개인정보처리방침
시행일: 2026년 04월 26일 · 근거: 「개인정보 보호법」 (PIPA) §15·§21·§28의8·§29·§30·§35·§37 · EU GDPR · 미국 캘리포니아 CCPA
§1. 총칙
세모레 (영문: Semore, 이하 "회사" 또는 "Semore")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보 보호 및 권익을 보호하고 개인정보와 관련된 고충을 원활히 처리할 수 있도록 본 처리방침을 수립·공개한다. 본 처리방침은 회사가 https://semore.net 및 하위 도메인 (shop.semore.net, visit.semore.net, api.semore.net)을 통해 제공하는 모든 서비스에 적용된다.
- 대표자: 김경범
- 상호: 세모레 (Semore)
- 사업자등록번호: 714-18-02742
- 사업장 소재지: 경기도 성남시 분당구 중앙공원로 53, 102동 204호
- 대표 전화: 010-9170-2689
- 고객지원·고충 처리: [email protected]
- 대표 이메일: [email protected]
§2. 수집 항목 및 처리 목적 [PIPA §15]
| 구분 | 항목 | 수집 시점 | 처리 목적 | 법적 근거 |
|---|---|---|---|---|
| 익명 세션 | anonymous_session_id (서버 발급 opaque), 24시간 | 챗 진입 | 대화 연속성, 봇 차단 매핑 | PIPA §15 ① 6호 정당한 이익 |
| 봇 차단 | Turnstile 토큰, IP SHA-256 해시 (32 hex) | 챗 진입 시 1회 | 봇·어뷰징 차단 | PIPA §15 ① 6호 |
| 주문 정보 | 이름, 배송 주소, 전화번호, 이메일 | 체크아웃 | 계약 이행, 배송, 고객 문의 응대 | PIPA §15 ① 4호 계약 이행 |
| 결제 정보 | 결제수단 토큰, 승인번호 (PAN/CVV 미수집) | 체크아웃 | 결제 승인, 환불 | PIPA §15 ① 4호 |
| 배송 추적 | 운송장번호, 캐리어 코드, 상태 | 발송 | 배송 상태 안내 | PIPA §15 ① 4호 |
| 문의·민원 | 이메일 본문, 첨부 사진/영수증 | 문의 시 | 민원 응대, 분쟁 해결 | PIPA §15 ① 6호 정당한 이익 |
14세 미만 가입·주문은 차단하며, 우연 수집된 14세 미만 정보는 지체없이 파기한다. PAN·CVV·주민등록번호는 시스템에 저장·통과시키지 않으며, 결제는 PCI-DSS 인증 PG의 토크나이제이션 계약으로만 처리된다.
§3. 보유 및 파기 [PIPA §21 · 전자상거래법 §6]
| 데이터 | 보존 기간 | 법적 근거 |
|---|---|---|
| 익명 세션 | 24시간 (KV TTL) | 최소 수집 원칙 |
| 이메일 발송 본문 | 180일 후 NULL | PIPA §21 최소 보유 |
| 배송 추적 원본 | 90일 후 NULL | 운송 완료 후 민원 창 |
| 거래·계약 기록 | 5년 | 전자상거래법 §6 ① 1호 |
| 소비자 불만·분쟁 | 3년 | 전자상거래법 §6 ① 3호 |
| 표시·광고 기록 | 6개월 | 전자상거래법 §6 ① 2호 |
파기 방법: 전자적 파일은 복구 불가능한 방법으로 영구 삭제하거나 컬럼 단위 NULL UPDATE, 출력물은 분쇄·소각.
