Kursoflow

Kursoflow 개인정보처리방침

공고일자: 2026년 4월 30일  ·  시행일자: 2026년 5월 1일

에이투씨코리아(대표 심상송, 이하 "회사")는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 회사는 「개인정보 보호법」 제30조 및 같은 법 시행령 제31조에 따라 정보주체의 개인정보를 보호하고 이와 관련된 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보처리방침을 수립·공개합니다. 본 방침은 개인정보보호위원회 「개인정보 처리방침 작성지침 (2025.4.21.)」 및 「표준 개인정보 보호지침」(고시 제2025-4호)을 준수합니다.

※ Kursoflow 서비스(이하 "서비스")의 특성상 회사는 두 가지 지위에서 개인정보를 처리합니다.
개인정보처리자: 회사 웹사이트 방문자, 회원(여행사·운영자·가이드)의 개인정보를 처리하는 경우
수탁자(처리위탁 받은 자): 테넌트(여행사) 회원이 자신의 게스트(여행자)의 개인정보를 회사 시스템에 등록·관리하는 경우 — 이때 게스트 정보의 개인정보처리자는 해당 테넌트이며, 회사는 「개인정보 보호법」 제26조에 따른 수탁자입니다.

본 방침은 본 서비스의 모든 사용자(국내 및 국외 거주자 포함)에게 적용되며, 회사는 EU 일반정보보호규정(GDPR), 미국 캘리포니아 소비자 프라이버시법(CCPA/CPRA) 등 국외 거주자에게 적용될 수 있는 법령에 따른 권리 또한 합리적 범위 내에서 보장합니다.

목차

  1. 제1조 — 개인정보의 처리 목적
  2. 제2조 — 수집하는 개인정보 항목 및 수집 방법
  3. 제3조 — 개인정보의 처리 및 보유 기간
  4. 제4조 — 만 14세 미만 아동의 개인정보
  5. 제5조 — 개인정보의 제3자 제공
  6. 제6조 — 개인정보 처리업무의 위탁
  7. 제7조 — 개인정보의 국외 이전
  8. 제8조 — 개인정보의 파기 절차 및 방법
  9. 제9조 — 정보주체의 권리·의무 및 행사방법
  10. 제10조 — 회원 탈퇴 및 계정·데이터 삭제 절차
  11. 제11조 — 개인정보의 안전성 확보조치
  12. 제12조 — 개인정보 자동 수집 장치(쿠키)의 운영 및 거부
  13. 제13조 — 행태정보의 수집·이용·제공 및 거부
  14. 제14조 — 결제 정보의 처리
  15. 제15조 — 외부 서비스·SDK 및 분석 도구
  16. 제16조 — 개인정보 침해 사고의 통지
  17. 제17조 — 개인정보 보호책임자 및 담당부서
  18. 제18조 — 권익침해 구제방법
  19. 제19조 — 영상정보처리기기 운영·관리
  20. 제20조 — 가명정보의 처리
  21. 제21조 — 자동화된 결정 및 프로파일링
  22. 제22조 — 국외 거주 정보주체의 추가 권리(GDPR/CCPA)
  23. 제23조 — 본 방침의 변경 및 고지

제1조 (개인정보의 처리 목적)

회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로는 이용되지 아니하며, 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행할 예정입니다.

1. 홈페이지 회원 가입 및 관리

회원 가입의사 확인, 회원제 서비스 제공에 따른 본인 식별·인증, 회원자격 유지·관리, 제한적 본인확인제 시행에 따른 본인확인, 서비스 부정이용 방지, 만 14세 미만 아동의 개인정보 처리 시 법정대리인의 동의 여부 확인, 각종 고지·통지, 고충처리 목적으로 개인정보를 처리합니다.

2. 재화 또는 서비스 제공

투어 운영방(Room) 생성·관리, OTA 예약 명단의 자동 파싱·구조화, 참여 카드(Pass) 토큰 발급 및 이메일·SMS·WhatsApp· 카카오 알림톡을 통한 발송, 실시간 가이드–게스트 메시지 송수신, QR 체크인 및 출발 관리, 가이드 정산 및 원천징수 영수증·세금계산서 발행 보조, 본인인증, 연령인증, 요금결제·정산, 콘텐츠 제공, 맞춤 서비스 제공, 물품배송 또는 청구지 등 발송 목적으로 개인정보를 처리합니다.

3. 고충처리

민원인의 신원 확인, 민원사항 확인, 사실조사를 위한 연락·통지, 처리결과 통보 등의 목적으로 개인정보를 처리합니다.

