 안내) | 대한민국·미국 |
| Slack Technologies, LLC | 운영자 내부 알림 (가입 신청·신고·모더레이션) — 회원 이메일·의원명 등 식별 정보 포함 가능 | 미국 |
본 항목은 "처리위탁"이며 "제3자 제공"이 아님. 제17조의 제3자 제공 고지 요건과 구분된다.
제6조 (개인정보의 국외 이전 — 개보법 제28조의8 준수)
- 현재 본 서비스는 개인정보를 국외로 이전(국외 제공·처리위탁·보관)하지 않는다. AWS Lightsail은 서울 리전(ap-northeast-2)에 데이터를 저장하며, Gmail SMTP는 발송 메타데이터(발신자·수신자·시각) 중 일부가 Google 인프라를 경유할 수 있으나 본문은 회원의 가입·복구 안내에 한정된 일반 시스템 메일이다.
- 향후 사례 검수·내용 분석을 위한 외부 LLM(예: Anthropic, OpenAI 등) 호출 기능을 도입할 경우, 회사는 개보법 제28조의8 제2항 각 호 사항을 사전 고지하고 회원으로부터 별도의 국외 이전 동의를 분리하여 받는다.
- (1) 이전되는 개인정보 항목
- (2) 이전되는 국가, 시기 및 방법
- (3) 이전받는 자의 명칭·연락처
- (4) 이전받는 자의 이용 목적 및 보유·이용 기간
- (5) 이전 거부 방법·절차 및 거부의 효과
- 동의를 받기 전까지 해당 기능은 활성화되지 않는다.
제7조 (개인정보의 목적 외 이용·제공 제한 — 개보법 제18조 준수)
회사는 제1조에 정한 처리 목적의 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하지 않는다. 예외 사유(별도 동의, 법률의 특별 규정, 정보주체의 급박한 생명·신체·재산의 이익 등) 발생 시 개보법 제18조 제2항에 따라 처리한다.
제8조 (정보주체의 권리)
- 회원은 언제든지 다음 권리를 행사할 수 있다.
- 개인정보 열람·정정 요구
- 처리 정지·삭제 요구 (회원 탈퇴)
- 권리 행사 거부에 대한 이의 제기
- 행사 방법: 개인정보 보호책임자 이메일(theranova.inc@gmail.com)로 요청. 회사는 10일 이내 처리한다.
- 회원의 권리 행사가 다른 회원의 권리·이익을 부당하게 침해할 우려가 있는 경우 또는 법령에 의해 보존이 의무화된 경우 일부 거부할 수 있다.
제9조 (개인정보의 안전성 확보 조치)
기술적 조치
- 비밀번호 bcrypt 해시(라운드 12) 저장, 평문 미저장
- 세션 토큰 JWT(jose) + DB 재검증, HttpOnly + Secure + SameSite=Lax 쿠키
- 모든 통신 HTTPS(TLS 1.2+) 강제, HSTS 헤더 (max-age=31536000)
- 사업자등록증 파일은 무작위 파일명·서버 비공개 디렉토리(0700) 저장, 운영자만 한시적 토큰(5분 유효, 일회용)으로 열람
- 인증·로그인·비밀번호 재설정·신고 엔드포인트 rate limit 적용 (IP·이메일 단위 sliding window)
- 워터마크·캡처 추적·접근 로그를 통한 외부 유출 억제
관리적 조치
- 운영자 접근 IP 화이트리스트 적용
- 운영자별 접근 권한 분리, 모든 운영자 조치에 감사 로그(
ModerationAction,AccessLog) 기록 - 정기 보안 점검 (분기 1회)
물리적 조치
- AWS Lightsail 데이터센터(ap-northeast-2 서울) 보안 정책 준수
제10조 (자동화된 결정에 대한 정보)
회사는 케이스 등록 시 사전 검수를 위해 정규식 기반 식별자 탐지를 수행하며, 향후 외부 LLM 도입 시(본 처리방침 제6조 제2항) 4축 위험도 점수화 모델을 호출할 수 있다. 자동 결정 결과는 운영자가 최종 검토하며, 회원은 결과에 대해 이의를 제기할 수 있다 (제2조 본 처리방침 제7조).
제11조 (개인정보 보호책임자)
- 성명: (운영자)
- 직책: 대표
- 연락처: theranova.inc@gmail.com
제12조 (권익침해 구제방법)
회원은 개인정보 침해로 인한 구제를 위해 아래 기관에 문의할 수 있다.
- 개인정보분쟁조정위원회: 1833-6972 (www.kopico.go.kr)
- 개인정보침해신고센터: 118 (privacy.kisa.or.kr)
- 대검찰청 사이버수사과: 1301
- 경찰청 사이버수사국: 182
부칙
이 개인정보 처리방침은 2026년 5월 24일부터 시행한다.