메인 콘텐츠로 건너뛰기

개인정보처리방침

시행일: 2026년 2월 17일 최종 수정일: 2026년 2월 17일 본 개인정보처리방침은 Headless Commerce(“회사”, “당사”)가 API, 대시보드, SDK, CLI 및 관련 서비스(이하 “서비스”)를 이용하는 과정에서 개인정보를 수집, 이용, 저장 및 보호하는 방법을 설명합니다. 본 방침은 플랫폼을 이용하는 가맹점 및 팀원에게 적용됩니다. 가맹점을 대신하여 처리하는 데이터(즉, 최종 고객의 데이터)에 대한 내용은 데이터처리계약(DPA)을 참조하십시오.

1. 개인정보처리자

본 방침에 기술된 개인정보의 처리자는 다음과 같습니다: Headless Commerce 이메일: privacy@headlesscommerce.io 주소: [회사 주소] 개인정보 보호책임자: 이메일: dpo@headlesscommerce.io

2. 수집하는 개인정보

2.1 계정 정보

서비스 가입 및 이용 시 다음 정보를 수집합니다:
항목수집 목적
이름계정 식별, 커뮤니케이션
이메일 주소인증, 알림, 결제
비밀번호 (해시값)인증 (bcrypt 해시 처리, 평문 저장 안 함)
프로필 이미지대시보드 표시
OAuth 토큰Google/GitHub 인증 (암호화 저장)

2.2 조직 및 결제 정보

항목수집 목적
조직명계정 관리
결제 이메일인보이스 발송
Stripe 고객 ID결제 처리 (카드 정보는 Stripe에서 관리, 당사 미저장)
Stripe 구독 ID구독 관리
요금제 유형서비스 권한 관리

2.3 기술 및 이용 정보

항목수집 목적
IP 주소보안, 속도 제한, 남용 방지
사용자 에이전트호환성, 디버깅
API 요청 경로이용 분석, 디버깅
요청/응답 메타데이터문제 해결, 감사 로깅
대시보드 활동기능 이용 분석

2.4 수집하지 않는 정보

  • 신용카드 번호 — 모든 결제 카드 정보는 Stripe에서 직접 처리합니다. 당사는 카드 번호를 보거나, 전송하거나, 저장하지 않습니다.
  • 최종 고객 비밀번호 — 고객 인증 정보는 해시 처리되며 평문으로 접근 불가합니다.

3. 위탁 처리 데이터

수탁자로서 당사는 가맹점의 최종 고객이 API를 통해 제출하는 다음 데이터를 처리합니다:
  • 고객 이름, 이메일, 전화번호
  • 배송 및 청구 주소
  • 주문 상세 및 이력
  • 장바구니 내용 및 세션 데이터
이 처리는 데이터처리계약(DPA)에 따라 이루어집니다. 귀하(가맹점)는 이 데이터의 개인정보처리자이며, 최종 고객으로부터 적절한 동의를 획득할 책임이 있습니다.

4. 처리의 법적 근거

4.1 개인정보 보호법에 따른 근거

법적 근거처리 활동
동의 (제15조 제1항 제1호)계정 생성, 마케팅
계약의 이행 (제15조 제1항 제4호)서비스 제공, 결제
정당한 이익 (제15조 제1항 제6호)보안, 부정행위 방지
법률상 의무 (제15조 제1항 제2호)세무/재무 기록 보관
각 목적에 대해 별도의 구체적 동의를 획득합니다. 동의는 자유롭게 제공되며 언제든지 철회할 수 있습니다.

4.2 GDPR에 따른 근거 (EU/EEA 이용자)

법적 근거처리 활동
계약 이행 (제6조 제1항 (b))서비스 제공, 계정 관리, 결제
정당한 이익 (제6조 제1항 (f))보안, 부정행위 방지, 서비스 개선
동의 (제6조 제1항 (a))마케팅 커뮤니케이션 (옵트인)
법적 의무 (제6조 제1항 (c))세무 기록, 규제 준수

5. 개인정보의 제3자 제공 및 위탁

5.1 수탁업체

수탁업체위탁 목적소재지
NeonPostgreSQL 데이터베이스 호스팅미국/EU
UpstashRedis 캐싱 및 속도 제한리전별
Stripe결제 처리 및 청구미국 (글로벌)
Resend트랜잭션 이메일 발송미국
Sentry오류 모니터링 및 디버깅미국
AWS S3미디어/파일 저장리전별
CloudflareCDN 및 DDoS 방어글로벌
Inngest백그라운드 작업 처리미국

5.2 당사가 하지 않는 것

  • 개인정보를 제3자에게 판매하지 않습니다
  • 광고 목적으로 데이터를 공유하지 않습니다
  • 프로파일링이나 자동화된 의사결정에 데이터를 사용하지 않습니다

5.3 법 집행 기관

법적으로 강제되는 경우(법원 명령, 소환장) 또는 긴박한 위해를 방지하기 위해 필요한 경우에만 데이터를 공개합니다. 법률로 금지되지 않는 한 귀하에게 통지합니다.

