본 Data Processing Agreement (DPA) 는 NUDGEO (이하 "데이터 처리자")와 서비스를 이용하는 고객 (이하 "데이터 관리자") 간의 개인정보 처리 위탁 관계를 규정합니다. 본 DPA 는 NUDGEO 이용약관의 일부로 간주됩니다.
1. 정의
- 개인정보 — GDPR Article 4(1) / 「개인정보 보호법」 제 2 조에서 정의된 정보.
- 처리 — 수집, 저장, 사용, 전송, 삭제 등 개인정보에 대한 모든 작업.
- 하위 처리자 (Subprocessor) — 데이터 처리자가 처리 일부를 위탁한 제 3 자.
2. 처리 범위
데이터 처리자는 데이터 관리자의 지시에 따라 다음 목적으로만 개인정보를 처리합니다.
- NUDGEO 서비스 제공 (측정, 컨텐츠 생성, 자동 발행, 대시보드).
- 법적 의무 이행.
- 데이터 관리자가 명시적으로 동의한 기타 목적.
3. 보안 조치
데이터 처리자는 다음 기술적 · 관리적 보안 조치를 적용합니다.
- 암호화 — 저장 AES-256, 전송 TLS 1.3.
- 접근 제어 — Role-Based Access Control (RBAC), Multi-Factor Authentication.
- 감사 로그 — 90 일 보관, 비정상 접근 알람.
- 네트워크 격리 — VPC, Private Subnet, SSRF 방어.
- 인증 — SOC 2 Type II, AWS FTR 통과.
4. 하위 처리자 목록
데이터 처리자는 다음 하위 처리자를 사용합니다. 새 하위 처리자 추가 시 사전 공지합니다.
| 하위 처리자 | 목적 | 위치 |
|---|---|---|
| Amazon Web Services | 인프라 호스팅, 결제 처리, 데이터베이스 | ap-northeast-2 (서울) |
| OpenAI | 측정용 쿼리 전송 (브랜드명 한정) | US |
| Anthropic | 측정용 쿼리 전송 (브랜드명 한정) | US |
| Google (Gemini API) | 측정용 쿼리 전송 (브랜드명 한정) | US |
| Perplexity | 측정용 쿼리 전송 (브랜드명 한정) | US |
| Resend | 시스템 이메일 발송 | US / EU |
5. 국외 이전
데이터 처리자가 보관하는 raw 개인정보는 AWS ap-northeast-2 (서울) 에 단일 보관됩니다. 측정 목적상 AI 제공사 (OpenAI · Anthropic · Google · Perplexity)에 브랜드명 등 비식별 정보가 전송될 수 있으며, 이는 데이터 관리자가 본 DPA 동의로써 승인합니다.
6. 데이터 주체의 권리 지원
데이터 처리자는 데이터 관리자의 데이터 주체의 권리 요청 (열람, 정정, 삭제, 처리 정지)에 대해 합리적 범위 내에서 협력합니다. 요청은 30 일 이내 처리합니다.
7. 인시던트 통지
개인정보 침해 발생 시 데이터 처리자는 사실 인지 후 72 시간 이내 데이터 관리자에게 통지합니다. 통지에는 침해 범위, 영향, 조치 내역, 향후 예방책이 포함됩니다.
8. 감사권
Enterprise 플랜 고객은 연 1 회 한도 내에서 데이터 처리자의 보안 / 처리 절차에 대해 감사를 요청할 수 있습니다. 감사 일정과 범위는 사전 합의에 따릅니다. 또는 SOC 2 보고서 등 제 3 자 인증으로 대체할 수 있습니다.
9. 계약 종료 시 데이터 처리
데이터 관리자가 서비스 이용을 종료할 경우, 데이터 처리자는 30 일 이내 모든 raw probe data 및 개인정보를 영구 파기하며, 데이터 관리자의 요청 시 파기 증명서를 발급 합니다.
10. 책임 및 손해배상
본 DPA 또는 관련 법령 위반으로 인한 데이터 관리자의 손해에 대해 데이터 처리자는 이용약관에 명시된 책임 범위 내에서 배상 책임을 부담합니다.
DPA 의 서면 사본 또는 추가 보안 점검표가 필요한 경우 security@nudgeo.com 으로 요청해 주세요.