개인정보 처리방침

1. 수집하는 데이터

당사는 다음 범주의 데이터를 수집합니다:

• 계정 정보: 이메일 주소, 사용자 이름, 해시된 비밀번호.
• 이용 데이터: IP 주소, user agent, 요청 시각, API 호출 메타데이터. 서비스 운영과 보안을 위해 수집됩니다.
• 결제 정보: 청구 정보는 Stripe가 처리합니다. CaptchaLa는 자체 서버에 전체 카드 번호를 저장하지 않습니다.
• 쿠키 및 로컬 스토리지: 세션 토큰, 로케일 설정, 기본 분석 식별자.

2. 데이터 사용 방식

• API 인증 및 대시보드를 포함해 CaptchaLa 서비스를 제공, 유지, 개선합니다.
• 사기, 악용, 자동화 공격을 탐지하고 방지합니다. 이는 본 서비스의 핵심 기능입니다.
• 법률, 세금, 규정 준수 의무를 이행하고 적법한 요청에 대응합니다.
• 보안 알림, 결제 영수증, 서비스 공지와 같은 거래성 안내를 발송합니다.

3. 제3자 서비스

당사는 서비스 운영에 필요한 범위 내에서만 신뢰할 수 있는 처리자와 제한된 데이터를 공유합니다:

• Stripe — 결제 처리 및 구독 청구.
• Google OAuth — Google 계정을 통한 선택적 로그인.
• 분석 제공업체(예: Google Analytics) — 활성화된 경우 집계된 트래픽 측정.
• 이메일 발송 제공업체 — 인증 및 영수증과 같은 거래성 이메일.

4. 데이터 보관

당사는 계정이 활성 상태인 동안 계정 데이터를 보관합니다. 계정 삭제 후에는 개인 데이터를 30일 이내에 제거하며, 법률, 세금, 사기 방지 목적상 더 긴 보관이 요구되는 경우는 예외입니다.

5. 귀하의 권리

적용 법률(GDPR 및 CCPA 포함)에 따라 귀하는 다음 권리를 가질 수 있습니다:

• 당사가 보유한 귀하의 개인정보에 접근할 권리.
• 부정확하거나 불완전한 데이터를 수정할 권리.
• 계정 및 관련 데이터 삭제를 요청할 권리.
• 이동 가능한 형식의 데이터 사본을 요청할 권리.
• 특정 처리 활동에 이의를 제기하거나 제한을 요청할 권리.

이 권리를 행사하려면 [email protected] 로 문의해 주세요.

6. 보안

모든 데이터는 TLS를 통해 전송됩니다. 비밀번호는 bcrypt로 해시됩니다. 당사는 정기적인 보안 검토를 수행하며, 개인정보에 대한 내부 접근을 업무상 필요한 경우로 제한합니다. 어떤 시스템도 완전히 안전할 수 없으며, 절대적인 보안을 보장할 수는 없습니다.

7. 아동

CaptchaLa는 13세 미만을 대상으로 하지 않습니다. 당사는 아동의 개인정보를 고의로 수집하지 않습니다. 아동이 데이터를 제공했다고 판단되면 당사에 연락해 주시면 삭제하겠습니다.

8. 본 정책의 변경

당사는 수시로 본 개인정보 처리방침을 업데이트할 수 있습니다. 중요한 변경 사항은 시행 최소 14일 전에 이메일 또는 제품 내 공지로 안내합니다.

9. 문의

개인정보 관련 질문이나 요청은 [email protected] 로 문의해 주세요. EU/영국 관련 문의도 동일한 주소로 연락하실 수 있습니다.

10. 처리의 법적 근거 (GDPR 제6조)

EU/영국 일반 데이터 보호 규정이 적용되는 경우, 당사는 다음의 법적 근거에 따라 개인 데이터를 처리합니다:

• 계약의 이행 — 귀하가 가입한 서비스를 제공하고 요금을 청구하기 위함.
• 정당한 이익 — 서비스를 보호하고, 사기 및 악용을 방지하며, 제품을 개선하기 위함이며, 귀하의 권리와 균형을 이룹니다.
• 법적 의무 — 세금, 회계 및 기타 법정 요건을 충족하기 위함.
• 동의 — 선택적 분석 쿠키 및 마케팅 커뮤니케이션을 위한 것으로, 언제든 철회할 수 있습니다.

11. 귀하의 GDPR 권리

귀하가 EU, 영국 또는 동등한 권리를 부여하는 다른 관할 지역에 있는 경우, 다음 권리를 행사할 수 있습니다:

• 접근권 — 귀하의 개인 데이터에 대한 확인 및 사본을 받을 권리.
• 정정권 — 부정확하거나 불완전한 데이터를 수정할 권리.
• 삭제권 — 귀하의 개인 데이터 삭제를 요청할 권리("잊힐 권리").
• 데이터 이동권 — 구조화되고 기계 판독이 가능한 형식으로 데이터를 받을 권리.
• 처리 제한권 — 특정 상황에서 처리를 제한하도록 요청할 권리.
• 반대권 — 정당한 이익에 기반한 처리 또는 다이렉트 마케팅에 반대할 권리.

귀하는 또한 현지 감독 기관에 불만을 제기할 권리가 있습니다. 당사는 모든 요청에 30일 이내에 응답하는 것을 목표로 합니다.

12. 컨트롤러 및 프로세서 역할

귀하 자신의 계정에 관한 데이터(가입, 청구, 지원)에 대해서는 SaaSoftware LLC가 데이터 컨트롤러로서 행위합니다. 귀하가 당사의 API를 사용하여 귀하 자신의 사용자를 대신해 최종 사용자 데이터(예: CAPTCHA 챌린지 중에 수집된 IP 주소 또는 행동 신호)를 처리하는 경우, SaaSoftware LLC는 데이터 프로세서로서 행위하며 귀하가 컨트롤러가 됩니다. 데이터 처리 계약이 해당 관계를 규율합니다 — 제14조를 참조하십시오.

13. 하위 프로세서

당사는 서비스를 제공하기 위해 검증된 하위 프로세서를 이용합니다. 현재 하위 프로세서는 다음과 같습니다:

• Stripe, Inc. (USA) — 결제 및 구독 처리.
• Google LLC (USA) — 선택적 OAuth 로그인 및, 활성화된 경우, 집계 분석.
• 이메일 발송 제공업체 — 거래성 이메일(인증, 영수증, 알림).
• 클라우드 인프라 및 CDN 제공업체 — 호스팅, 저장 및 콘텐츠 전송.

최신 하위 프로세서 목록은 요청 시 제공되며, 데이터 처리 계약은 당사가 변경 사항을 고객에게 통지하는 방법을 설명합니다.

14. 국제 데이터 이전

개인 데이터는 미국 및 기타 국가에서 처리될 수 있습니다. 데이터가 EU, 영국 또는 스위스에서 미국으로 이전되는 경우, 당사는 EU 표준 계약 조항(SCCs) 및 해당되는 경우 EU-US Data Privacy Framework(및 그 영국 확장 및 스위스-미국 프레임워크)와 필요한 경우 보충적 보호 조치에 의존합니다.

15. 데이터 처리 계약

CaptchaLa를 사용하여 자신의 최종 사용자의 개인 데이터를 처리하는 기업 고객은 GDPR 제28조 조항과 SCCs를 포함하는 당사의 데이터 처리 계약(DPA)을 체결할 수 있습니다. DPA는 /dpa 에서 이용할 수 있으며 [email protected] 로 요청하실 수 있습니다. /ko/dpa