데이터 처리 계약서
Data Processing Agreement (DPA)
(언어 우선 원칙 — 본 DPA에 한함 / 대한민국 내에 주소·사업장을 둔 고객사(머천트)의 경우 한국어본을 우선 적용하며, 대한민국 외에 주소·사업장을 둔 해외 고객사의 경우 영문본을 우선 적용합니다. 한국어본과 영문본 간 해석 차이 발생 시 고객사 소재지에 따라 위 우선 언어본에 따릅니다. 이는 찰나 이용약관 및 개인정보처리방침의 한국어 원본 우선 원칙과는 별개로 본 DPA에만 적용됩니다.)
찰나(Charlla) 서비스 | 카테노이드 주식회사
Version 1.2.3
공지일: 2026년 4월 30일
시행일: 2026년 6월 1일
최종 업데이트: 2026년 4월 2일
개인정보 처리 위탁자(컨트롤러) 머천트 / 고객사 (찰나 서비스 구독 고객) | 개인정보 수탁사(프로세서) 카테노이드 주식회사 (찰나 서비스 운영사) |
본 데이터 처리 계약서("DPA" 또는 "본 계약")는 다음 당사자 간에 체결됩니다:
(갑) 찰나 서비스 구독 계약에 명시된 머천트(이하 "컨트롤러", "머천트" 또는 "고객사"); 및
(을) 대한민국 법률에 따라 설립된 카테노이드 주식회사(서울 소재), 찰나 숏폼 비디오 호스팅 서비스 운영사(이하 "프로세서", "카테노이드" 또는 "회사").
아래 사항을 전제로 합의합니다:
(1) 컨트롤러는 찰나 서비스를 이용하여 자사 웹사이트 또는 스토어에서 최종 사용자에게 숏폼 영상 콘텐츠를 임베드·제공합니다.
(2) 찰나 서비스 제공 과정에서 프로세서는 부속서 I에 기재된 바와 같이 컨트롤러를 대신하여 일부 개인정보를 처리합니다.
(3) 양 당사자는 이러한 처리에 관한 각자의 의무와 권리를 명확히 하고자 합니다.
(4) 본 DPA는 양 당사자가 동의한 찰나 이용약관(v5.5 이상)의 일부를 구성하며 이에 통합됩니다.
이에 양 당사자는 다음과 같이 합의합니다:
본 DPA에서 사용하는 용어의 정의는 다음과 같습니다. 별도로 정의되지 않은 용어는 찰나 이용약관 또는 관련 개인정보보호법령의 의미에 따릅니다.
| 용어 | 정의 |
| "적용 개인정보보호법" | 당사자에게 적용되는 개인정보 처리 관련 모든 법령 및 규정. EU GDPR, UK GDPR, CCPA/CPRA, 일본 APPI, 싱가포르 PDPA, 호주 Privacy Act 1988 및 대한민국 개인정보보호법(PIPA) 등 포함. |
| "컨트롤러(Controller)" | 개인정보 처리의 목적 및 수단을 결정하는 자. 본 DPA에서는 머천트(고객사). |
| "프로세서(Processor)" | 컨트롤러를 대신하여 개인정보를 처리하는 자. 본 DPA에서는 카테노이드 주식회사. |
| "개인정보" | 식별되었거나 식별 가능한 자연인(정보주체)에 관한 모든 정보로, 적용 개인정보보호법에 따른 의미. |
| "처리" | 개인정보에 대해 수행되는 모든 작업. 수집, 기록, 저장, 이용, 공개, 삭제 등 포함. |
| "정보주체" | 본 DPA에 따라 개인정보가 처리되는 자연인. |
| "머천트 계정 데이터" | 머천트(구독자)의 개인정보. 로그인 및 서비스 관리를 위한 이메일 주소. |
| "최종 사용자 접속 데이터" | 머천트의 웹사이트 또는 스토어에서 찰나 영상 콘텐츠를 조회하는 방문자로부터 W3C 웹 접근 로그 수준으로 자동 수집되는 데이터. |
| "재위탁자(Sub-Processor)" | 프로세서가 컨트롤러를 대신한 처리 작업을 수행하기 위해 참여시키는 제3자. |
| "보안 사고" | 전송·저장·처리 중인 개인정보의 우발적·불법적 파기, 손실, 변조, 무단 공개 또는 접근. |
| "SCCs" | 국제 개인정보 이전을 위해 유럽위원회가 채택한 표준계약조항. |
| "서비스" 또는 "찰나 서비스" | 카테노이드 주식회사가 찰나 브랜드 하에 운영하는 숏폼 영상 호스팅·전송 서비스. |
2.1 목적. 본 DPA는 찰나 서비스 제공과 관련하여 카테노이드(프로세서)가 머천트(컨트롤러)를 대신하여 수행하는 개인정보 처리를 규율합니다.