4. 마케팅 및 광고에의 활용 (별도 동의 시)

신규 서비스(제품) 개발 및 맞춤 서비스 제공, 통계학적 특성에 따른 서비스 제공 및 광고 게재, 서비스의 유효성 확인, 접속빈도 파악 또는 회원의 서비스 이용에 대한 통계, 이벤트 및 광고성 정보 제공 및 참여기회 제공 등을 목적으로 개인정보를 처리합니다.

5. 안전한 서비스 운영 및 부정이용 방지

법령 및 회사 약관 위반에 대한 모니터링, 부정이용·자동화 봇 탐지, 보안 위협 대응, 다중 계정 식별, 서비스 이용 기록과 접속 로그·IP 분석 등 안전한 서비스 운영을 위한 목적으로 개인정보를 처리합니다.

제2조 (수집하는 개인정보 항목 및 수집 방법)

가. 회원 (여행사 운영자·가이드)

  • 필수항목: 이메일 주소, 비밀번호(Argon2 단방향 해시 저장), 이름, 서비스 이용 기록·접속 로그·접속 IP 정보·기기 식별자(브라우저·OS·해상도)
  • 선택항목: 휴대전화번호, 프로필 이미지, 사용 언어, 회사명, 사업자등록번호, 회사 주소(테넌트 운영자에 한함)
  • 가이드 추가 항목 (정산 시점에 한함): 정산용 계좌정보(은행명·계좌번호·예금주명), 주민등록번호 뒤 6자리(원천징수 의무 이행을 위한 「소득세법」상 요건, 분리 보관·암호화 저장)
  • 수집 방법: 회원가입 페이지, 초대 수락 페이지, 설정 페이지, 결제 페이지, 정산 페이지를 통한 이용자의 직접 입력

나. 투어 게스트 (여행자) — 회사가 수탁자로 처리

※ 게스트 개인정보는 테넌트(여행사) 회원이 OTA 등에서 적법하게 수집한 정보를 회사 시스템에 등록·보관하는 형태로 처리되며, 그 적법한 수집·이용 동의 확보 책임은 등록 주체인 테넌트에게 있습니다(「개인정보 보호법」 제26조).

  • 필수항목: 이름, OTA 예약번호, 투어 일자
  • 선택항목: 이메일 주소, 휴대전화번호, WhatsApp/WeChat/LINE 핸들, 픽업 장소, 동반 인원수, 언어 선호, 특이사항(알러지·식이 요구 등 — 「개인정보 보호법」상 민감정보에 해당할 수 있음)
  • 수집 방법: 운영자가 직접 입력하거나, OTA에서 발송된 예약 확인 텍스트·CSV·이메일을 회사의 AI 파서(Anthropic Claude)가 구조화하여 등록

다. 결제 시 추가 수집

  • 필수항목: 결제수단 정보(신용·체크카드 번호의 마지막 4자리, 카드사명, 만료일 — 원본 카드번호는 회사가 보관하지 않으며 PCI-DSS Level 1 인증을 받은 Stripe Inc.가 토큰화하여 직접 처리), 청구지 국가, 결제 통화, 결제 내역
  • 세금계산서 발행 시: 사업자등록번호, 상호, 대표자명, 사업장 주소, 업태·종목, 담당자 이메일
  • 수집 방법: Stripe 결제 페이지(회사 시스템은 결제수단 원본을 거치지 않음)

라. 자동 수집 항목

  • IP 주소, User-Agent(브라우저·OS·기기), 서비스 이용기록, 접속 일시, 접속 경로, 방문 페이지, 클릭 이벤트, 쿠키, 세션 ID
  • QR 스캔 시 위치(이용자가 명시 동의한 경우에 한해, 「위치정보의 보호 및 이용 등에 관한 법률」 준수)
  • 게스트 AI 질의 내역(부정이용·남용 방지 forensics 목적, 90일 후 익명화)

마. 제3자 로그인 시 (해당 시)

  • 현재 회사는 별도의 OAuth 제3자 로그인을 운영하지 않으며, 향후 Google·Apple·Kakao·Naver 등 외부 인증을 도입하는 경우 본 방침을 개정하고 별도 동의를 받습니다. 도입 시 수집 항목은 해당 ID 제공자가 교부하는 최소한의 식별 정보(이메일·이름·고유 ID)에 한합니다.

