1. 개인정보 및 상거래 데이터의 적용범위 본 개인정보 처리방침은 주식회사 새로소프트(이하 "회사")가 제공하는 이커머스 솔루션의 클라우드형 서비스(SaaS), 서버 관리 및 호스팅, 온프레미스 설치형 공급, 고객 요청에 따른 커스터마이징·기능 추가·SI(시스템 통합) 수행 과정에서 처리되는 개인정보 및 상거래 데이터에 적용됩니다. 본 방침은 가맹점 계정·임직원 정보, 가맹점 운영 데이터, 최종 이용자 거래 정보, 유지보수 및 장애 대응 과정에서 접근하거나 생성되는 운영 로그의 처리 기준을 정하며, 법령상 의무, 계약 이행, 보안 유지, 분쟁 대응 목적 범위에서만 적용됩니다. 본 방침의 시행일은 2026/4/20이며, 현재 버전은 v20260420.000입니다.
2. 처리주체·수탁자 구조 가맹점 임직원 계정, 내부 사용자 접근기록, 가맹점 청구·계약·정산 관련 데이터, 서버 운영 및 호스팅 관리 데이터는 이커머스 서비스 운영, 계약 이행, 보안 및 고객지원 목적으로 회사가 처리주체(Controller) 역할을 수행합니다. 가맹점의 최종 이용자(구매자·수령인 등) 정보는 원칙적으로 가맹점이 수집 근거, 고지 및 필요한 동의를 확보하여야 하며, 회사는 가맹점의 위임 또는 계약에 따라 결제, 주문처리, 정산, 발송, 알림, CS, 호스팅 운영, 장애 대응, 데이터 마이그레이션, 커스터마이징 또는 SI 수행에 필요한 범위에서만 수탁자(Processor)로서 처리합니다. 온프레미스 또는 고객 전용 인프라 환경에서는 고객과 별도로 체결한 계약에 따라 역할과 책임 범위가 조정될 수 있습니다.
3. 용어 정의 - 개인정보: 생존하는 개인에 관한 정보로서 성명, 연락처, 식별자, 접속 기록, 단말 식별정보 등 개인을 식별하거나 특정할 수 있는 정보. - 개인정보 데이터: 결제, 접속, 지원, 주문, 정산, 세금, 로그 등 상거래 운영 기록 전반. - 가맹점 데이터: 가맹점이 입력·갱신한 계정, 상품, 주문, 정산, 마케팅, 운영 데이터. - 이용자: 가맹점이 서비스를 이용할 수 있도록 부여한 임직원 계정 및 승인된 내부 사용자. - 국외 이전: 클라우드, 백업, 모니터링, 메시징, 개발 운영 또는 기술지원 목적으로 개인정보가 대한민국 외 국가에 저장되거나 처리되는 경우를 말합니다.
4. 수집 항목 및 범위 필수 항목(계약·서비스 이용 필수): - 가맹점 사업자 정보(사업자명, 사업자등록번호, 담당자명, 부서, 직책, 연락처, 이메일, 청구지 주소, 세금 정보) - 관리자 계정 정보(이메일, 비밀번호 또는 인증정보, 권한 정보, 접속 이력) - 스토어 기본설정, 상품·옵션·가격·재고, 주문·결제·배송·정산의 기초 데이터 - 세무·청구 처리, 계약 관리, 장애 대응, 분쟁 대응에 필요한 기록 - 호스팅·서버관리 과정에서 생성되는 시스템 운영 로그, 접근 로그, 오류 로그, 백업 및 복구 이력
선택 항목(부가 기능 또는 별도 계약 기능): - 마케팅 알림 동의, 고객행동 분석 관련 동의 설정 - 외부 솔루션 연동 시 생성되는 확장 로그 및 연동 식별자 - 맞춤 개발, 커스터마이징, SI 수행 과정에서 고객이 추가 제공하는 테스트 데이터, 샘플 데이터, 이관 대상 데이터
회사는 원칙적으로 주민등록번호, 여권번호, 운전면허번호 등 고유식별정보를 처리하지 않으며, 민감정보를 수집·이용하지 않습니다. 다만 법령상 요구 또는 개별 계약상 불가피한 경우에는 별도 근거와 보호조치를 적용합니다. 필수 항목 미제공 시 기본 서비스 이용이 제한될 수 있으며, 선택 항목 미제공 시 일부 부가기능, 맞춤 개발, 분석 또는 연동 기능 제공이 제한될 수 있습니다.