2.2 처리 세부사항. 본 DPA에서 다루는 처리 활동의 세부사항은 본 계약의 필수적 구성 부분인 부속서 I(처리 세부사항)에 기재됩니다.
2.3 역할 구분 및 데이터 최소화.
(가) 머천트 계정 데이터(이메일 주소, 서비스 설정, 청구 정보, 고객지원 기록 등): 카테노이드는 자체 서비스 운영, 계정 관리, 청구, 보안, 고객지원 목적으로 이러한 데이터의 처리 목적과 수단을 독자적으로 결정하며, 이 범위에서 독립적인 컨트롤러로서 행동합니다. 이러한 처리에는 회사의 개인정보처리방침이 적용됩니다.
(나) 최종 사용자 접속 데이터: 머천트의 웹사이트에서 영상을 시청하는 최종 사용자에 관하여, 카테노이드는 머천트(컨트롤러)의 지시에 따라 프로세서로서 다음의 기술 데이터를 자동 수집합니다: W3C 웹 접근 로그 표준 수준의 기술 데이터(IP 주소, 브라우저 종류/버전, 타임스탬프, 페이지 URL), 플레이어 이벤트(영상 로드, 재생 시작/종료, 재생 시간), 스토어 도메인 식별자. 이러한 데이터는 로드수 측정 및 과금 계산 목적으로만 수집됩니다. 카테노이드는 최종 사용자에게 개인정보를 직접 제출하도록 요구하지 않습니다.
(다) 결제 데이터: 모든 결제 및 청구 정보는 Stripe, Inc.가 자체 약관에 따라 독립적인 컨트롤러로서 처리합니다. 카테노이드는 신용카드 번호, 계좌 정보 등 민감한 결제 정보를 저장·처리하지 않습니다.
본 DPA의 프로세서 의무 조항(제3조 내지 제9조)은 위 (나)의 최종 사용자 접속 데이터 처리에 적용됩니다.
2.4 지시. 프로세서는 법령상 요구되는 경우를 제외하고, 컨트롤러의 문서화된 지시에 따라서만 개인정보를 처리합니다. 고객의 찰나 서비스 이용 및 설정이 주요 지시로 간주됩니다. 추가 지시는 서비스 콘솔 또는 서면 통지를 통해 전달될 수 있습니다.
2.5 지시 준수. 프로세서는 컨트롤러의 지시가 적용 개인정보보호법을 위반한다고 판단하는 경우 이를 즉시 컨트롤러에게 통보합니다.
3.1 비밀 유지. 프로세서는 개인정보 처리 권한이 있는 임직원에게 적절한 비밀유지 의무를 부과합니다.
3.2 보안. 프로세서는 위험 수준에 적합한 보안을 보장하기 위한 기술적·관리적 조치를 이행합니다. 부속서 II에 세부사항이 기재됩니다. 최소한 다음 조치를 포함합니다:
TLS 1.2 이상을 이용한 전송 구간 암호화
저장 개인정보 암호화(비밀번호 및 민감 식별자 포함)
직원 접근 통제 및 최소 권한 원칙 적용
정기적인 보안 평가 및 취약점 점검
승인된 재위탁자의 데이터센터 물리적 보안 조치
3.3 지원 — 정보주체 권리. 프로세서는 처리의 성격을 고려하여 기술적·관리적 수단을 통해, 컨트롤러가 정보주체의 권리 행사 요청(열람, 정정, 삭제, 제한, 이전, 반대 권리 포함)에 응답하는 의무를 이행하도록 지원합니다. Shopify 또는 기타 플랫폼 웹훅(customers/data_request, customers/redact, shop/redact)을 통해 수신된 요청은 적용 법령이 요구하는 기한 내에 처리합니다.