제3조 (개인정보의 처리 및 보유 기간)

회사는 법령에 따른 개인정보 보유·이용기간 또는 정보주체로부터 개인정보 수집 시에 동의받은 개인정보 보유·이용기간 내에서 개인정보를 처리·보유합니다. 각각의 개인정보 처리 및 보유 기간은 다음과 같습니다.

구분보유기간법적 근거
회원 가입 및 관리 정보회원 탈퇴 시까지이용계약 이행
부정이용 방지 기록탈퇴 후 1년「정보통신망법」 제44조의5
게스트 예약·참여 기록투어 종료 후 1년「관광진흥법」 제36조 분쟁 대비
계약 또는 청약철회 등에 관한 기록5년「전자상거래법」 제6조 제3항
대금결제 및 재화 등의 공급에 관한 기록5년「전자상거래법」 제6조 제3항
소비자의 불만 또는 분쟁처리에 관한 기록3년「전자상거래법」 제6조 제3항
표시·광고에 관한 기록6개월「전자상거래법」 제6조 제3항
전자(세금)계산서5년「부가가치세법」 제32조
원천징수 관련 서류5년「국세기본법」 제85조의3
웹사이트 접속 로그·서비스 이용 기록3개월「통신비밀보호법」 제15조의2
본인확인에 관한 기록6개월「정보통신망법」 제44조의5
가이드 정산용 계좌·주민등록번호 뒤 6자리지급일이 속하는 과세연도의 다음연도부터 5년「국세기본법」 제85조의3

※ 보유기간이 경과한 개인정보는 지체 없이 파기합니다. 다만 다른 법령에 따라 보존하여야 하는 경우에는 해당 법령이 정한 기간 동안 별도 분리 보관 후 파기합니다.

제4조 (만 14세 미만 아동의 개인정보)

  1. 회사는 만 14세 미만 아동의 개인정보를 원칙적으로 수집하지 아니합니다. 회원가입 시 생년월일을 입력받아 만 14세 미만으로 확인되는 경우 가입을 즉시 거부합니다.
  2. 예외적으로 법정대리인의 동의가 필요한 경우 「개인정보 보호법」 제22조의2 및 같은 법 시행령 제17조의2에 따라 법정대리인의 동의를 받고, 동의 받은 범위 내에서만 처리합니다.
  3. 아동의 개인정보가 부주의로 수집된 사실을 인지한 경우, 회사는 지체 없이 해당 정보를 삭제하고 그 사실을 법정대리인에게 통지합니다.

제5조 (개인정보의 제3자 제공)

  1. 회사는 정보주체의 개인정보를 제1조(개인정보의 처리 목적)에서 명시한 범위 내에서만 처리하며, 정보주체의 사전 동의 없이는 본래의 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다.
  2. 다음 각 호에 해당하는 경우에는 「개인정보 보호법」 제17조 및 제18조에 따라 정보주체의 동의 없이도 개인정보를 제3자에게 제공할 수 있습니다.
    • 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
    • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우
    • 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
    • 법원의 재판업무 수행을 위하여 필요한 경우
    • 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
  3. 회사가 정기적으로 제3자에게 개인정보를 제공하는 업무는 현재 없습니다. 향후 발생할 경우 본 방침을 개정하고 정보주체의 사전 동의를 받겠습니다.

제6조 (개인정보 처리업무의 위탁)

회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리업무를 위탁하고 있으며, 「개인정보 보호법」 제26조에 따라 위탁계약 체결 시 개인정보가 안전하게 관리될 수 있도록 다음 사항을 규정하고 있습니다.

  • 위탁업무 수행 목적 외 개인정보 처리 금지
  • 개인정보 보호를 위한 기술적·관리적 보호조치
  • 재위탁 제한, 수탁자에 대한 관리·감독
  • 손해배상 등 책임에 관한 사항
수탁자위탁 업무위탁 정보보유·이용 기간
Supabase Inc.데이터베이스·인증·스토리지 호스팅모든 서비스 데이터(회원·게스트·메시지 등)위탁계약 종료 또는 회원 탈퇴 시까지
Vercel Inc.웹 애플리케이션 호스팅, 엣지 라우팅, CDN접속 로그, IP, User-Agent3개월
Anthropic PBC예약 명단 파싱·번역 AI 처리(Claude API), 게스트 응답 생성예약 텍스트, 게스트 질의 내역(학습 미사용 옵션 활성화)처리 즉시 폐기 (캐시 30일 이내)
Stripe Inc.유료 플랜 결제·환불 처리, PG 대행결제수단 정보(토큰화), 청구지, 결제 내역「전자상거래법」 5년
Resend Inc.트랜잭션 이메일 발송(참여 카드 등)수신자 이메일, 발송 메타데이터발송 후 90일
Twilio Inc.WhatsApp / SMS 메시지 발송수신자 휴대전화번호, 메시지 내용발송 후 30일
NHN Cloud (NHN KCP/Toast)카카오 알림톡·SMS 발송수신자 휴대전화번호, 메시지 내용발송 후 30일
Sentry (Functional Software, Inc.) — 활성화 시오류 모니터링·예외 추적오류 컨텍스트, IP, 사용자 ID(익명화)30일
Google LLC — 활성화 시웹 폰트(Google Fonts) 제공IP 주소(폰트 요청 시점)요청 즉시 처리