5. 제3자 연동 데이터 API, 웹훅, 파일 업로드, 커넥터, SFTP/CLI 등 채널로 유입된 데이터는 계약·기술 문서에서 정의한 연동 범위에서만 처리됩니다. 본 동의 범위를 초과한 임의 재가공은 금지됩니다. 가맹점이 제3자 서비스 연동을 통해 회사에 전달하는 데이터에 대하여 적법한 수집·이용·제공 또는 이전 근거를 확보할 책임은 원칙적으로 가맹점에게 있습니다.
6. 처리 근거 회사는 다음 중 하나 이상의 근거에 따라 개인정보를 처리합니다. (i) 가맹점과의 상거래 계약, 호스팅 계약, 유지보수 계약, 온프레미스 공급 계약, SI 또는 커스터마이징 계약의 이행, (ii) 법적 의무 준수, (iii) 보안·사기방지·장애 대응·분쟁 대응을 위한 정당한 이익, (iv) 정보주체 동의 또는 가맹점의 위임에 따른 수탁 처리. 회사는 목적 달성에 필요한 최소 범위에서만 개인정보를 처리합니다.
7. 처리 목적 회사는 다음 목적을 위하여 개인정보를 처리합니다. - 서비스 계정 운영, 온보딩 및 관리자 권한 관리 - 고객지원, 기술지원, 장애 접수 및 복구 - 결제, 청구, 세금계산서 발행, 회계·세무 처리 - 서버 관리, 호스팅 운영, 시스템 모니터링 및 접근통제 - 보안 모니터링, 이상징후 탐지, 사고 대응, 로그 분석 - 백업 및 복구, 데이터 이전·마이그레이션, 커스터마이징, 기능 추가, SI 수행 - 감사 대응, 분쟁 처리, 법령 준수, 운영 품질 개선 - 서비스 운영에 필요한 공지, 정책 변경 안내 및 계약상 통지
8. 쿠키 및 기술로그 회사는 접속 세션에서 IP, 브라우저/기기 정보, 접속 시각, 요청 경로, 세션 식별자, 이용 패턴을 기록할 수 있습니다. 쿠키 및 로컬 저장소는 이상 탐지, 인증 문제 분석, 장애 재현, 성능 개선, 로그인 상태 유지 목적에 사용됩니다. 이용자는 브라우저 설정을 통해 쿠키 저장을 거부하거나 삭제할 수 있으나, 이 경우 로그인 유지, 환경설정 저장 등 일부 기능이 제한될 수 있습니다. - Chrome/Edge: 설정 > 개인정보 및 보안 > 쿠키 및 사이트 권한 - Safari: 환경설정 > 개인정보 보호 - Firefox: 설정 > 개인정보 및 보안
9. 보안조치 회사는 개인정보의 안전성 확보를 위하여 다음과 같은 기술적·관리적 보호조치를 적용합니다. - 접근 분리 및 최소권한 원칙 적용 - 관리자 승인 절차 및 권한 변경 로그 보관 - 다단계 인증 또는 이에 준하는 인증 강화조치 - 전송 구간 암호화 및 필요 시 저장 구간 보호조치 - 비정상 접근 탐지, 보안 이벤트 모니터링 및 경보 체계 운영 - 백업 무결성 관리, 변경 이력 보관, 사고 대응 절차 운영 - 프로젝트·테넌트 단위의 분리 체계를 통한 환경 격리 및 멀티테넌시 보호 세부 보안 수준, 접근권한 통제 방식 및 로그 보관 기준은 내부 보안정책 SAEROSOFT Information Security Policy v20260420.000에 따릅니다.
