본문으로 건너뛰기

개인정보 처리방침

시행일: 2026년 4월 29일

제1조 (목적)

APIS(이하 "서비스")는 개인정보보호법 제30조에 따라 이용자의 개인정보를 보호하고 이와 관련한 고충을 신속하게 처리하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.

제2조 (수집하는 개인정보 항목 및 수집 방법)

1. 회원가입 시 수집 항목

  • 필수: 아이디, 비밀번호, 이름, 전화번호, 이메일, 사업자번호(사업자 회원)

2. 서비스 이용 과정에서 수집되는 항목

  • 여권 사진 이미지
  • 여권 정보(고유식별정보 포함): 영문 성명, 한글 성명, 생년월일, 여권번호, 발급일, 만료일, 국적, 성별

3. 자동 수집 항목

  • 접속 IP, 접속 일시, 서비스 이용 기록, 로그인 시도 기록
제3조 (개인정보의 수집·이용 목적)
  1. 회원 관리: 회원제 서비스 제공, 본인 확인, 부정 이용 방지
  2. 서비스 제공: 여권 정보 자동 추출, 유효기간 검증, 결과 제공
  3. 서비스 개선: 통계 분석, 서비스 품질 향상
제4조 (개인정보의 보유 및 이용 기간)

이용자의 개인정보는 수집·이용 목적이 달성된 후 지체 없이 파기합니다. 다만, 다음의 경우 해당 기간 동안 보유합니다.

보유 항목보유 기간보유 근거
회원 정보회원 탈퇴 시까지서비스 제공
여권 이미지 및 추출 정보업로드 후 3일서비스 제공 및 오류 대응 (자동 파기)
활동 로그(audit_logs)1년보안 사고 대응, 개인정보 열람 추적
서비스 이용 기록3년전자상거래법

여권 이미지·추출 정보는 매일 새벽 04:00(KST) 자동 파기 작업으로 보유 기간이 지난 데이터를 삭제합니다.

제5조 (개인정보의 제3자 제공)

서비스는 이용자의 개인정보를 제3자에게 제공하지 않습니다. 다만, 다음의 경우는 예외로 합니다.

  • 이용자가 사전에 동의한 경우
  • 법령의 규정에 의한 경우
  • 수사 목적으로 법령에 정해진 절차에 따라 요청이 있는 경우
제6조 (개인정보 처리의 위탁)

서비스는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.

수탁업체위탁 업무위탁 기간
Anthropic, PBC (미국)여권 이미지 OCR 처리 (Claude API)서비스 제공 기간 동안
제6조의2 (개인정보의 국외 이전)

서비스는 개인정보보호법 제28조의8에 따라 다음과 같이 개인정보를 국외로 이전합니다. 회원가입 시 본 처리방침에 동의함으로써 아래 국외 이전에도 함께 동의한 것으로 봅니다.

이전받는 자 Anthropic, PBC
대표 연락처: privacy@anthropic.com / 정책: anthropic.com/legal/privacy
이전되는 국가 미국 (United States of America)
이전 일시 및 방법 여권 이미지 업로드 후 OCR 처리 시점에 HTTPS(TLS 1.2/1.3)로 api.anthropic.com으로 전송
이전되는 항목 여권 사진 이미지 원본, 추출되는 여권 정보(영문/한글 성명, 생년월일, 여권번호, 발급일, 만료일, 국적, 성별, MRZ 두 줄)
이전받는 자의 이용 목적 OCR 모델을 통한 여권 이미지의 정보 추출 처리
보유·이용 기간 Anthropic의 데이터 보유 정책에 따름 (일반적으로 30일 이내 삭제). 자세한 내용은 Anthropic 개인정보 처리방침 참조
거부 방법 및 효과 이용자는 본 국외 이전에 동의하지 않을 권리가 있으며, 동의하지 않을 경우 OCR 자동 추출 기능을 이용할 수 없어 회원가입이 제한됩니다. 가입 후에는 회원 탈퇴를 통해 거부 의사를 표시할 수 있습니다.

참고: Anthropic의 일반 정책상 Claude API/Claude Pro·Max 이용자의 입력 데이터는 모델 학습에 사용되지 않습니다(opt-in 또는 Trust & Safety 검토 대상은 예외). 그러나 본 서비스는 별도의 Zero Data Retention(즉시 삭제) 계약을 체결하지 않았으므로, Anthropic의 기본 보유 정책이 적용됩니다.

호스팅: 본 서비스의 회원·OCR 데이터는 대한민국(서울) 데이터센터에서 운영되며, 국외로 이전되지 않습니다.

제7조 (고유식별정보의 처리)

서비스는 여권번호 등 고유식별정보를 처리하고 있으며, 개인정보보호법 제24조의2에 따라 다음과 같은 안전성 확보 조치를 취하고 있습니다.

  • 여권 정보 컬럼 단위 암호화: 영문/한글 성명, 생년월일, 여권번호, 국적, 성별 등 모든 PII 필드를 AES-256-GCM 알고리즘으로 컬럼별 암호화하여 저장 (필드별 IV·Auth Tag·키 버전 분리 보관)
  • 비밀번호: bcrypt 해시 저장
  • 전송 구간 암호화: HTTPS(TLS 1.2/1.3) + HSTS 1년
  • 접근 권한 분리: 일반 관리자(admin)는 기본 마스킹 표시, 평문 조회 시 목적 입력 + 활동 로그 기록 / 최고 관리자(super_admin)만 평문 자동 노출
  • 로그인 실패 10회 시 30분 잠금
  • 모달 내 평문 노출 3분 자동 닫힘
제8조 (개인정보의 파기)
  1. 파기 절차: 보유 기간이 경과하거나 처리 목적이 달성된 개인정보는 지체 없이 파기합니다. 여권 이미지·추출 정보는 매일 새벽 04:00(KST) 자동 파기 작업으로 삭제됩니다.
  2. 파기 방법: 전자 파일은 복구 불가능한 방법으로 삭제하고, DB의 암호화 컬럼은 NULL 처리 후 삭제합니다.
제9조 (이용자의 권리·의무 및 행사 방법)

이용자는 언제든지 다음의 권리를 행사할 수 있습니다.

  • 개인정보 열람 요구
  • 개인정보 정정·삭제 요구
  • 개인정보 처리 정지 요구
  • 개인정보 국외 이전 동의 철회 (회원 탈퇴를 통해 행사)
  • 회원 탈퇴

위 권리 행사는 서비스 내 설정 또는 개인정보 보호책임자에게 연락하여 가능합니다.

제10조 (개인정보의 안전성 확보 조치)
  • 관리적 조치: 권한 분리(super_admin / admin / user), 접근 통제, 활동 로그(audit_logs) 1년 보관
  • 기술적 조치: PII 컬럼 단위 AES-256-GCM 암호화, 비밀번호 bcrypt 해시, HTTPS/TLS, HSTS, CSRF 토큰, X-Frame-Options DENY, CSP, 로그인 실패 lockout(10회/30분)
  • 물리적 조치: DB 자동 백업(3일 주기, 30일 보관), 만료 데이터 자동 파기(일일)
  • 해킹 등에 대비한 보안 조치: nginx 보안 헤더, DB 포트 외부 미노출 (docker network 내부만 접근)
제11조 (개인정보 보호책임자)
성명김은호
직위대표
연락처서비스 내 문의
제12조 (개인정보 처리방침의 변경)

이 개인정보 처리방침은 시행일로부터 적용되며, 변경 사항이 있을 경우 서비스를 통해 공지합니다.