TopSocialBoost

법적 고지

개인정보 처리방침

최종 업데이트:

본 개인정보 처리방침은 TopSocialBoost(이하 “당사”)이 topsocialboost.com 및 이를 통해 제공되는 서비스를 사용할 때 개인 정보를 어떻게 수집, 사용, 저장 및 보호하는지 설명합니다. 개인정보 결정은 법률 용어에 묻혀 있는 것이 아니라 이해할 수 있어야 하기 때문에 평이한 언어로 작성되었습니다.

당사는 귀하의 주문을 이행하기 위해 개인 정보를 처리하는 데 있어 EU/UK GDPR 제4조(7)에 따른 컨트롤러이며, 캘리포니아 거주자의 개인 정보에 대해서는 캘리포니아 CCPA/CPRA §1798.140(ag)에 따른 서비스 제공자입니다. 본 방침은 위치에 관계없이 모든 방문자에게 적용됩니다.

요약

  • 소셜 미디어 비밀번호, 카드 번호 또는 전화번호를 절대 수집하거나 저장하지 않습니다.
  • 주문을 처리하고 지원하는 데 필요한 정보만 수집합니다.
  • 제3자 추적 픽셀 없음 (Google Analytics 없음, Facebook Pixel 없음).
  • 데이터는 독일(EU/EEA)의 암호화된 서버에 저장됩니다.
  • 언제든지 삭제를 요청할 수 있으며 30일 이내에 처리합니다.

1. 당사 소개

TopSocialBoost은(는) topsocialboost.com을 운영하며 라이선스를 가진 제3자 네트워크를 통해 소셜 미디어 참여 서비스(팔로워, 좋아요, 조회수 등)를 제공합니다. 개인정보 관련 문의는 이메일 privacy@topsocialboost.com로 연락하실 수 있습니다(일반 지원은 support@topsocialboost.com).

2. 당사가 수집하는 개인 정보

의도적으로 필요한 최소한의 데이터만 수집합니다. 아래 카테고리는 완전합니다 — 귀하에 대한 다른 어떤 것도 시스템에 들어가지 않습니다.

2.1 직접 제공하는 데이터

  • 이메일 주소 — 주문 확인, 배송 업데이트, 지원 답변, 환불 처리용. 필수.
  • 공개 프로필 또는 게시물 URL — 주문한 참여의 대상. 연결된 계정에 절대 로그인하지 않습니다. 공개적으로 보이는 참여만 푸시합니다.
  • 선택적 메시지 — 문의 양식 또는 지원 답변에 작성하는 모든 내용. 지원 대화의 수명 동안 저장됩니다.

2.2 자동으로 수집되는 데이터

  • IP 주소 — 사기 방지(차지백 방어) 및 속도 제한을 위해 주문 시 수집. 집계 분석을 위해 30일 후 /24(IPv4) 또는 /48(IPv6)로 잘립니다.
  • 브라우저 핑거프린트 해시 — 사용자 에이전트 + accept-language + 화면 크기의 비가역적 SHA-256으로, 중복 계정과 결제 사기를 감지하는 데에만 사용.
  • 서버 액세스 로그 — 요청 메서드, 경로, 상태 코드, 응답 시간. 보안 조사를 위해 14일 동안 보관된 후 영구 삭제.

2.3 결제 처리자로부터 받는 데이터

  • Stripe는 결제 의도 ID, 카드의 마지막 4자리 및 카드 브랜드를 반환합니다. 전체 PAN, CVV 또는 만료일을 보거나 저장하거나 처리하지 않습니다.
  • Heleket은 발신 암호화폐 지갑 주소(결제 확인에 필요), 선택한 코인, 거래 해시를 반환합니다.

3. 절대 수집하지 않는 정보

의심을 피하기 위해, 당사는 다음 데이터를 요청하지 않으며 시스템에 해당 필드가 없기 때문에 수집하는 것이 구조적으로 불가능합니다:

  • 소셜 미디어 계정 비밀번호 (어떤 성장 서비스도 이것이 필요하지 않습니다).
  • 2단계 인증 코드, 백업 코드 또는 앱 비밀번호.
  • 전체 신용카드 번호, CVV 또는 만료일.
  • 법적 이름, 실제 주소 또는 전화번호.
  • 정부 신분증(여권, 운전면허증 등).
  • 생체 데이터, 건강 데이터 또는 GDPR 9조의 다른 특별 범주.

