개인정보처리방침

본 개인정보처리방침은 Dapalette("Dapalette", "당사", "우리")이 Dapalette 서비스("Dapalette", "서비스")를 운영하고 사용자의 데이터를 처리하는 방식을 설명합니다. Dapalette를 이용하면 본 방침에 동의하는 것으로 간주됩니다.

1. 수집하는 데이터

계정 데이터 — 이메일 주소, 표시 이름, 비밀번호 해시, 소셜 로그인 사용자의 OAuth 제공자 식별자(Google, X).
워크스페이스 데이터 — 브랜드명, 표준 시간대, 워크스페이스 생성 또는 참여 시 입력하는 온보딩 정보.
브랜드 사업자 정보 — (유료 이용·세금계산서 발행 시) 사업자등록번호, 상호, 대표자, 사업장 주소, 업종, 세금계산서 수신 이메일.
인플루언서(크리에이터) 정보 — 공개 프로필 정보, 그리고 시딩 제안에 회신·수락한 경우 제공하는 연락처 및 배송지 주소(제품 배송 목적). 제공·이용에 관한 사항은 아래 3절(제3자 제공)을 참조하세요.
연동 데이터 — 사용자가 Dapalette에 액세스를 승인한 연결 플랫폼(TikTok Shop, TikTok for Business, Shopify, X, Instagram, YouTube)의 콘텐츠. 자세한 내용은 3절과 7절 참조.
이용 및 진단 데이터 — 요청 로그, 오류 추적, 기능 사용 이벤트, IP 주소. 서비스 운영, 사고 조사, 안정성 개선에 사용됩니다.

2. 데이터 이용 목적

서비스 운영 — 캠페인 실행, 상품 및 주문 동기화, 크리에이터 아웃리치 생성, ROAS 분석 산출.
서비스 내 레퍼런스 라이브러리 운영 — 다른 이용자가 참고할 수 있도록 캠페인 콘텐츠(인물 초상 포함 가능)를 카테고리·인게이지먼트별로 전시. 인플루언서·브랜드는 노출을 거부(opt-out)할 수 있습니다(이용약관 6절).
사용자 커뮤니케이션 — 거래 이메일(인증, 비밀번호 재설정, 결제 영수증), 제품 알림, 보안 경고.
서비스 개선 및 보안 — 디버깅, 용량 계획, 남용 및 사기 방지.
법적 의무 이행 — 회계 기록, 세무 신고, 당국의 적법한 요청.

당사는 개인 데이터를 판매하지 않습니다. 명시적 동의 없이 식별 가능한 고객 데이터로 제3자 대규모 언어 모델을 학습시키지 않습니다.

3. 제3자 처리자 및 제3자 제공

Dapalette는 서비스 운영을 위해 다음 하위 처리자(처리위탁)를 이용합니다. 각 처리자가 기능 수행에 필요한 데이터만 공유합니다:

TikTok Shop & TikTok for Business — 카탈로그, 주문, 제휴, 광고 성과 데이터(7절 참조).
Shopify — 연결된 스토어의 상품, 주문, 고객 데이터.
Stripe — 결제 및 구독 처리. 결제 카드 데이터는 Stripe가 수집 및 저장하며, Dapalette는 전체 카드 번호를 수신하지 않습니다.
AWS(서울 리전) — Dapalette 백엔드 서비스, 데이터베이스, 암호화된 토큰 저장소의 주 호스팅.
Vercel — Dapalette 웹 프론트엔드 및 마케팅 사이트 호스팅.
Amazon SES — 거래 이메일 전송.
OpenAI, Anthropic, Google AI — 캠페인 초안 작성 및 콘텐츠 리뷰를 위한 LLM 추론. 추론을 위해 전송된 워크스페이스 콘텐츠는 각 제공자의 엔터프라이즈 약관에 따라 제공자 모델 학습에 사용되지 않습니다.