10. 하위수탁자 및 위탁처리 회사는 서비스 제공을 위해 다음 유형의 업무를 위탁할 수 있으며, 각 수탁업체는 계약에 따라 보안, 비밀유지, 목적 제한, 재위탁 제한, 삭제, 반환 의무를 준수합니다. - 클라우드 인프라(호스팅/스토리지/백업/DR): 고객 지정 클라우드 또는 회사가 관리하는 인프라 제공자(해당 시), 상세는 상거래 문서 또는 별도 고지에 따름 - 서버 운영 및 관리: 회사 관리 인프라 운영사 또는 IDC(해당 시), 상세는 상거래 문서 또는 별도 고지에 따름 - 결제 및 정산 처리: Stripe, PayPal 또는 가맹점이 선택한 결제대행사(상거래 문서 기준) - 알림 및 메시징: Resend, Google SMTP 또는 회사가 지정한 메시징/메일 발송 제공사(사용 시) - 보안 및 모니터링: 회사 내부 운영 시스템 및 필요 시 별도 계약된 보안·티켓 시스템 제공사 - 개발 및 배포 지원: GitHub, Jenkins 및 회사 내부 운영 리포팅 도구 - 고객 요청에 따른 마이그레이션, 데이터 이관, 커스터마이징 또는 SI 공동수행 업체: 해당 시 상거래 문서 또는 별도 고지에 기재 현재 위탁사 목록, 영문 상호명, 연락처, 이전 국가(해당 시), 구체 업무 범위는 회사의 별도 고지 또는 관리자 페이지를 통해 최신본으로 공지합니다.
11. 국외 이전 서비스 운영, 클라우드 호스팅, 백업, 모니터링, 메시징, 고객지원 또는 개발 운영상 필요한 경우 개인정보가 국외에 저장되거나 처리될 수 있습니다. 회사는 국외 이전이 발생하는 경우 이전받는 자, 이전 국가 및 리전, 이전 일시 및 방법, 이전되는 항목, 이용 목적, 보유·이용 기간 및 관련 보호조치를 계약서, 부속서 또는 별도 고지를 통해 안내하며, 관련 법령이 요구하는 보호조치와 이전 통지 의무를 이행합니다. 현재 국외 이전 현황은 회사의 별도 고지 또는 관리자 페이지에서 확인할 수 있습니다. 온프레미스 환경은 원칙적으로 고객이 지정한 환경 내에서 처리하되, 원격 유지보수 또는 기술지원이 필요한 경우 계약된 범위에서 제한적으로 접근할 수 있습니다.
12. 보유기간 및 파기 회사는 법령, 세무·회계 의무, 계약상 보존 필요성 및 분쟁 대응 필요성에 따라 다음과 같이 개인정보를 보유합니다. - 계약, 청약철회, 서비스 이행, 고객상담 및 CS 기록: 5년 - 결제, 대금정산, 세금계산서, 회계 및 세무 증빙 자료: 5년 - 전자상거래 관련 표시·광고, 소비자 불만 또는 분쟁처리 기록: 3년 - 접속 로그, 관리자 접근기록, 시스템 사용기록, 보안점검 및 권한 변경 이력: 1년 이상, 다만 사고 조사 또는 분쟁 대응이 필요한 경우 최대 5년까지 보관 가능 - 침해사고 대응 로그, 백업 및 복구 이력, 보안 이벤트 기록: 기본 1년, 사고 조사, 수사 협조, 분쟁 대응 또는 법적 의무가 있는 경우 그 종료 시점까지 연장 가능 - 가맹점 임직원 계정 정보: 계정 비활성화 또는 계약 종료 후 지체 없이 삭제하되, 법령상 또는 분쟁 대응상 필요한 경우 해당 사유 종료 시까지 분리 보관 - 최종 이용자 거래 정보: 가맹점과의 계약, 주문 처리 및 관계 법령에 따른 보존기간 동안 보관 후 삭제 또는 익명화 - 커스터마이징, 기능 추가, SI 수행 과정에서 제공된 테스트 데이터, 샘플 데이터, 이관 데이터: 검수 및 안정화 완료 후 3개월 이내 삭제를 원칙으로 하되, 별도 계약에서 다른 기간을 정한 경우 그에 따름 - 법령상 보존이 필요한 자료는 해당 법정기간 동안 별도 분리 보관 후 지체 없이 삭제 또는 익명화 파기 방식은 다음과 같습니다. - 전자적 파일: 복구가 불가능한 방식의 영구 삭제, 암호화 키 폐기 또는 이에 준하는 안전한 방법으로 파기 - 인쇄물, 출력물, 이동식 저장매체: 파쇄, 소각, 영구 삭제 등 물리적 방법으로 파기 회사의 기본 파기 및 보존 기준 세부 내역은 SAEROSOFT Data Retention and Deletion Standard v20260420.000에 따릅니다.