3.4 지원 — 보안 의무. 프로세서는 처리의 성격 및 이용 가능한 정보를 고려하여, 컨트롤러가 보안 의무, 개인정보 영향평가, 감독기관 사전 협의 의무를 이행하는 데 합리적 지원을 제공합니다.
3.5 삭제 및 반환. 찰나 서비스 구독 종료 시, 프로세서는 다음 기준에 따라 개인정보를 처리합니다.
(가) 머천트 계정 데이터: 찰나 개인정보처리방침 및 적용 법령에 따라 보유·삭제되며(서비스 해지 후 30일 이내 삭제 등), 복구를 지원하지 않습니다. 단, 법령상 보관이 요구되는 데이터(결제 기록 등)는 해당 법정 보관 기간 동안 보존됩니다.
(나) 최종 사용자 접속 데이터: 플랫폼 마켓플레이스를 통한 앱 삭제(언인스톨) 시, 해당 스토어와 관련된 최종 사용자 데이터는 shop/redact 웹훅 수신 후 48시간 이내에 삭제됩니다.
3.6 처리 기록. 프로세서는 GDPR 제30조 제2항 및 관련 법령에 따라 컨트롤러를 대신하여 수행하는 모든 처리 활동의 기록을 유지하며, 요청 시 관할 감독기관에 제공합니다.
3.7 2차 이용 금지. 프로세서는 최종 사용자 접속 데이터를 찰나 서비스 제공 목적 이외에는 사용하지 않습니다. 특히 다음 목적으로는 사용하지 않습니다: (가) AI·머신러닝 모델 상업적 학습·개선; (나) 컨트롤러의 최종 사용자에 대한 광고·마케팅; (다) 최종 사용자 프로파일링; (라) 상업적 목적의 제3자 공유·판매.
3.8 캘리포니아 개인정보보호법(CCPA/CPRA) 추가 의무. 캘리포니아 소비자의 개인정보가 처리되는 경우, 프로세서는 CCPA/CPRA에서 정의하는 서비스 제공자(Service Provider)로서 행동하며, 다음을 준수합니다:
(가) 컨트롤러를 대신하여 처리하는 개인정보에 대해 CCPA/CPRA가 요구하는 것과 동일한 수준의 개인정보 보호를 제공합니다.
(나) 본 DPA에 따른 의무를 더 이상 이행할 수 없게 된 경우, 지체 없이 컨트롤러에게 통보합니다.
(다) 개인정보의 무단 사용을 발견한 경우, 합리적인 시정 조치를 취하고 컨트롤러에게 통보합니다.
4.1 일반 승인. 컨트롤러는 본 조의 조건에 따라 프로세서가 재위탁자를 참여시키는 것을 서면으로 일반 승인합니다.
4.2 현재 재위탁자. 승인된 재위탁자 목록은 부속서 III에 기재됩니다. 컨트롤러는 본 DPA 체결일 현재 부속서 III에 기재된 재위탁자의 참여에 동의합니다.
4.3 변경 통지. 프로세서는 재위탁자를 추가하거나 교체하고자 할 경우, 부속서 III를 업데이트하고 찰나 서비스 공지 또는 등록 이메일을 통해 최소 30일 전에 사전 통보합니다. 컨트롤러가 통보 기간 내 합리적 이유로 이의를 제기하는 경우, 양 당사자는 협의합니다. 이의가 해결되지 않으면 컨트롤러는 30일 서면 통보로 관련 서비스를 해지할 수 있습니다.
4.4 재위탁자 의무. 프로세서는 각 재위탁자에게 서면 계약을 통해 본 DPA에서 프로세서에게 부과된 것과 동등한 데이터 보호 의무를 부과합니다. 프로세서는 재위탁자의 작위·부작위에 대해 컨트롤러에게 전적으로 책임을 집니다.
현재 재위탁자: 클라우드 인프라를 위한 Amazon Web Services(AWS).
5.1 협조. 프로세서는 적용 법령이 요구하는 기한 내에 컨트롤러가 정보주체의 권리 행사 요청에 응답하는 것을 지원합니다. 정보주체로부터 직접 요청을 수신하는 경우, 프로세서는 즉시 컨트롤러에게 통보하며, 컨트롤러의 지시 또는 법령상 요구가 없는 한 정보주체에게 직접 응답하지 않습니다.