※ 회사는 위탁계약 변경 시 본 방침을 개정하여 공개합니다. 정보주체는 개인정보 보호책임자에게 문의하여 위탁계약서의 주요 내용을 확인할 수 있습니다.

제7조 (개인정보의 국외 이전)

회사는 「개인정보 보호법」 제28조의8에 따라 개인정보의 국외 이전 사항을 다음과 같이 정보주체에게 알립니다. 일부 수탁자는 해외에 위치하므로 서비스 이용 시점에 정보통신망(HTTPS/TLS 1.2 이상)을 통해 개인정보가 국외로 이전됩니다.

이전받는 자이전 국가이전 일시·방법이전 항목이전 받는 자의 보유·이용 기간
Supabase Inc.미국 (AWS ap-northeast-2 / us-east-1)서비스 이용 시점, 정보통신망(HTTPS)모든 서비스 데이터위탁계약 종료까지
Vercel Inc.미국서비스 이용 시점, 정보통신망(HTTPS)접속 로그, IP, User-Agent3개월
Anthropic PBC미국AI 호출 시점, 정보통신망(HTTPS)예약 텍스트, 게스트 질의처리 즉시 폐기
Stripe Inc.미국, 아일랜드결제 시점, 정보통신망(HTTPS)결제수단 정보, 결제 내역5년
Resend, Twilio미국메시지 발송 시점, 정보통신망(HTTPS)수신자 이메일·전화번호30~90일

※ 정보주체는 개인정보의 국외 이전을 거부할 권리가 있습니다. 거부하시는 경우 회원 탈퇴 또는 해당 기능 미사용을 통해 거부할 수 있으나, 이 경우 서비스의 핵심 기능 이용이 제한될 수 있습니다. 회사는 개인정보 국외 이전 시 「개인정보 보호법」 제28조의8 및 같은 법 시행령 제29조의11에 따른 보호조치(암호화 전송, 수탁자에 대한 관리·감독)를 이행합니다.

제8조 (개인정보의 파기 절차 및 방법)

  1. 회사는 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.
  2. 정보주체로부터 동의받은 개인정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존합니다.
  3. 파기 절차: 파기 사유 발생 → 개인정보 보호책임자의 승인 → 운영팀의 파기 → 파기 결과 기록·보관
  4. 파기 방법:
    • 전자적 파일 형태의 정보: 복원 불가능한 방법(데이터베이스 row hard-delete, 클라우드 storage object 영구 삭제, 백업 회전 시 자동 폐기)으로 영구 삭제하며, 암호화 저장된 데이터는 암호키 폐기 방식을 병행합니다.
    • 종이 문서 형태의 정보: 분쇄기로 분쇄하거나 소각
  5. 회사는 파기에 관한 사항을 기록·관리하며, 파기 결과를 정보주체가 요청하는 경우 합리적 범위 내에서 통지합니다.

제9조 (정보주체의 권리·의무 및 행사방법)