13. 데이터 정확성 및 정합성 정보 정확성 규정은 이용약관 및 상거래 문서의 데이터 제공 의무와 함께 운영됩니다. 회사는 필수 보관정보의 중대한 부정확 또는 위법성이 객관적으로 확인되는 경우에만 처리 제한 또는 보류 조치를 취할 수 있습니다. 가맹점은 자사가 입력하거나 연동한 데이터의 정확성, 적법성 및 최신성을 유지할 책임이 있습니다.
14. 정보주체 권리 대응 정보주체는 회사에 대하여 개인정보의 열람, 정정, 삭제, 처리정지, 이의제기 등 관련 법령이 인정하는 권리를 행사할 수 있습니다. 다만 회사가 수탁자로서 처리하는 개인정보의 경우, 해당 권리는 원칙적으로 해당 정보를 수집한 가맹점을 통하여 행사하여야 하며, 회사는 관련 법령과 계약 범위 내에서 협력합니다. 권리 행사는 본인 또는 적법한 대리인이 회사의 법적 연락처 또는 help@saerosoft.com로 본인 식별이 가능한 요청 근거를 갖추어 제출하여야 합니다. 회사는 관련 법령이 정한 기간 내에 요청사항을 검토·처리하며, 법령상 제한 사유가 있는 경우 그 사유를 통지할 수 있습니다. 개인정보보호책임자(CPO) 및 담당 부서는 다음과 같습니다. - 직책: 개인정보보호책임자(CPO) - 성명: 전재형 - 부서: supporting team - 이메일: tinywind@saerosoft.com - 전화: +82-10-9438-7376 - 우편주소: 서울특별시 서초구 서초대로 396, 1501, 1502호(서초동, 강남빌딩) 권익침해 구제 수단은 다음과 같습니다. - 개인정보분쟁조정위원회: 1833-6972, https://www.kopico.go.kr - 개인정보침해신고센터(KISA): 118, https://privacy.kisa.or.kr - 대검찰청: https://www.spo.go.kr - 경찰청 사이버범죄수사대: 182
15. 침해 대응 개인정보의 분실, 도난, 유출, 위조·변조 또는 훼손 등 침해 의심 징후가 감지되면 회사는 지체 없이 격리, 증거보전, 원인분석, 내부 보고, 피해 확산 방지 및 복구 조치를 시행합니다. 회사는 개인정보 침해 사실을 알게 된 때에는 관련 법령에 따라 지체 없이 정보주체에게 통지하고, 법정 신고 대상에 해당하는 경우 관계 기관에 신고합니다. 내부적으로는 침해 인지 후 가능한 한 신속하게 초기 대응을 개시하며, 특별한 사정이 없는 한 24시간 이내에 사고 평가 및 확산 방지 조치를 착수하는 것을 원칙으로 합니다. 통지 시에는 침해된 항목, 발생 시점, 경위, 피해 최소화 방법, 회사의 대응 조치, 문의 접수처 등을 포함할 수 있습니다. 개인정보 침해 관련 문의 및 신고 접수 채널은 help@saerosoft.com, help@saerosoft.com입니다.