5.2 플랫폼 웹훅. 찰나 서비스가 외부 플랫폼 마켓플레이스(예: Shopify, Cafe24 등 이커머스 플랫폼)를 통해 제공되는 경우, 프로세서는 플랫폼이 요구하는 데이터 관리 웹훅을 구현·유지합니다:
customers/data_request — 특정 고객의 개인정보 보고서 제공
customers/redact — 특정 고객의 개인정보 삭제 또는 익명화
shop/redact — 해당 머천트 스토어와 관련된 모든 개인정보 삭제(수신 후 48시간 이내)
5.3 최종 사용자 권리. 최종 사용자가 직접 컨트롤러에게 정보 권리를 행사하는 경우, 컨트롤러는 privacy@charlla.io로 삭제 또는 열람 요청을 제출할 수 있습니다. 프로세서는 적용 법령에 정해진 기한 내에(GDPR/UK GDPR의 경우 30일, CCPA의 경우 45일 이내) 해당 요청을 처리합니다.
5.4 신원 확인. 프로세서는 조치를 취하기 전에 컨트롤러에게 정보주체의 신원 및 요청 범위를 확인하기 위한 합리적인 정보를 요청할 수 있습니다.
6.1 기술적·관리적 조치. 프로세서는 부속서 II에 기술된 보안 조치를 이행·유지합니다. 발전하는 위협 및 모범 사례를 반영하여 이를 정기적으로 검토·갱신합니다.
6.2 직원. 프로세서는 서비스 제공에 필요한 직원에게만 개인정보 접근을 제한하며, 해당 직원에게 적절한 비밀유지 의무 및 데이터 보호 교육을 실시합니다.
6.3 변경. 프로세서가 부속서 II에 기재된 보안 수준을 실질적으로 낮추고자 하는 경우, 컨트롤러에게 사전에 통보하고 변경 전에 대안적 조치에 합의합니다.
7.1 컨트롤러 통보. 프로세서는 본 DPA에 따라 처리되는 개인정보와 관련된 보안 사고를 인지한 경우, 지체 없이, 최대 48시간 이내에 컨트롤러에게 통보합니다. 통보에는 당시 알려진 범위 내에서 다음 정보가 포함되어야 합니다:
침해의 성격(해당하는 경우 영향을 받는 정보주체의 범주 및 대략적 수)
개인정보 보호 담당자 또는 관련 연락처
침해의 예상 결과
침해를 해결하고 부정적 영향을 완화하기 위해 취하거나 제안된 조치
참고: 프로세서가 머천트 계정 데이터에 대해 독립적 컨트롤러로서 행동하고 보안 사고가 한국 개인정보보호법(PIPA)에 따른 통보 의무를 발생시키는 경우, 프로세서는 PIPA가 요구하는 통보 기한(개인정보보호위원회에 72시간 이내 통보)을 준수합니다.
7.2 추가 정보 제공. 프로세서는 추가 정보가 확인되는 대로 지체 없이 보완 통보를 합니다.
7.3 협조. 프로세서는 침해 대응에 있어 컨트롤러와 전면 협조합니다. 컨트롤러가 적용 법령(예: GDPR에 따른 72시간 감독기관 통보 의무)에 따른 자체 통보 의무를 이행하는 데 필요한 정보를 제공합니다.
7.4 책임 인정 부인. 본 조에 따른 통보는 보안 사고와 관련하여 프로세서의 귀책 또는 법적 책임을 인정하는 것으로 해석되지 않습니다.
8.1 일반. 개인정보는 컨트롤러의 소재 국가 외부(본국과 동등한 수준의 보호를 제공하지 않을 수 있는 국가 포함)로 이전·저장·처리될 수 있습니다.
8.2 안전장치. 프로세서는 개인정보의 국제 이전 시 다음을 포함한 적절한 안전장치를 확보합니다:
EU/EEA에서 대한민국으로의 이전: 유럽위원회의 대한민국에 대한 적정성 결정에 근거하여 이전합니다.