  1. 정보주체는 회사에 대하여 언제든지 다음 각 호의 권리를 행사할 수 있습니다.
    • 개인정보 열람 요구 (「개인정보 보호법」 제35조)
    • 오류 등이 있을 경우 정정·삭제 요구 (제36조)
    • 처리정지 요구 (제37조)
    • 개인정보 전송 요구권 (제35조의2, 시행 시점에 따름)
    • 동의 철회 (제22조)
    • 회원탈퇴(계정 삭제) 요구
    • 자동화된 결정에 대한 거부·설명 요구권 (해당 시)
    • 국외 이전의 거부 (제28조의8)
  2. 제1항에 따른 권리 행사는 「개인정보 보호법」 시행령 제41조 제1항에 따라 서면, 전자우편, 모사전송(FAX) 등을 통하여 하실 수 있으며, 회사는 이에 대해 지체없이 조치하겠습니다.
  3. 정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우에는 회사는 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.
  4. 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여서도 하실 수 있습니다. 이 경우 「개인정보 처리 방법에 관한 고시」(개인정보보호위원회 고시 제2020-7호) 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.
  5. 개인정보 열람 및 처리정지 요구는 「개인정보 보호법」 제35조 제4항, 제37조 제2항에 의하여 정보주체의 권리가 제한될 수 있습니다.
  6. 개인정보의 정정 및 삭제 요구는 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없습니다.
  7. 회사는 정보주체 권리에 따른 열람의 요구, 정정·삭제의 요구, 처리정지의 요구 시 열람 등 요구를 한 자가 본인이거나 정당한 대리인인지를 확인합니다.
  8. 권리 행사 신청 창구:
    • 이메일: privacy@kursoflow.app
    • 처리 기한: 영업일 기준 10일 이내 (긴 처리가 필요한 경우 60일 이내)
    • 응답 형식: 정보주체가 요청한 방식 또는 이메일

제10조 (회원 탈퇴 및 계정·데이터 삭제 절차)

※ 본 조항은 Google Play Store, Google OAuth 정책 및 Apple App Store가 요구하는 "계정·데이터 삭제 메커니즘" 공시 요건을 충족합니다. 정보주체는 다음 절차에 따라 언제든지 계정 및 관련 개인정보의 삭제를 요청할 수 있습니다.

1. 셀프 서비스(권장)

  1. 로그인 후 설정 → 계정 → 회원 탈퇴 메뉴로 이동
  2. 탈퇴 사유 선택 및 비밀번호 재확인
  3. "계정 영구 삭제" 버튼 클릭
  4. 확인 이메일 수신 후 24시간 이내 자동 삭제

2. 이메일을 통한 삭제 요청

  1. 가입 시 등록한 이메일 주소에서 privacy@kursoflow.app로 "계정 삭제 요청" 제목으로 발송
  2. 본문에 가입 이메일과 회원 탈퇴 의사 명시
  3. 회사는 본인 확인 후 영업일 기준 10일 이내 처리하고 결과를 회신합니다.

3. 삭제 범위 및 처리 방식

  • 즉시 삭제: 이메일, 비밀번호 해시, 이름, 휴대전화번호, 프로필 이미지, 사용 언어, 회사명·주소 등 가입·관리 정보
  • 익명화(통계 보존): 게스트 메시지 송수신 기록 등은 통계 분석 목적상 개인 식별이 불가능한 형태로 익명화하여 보존
  • 법령상 보존: 「전자상거래법」, 「부가가치세법」 등이 요구하는 결제·세무 기록은 법정 보유기간 동안 별도 분리·암호화 보관 후 자동 파기 (제3조 표 참조)
  • 유료 구독 중 탈퇴: 잔여 구독 기간에 대한 환불은 별도 환불 정책에 따릅니다.
  • 테넌트 운영자(여행사)의 탈퇴: 테넌트가 보유하던 게스트 데이터는 테넌트의 결정에 따라 ① 일괄 내보내기(JSON/CSV) 후 영구 삭제 또는 ② 즉시 삭제 중 선택할 수 있습니다.

4. 재가입 제한

탈퇴 후 30일 동안은 동일 이메일로 재가입할 수 없습니다(부정이용 방지). 단 영구 삭제 의사를 명시하신 경우 즉시 삭제 후 재가입 제한이 적용되지 않을 수 있습니다.

5. 외부 처리자에 대한 삭제 전파

회사는 회원 탈퇴 시 제6조에 명시된 외부 수탁자(Supabase, Stripe, Resend, Twilio, NHN Cloud 등)에게도 해당 개인정보의 삭제 또는 익명화를 요청·확인합니다. 다만 각 수탁자가 자체 법령상 보유 의무를 갖는 경우(예: Stripe의 결제 보존 의무) 해당 기간 동안 분리 보관됩니다.

제11조 (개인정보의 안전성 확보조치)

회사는 「개인정보 보호법」 제29조 및 같은 법 시행령 제30조에 따라 다음과 같은 안전성 확보 조치를 취하고 있습니다.