16. 환경 격리·멀티테넌시 회사는 제9조의 보안조치의 일환으로 프로젝트·테넌트별 데이터 분리, 접근 경로 분리, 권한 변경 기록화 및 즉시 반영 절차를 운영합니다. 이 조항은 기술적 보호조치의 일부로 해석되며, 세부 구현 방식은 내부 보안정책 및 개별 계약에 따릅니다.
17. 종료 후 처리 계약 종료 후에도 회사는 분쟁 대응, 회계·세무, 전자상거래 및 기타 관계 법령 준수를 위해 필요한 범위에서 해당 데이터를 보존할 수 있습니다. 가맹점은 계약 또는 별도 작업 지시서에 따라 데이터 내보내기, 이전, 백업본 제공, 보관 방식 변경 또는 삭제 지원을 요청할 수 있으며, 온프레미스·커스터마이징·SI 프로젝트 산출물의 반환 및 삭제 범위는 개별 계약에 따릅니다. 법정 보존기간이 끝난 데이터는 지체 없이 삭제 또는 익명화하며, 고객이 삭제를 요청하더라도 법령상 보존의무가 있는 정보는 해당 기간 동안 분리 보관 후 삭제합니다. 종료 후 데이터 삭제 예정 기준일 또는 반출 가능 기간은 종료 후 30일 내 반출 요청, 60일 내 삭제 또는 익명화에 따릅니다.
18. 아동정보 처리 회사는 원칙적으로 만 14세 미만 아동의 개인정보를 독자적으로 수집하거나 이용하는 것을 예정하지 않습니다. 만 14세 미만 아동의 개인정보가 서비스 운영상 불가피하게 포함되거나 수집되는 경우에는 법정대리인의 동의 또는 관련 법령상 적법한 근거를 확인하여야 하며, 이를 확인할 수 없는 경우 회사는 해당 정보의 처리 제한, 삭제 요청, 서비스 이용 제한 등 필요한 조치를 즉시 취할 수 있습니다.
19. 법적 요청 및 감독 대응 수사기관, 감독기관, 규제기관의 정당한 요청은 소명 가능한 법적 절차를 통하여 처리합니다. 영장, 요구서, 자료요청이 있는 경우 기록 보존 및 법정 인도 프로토콜을 우선 적용합니다. 회사는 가능한 범위에서 관련 법령 및 계약에 따라 고객 또는 가맹점에게 해당 요청 사실을 통지할 수 있습니다.
20. 마케팅 및 고지 계정, 요금, 보안, 점검, 정책 변경 등 서비스 운영에 필요한 고지는 본 방침 및 약관의 동의 범위 내에서 발송할 수 있습니다. 마케팅성 메시지는 관련 법령이 요구하는 동의 요건을 충족한 경우에만 발송됩니다. 고지 채널은 이메일, 서비스 내 공지사항, 관리자 콘솔 알림 또는 기타 회사가 지정한 채널일 수 있습니다.
21. 정책 변경 회사는 법령 변경, 처리목적 또는 보유기간 조정, 서비스 구조 변경, 호스팅 또는 위탁 구조 변경, 보안 구조 변경이 있는 경우 본 방침을 개정할 수 있습니다. 중요한 변경은 버전, 시행일 및 주요 변경사항을 명시하여 서비스 내 뉴스게시판 또는 약관 게시판 및 이메일을 통해 사전 공지하며, 현행 개인정보 처리방침은 https://intro.ecommerce.saerosoft.com/ko/policies/privacy-policy에서 확인할 수 있습니다. 회사의 공식 연락처는 다음과 같습니다. - 상호: 주식회사 새로소프트 - 영문 상호: SAEROSOFT INC. - 대표 문의 이메일: saero@saerosoft.com - 대표 문의 전화번호: +82-10-9438-7376 - 본점 소재지: 서울특별시 서초구 서초대로 396, 1501, 1502호(서초동, 강남빌딩) - 프놈펜 영업/지원 사무실: 257 Unit, Boryeong/Boyoung Town, Phnom Penh, Cambodia