대한민국에서 미국 등 비적정국으로의 재이전: EU 집행위원회 결정(EU) 2021/914에 따라 채택된 표준계약조항(SCCs) 또는 동등한 보호조치를 적용합니다.
영국에서 대한민국으로의 이전: 영국의 대한민국에 대한 적정성 규정(adequacy regulations)에 근거하여 이전합니다.
일본에서의 이전: 일본 개인정보보호법(APPI) 제28조에 따라 대한민국이 PPC가 동등한 보호 수준의 국가로 지정되지 않음을 정보주체에게 고지하며, APPI가 국내 처리자에게 부과하는 의무와 동등한 계약적 안전장치를 적용합니다.
기타 국가에서의 이전: 적용 개인정보보호법이 요구하는 기타 적절한 안전장치를 적용합니다.
8.3 인프라 위치. 개인정보는 주로 AWS 아시아-태평양 리전(서울, ap-northeast-2)에서 처리·저장됩니다. Stripe를 통한 결제 처리를 위해 미국에서도 처리될 수 있습니다. 상세 정보는 부속서 III에 기재됩니다.
8.4 이전 메커니즘 체결. 적용 법령이 요구하는 경우(예: EU/EEA 소재 컨트롤러), 양 당사자는 해당 SCCs 또는 기타 요구되는 이전 메커니즘을 본 DPA의 보충 문서로 체결합니다. 요청 시 카테노이드는 서명된 이전 메커니즘 사본을 제공합니다.
9.1 감사 권리. 컨트롤러는 최소 30일 전 서면 통보 후 프로세서의 처리 활동 및 보안 조치에 대한 감사를 직접 실시하거나 독립된 제3자 감사인에게 위임할 수 있습니다. 감사는 정상 업무 시간 내에 실시되며, 프로세서의 운영을 불합리하게 방해해서는 안 되고, 적절한 비밀유지 의무를 준수합니다.
9.2 감사 보고서. 프로세서는 요청 시 직접 감사에 대한 대안 또는 보완으로 관련 감사 보고서, 인증서 또는 제3자 보안 평가 요약본(SOC 2, ISO 27001 등, 해당하는 경우)을 제공합니다.
9.3 비용. 본 조에 따른 감사와 관련된 비용은 각 당사자가 부담합니다.
9.4 규제 문의. 각 당사자는 본 DPA에 따른 개인정보 처리와 관련된 감독기관의 문의, 조사 또는 요청을 즉시 상대방에게 통보합니다.
10.1 기간. 본 DPA는 프로세서가 찰나 이용약관에 따라 컨트롤러를 대신하여 개인정보를 처리하는 한 유효합니다.
10.2 해지 효과. 어떠한 이유로든 찰나 서비스 구독이 종료되는 경우, 프로세서는 보유 중인 개인정보에 대해 본 DPA의 의무를 계속 준수합니다. 프로세서는 제3.5조에 따라 개인정보를 삭제하거나 반환합니다.
10.3 존속. 제3.7조, 제6조, 제9조, 제11조 및 제12조는 본 DPA 해지 후에도 존속합니다.
11.1 일반. 본 DPA와 관련하여 각 당사자의 상대방에 대한 책임은 찰나 이용약관에 정해진 책임 제한 및 면책 규정에 따릅니다.
11.2 프로세서 책임. 프로세서는 프로세서에 특유한 적용 개인정보보호법상 의무를 불이행하거나, 컨트롤러의 적법한 지시 범위를 벗어나 또는 이에 반하여 처리한 경우 발생한 손해에 대해 책임을 집니다.
11.3 컨트롤러 책임. 컨트롤러는 적용 개인정보보호법을 위반하는 처리 또는 법령을 위반하는 지시로 인해 발생한 손해에 대해 책임을 집니다.
11.4 연대 책임. 양 당사자가 동일한 손해에 대해 책임이 있는 경우, 정보주체에 대해 연대·부진정연대 책임을 지며, 각자의 귀책 비율에 따라 상호 구상할 수 있습니다.
11.5 책임 한도. 적용 개인정보보호법의 강행 규정에 반하지 않는 범위에서, 본 DPA에 따른 데이터 처리 의무와 관련된 컨트롤러에 대한 프로세서의 총 손해배상 책임은 청구 원인 발생 직전 12개월간 컨트롤러가 납부한 찰나 서비스 이용료를 초과하지 않습니다.