4. 데이터 사용 방법 (목적 및 법적 근거)

목적사용된 데이터법적 근거 (GDPR 6조)
주문한 서비스 전달이메일, 공개 URL, 결제 ID(b) 계약 이행
주문 업데이트 및 지원 답변 전송이메일(b) 계약 이행
결제 사기 및 남용 방지IP, 핑거프린트 해시, 결제 메타데이터(f) 정당한 이익
세금/회계법 준수익명화된 주문 참조(c) 법적 의무
서비스 품질 분석 (서버측, 집계)잘린 IP, 요청 경로(f) 정당한 이익

5. 데이터 공유 대상 (처리자)

서비스 운영에 필요한 최소한의 제공자 집합과만 데이터를 공유합니다. 각각은 GDPR 28조에 따른 데이터 처리 계약(DPA)에 구속됩니다.

  • Stripe Payments Europe Ltd. (아일랜드) — 카드 처리. PCI-DSS Level 1.
  • Heleket OÜ (에스토니아) — 암호화폐 결제 게이트웨이.
  • Hetzner Online GmbH (독일) — 서버 호스팅 + 암호화된 백업, ISO 27001 인증.
  • Resend Inc. (델라웨어, 미국) — 트랜잭션 이메일 전달(주문 확인, 지원 답변). EU-US DPF로 보호.
  • Cloudflare, Inc. (미국) — DDoS 보호 및 정적 자산의 CDN 에지 캐싱만 (캐시 계층을 통해 개인 데이터가 통과하지 않음). EU-US DPF로 보호.
  • 배송 네트워크 파트너 — 체크아웃 시 제출된 공개 URL만 받으며 다른 어떤 개인 데이터도 받지 않습니다.

위에 나열되지 않은 마케팅 회사, 데이터 브로커, 광고 네트워크, 소셜 플랫폼 또는 기타 제3자와 개인 정보를 판매, 임대, 리스 또는 공유하지 않습니다.

6. 국제 데이터 전송

귀하의 개인 데이터는 주로 EU/EEA 내에 저장됩니다(독일 Hetzner Falkenstein DC). 미국으로의 전송이 발생하는 경우(Stripe USA, Resend, Cloudflare), EU-US 데이터 프라이버시 프레임워크 적정성 결정(위원회 시행 결정 (EU) 2023/1795) 및 관련 제공자 인증에 따라 이루어집니다. 적정성 결정 외부의 모든 전송에 대해 추가로 표준 계약 조항(SCC 2021/914 모듈 2)에 의존합니다.

7. 데이터 보관 기간

  • 활성 주문 데이터 — 주문 완료 후 30일까지, 그 후 익명화(URL 삭제, 이메일이 해시로 대체)되어 회계 기록으로 보관.
  • 이메일 + 지원 통신 — 마지막 활동 후 24개월, 그 후 삭제.
  • 익명화된 주문 참조 — 7년(EU/미국 세법에 따른 법적 의무, 예: 독일 AO §147).
  • 서버 액세스 로그 — 14일, 그 후 영구 삭제.
  • 암호화된 데이터베이스 백업 — 30일 롤링, 그 후 파괴.

8. GDPR에 따른 귀하의 권리(15-22조)

귀하는 개인 데이터에 관해 다음과 같은 강제 가능한 권리를 가집니다:

  • 액세스 권리 (15조) — 당사가 보유하고 있는 모든 데이터의 사본 요청.
  • 수정 권리 (16조) — 부정확한 데이터 수정.
  • 삭제 권리 (17조, “잊혀질 권리”) — 전체 삭제 요청. 법적 의무 예외가 적용되지 않는 한 30일 이내에 처리.
  • 제한 권리 (18조) — 분쟁이 해결되는 동안 처리 일시 중지.
  • 데이터 이동성 권리 (20조) — 데이터를 구조화된 기계 판독 가능 JSON 내보내기로 받기.
  • 이의 제기 권리 (21조) — 정당한 이익에 기반한 처리에 대해.
  • 불만 제기 권리 (77조) — 거주지 또는 직장 지역의 감독 기관에. 독일 주요 감독 기관은 데이터 보호 및 정보 자유에 관한 연방 위원(BfDI)입니다.

