본문으로 건너뛰기
SVDY Logo

개인정보 처리방침

svdy가 귀하의 개인정보를 어떻게 수집·이용·공유·보호하는지 — GDPR 제13/14조 공시 기준에 따라 작성하였으며 CCPA/CPRA에 정합합니다. 평이한 표현, 구체적 약속, 그리고 그 약속을 뒷받침하는 실제 운영 메커니즘 링크를 제공합니다.

최종 업데이트:2026년 5월 24일

1. 수집하는 정보

당사는 다음 세 가지 범주의 개인정보를 수집합니다:

• 귀하가 제공하는 계정 데이터: 이름, 업무용 이메일, 조직명, 직책, 전화번호(선택), 결제 담당자. 가입 시 귀하 또는 귀 조직의 관리자가 제공합니다.

• 사용 과정에서 생성되는 운영 데이터: 근태 기록(출퇴근 타임스탬프 + 지오펜싱 활성화 시 GPS 좌표), 일정, 휴가 신청, 프로세스 양식 제출, 인앱 메시지, 관리자 작업 감사 로그.

• 기술 텔레메트리: IP 주소, 브라우저/기기 유형, 세션 타임스탬프, 오류 트레이스(샘플링). 보안 모니터링과 제품 안정성을 위해서만 사용 — 광고 타게팅에는 절대 사용하지 않습니다.

당사는 데이터 브로커로부터 개인정보를 구매하지 않으며, 제3자 광고 네트워크와 데이터를 공유하는 분석 SDK를 운영하지 않으며, CCPA §1798.140(t)에 정의된 의미의 「개인정보」를 판매하지 않습니다.

2. 데이터 이용 목적

당사는 다음 목적에 한해서만 개인정보를 처리합니다:

• 서비스 제공 — 귀 조직이 결제한 근태·일정·워크플로 기능 운영. GDPR 제6조 (1) (b)호의 「계약 이행」 근거.

• 서비스 개선 — 성능 병목과 기능 요청 식별을 위한 집계·비식별 사용 통계. 개별 근로자로 재식별 불가. GDPR 제6조 (1) (f)호의 「정당한 이익」 근거.

• 보안 및 사기 방지 — 무단 접근, 남용 패턴, 플랫폼 공격 탐지. GDPR 제6조 (1) (f)호의 「정당한 이익」, 데이터 최소화와 짧은 보존을 통해 귀하의 프라이버시와 균형을 도모.

• 법적 컴플라이언스 — 소환장, 법원 명령, 적법한 규제 요청에 대한 대응. GDPR 제6조 (1) (c)호.

• 커뮤니케이션 — 서비스 공지(상시), 트라이얼 온보딩(트라이얼 기간 한정), 제품 업데이트(알림 설정에서 옵트아웃 가능).

당사는 귀하의 데이터를 대규모 언어 모델 학습에 사용하지 않으며, 광고 네트워크와 공유하지 않으며, 외부 출처로 근로자 데이터를 보강하지 않습니다.

3. 데이터 보호 방식

현재 운영 중인 구체적인 보안 통제:

• 저장 시 암호화: 모든 고객 데이터에 AES-256 적용(RDS / S3 / EBS).

• 전송 시 암호화: 모든 고객 측 엔드포인트와 내부 서비스 간 통신에 TLS 1.2+ 적용.

• 접근 통제: 애플리케이션 계층의 역할 기반 접근 통제, 인프라 계층의 AWS IAM 최소 권한 원칙, 모든 직원 관리자 접근에 대한 다중 요소 인증 의무화.

• 감사 로그: 모든 관리 작업을 행위자, 타임스탬프, 대상과 함께 기록. 보존 7일(Free) / 1년(Starter+) / 3년(Pro+).

• 네트워크: us-east-1의 AWS 멀티 AZ 배포; 공개 데이터베이스 엔드포인트 없음; 시큐리티 그룹 인바운드를 로드 밸런서로 한정.

• 비밀: 운영 자격 증명은 AWS Secrets Manager에 보관; 환경 변수나 소스 코드에는 절대 두지 않음.

실시간 보안 아키텍처와 SOC 2 일정은 /trust/trust/soc2 를 참조하세요.

4. 귀하의 권리

거주지에 관계없이, 귀하는 개인정보에 대해 다음의 권리를 보유합니다:

• 열람권 — 당사가 보유한 정보 사본 수령. 계정 설정에서 내보내기 가능; 직접 요청에는 30일 이내 회신.