제3자 제공 (캠페인 수행 목적). 위 하위 처리자(처리위탁)와 별개로, 캠페인의 제품 배송(시딩)을 위해 당사는 인플루언서의 배송지 주소 및 연락처를 해당 캠페인의 브랜드(고객)에게 제공합니다. 이는 제품 배송이라는 캠페인 목적 달성에 필수적입니다. 정보주체(인플루언서)는 이 제공에 동의하지 않을 권리가 있으며, 다만 미동의 시 해당 캠페인의 배송이 진행되지 않습니다. 브랜드(제공받는 자)는 제공받은 정보를 해당 캠페인의 배송 목적으로만 이용해야 합니다.

4. 보관 기간

계정 및 워크스페이스 데이터 — 계정이 활성 상태인 동안 보관하며, 삭제 후 법적 및 세무 기록 보관을 위해 최대 12개월까지 보관됩니다.
주문 및 ROAS 데이터 — 분석 및 어트리뷰션 지원을 위해 24개월 보관. 워크스페이스 삭제 시 함께 삭제됩니다.
OAuth 토큰 — 권한 철회 또는 워크스페이스 삭제 시 즉시 삭제.
운영 로그 — 사고 조사를 위해 최대 90일 보관.

5. 사용자 권리

적용 가능한 법률(대한민국 개인정보보호법, 캘리포니아 CCPA 및 동등한 제도)에 따라 당사가 보유한 본인의 개인 데이터에 대한 열람, 정정, 이동, 삭제를 요청할 수 있습니다. minchan@dapalette.com로 이메일을 보내 요청하시면 30일 이내에 응답합니다.

6. 보안

모든 연결 플랫폼 액세스 토큰은 인증된 대칭 암호화(Fernet — AES-128-CBC와 HMAC-SHA256)로 저장 시 암호화됩니다. 모든 데이터베이스 쿼리는 워크스페이스 식별자로 범위가 한정되어 다른 워크스페이스의 데이터에 접근할 수 없습니다. HIGH 위험 에이전트 작업(메시지 발송, 콘텐츠 게시, 광고 예산 집행)은 실행 전 명시적 사용자 승인이 필요합니다. 전체 통제 목록은 데이터 처리 및 보안 페이지를 참조하세요.

7. TikTok Shop 및 TikTok for Business 데이터 처리

사용자가 Dapalette에 TikTok Shop 액세스를 승인하면, 당사는 샵 카탈로그 데이터, 주문 데이터, 그리고 추가 승인 시 제휴 협업 데이터를 수신합니다. TikTok for Business 액세스를 승인하면, 광고 계정, 캠페인, 성과 데이터를 수신합니다.

액세스 토큰은 인증된 대칭 암호화(Fernet — AES-128-CBC와 HMAC-SHA256)로 저장 시 암호화됩니다. 개인 식별 가능한 구매자 정보를 포함하는 원시 API 응답은 결코 로그에 기록되지 않습니다. 주문 데이터는 ROAS 분석을 위해 24개월 동안 보관되며 워크스페이스 삭제 시 함께 삭제됩니다. TikTok Seller Center → Apps & Services → My Authorizations 또는 TikTok Business Center → Assets → Connected Apps에서 언제든 Dapalette의 접근을 철회할 수 있습니다.

8. 아동

Dapalette는 비즈니스 용도입니다. 당사는 한국 14세 미만, 미국 13세 미만의 아동에게서 데이터를 의도적으로 수집하지 않습니다.

9. 국외 이전

당사는 데이터를 AWS 서울 리전에 호스팅합니다. 한국 외 지역에서 Dapalette에 접근하는 경우, 데이터가 한국으로 이전되어 처리될 수 있습니다. 국경 간 이전에는 표준 계약 조항 또는 동등한 안전장치를 적용합니다.

10. 방침 변경

당사는 본 방침을 업데이트할 수 있습니다. 중요한 변경 사항은 시행 14일 전까지 이메일 또는 제품 내 공지로 안내됩니다. 법률에 의해 더 빠른 시행이 요구되는 경우는 예외입니다.

11. 연락처

본 방침 또는 데이터 처리에 대한 문의: minchan@dapalette.com.