이러한 권리를 행사하려면 체크아웃에 사용한 이메일 주소로 privacy@topsocialboost.com에 이메일을 보내세요. 무료로 30일 이내에 응답합니다. 처리하기 전에 해당 주소로 일회성 코드를 이메일로 보내 신원을 확인할 수 있습니다.

9. 캘리포니아 거주자(CCPA/CPRA)

캘리포니아 거주자는 캘리포니아 소비자 개인정보 보호법(Cal. Civ. Code §1798.100 et seq.)에 따라 추가 권리를 가집니다:

  • 수집, 사용, 공개되는 개인 정보를 알 권리.
  • 귀하로부터 수집된 개인 정보를 삭제할 권리.
  • 부정확한 개인 정보를 수정할 권리.
  • 교차 컨텍스트 행동 광고를 위한 개인 정보의 “판매” 또는 “공유”에서 옵트아웃할 권리. 당사는 이 목적으로 개인 정보를 판매하거나 공유하지 않으므로 이 권리는 운영상 효과가 없지만 여전히 요청할 수 있습니다.
  • 위의 어떤 것이든 행사한 것에 대한 비차별 권리.

10. 쿠키 및 추적 기술

장바구니와 체크아웃 상태를 페이지 로드 사이에 유지하기 위해 자체 세션 쿠키 (tsb_session, 수명: 브라우저 닫힘)를 사용합니다. 이는 ePrivacy 지침 2002/58/EC 5조(3)에 따라 엄격히 필요하므로 동의가 필요하지 않습니다. 또한 매번 묻지 않도록 쿠키 배너 선택 결과를 자체 쿠키(tsb_consent_v1, 수명 6개월)에 저장합니다.

귀하의 동의(쿠키 배너를 통해)를 받으면 다음 추적 태그도 로드될 수 있습니다. 각 태그는 Google Consent Mode v2를 통해 게이트되며, 명시적으로 수락하기 전에는 쿠키를 설정하거나 개인 데이터를 전송하지 않습니다:

  • Google Analytics 4 — 페이지뷰 및 전환 측정

동의가 필요한 모든 태그는 첫 방문 시 기본적으로 거부 상태입니다. “모두 거부”를 선택하거나 수락 없이 배너를 닫으면 이 태그들은 실행되지 않으며 제3자 쿠키도 설정되지 않습니다.

푸터의 “쿠키 설정” 링크를 통해 언제든지 선택을 변경할 수 있습니다. 동의 철회는 동의 부여만큼 간단합니다 — 한 번의 클릭으로 즉시 적용됩니다. CCPA에 따른 유효한 옵트아웃으로 Global Privacy Control(GPC) 신호를 존중합니다.

11. 아동

당사 서비스는 16세 미만(또는 귀하의 관할권에서 동등한 최소 연령) 아동을 대상으로 하지 않습니다. 아동으로부터 개인 데이터를 알면서 수집하지 않습니다. 아동이 당사에 개인 데이터를 제공했다고 생각되면 privacy@topsocialboost.com로 연락하시면 즉시 기록을 삭제하겠습니다.

12. 보안 조치

  • 전송 시 TLS 1.3 (HSTS preload 자격).
  • 데이터베이스 저장 및 백업에 저장 시 AES-256.
  • 민감한 설정 값(처리자 API 키)에 대한 애플리케이션 계층 암호화(PostgreSQL pgcrypto).
  • 직원 계정에 대한 Argon2id 비밀번호 해싱(고객 비밀번호는 저장되지 않음 — §3 참조).
  • 네트워크 격리: 데이터베이스는 공용 인터넷에서 접근할 수 없음.
  • 모든 관리 계정에 2단계 인증 필수.
  • 분기별 내부 액세스 검토 및 기록된 관리자 작업(감사 추적).

13. 본 방침 업데이트

관행이 변경되거나 새로운 규제(예: EU AI Act 또는 CCPA 개정)가 요구할 때 본 방침을 업데이트합니다. 상단의 “최종 업데이트” 날짜는 항상 가장 최근 변경을 반영합니다. 수집하는 데이터 카테고리 또는 공유하는 수신자를 확장하는 중요한 변경의 경우, 변경 사항이 적용되기 최소 30일 전에 활성 주문이 있는 모든 고객에게 추가로 이메일을 보낼 것입니다.

14. 문의

개인정보 관련 문의: privacy@topsocialboost.com
일반 지원: support@topsocialboost.com

관련 문서: 이용약관 · 환불 정책 · 자주 묻는 질문 · 문의하기