1. 관리적 조치

  • 내부관리계획의 수립·시행 및 정기적(연 1회) 검토·갱신
  • 개인정보취급자에 대한 정기적 교육 (반기 1회)
  • 최소권한 원칙에 따른 접근권한 부여, 권한 변경·말소 즉시 반영
  • 개인정보 처리시스템에 대한 접근 기록의 1년 이상 보관·점검
  • 개인정보의 안전한 관리를 위한 책임자(CPO) 지정 및 운영

2. 기술적 조치

  • 개인정보처리시스템 등의 접근권한 관리 — Supabase Row-Level Security(RLS) 정책 적용으로 데이터베이스 행 단위 접근 제어
  • 접근통제시스템 설치 — IP allowlist, MFA(다중요소 인증) 옵션, 세션 만료, 의심 활동 탐지
  • 비밀번호의 단방향 암호화 저장 (Argon2id 알고리즘)
  • 전송구간 TLS 1.2 이상 암호화 — 모든 HTTP 통신은 HTTPS 강제(HSTS)
  • 저장구간 암호화 — Supabase의 AES-256 at-rest 암호화, 민감정보(주민등록번호 뒤 6자리·계좌번호)는 별도 컬럼 단위 암호화
  • 보안 프로그램의 설치 및 갱신 — 종속성 자동 보안 패치 (Dependabot, npm audit)
  • 정기 백업 및 복구 테스트 (일 1회 백업, 분기 1회 복구 훈련)
  • SQL Injection·XSS·CSRF 방어를 위한 매개변수 바인딩, Content Security Policy, SameSite 쿠키 설정
  • 관리자 계정 보호 — Single Sign-On 옵션, 정기 비밀번호 변경 권고

3. 물리적 조치

  • 클라우드 데이터센터의 물리적 보안 위탁 — AWS(SOC 2 Type II, ISO/IEC 27001, ISO 27017, ISO 27018, PCI DSS Level 1 인증), Vercel(SOC 2 Type II)
  • 회사 자체 사무실에 별도 개인정보 보관 매체를 운용하지 않으며, 종이 출력은 원칙적으로 금지합니다.

제12조 (개인정보 자동 수집 장치의 설치·운영 및 거부 — 쿠키)

  1. 회사는 이용자에게 개별적인 맞춤서비스를 제공하기 위해 이용정보를 저장하고 수시로 불러오는 "쿠키(cookie)"를 사용합니다.
  2. 쿠키는 웹사이트 운영에 이용되는 서버(http)가 이용자의 컴퓨터 브라우저에게 보내는 소량의 정보이며 이용자의 PC 하드디스크에 저장되기도 합니다.

쿠키 분류

분류목적예시보관 기간거부 가능 여부
필수 쿠키로그인 세션 유지, CSRF 방지, 보안 검사sb-access-token, csrf-token세션 ~ 7일거부 시 서비스 이용 불가
기능 쿠키언어·테마·테넌트 등 환경 설정 보존NEXT_LOCALE, theme최대 1년거부 가능 (개인화 제한)
분석 쿠키익명 통계, 오류 모니터링(Sentry)(활성화 시) sentry-trace 등최대 90일거부 가능
광고 쿠키회사는 행태정보 기반 광고 쿠키를 사용하지 않습니다.없음해당 없음해당 없음

쿠키 설정 거부 방법

  • 웹브라우저 옵션 설정을 통해 쿠키 허용·차단 수준을 결정할 수 있습니다.
    • Chrome: 설정 → 개인정보 및 보안 → 쿠키 및 기타 사이트 데이터
    • Edge: 설정 → 쿠키 및 사이트 권한
    • Safari: 환경설정 → 개인정보 보호
    • Firefox: 설정 → 개인정보 및 보안
  • 다만 필수 쿠키 저장을 거부할 경우 로그인이 필요한 서비스 이용에 어려움이 발생할 수 있습니다.

제13조 (행태정보의 수집·이용·제공 및 거부 등에 관한 사항)

  1. 회사는 온라인 맞춤형 광고를 위해 이용자의 검색·구매 등 행태정보를 수집하지 않으며, 제3자에게 행태정보를 제공· 공유하지 않습니다.
  2. 회사는 광고식별자(AAID/IDFA) 기반 추적, 픽셀 기반 광고 추적, Google Analytics, Meta Pixel 등의 행태정보 수집 도구를 사용하지 않습니다.
  3. 향후 수집·이용·제공이 필요한 경우 본 방침을 사전 개정 공고하고 별도 동의를 받겠습니다.