12.1 준거법. 본 DPA는 컨트롤러 소재지의 적용 개인정보보호법상 강행 규정이 달리 요구하는 경우를 제외하고, 대한민국 법을 준거법으로 합니다.
12.2 분쟁 해결. 본 DPA와 관련된 분쟁은 찰나 이용약관의 분쟁 해결 규정에 따라 해결합니다. 해외 머천트와의 분쟁은 양 당사자 간 30일간 성실한 협의를 거치며, 협의로 해결되지 않는 경우 싱가포르국제중재센터(SIAC)의 중재규칙에 따라 해결합니다. 중재지는 싱가포르로 하며, 중재 언어는 영어로 합니다. 다만 당사자 합의에 따라 대한상사중재원(KCAB)을 선택할 수 있습니다.
12.3 강행법규. 적용 개인정보보호법이 정보주체에게 본 DPA보다 더 유리한 보호를 제공하는 경우, 해당 강행 규정이 우선합니다.
12.4 감독기관. 본 DPA의 어떠한 규정도 정보주체가 자국의 관할 감독기관(EU/EEA 감독기관, 영국 ICO, 개인정보보호위원회 등)에 이의를 제기하는 것을 방해하지 않습니다.
본 DPA는 (i) 외부 이커머스 플랫폼의 앱 마켓플레이스(예: Shopify, Cafe24)를 통해 찰나 서비스를 이용하는 머천트(컨트롤러), 및 (ii) 자체 웹사이트에 찰나 서비스를 직접 설치하여 운영하는 해외 머천트(해외 직접 가입 머천트)에 대해 자동 적용되며, 해당 머천트는 앱 설치 및 찰나 이용약관 동의 시점에 본 DPA에 동의한 것으로 간주됩니다. 대한민국 내에 주소·사업장을 둔 직접 가입 고객의 경우 본 DPA가 자동 적용되지 않으며, 요청 시 카테노이드 주식회사와 별도로 본 DPA를 서면 체결할 수 있습니다.
| 개인정보 처리 위탁자 (머천트) | 개인정보 수탁사 (카테노이드 주식회사) |
| 회사명: ___________________________ | 회사: 카테노이드 주식회사 대표이사: 김형석 사업자등록번호: 114-86-89540 본점: 서울특별시 강남구 봉은사로 502 삼하빌딩 4층, 5층 |
| 서명: ___________________________ | 서명: ___________________________ |
| 직책: ___________________________ | 직책: ___________________________ |
| 날짜: ___________________________ | 날짜: ___________________________ |
본 부속서는 GDPR 제28조 제3항 및 적용 개인정보보호법의 관련 규정에 따라, 카테노이드(프로세서)가 컨트롤러를 대신하여 수행하는 처리 활동의 세부사항을 기재합니다.
| 당사자 | 정보 |
| 컨트롤러 | 찰나 서비스 구독 계약에 명시된 머천트. 연락처: 등록 이메일 주소 |
| 프로세서 | 카테노이드 주식회사 (대표이사: 김형석 / 사업자등록번호: 114-86-89540 / 본점: 서울특별시 강남구 봉은사로 502 삼하빌딩 4층, 5층) 개인정보 보호 문의: privacy@charlla.io EU 대리인 (GDPR Article 27): 카테노이드 주식회사는 스페인 소재 100% 자회사를 EU 대리인으로 지정합니다. 법인명: HISPlayer SDK SL (NIF: B44544773) / 주소: Calle Poeta Joan Maragall 1, Floor 16, 28020 Madrid, Spain / 이메일: privacy@hisplayer.com UK 대리인 (UK GDPR Article 27): UK GDPR 제27조제2항(a)호 예외에 따라 별도로 지정하지 않습니다. 회사의 영국 거주 정보주체에 대한 처리는 서버 로그의 수동적 기록 및 월별 통계 집계에 한정된 부수적(occasional) 처리에 해당하며, 개인을 특정하는 프로파일링을 수행하지 않습니다. 상세 근거는 찰나 개인정보처리방침 참조. 일본 현지 창구: 일본 거주 정보주체는 주식회사 카테노이드(株式会社カテノイド) / 주소: 〒101-0033 도쿄도 치요다구 간다이와모토쵸 4-9 트루름간다 7층 / 담당: 영업·마케팅부 / 이메일: jp_sales@catenoid.net 으로 문의할 수 있습니다. |
(참조용: 본 부속서 B의 머천트 계정 데이터에 대해 카테노이드는 독립적 Controller로서 처리하며, 해당 데이터에 대한 카테노이드의 Controller 의무는 개인정보처리방침에 따릅니다. 본 DPA의 Processor 의무는 부속서 C의 최종 사용자 접속 데이터에 적용됩니다.)