• 정정권 — 부정확한 개인정보의 수정. 계정 설정의 셀프서비스 또는 메일 문의.

• 삭제권(「잊혀질 권리」) — 보존을 정당화하는 사업상 사유가 없을 때 데이터를 삭제. 단, 귀 고용주(컨트롤러)는 노동법 컴플라이언스를 위해 근태 기록 보존이 필요할 수 있으며, 처리자(svdy)로서 당사는 그 지시에 따릅니다.

• 처리 제한권 — 분쟁 해결 동안 당사의 데이터 이용을 일시 중지.

• 데이터 이동권 — 기계 판독 가능 형식(CSV / JSON)으로 데이터 수령.

• 반대권 — 서비스 개선 분석 등 정당한 이익에 근거한 처리에 대한 반대.

• 동의 철회권 — 생체 얼굴인식 출퇴근(GDPR 제9조 (2) (a)호) 등 동의 기반 처리 전반.

• 진정권 — 거주지의 개인정보 보호 감독 기관에 진정. EU 거주자: 자국 DPA. 영국 거주자: ICO. 캘리포니아 거주자: California Privacy Protection Agency. 한국 거주자: 개인정보보호위원회.

위 권리 행사를 위해서는 legal@svdy.com 으로 메일하세요. 영업일 5일 이내 회신, GDPR 제12조 (3)호에 따라 30일 이내 완전 처리합니다.

5. 쿠키 및 유사 기술

당사는 최소한의 쿠키만 사용합니다. 제3자 광고 쿠키, 픽셀 트래커, 핑거프린팅을 사용하지 않습니다.

• 필수 쿠키(옵트아웃 불가, 추적 목적 없음): 인증용 세션 ID, 보안용 CSRF 토큰.

• 기능 쿠키(브라우저에서 비활성화 가능): 언어 환경설정, 대시보드 레이아웃 선택.

• 분석 쿠키: 고객 측 테넌트 서브도메인(qutime.com / pureoa.com)에서는 사용하지 않음. svdy.com(본 마케팅 사이트)도 현재 어떤 분석 SDK도 운영하지 않습니다. 향후 분석은 제3자 애드테크 비사용 약속에 따라 쿠키 없이(서버사이드 집계만) 운영될 예정입니다.

쿠키는 1차 도메인(svdy.com / qutime.com / pureoa.com / id.svdy.com)에 한정됩니다. 추적 쿠키를 로드하는 제3자 iframe은 임베드하지 않습니다.

6. 연락처, 침해 통지, 정책 갱신

데이터 보호 연락처: legal@svdy.com — 미국 영업시간 운영, 일반 문의 영업일 5일 이내, 긴급 사안(제목에 「urgent」 또는 「breach」 포함) 24시간 이내 회신.

침해 통지: 보안 사고가 귀하의 개인정보에 영향을 미치는 경우, 당사는 인지 후 72시간 이내(GDPR 제33조 (1)호)에 귀 조직이 지정한 DPO 연락처에 범위, 추정 원인, 시정 조치, 귀하가 취해야 할 조치를 통지합니다.

수탁자(서브 프로세서): 당사는 /trust/sub-processors 에 게시된 제3자 서비스(AWS, Stripe, Amazon SES, Expo, Cloudflare DNS)와만 데이터를 공유합니다. 각각은 해당 페이지에서 참조되는 자체 DPA에 따라 운영됩니다. 수탁자 추가·교체 시 30일 전에 고객에게 통지합니다.

국제 이전: 고객 데이터는 AWS us-east-1(미국)에 저장됩니다. EU → 미국 이전은 /trust/dpa 의 DPA에 포함된 EU 표준계약조항(SCCs, 2021년 버전)으로 보호됩니다. 영국발 이전은 SCCs에 UK Addendum을 추가합니다.

본 정책의 갱신: 중요한 변경은 시행 30일 전에 게시하며 상단에 변경 이력을 기재합니다. 최신 갱신일은 위에 표시됩니다. 현재 유효 버전은 항상 svdy.com/privacy 에 있습니다.

데이터 처리 방식에 대한 문의가 있거나 GDPR/CCPA 권리(열람, 삭제, 이동)를 행사하고 싶으신가요? legal@svdy.com 으로 메일을 보내주세요 — 영업일 5일 이내 회신드립니다.