6. 국외 이전

귀하의 데이터는 귀하의 관할권 외의 국가에서 전송 및 처리될 수 있습니다:

6.1 한국법에 따른 국외 이전

개인정보 보호법 제17조 및 제28조의2에 따라:
  • 국외 이전에 대한 귀하의 동의를 획득합니다
  • 수취 당사자가 동등한 수준의 데이터 보호 기준을 유지하도록 보장합니다
  • 국외 이전 세부 사항은 위 수탁업체 표에 기재되어 있습니다

6.2 EU/EEA 이전

EEA 외부로의 이전 시:
  • 유럽위원회가 승인한 **표준계약조항(SCCs)**을 적용합니다
  • 해당되는 경우 적정성 결정을 활용합니다

7. 보유 기간

데이터 유형보유 기간근거
계정 정보계정 삭제 시까지 + 30일 유예기간계약
API 로그 (IP, UA, 요청)90일 순환정당한 이익
결제/청구 기록7년세법 준수
거래 기록 (한국법)3년전자상거래법
마케팅 동의 기록동의 기간 + 3년법적 의무
보유 기간 종료 후 데이터는 영구 삭제 또는 익명 처리됩니다.

8. 정보주체의 권리

8.1 개인정보 보호법에 따른 권리

  • 열람권 — 수집된 개인정보의 열람을 요청할 수 있습니다
  • 정정·삭제권 — 부정확한 정보의 정정 또는 삭제를 요청할 수 있습니다
  • 처리정지 요구권 — 개인정보 처리의 정지를 요청할 수 있습니다
  • 동의 철회권 — 이전에 제공한 동의를 언제든지 철회할 수 있습니다
  • 개인정보보호위원회 신고 — 개인정보보호위원회(PIPC)에 민원을 제기할 수 있습니다

8.2 GDPR에 따른 권리 (EU/EEA 이용자)

EU/EEA에 소재한 경우 다음 권리가 있습니다:
  • 열람 — 개인 데이터에 접근
  • 정정 — 부정확한 데이터 수정
  • 삭제 — 데이터 삭제 (“잊힐 권리”)
  • 이동 — 다른 서비스로 데이터 이전
  • 제한 또는 반대 — 처리 제한 또는 반대
  • 동의 철회 — 언제든지
  • 감독 기관 불만 제기

8.3 권리 행사 방법

위 권리를 행사하려면 privacy@headlesscommerce.io로 연락하십시오. 회신 기한:
  • 한국법: 10일
  • GDPR: 30일

9. 안전 조치

개인정보를 보호하기 위해 적절한 기술적·관리적 조치를 시행합니다:
조치상세
전송 중 암호화모든 API 및 대시보드 통신에 TLS 1.3
저장 시 암호화데이터베이스(Neon) 제공자를 통한 AES-256
비밀번호 해싱적절한 작업 계수의 bcrypt
API 키 보안비밀 키 해시 저장; 순환 지원
속도 제한Redis 기반 속도 제한으로 남용 방지
접근 통제역할 기반 접근 (Owner/Admin/Staff/Viewer)
감사 로깅모든 관리자 활동을 IP 및 UA와 함께 기록
PCI 준수SAQ-A 자격 — 카드 정보가 당사 서버를 거치지 않음

10. 쿠키 및 추적

10.1 사용하는 쿠키

쿠키유형목적기간
세션 토큰필수대시보드 인증 (JWT)세션
CSRF 토큰필수크로스사이트 요청 위조 방지세션

10.2 사용하지 않는 것

  • 제3자 광고 쿠키 없음
  • 크로스사이트 추적 픽셀 없음
  • 핑거프린팅 기술 없음

11. 아동의 개인정보

서비스는 만 14세 미만(GDPR 적용 시 16세 미만)의 개인을 대상으로 하지 않습니다. 당사는 아동의 개인정보를 고의로 수집하지 않습니다. 그러한 수집을 인지하게 되면 즉시 해당 데이터를 삭제합니다.

12. 방침 변경

본 개인정보처리방침은 수시로 업데이트될 수 있습니다. 중대한 변경은 다음을 통해 공지됩니다:
  • 계정 이메일로의 알림
  • 대시보드 알림
  • 시행일 최소 30일 전

13. 연락처

개인정보 관련 문의: