데이터 처리 부속서(DPA)
규제 산업의 고객님 — 특히 GDPR 제28조에 따른 컨트롤러 — 을 위해, svdy가 고객님을 대신해 개인정보를 처리할 때 적용되는 양방 서명 가능한 DPA를 제공합니다.
DPA에 포함된 내용
svdy 표준 DPA는 다음 조항을 포함합니다(EDPB SCC, UK ICO ICA, ISO 27018 템플릿을 기반으로 작성):
1. 역할과 적용 범위
고객 = 컨트롤러, svdy = 프로세서. 개인정보 범위: 직원, 근태 기록, 휴가 기록, 프로세스 양식, 감사 로그.
2. 하위 처리자
/trust/sub-processors에 명시된 5개 하위 처리자에 대한 승인. 변경 시 30일 사전 통보와 이의 제기 절차를 제공합니다.
3. 보안
AWS 멀티 AZ + 저장 시 AES-256 + 전송 시 TLS 1.2 이상 + 역할 기반 접근 제어 + 감사 로그. SOC 2 프로그램 시작(2027년 Q1) 후 매년 침투 테스트를 실시합니다.
4. 정보 주체의 권리
고객(컨트롤러)이 관리자 화면에서 DSAR(내보내기 / 삭제 / 정정)을 우선 처리합니다. 셀프서비스로 처리할 수 없는 요청은 svdy가 영업일 기준 5일 이내에 지원합니다.
5. 침해 통지
인지 후 72시간 이내에 영향 범위, 영향을 받은 데이터, 대응 조치를 포함하여 고객님이 지정한 DPO 담당자에게 이메일로 통지합니다.
6. 국가 간 데이터 이전
EU → 미국 이전은 EU SCC(2021년 버전)로 다룹니다. 영국 관련 이전은 UK Addendum이 적용됩니다.
7. 계약 종료
계약 종료 시 고객은 관리자 화면을 통해 30일 동안 데이터를 내보낼 수 있습니다. 이후 법적 보존 의무가 없는 한 svdy는 60일 이내에 데이터를 영구 삭제합니다.
양방 서명 가능한 DPA 요청
legal@svdy.com으로 회사명과 컨트롤러 법인(EU / 영국 / 미국)을 적어 보내주세요. 영업일 기준 2일 이내에 사전 서명된 PDF를 회신합니다. 무료 — DPA는 모든 유료 요금제에 포함됩니다.
legal@svdy.com으로 메일 보내기현재 프리커스터머 단계로, 법무팀과 함께 본 페이지에서 다운로드 가능한 PDF를 게시할 준비를 진행 중입니다. 게시 시 무결성을 검증할 수 있도록 SHA-256 해시도 함께 공개할 예정입니다.