| 구분 | 내용 | 비고 |
| 정보주체 | 찰나 서비스 B2B 구독 고객(머천트) | |
| 개인정보 항목 | 이메일 주소(로그인 계정) | 결제 정보는 Stripe가 처리; 카테노이드 미처리 |
| 처리 목적 | 계정 인증, 서비스 관리, 청구 알림, 서비스 관련 커뮤니케이션 | |
| 법적 근거 (GDPR) | 제6조 제1항 (나) — 계약 이행 | |
| 보유 기간 | 찰나 개인정보처리방침에 따름(서비스 해지 후 30일 이내 삭제) | |
| 처리 성격 | 수집, 저장, 이용, 삭제 |
| 구분 | 내용 | 비고 |
| 정보주체 | 머천트 웹사이트/스토어에서 찰나 영상 콘텐츠를 시청하는 최종 사용자 | |
| 개인정보 항목 | IP 주소, 브라우저 종류/버전, 타임스탬프, 페이지 URL (W3C 웹 접근 로그 표준) 플레이어 이벤트: 영상 로드, 재생 시작/종료, 재생 시간 스토어 도메인 식별자 | 능동적 수집 없음; 시청자의 브라우저/기기 상호작용에 의해 자동 생성 |
| 처리 목적 | 과금 로드수 측정, 영상 플레이어 전송, 서비스 성능 모니터링 | 광고, 프로파일링, AI/ML 학습 목적으로 사용 안 함 |
| 법적 근거 (GDPR) | 제6조 제1항 (바) — 컨트롤러의 정당한 이익(정확한 로드 기반 과금 및 영상 전송). 수탁사는 컨트롤러의 문서화된 지시에 따라 로드 측정 데이터를 수집·집계할 뿐이며, 해당 데이터의 처리 목적과 수단을 결정하지 않습니다. 단, 찰나 플레이어의 기술적 식별자(쿠키, 로컬스토리지 등)가 ePrivacy Directive(2002/58/EC) 또는 영국 PECR 적용 대상에 해당하는 경우, 컨트롤러(머천트)는 해당 법령에 따른 적절한 동의 메커니즘을 확보할 책임이 있습니다. | |
| 보유 기간 | 과금 목적 90일 보유; 90일 경과 후 익명화 또는 삭제 | |
| 처리 성격 | 자동 수집, 임시 저장, 과금 집계, 삭제 |
본 DPA에 따라 GDPR 제9조에서 정의하는 특별 범주 개인정보(민감정보)는 처리되지 않습니다.
최종 사용자가 머천트 웹사이트에서 찰나 영상 콘텐츠를 조회할 때 서버 로그가 수동적으로 기록되며, 과금 목적의 통계 집계는 월별 과금 주기에 맞추어 배치(batch) 방식으로 처리됩니다. 통계 처리 과정에서 개인을 특정하거나 행동 패턴을 분석하는 프로파일링은 수행되지 않습니다.
다음은 본 DPA에 따라 처리되는 개인정보에 적합한 보안 수준을 보장하기 위해 카테노이드가 구현한 기술적·관리적 조치입니다.
