본문 바로가기
Tumen Security

개인정보처리방침 (초안)

⚠️ 초안입니다. 사업자명·연락처·책임자 등 [대괄호] 항목을 실제 값으로 채우면 시행 가능한 수준으로 작성되었습니다.

1. 수집하는 개인정보 및 데이터 항목

서비스 제공을 위해 다음을 수집·처리합니다.

  • 계정 정보: 이메일 주소, GitHub 계정 식별자(로그인명)
  • 연동 정보: GitHub 설치 ID, 접근 가능 저장소 목록, GitHub 설치 토큰(암호화 저장, 평문 보관 안 함)
  • 스캔 데이터: 저장소 소스코드(스캔 중 일시 처리), 스캔 결과·점수·취약점 내역, 생성된 수정 PR 정보
  • 이용 기록: 접속·처리 로그, IP 주소, 작업 감사 로그(스캔/PR 생성 등)
  • 결제 정보: 구독 등급·상태(결제 자체는 토스페이먼츠가 처리, 카드정보는 당사가 보관하지 않음)

2. 수집·이용 목적

  • 보안 스캔 수행 및 한국어 리포트·수정 제안(PR) 제공
  • 서비스 제공에 필요한 본인 식별·인증, 구독 관리
  • 장애 대응, 부정 이용 방지, 서비스 품질 개선
  • 법령상 의무 이행

3. 보유 및 이용 기간 (파기)

  • 소스코드: 스캔 처리 직후 지체 없이 삭제(영구 보관하지 않음).
  • 설치 토큰: 연동 해제(앱 삭제) 시 즉시 파기.
  • 스캔 결과·리포트: 구독 기간 동안 보관, 해지 후 30일 내 파기(고객 요청 시 즉시 파기).
  • 이용·감사 로그: 부정 이용 방지·분쟁 대응 목적상 1년 보관 후 파기.
  • 법령에서 별도 보존을 요구하는 경우 해당 기간 동안 보관.

4. 처리위탁 및 개인정보의 국외 이전

서비스 제공을 위해 아래 수탁자에게 처리를 위탁하며, 일부 개인정보·데이터가 국외에서 처리됩니다. 「개인정보 보호법」 제28조의8에 따라 국외 이전 사항을 아래와 같이 고지하고, 가입·연동 시 별도 동의를 받습니다.

OpenAI, L.L.C. — 국외(미국) · 문의 privacy@openai.com

  • 이전 항목: 스캔 대상 소스코드의 일부(취약점 주변 코드), 스캔 결과 요약
  • 이전 국가·시기·방법: 미국 · 스캔/리포트 생성 시점 · HTTPS API 호출로 전송
  • 이용 목적: AI 기반 보안 리포트·수정 제안 생성
  • 보유·이용 기간: OpenAI API 정책상 최대 30일 보관 후 삭제(모델 학습에 미사용). 당사는 데이터처리계약(DPA) 체결을 원칙으로 함

GitHub, Inc. — 국외(미국)

  • 이전 항목: 저장소 식별자, 설치 정보, 스캔·수정 PR 관련 메타데이터
  • 이전 국가·시기·방법: 미국 · 연동 및 스캔 시 · HTTPS API 호출
  • 이용 목적: 저장소 연동·스캔 실행·수정 PR 생성
  • 보유·이용 기간: 연동 유지 기간(앱 삭제 시 즉시 파기)

Vercel, Inc. — 국외(미국 등 글로벌 CDN)

  • 이전 항목: 접속 로그, IP 주소
  • 이전 국가·시기·방법: 미국 등 · 웹/대시보드 접속 시 · HTTPS
  • 이용 목적: 웹·대시보드 호스팅 및 콘텐츠 전송
  • 보유·이용 기간: 서비스 제공 기간

※ Supabase(데이터 저장, DB)는 국내 서울 리전에서 처리되어 국외 이전에 해당하지 않습니다.

재이전(하위 수탁자): 위 수탁자가 업무의 일부를 자신의 하위 수탁자에게 재위탁하거나 개인정보를 제3국으로 재이전할 수 있습니다(2026-09-11 시행 개정법 대응). 이 경우 당사는 관련 법령에 따라 그 사실을 본 방침·동의 절차로 고지하며, 법령이 요구하는 경우 별도의 동의를 받습니다.

이전 거부 방법·절차 및 효과: 이용자는 위 국외 이전·재이전에 동의하지 않을 수 있으며, 가입/연동 화면에서 동의를 거부하거나 개인정보 보호책임자(§8)에게 요청할 수 있습니다. 다만 코드를 외부 AI로 전송하지 않으면 AI 기반 리포트·수정 제안 기능 이용이 제한되며, 규칙 기반 점검만 제공됩니다.

5. 정보주체의 권리

이용자는 언제든 본인 정보에 대한 열람·정정·삭제·처리정지를 요구할 수 있으며, 연동 해제 시 관련 토큰·데이터는 즉시 파기됩니다.

권리 행사는 보호책임자(§8) 연락처로 서면·이메일 등을 통해 접수하며, 당사는 요청일부터 10일 이내에 조치하고 그 결과를 통지합니다. 법정대리인 또는 위임받은 자를 통한 행사도 가능합니다.

6. 안전성 확보 조치 및 유출 시 통지

  • 설치 토큰 등 민감정보 암호화 저장(AES-256-GCM).
  • 데이터베이스 행 수준 보안(RLS)으로 고객 간 데이터 격리.
  • 전송 구간 암호화(HTTPS), 접근 권한 최소화(저장소 권한은 필요한 범위만 요청).
  • 소스코드 처리 후 즉시 삭제로 보관 위험 최소화.

개인정보 유출 사실을 알게 된 때에는 관련 법령에 따라 지체 없이 정보주체에게 유출된 항목·시점·경위와 당사의 대응조치·문의처를 통지하고, 필요한 경우 개인정보보호위원회 등 관계기관에 신고합니다.

7. 쿠키

로그인 세션 유지 및 연동 식별을 위해 필수 쿠키를 사용합니다. 광고·추적 목적의 비필수 쿠키는 사용하지 않습니다.

8. 개인정보 보호책임자

성명: [담당자명] · 직책: [직책] · 연락처: [이메일/전화]
사업자: [사업자명/사업자등록번호] · 주소: [사업장 주소]

본 방침의 시행일: [YYYY-MM-DD] · 이전 버전 대비 변경 시 공지합니다.