데이터처리계약 (DPA)
시행일: 2026년 2월 17일
최종 수정일: 2026년 2월 17일
본 데이터처리계약(“DPA”)은 Headless Commerce(“수탁자”, “당사”)와 가맹점(“위탁자”, “귀하”) 간의 이용약관의 일부를 구성하며, 수탁자가 위탁자를 대신하여 개인정보를 처리하는 것을 규율합니다.
본 DPA는 EU 일반개인정보보호규정(GDPR), 한국 개인정보 보호법 및 기타 적용 가능한 데이터 보호 법률을 준수하도록 설계되었습니다.
1. 정의
- 위탁자(Controller) — 최종 고객 개인정보의 처리 목적과 수단을 결정하는 가맹점
- 수탁자(Processor) — 위탁자를 대신하여 개인정보를 처리하는 Headless Commerce
- 재수탁자(Sub-processor) — 수탁자가 개인정보 처리를 위해 계약한 제3자 서비스 제공자
- 개인정보 — 식별되거나 식별 가능한 자연인(정보주체)에 관한 모든 정보
- 정보주체 — 개인정보가 처리되는 최종 고객 또는 개인
- 처리 — 수집, 저장, 검색, 이용, 전송, 삭제를 포함한 개인정보에 대한 모든 작업
2. 범위 및 역할
2.1 역할
- **귀하(가맹점)**는 API를 통해 스토어에 제출된 모든 최종 고객 데이터의 위탁자(Controller)입니다.
- **당사(Headless Commerce)**는 귀하의 문서화된 지시에 따라서만 행동하는 수탁자(Processor)입니다.
2.2 처리되는 데이터
| 범주 | 데이터 항목 |
|---|
| 고객 식별 | 이름, 이메일 주소, 전화번호 |
| 주소 | 배송 주소, 청구 주소 |
| 주문 데이터 | 주문 상세, 주문 이력, 출고 상태 |
| 장바구니 데이터 | 장바구니 내용, 세션 식별자 |
| 결제 참조 | 결제 수단 유형, Stripe/토스페이먼츠 결제 ID (카드 번호 아님) |
| 고객 계정 | 해시된 비밀번호, 계정 설정 |
당사는 결제 카드 번호, CVV 또는 기타 민감한 결제 정보를 처리하거나 저장하지 않습니다. 모든 카드 데이터는 결제 대행사(Stripe/토스페이먼츠)에서 직접 처리하며 당사 서버를 거치지 않습니다.
3. 위탁자의 의무
위탁자로서 귀하는 다음에 대해 책임을 집니다:
- 적법한 근거 — 최종 고객으로부터 개인정보를 수집하고 처리하기 위한 유효한 법적 근거(동의, 계약 등)를 확보
- 개인정보처리방침 — 최종 고객에게 명확한 개인정보처리방침 제공 (당사의 스토어프론트 개인정보처리방침 템플릿 참조)
- 데이터 정확성 — API에 제출되는 데이터의 정확성 확보
- 정보주체 요청 — 최종 고객의 정보주체 요청에 응답 (당사는 제5.4항에 기술된 바와 같이 지원)
- 동의 관리 — 필요한 경우 최종 고객의 동의 획득 및 관리
4. 수탁자의 의무
4.1 처리 지시
당사는 다음에 따라서만 개인정보를 처리합니다:
- 귀하의 문서화된 지시 (API 호출, 대시보드 작업)
- 이용약관
- 본 DPA
- 관련 법률 (법적 의무에 의한 추가 처리가 필요한 경우)
4.2 기밀 유지
개인정보 처리를 승인받은 모든 직원은 기밀 유지 의무에 구속됩니다.
4.3 보안
위험에 적절한 수준의 보안을 보장하기 위해 적절한 기술적·관리적 조치를 시행합니다:
- 전송 중(TLS 1.3) 및 저장 시(AES-256) 데이터 암호화
- 역할 기반 접근 통제 (RBAC)
- API 키 범위 지정 (스토어별 격리)
- 속도 제한 및 DDoS 방어
- 정기 보안 평가
전체 상세 내용은 부속서 A (보안 조치)를 참조하십시오.
4.4 정보주체 요청 지원
다음을 통해 정보주체 요청(열람, 정정, 삭제, 이동, 처리정지)에 대한 응답을 지원합니다:
- 데이터 내보내기 및 삭제를 위한 API 엔드포인트 제공
- 귀하의 요청에 5 영업일 이내 응답
- 준수를 촉진하기 위한 기술적 조치 구현
4.5 침해 통지
개인정보 침해 발생 시:
- 침해를 인지한 후 72시간 이내 귀하에게 통지
- 다음 세부 사항 제공: 침해의 성격, 영향받은 정보주체의 범주 및 대략적 수, 예상 결과, 취해졌거나 제안된 조치
- 귀하의 조사 및 규제 당국 통지 의무에 협력
- 모든 침해 기록 유지
4.6 영향평가
필요한 경우 개인정보 영향평가(PIA/DPIA) 및 감독 기관과의 사전 협의에 대해 합리적인 지원을 제공합니다.
5. 재수탁자
5.1 현재 재수탁자
| 재수탁자 | 처리 활동 | 소재지 |
|---|
| Neon | 데이터베이스 호스팅 (PostgreSQL) | 미국/EU |
| Upstash | 캐싱 및 속도 제한 (Redis) | 리전별 |
| Stripe | 결제 처리 | 미국 (글로벌) |
| Resend | 트랜잭션 이메일 발송 | 미국 |
| Sentry | 오류 모니터링 | 미국 |
| AWS S3 | 파일/미디어 저장 | 리전별 |
| Cloudflare | CDN, WAF, DDoS 방어 | 글로벌 |
| Inngest | 백그라운드 작업 처리 | 미국 |
5.2 승인
귀하는 위에 나열된 재수탁자에 대한 일반적인 서면 승인을 제공합니다. 이 승인은 동등 이상의 데이터 보호를 제공하는 대체 재수탁자에게도 적용됩니다.