| 조치 구분 | 구현 내용 | 표준/참조 |
| 전송 구간 암호화 | 최종 사용자, 머천트, 카테노이드 서버 간 모든 데이터를 TLS 1.2 이상으로 암호화. 모든 서비스 엔드포인트에 HTTPS 적용. | TLS 1.2+ / HTTPS |
| 저장 암호화 | 비밀번호는 강력한 단방향 알고리즘(bcrypt 등)으로 해시 처리. 민감 개인정보 필드는 데이터베이스에 암호화 저장. | AES-256 또는 동급 |
| 접근 통제 | 개인정보를 처리하는 모든 시스템에 역할 기반 접근 통제(RBAC) 적용. 필요 최소 권한 원칙. 정기적 권한 검토. | RBAC / 최소 권한 |
| 인증 | 개인정보를 포함하는 운영 시스템에 접근하는 카테노이드 직원에게 다중 인증(MFA) 필수 적용. | MFA |
| 직원 교육 | 개인정보에 접근하는 직원은 비밀유지 계약 체결 및 정기 데이터 보호·보안 교육 이수. | 내부 정책 |
| 취약점 관리 | 인프라에 대한 정기적인 취약점 스캔 및 침투 테스트 실시. 위험 우선순위에 따라 취약점 조치. | 정기 평가 |
| 사고 대응 | 문서화된 보안 사고 대응 계획 보유. 탐지, 봉쇄, 통보(컨트롤러에 48시간 이내), 사후 검토 절차 포함. | 내부 IR 계획 |
| 물리적 보안 | AWS 데이터센터 물리적 인프라 이용. AWS는 24시간 감시, 생체인식 접근, 환경 통제 등 업계 최고 수준의 물리적 보안 유지. | AWS SOC 2 / ISO 27001 |
| 데이터 최소화 | 부속서 I에 기술된 데이터 범주만 수집. 추가 개인 속성 수집·추론 없음. | GDPR 제5조 제1항 (다) |
| 가명처리 | 기술적으로 가능한 경우, 과금 목적 초기 접근 로그 처리 후 최종 사용자 IP 주소를 해시 처리 또는 익명화. | GDPR 제25조 |
| 로깅 및 모니터링 | 개인정보를 포함하는 시스템 접근을 로그 기록. 비정상 활동 모니터링. | SOC 2 Type II 준용 |
| 재위탁자 통제 | 각 재위탁자는 본 부속서 II에 기재된 것과 동등한 보안 조치를 유지하도록 계약상 의무를 부담하며, 참여 전 보안 적합성을 평가. | DPA 제4.4조 |
Part A. 승인된 재위탁자 (Sub-Processors)
다음은 본 DPA 체결일 기준으로 승인된 재위탁자입니다. 카테노이드는 목록 변경 시 30일 전 사전 통보를 제공합니다.
| 재위탁자 | 제공 서비스 | 처리 데이터 / 위치 |
Amazon Web Services, Inc. (AWS) aws.amazon.com | 클라우드 인프라: 영상 호스팅을 위한 컴퓨팅, 스토리지, CDN(콘텐츠 전송 네트워크) | 최종 사용자 접속 데이터; 머천트 계정 데이터(암호화) 주요 리전: 아시아-태평양(서울, ap-northeast-2) 백업/CDN: 다수의 AWS 글로벌 리전 EU/EEA 데이터 이전에 AWS SCCs 적용 |
Part B. 독립 컨트롤러 (Independent Controllers) — 참조
아래 업체는 본 DPA상 재위탁자가 아닌 독립 컨트롤러이며, 투명성 제공을 위해 참조 목적으로 기재합니다.
| 업체 | 역할 및 서비스 | 처리 데이터 / 위치 |
|---|---|---|
| Stripe, Inc. stripe.com | 독립 컨트롤러 — 머천트 청구 결제 처리(구독료, 초과 로드 요금). Stripe는 결제 데이터에 대해 자체 이용약관 및 DPA(stripe.com/legal/dpa)에 따라 독립적으로 처리합니다. | 머천트 청구 데이터(성명, 이메일, 결제 수단) 미국(주요) / EU(EU 소재 머천트는 Stripe EU 법인) |
| 외부 이커머스 플랫폼 운영사 | 독립 컨트롤러 — 플랫폼을 통한 앱 결제 처리. 각 플랫폼 자체 약관 및 개인정보처리방침에 따라 독립적으로 처리합니다. | 플랫폼 소재 국가 |
카테노이드는 완전한 신용카드 번호 또는 민감한 결제 자격증명을 수신·저장·접근하지 않습니다. 머천트는 Stripe의 데이터 처리 계약(stripe.com/legal/dpa) 및 해당 플랫폼의 개인정보처리방침을 별도로 검토해야 합니다.
최종 업데이트: 2026년 4월 2일