제14조 (결제 정보의 처리)

  1. 회사는 유료 서비스 결제를 위해 PCI-DSS Level 1 인증을 받은 결제 대행 업체 Stripe Inc.를 이용합니다. 카드번호 원본은 회사 시스템을 거치지 않고 Stripe가 직접 토큰화하여 처리하므로, 회사는 카드번호 원본을 보관하거나 접근할 수 없습니다.
  2. 회사가 자체 처리·보관하는 결제 관련 정보는 다음과 같습니다.
    • Stripe 고객 ID, 결제 토큰 ID
    • 카드번호 마지막 4자리, 카드사명, 만료일
    • 결제 금액·통화·일시, 결제 상태
    • 청구지 국가, 부가세 사업자등록번호 (해당 시)
  3. 가이드 정산 시 「소득세법」상 원천징수 의무 이행을 위해 정산용 계좌정보(은행명·계좌번호·예금주명) 및 주민등록번호 뒤 6자리를 수집하며, 해당 정보는 별도 분리·암호화 저장됩니다.
  4. 이용자는 Stripe 결제 포털에서 자신의 저장된 결제수단을 직접 확인·수정·삭제할 수 있습니다.

제15조 (외부 서비스·SDK 및 분석 도구)

회사는 서비스 제공·품질 향상·보안을 위해 다음과 같은 외부 서비스 및 도구를 사용합니다. 각 도구의 데이터 처리에 관해서는 해당 사업자의 개인정보처리방침이 함께 적용됩니다.

도구용도처리 데이터처리방침
Supabase인증·DB·스토리지회원·게스트 데이터supabase.com/privacy
Vercel웹 호스팅접속 로그, IPvercel.com/legal/privacy-policy
Anthropic Claude APIAI 텍스트 처리예약 텍스트, 게스트 질의(학습 미사용)anthropic.com/legal/privacy
Stripe결제·환불결제수단, 결제 내역stripe.com/privacy
Resend이메일 발송수신자 이메일resend.com/legal/privacy-policy
TwilioWhatsApp/SMS수신자 전화번호twilio.com/legal/privacy
NHN Cloud알림톡·SMS수신자 전화번호nhncloud.com/kr/policy/privacy
Sentry (활성화 시)오류 모니터링오류 컨텍스트, IPsentry.io/privacy
Google Fonts (활성화 시)웹 폰트IP(폰트 요청 시)policies.google.com/privacy

제16조 (개인정보 침해 사고의 통지)

  1. 회사는 「개인정보 보호법」 제34조 및 같은 법 시행령 제40조에 따라 개인정보 유출·도난·분실 등 침해 사고가 발생한 경우 다음 각 호의 사항을 정보주체에게 지체없이 알립니다.
    • 유출된 개인정보의 항목
    • 유출된 시점과 그 경위
    • 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법
    • 회사의 대응조치 및 피해 구제절차
    • 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
  2. 1천 명 이상의 정보주체에 관한 개인정보가 유출된 경우, 회사는 같은 법 제34조 제3항에 따라 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원에 신고합니다.
  3. 통지 방법: 가입 시 등록된 이메일을 우선으로 하며, 이메일 통지가 곤란한 경우 서비스 내 공지(7일 이상 게시)로 갈음할 수 있습니다.

제17조 (개인정보 보호책임자 및 담당부서)

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

  • 개인정보 보호책임자: 심상송 (대표)
  • 이메일: privacy@kursoflow.app
  • 고충처리 부서: 운영팀 (privacy@kursoflow.app 동일 창구)
  • 응답 기한: 영업일 기준 10일 이내

정보주체는 회사의 서비스를 이용하면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자 및 담당부서로 문의할 수 있으며, 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.

제18조 (권익침해 구제방법)

정보주체는 개인정보침해로 인한 구제를 받기 위하여 다음 기관에 분쟁해결, 상담을 신청할 수 있습니다. 이 외에도 한국소비자원, 사이버수사기관 등에 상담·신고가 가능합니다.

「개인정보 보호법」 제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

제19조 (영상정보처리기기 운영·관리)

회사는 영상정보처리기기(CCTV)를 설치·운영하지 않습니다.

제20조 (가명정보의 처리)

회사는 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 가명정보를 처리할 수 있으며, 이 경우 「개인정보 보호법」 제28조의2 내지 제28조의7에 따라 안전성 확보에 필요한 기술적·관리적·물리적 조치를 취합니다. 현재 회사가 가명정보를 처리하는 업무는 없으며, 향후 처리하게 되는 경우 처리 목적, 처리 기간, 안전성 확보조치 등을 본 방침에 추가 고지합니다.