5.3 신규 재수탁자
새로운 재수탁자를 계약하기 전에:
- 이메일을 통해 최소 14일 전에 통지
- 새 재수탁자의 이름, 소재지 및 처리 활동 제공
- 14일 이내에 이의 제기 허용
- 합리적 근거로 이의가 있는 경우 대안을 찾거나, 귀하가 해당 서비스를 해지할 수 있음
5.4 책임
당사는 재수탁자의 행위 및 부작위에 대해 당사가 직접 처리한 것과 동일한 범위에서 완전한 책임을 집니다.
6. 국외 이전
6.1 한국법에 따른 이전
개인정보 보호법에 따라:
- 해외 수취인이 한국법과 동등한 수준의 데이터 보호 기준을 유지하도록 보장합니다 (제28조의2)
- 국외 이전 세부 사항은 위 재수탁자 표에 문서화되어 있습니다
- 이전 보호 장치에 대한 추가 정보를 언제든지 요청할 수 있습니다
6.2 EU/EEA 이전
EEA 외부로의 개인정보 이전 시:
- 유럽위원회가 승인한 표준계약조항(SCCs) — 모듈 2 (Controller to Processor) 적용
- 이전 영향 평가에 기반한 보완 조치
7. 보유 및 삭제
7.1 계약 기간 중
이용약관의 기간 동안 개인정보를 보유하며, 서비스 제공에 필요한 범위에서만 처리합니다.
7.2 계약 종료 시
이용약관 종료 시:
- 30일 이내에 API를 통해 모든 데이터를 내보낼 수 있습니다
- 30일 후 활성 시스템에서 모든 개인정보를 영구 삭제합니다
- 백업 내 데이터는 정상적인 백업 순환을 통해 90일 이내에 덮어씌워집니다
- 요청 시 삭제를 증명합니다
7.3 법적 보유
관련 법률에 의해 계약 종료 후에도 특정 데이터를 보유해야 하는 경우(예: 세무 준수를 위한 결제 기록):
- 해당 데이터를 활성 처리에서 분리합니다
- 법적으로 요구되는 목적으로만 처리합니다
- 보유 의무가 만료되면 즉시 삭제합니다
8. 감사
8.1 감사 권리
귀하는 본 DPA 준수에 대한 감사 권리를 갖습니다. 감사는 다음 조건으로 수행됩니다:
- 귀하 또는 기밀 유지 의무가 있는 독립 제3자 감사인에 의해
- 합리적인 사전 통지 (최소 30일)
- 정상 업무 시간 중
- 연 1회 이내 (감독 기관의 요구 또는 침해 후를 제외)
8.2 감사 보고서
현장 감사 대안으로 다음을 제공할 수 있습니다:
- SOC 2 Type II 보고서 (Enterprise 티어에서 제공)
- 제3자 보안 평가 보고서
- 합리적인 서면 질의에 대한 응답
요청 시 해당 보고서를 제공합니다.
9. 책임
9.1 각 당사자의 책임
각 당사자는 관련 데이터 보호 법률 또는 본 DPA 위반으로 인한 손해에 대해 책임을 집니다.
9.2 한도
본 DPA에 따른 책임은 이용약관의 책임 제한 조항에 따릅니다.
부속서 A: 보안 조치
A.1 암호화
| 계층 | 방법 |
|---|
| 전송 중 | 모든 통신에 TLS 1.3 |
| 저장 시 | Neon(데이터베이스) 및 AWS S3(파일)을 통한 AES-256 암호화 |
| 비밀 정보 | API 비밀 키는 해시값으로 저장; OAuth 토큰 암호화 |
| 비밀번호 | 적절한 비용 계수의 bcrypt 해싱 |
A.2 접근 통제
| 통제 | 구현 방법 |
|---|
| 인증 | 이메일/비밀번호(bcrypt), OAuth (Google, GitHub) |
| 권한 부여 | 조직별 역할 기반 (Owner, Admin, Staff, Viewer) |
| API 격리 | 각 스토어에 별도 API 키; store_id에 의한 행 수준 격리 |
| 관리자 접근 | 프로덕션 DB 접근 최소 인원; 모든 접근 기록 |
A.3 네트워크 보안
| 통제 | 구현 방법 |
|---|
| WAF | Cloudflare 웹 애플리케이션 방화벽 |
| DDoS 방어 | Cloudflare DDoS 완화 |
| 속도 제한 | Redis 기반 키별 속도 제한 |
| API 게이트웨이 | 요청 검증, 입력 위생 처리 |
A.4 침해 대응
| 단계 | 시간 |
|---|
| 탐지 | Sentry 및 인프라 알림을 통한 자동 모니터링 |
| 평가 | 탐지 후 24시간 이내 |
| 위탁자 통지 | 침해 확인 후 72시간 이내 |
| 규제 기관 통지 | 법적 요구 기한 내 위탁자 지원 |
| 사후 검토 | 해결 후 14일 이내 |
A.5 백업 및 재해 복구
| 조치 | 상세 |
|---|
| 데이터베이스 백업 | Neon을 통한 시점 복구(PITR), 30일 보유 |
| 지리적 중복성 | 다중 리전 데이터베이스 레플리카 |
| 복구 테스트 | 분기별 백업 복원 테스트 |
| RTO/RPO | 복구 시간 목표: 4시간; 복구 지점 목표: 1시간 |