§4. 개인정보의 국외이전 [PIPA §28의8]
회사는 아래 4개 국외 수신자에게 본 방침에서 정한 항목을 이전한다.
| 구분 | 수신자 | 국가 | 항목 | 보유 기간 | 근거 |
|---|---|---|---|---|---|
| 챗 | Anthropic PBC | 미국 | 스크럽된 자연어 쿼리 (PII regex 마스킹 후) | 30일 또는 zero-retention | PIPA §28의8 ③ 1호 |
| 배송 | 17TRACK | 중국 | 운송장번호, 캐리어 (수취인 정보 미전송) | 운송 완료 후 90일 | PIPA §28의8 ③ 1호 |
| 이메일 | Resend, Inc. | 미국 | 수신 이메일 주소, 본문 | 본문 180일 후 NULL · Resend 전송 로그 30일 | PIPA §28의8 ③ 1호 |
| 인프라 | Cloudflare, Inc. | 미국 | IP, User-Agent, 쿠키, Turnstile 토큰 | edge logs 7일, KV TTL 24h | PIPA §28의8 ③ 2호 |
중국 적정성 미획득 특별 고지: 대한민국은 중국에 대한 개인정보보호 적정성 결정을 미획득하였다. 회사는 PIPC 2023-09 개정 해설 §6 지침에 따라 기술적 최소화 (allowlist 차단) + DPA 의 이중 보호를 적용한다.
§5. 정보주체의 권리 [PIPA §35·§37]
정보주체는 아래 권리를 언제든 행사할 수 있다. 이메일 ([email protected]) 으로 요청 시 30일 이내 처리한다.
- 열람 요구권 (PIPA §35)
- 정정·삭제 요구권 (PIPA §36)
- 처리정지 요구권 (PIPA §37)
- 동의 철회권
- EU 거주 고객 (GDPR): 이동권 (Art. 20), 이의제기권 (Art. 21), 감독기관 신고권
- 캘리포니아 거주 고객 (CCPA): "Do Not Sell or Share My Personal Information" 동등 처리
§6. 안전성 확보조치 [PIPA §29]
- 전송 구간 TLS 1.3 · 저장 시 D1 컬럼 레벨 민감정보 NULL 수명 관리
- IP raw 미저장 (SHA-256 + pepper 해시만 저장)
- Cloudflare Turnstile 봇 차단 · PAN/CVV 시스템 통과 차단 (PCI SAQ A-EP)
- 전 요청 audit log · 외부 자문 (Phase 0~1 월 1회) 검수
- 사무실 근거지 없이 Cloudflare-first 완전 클라우드 · 로컬 DB·파일서버 부재
§7. 개인정보 보호 책임자 (DPO) 및 고충처리
- 개인정보 보호 책임자: 김경범 (대표자 겸직)
- 연락처: [email protected]
- 고객지원·민원: [email protected]
- 분쟁조정: 개인정보분쟁조정위원회 (kopico.go.kr · 1833-6972) · 개인정보침해신고센터 (privacy.kisa.or.kr · 118) · 대검찰청 (1301) · 경찰청 사이버수사국 (ecrm.police.go.kr · 182)
§8. 쿠키 및 로컬 저장소
| 키 | 저장 위치 | 목적 | 만료 |
|---|---|---|---|
semore.locale | localStorage | 언어 설정 유지 | 브라우저 정책 (수동 삭제 가능) |
semore.attribution_session | localStorage | 주문 귀속 세션 (opaque UUID) | 30일 |
__cf_bm, cf_clearance | 쿠키 (Cloudflare) | 봇 차단 · 엣지 보안 | 30분 ~ 30일 |
anonymous_session_id | httpOnly 서버 토큰 | 챗 세션 연속성 | 24시간 |
brower 설정에서 쿠키·localStorage 삭제·차단 가능. 차단 시 챗 언어 기억·귀속 분석이 작동하지 않는다.
§9. 처리방침의 변경
본 방침은 관계 법령 개정 또는 서비스 변경 시 PIPA §30 ② (변경 시 공개 의무) 에 따라 본 페이지 §10 변경 이력에 반영하여 고지하며, 당사 자체 강화 약속으로 변경 시행 최소 7일 전 (중요 변경은 30일 전) 서비스 메인 공지를 병행한다.
§10. 변경 이력
| 버전 | 날짜 | 변경 내용 |
|---|---|---|
| v1.0 | 2026-04-26 | 최초 공개본 — PIPA §30 처리방침 수립, 4개 국외이전 수신자 고지, 사업자등록 정보 게재 (사업자등록번호 714-18-02742, 대표자 김경범, 사업장 소재지) |