제21조 (자동화된 결정 및 프로파일링)

  1. 회사는 「개인정보 보호법」 제37조의2에 따른 정보주체의 권리·의무에 중대한 영향을 미치는 자동화된 결정을 수행하지 않습니다.
  2. 회사는 AI(Anthropic Claude)를 이용해 OTA 예약 명단을 구조화하거나 게스트 질의에 응답을 보조하는 도구를 제공하나, 최종 의사결정(예약 승인·거절, 환불 처리 등)은 사람(운영자·가이드)이 검토·승인합니다.
  3. 향후 자동화된 결정을 도입하는 경우, 회사는 결정의 기준·결과·이의제기 절차를 사전 고지하고 정보주체의 거부·설명 요구권을 보장합니다.

제22조 (국외 거주 정보주체의 추가 권리 — GDPR / CCPA)

회사는 EU 일반정보보호규정(GDPR), 미국 캘리포니아 소비자 프라이버시법(CCPA/CPRA), 영국 GDPR, 브라질 LGPD 등 국외 법령이 적용될 수 있는 정보주체에게 합리적 범위 내에서 다음 추가 권리를 보장합니다.

  • EU/EEA 거주자 (GDPR): 처리에 대한 이의 제기권, 정보 이동권, 자동화된 결정 거부권, 감독기관 진정권
  • 캘리포니아 거주자 (CCPA/CPRA): 정보의 판매·공유 거부권(Do Not Sell or Share), 민감개인정보 사용 제한권. 회사는 개인정보를 판매하거나 광고 목적으로 공유하지 않습니다.
  • 처리 근거 (GDPR Article 6): 계약 이행, 법적 의무 준수, 정당한 이익(서비스 개선·보안), 동의(마케팅)
  • 국제 이전 보호조치: SCC(Standard Contractual Clauses), 적정성 결정 적용, TLS 암호화
  • EU 대표(필요 시): 향후 EU에 정기적으로 서비스를 제공하는 경우 GDPR Article 27에 따른 EU 대표를 지정합니다.

해당 권리를 행사하시려면 privacy@kursoflow.app로 거주 국가·요청 사항을 명시하여 연락해 주시기 바랍니다.

제23조 (본 방침의 변경 및 고지)

  1. 본 방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 공지사항을 통하여 고지할 것입니다.
  2. 이용자에게 불리하거나 중대한 변경이 있는 경우에는 시행일자 30일 전에 공지하고, 가입 시 등록한 이메일로 개별 통지합니다.
  3. 이용자가 변경된 방침에 동의하지 않는 경우 회원탈퇴를 요청할 수 있습니다.

개정 이력

  • 2026-04-30 공고 / 2026-05-01 시행: 최초 시행

※ 본 방침은 「개인정보 보호법」 제30조, 같은 법 시행령 제31조, 표준 개인정보 보호지침(개인정보보호위원회 고시 제2025-4호), 개인정보 처리방침 작성지침(2025.4.21.), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「전자상거래 등에서의 소비자보호에 관한 법률」, 「관광진흥법」, 「위치정보의 보호 및 이용 등에 관한 법률」, 「통신비밀보호법」, 「부가가치세법」, 「국세기본법」 등 관계 법령을 준수하여 작성되었으며, Google API Services User Data Policy(Limited Use Requirements 포함), Google Play Data Safety, Apple App Tracking Transparency 정책 요건도 함께 충족하도록 작성되었습니다.

사업자 정보

  • 상호: 에이투씨코리아 (서비스명 Kursoflow)
  • 대표자: 심상송
  • 사업자등록번호: 277-01-03977
  • 통신판매업신고번호: 신고예정
  • 관광사업 등록(종합여행업): 등록예정
  • 업태/종목: 서비스업, 도소매업 / 종합여행업, 전자상거래 소매업
  • 사업장 소재지: 경기도 부천시 원미구 길주로 284, 221-8호 (중동, 신중동역 헤리움 메트로타워)
  • 개업일: 2026-04-17
  • 관할 세무서: 부천세무서
  • 고객지원: support@kursoflow.app
  • 결제·환불 문의: billing@kursoflow.app
  • 개인정보 보호: privacy@kursoflow.app

에이투씨코리아(Kursoflow)

대표
심상송
사업자등록번호
277-01-03977
통신판매업신고
신고예정
업태 · 종목
서비스업, 도소매업 / 종합여행업, 전자상거래 소매업
주소
경기도 부천시 원미구 길주로 284, 221-8호 (중동, 신중동역 헤리움 메트로타워)
호스팅
Vercel Inc., Supabase Inc.

© 2026에이투씨코리아 (Kursoflow). All rights reserved.  ·  본 약관/방침은 한국 「전자상거래법」, 「개인정보 보호법」, 「관광진흥법」 등 관계 법령을 준수하여 작성되었습니다.