개인정보처리방침
- 총칙
- 수집하는 개인정보 항목
- 개인정보의 수집 및 이용 목적
- 개인정보의 보유 및 이용 기간
- 개인정보의 제3자 제공
- 개인정보의 처리위탁
- 개인정보의 국외이전
- 이용자의 권리와 행사 방법
- 자동으로 수집되는 정보 (쿠키)
- 개인정보의 안전성 확보 조치
- 개인정보 침해사고 통지 및 신고
- 개인정보 보호책임자
- 변경 사항 고지
1. 총칙
온쉼AI (이하 "회사")는 소규모 숙박업 사업자를 위한 예약·운영 관리 SaaS 서비스 "온쉼AI" (이하 "서비스")를 제공합니다. 회사는 「개인정보 보호법」 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령을 준수하며, 이용자의 개인정보를 보호하기 위해 본 방침을 수립·공개합니다.
2. 수집하는 개인정보 항목
2-1. 회원 가입 시 (이용자 본인)
| 구분 | 항목 | 비고 |
|---|---|---|
| 필수 | 이메일 주소, 비밀번호 (단방향 해시 저장) | 본인 확인·로그인 |
| 필수 | 호텔명, 사업자등록번호, 대표자명, 연락처, 사업장 주소 | 가입 마법사 1B 단계 (사업자등록 진행 중인 경우 일부 항목 후입력 허용) |
| 선택 | 객실 카탈로그, 운영 자료 파일 (사업자등록증 사본·운영 엑셀·과거 OTA 메일 등) | 가입 마법사 2A·1A 단계 |
| 필수 | OTA 메일함 자격 증명 (IMAP 앱 비밀번호 등) | 예약 메일 자동 수신용. Fernet (AES-128-CBC + HMAC-SHA256) 으로 암호화 저장, 평문 일체 미저장 |
2-2. 서비스 이용 시 (자동 수집)
| 구분 | 항목 | 출처 |
|---|---|---|
| 예약 정보 | 예약자명, 050 안심번호, 체크인·체크아웃 일자, 객실 타입, OTA 예약번호, 결제 금액 | 이용자가 등록한 OTA 메일함에서 자동 파싱 |
| 운영 기록 | 매출·지출 내역, 메모, 객실 차단 일정, 셀 편집 이력 | 이용자 직접 입력 |
| 접속 기록 | IP 주소, 접속 시각, 브라우저 정보, 페이지 이동 경로, JS 에러 메시지 | 웹 서버·운영자 대시보드 자동 수집 |
3. 개인정보의 수집 및 이용 목적
- 서비스 제공: OTA 예약 자동 파싱, 자동 객실 배정, 시트형 예약 현황 표시, 매출 통계, 도미노 재배정 등
- 본인 확인 및 보안: 회원 가입·로그인, 이메일 인증, 비밀번호 재설정, 부정 사용 방지
- 커뮤니케이션: 서비스 변경 안내, 점검·장애 공지, 가입 후 마법사 진행 안내
- 품질 개선: AI 파서 정확도 분석, 신규 OTA 양식 자동 감지, 시스템 에러 모니터링
- 법적 의무 이행: 세금계산서 발행 (정식 출시 후), 분쟁 대응, 수사기관 정당한 요청 대응
4. 개인정보의 보유 및 이용 기간
| 구분 | 보관 기간 | 근거 |
|---|---|---|
| 회원 정보 | 회원 탈퇴 시 즉시 파기 | 이용자 권리 |
| 예약·매출 기록 | 회원 탈퇴 시 즉시 파기 (단, 세금 관련은 5년) | 국세기본법 |
| 접속 로그 | 3개월 | 통신비밀보호법 |
| 부정 이용 기록 | 1년 | 분쟁 대응 |
| 데이터베이스 백업본 | 매일 03:00 KST 자동 백업 후 30일간 보관, 이후 자동 파기. 회원 탈퇴 후에도 최대 30일간 백업본에 잔존할 수 있으며, 해당 기간 경과 시 모든 백업본에서 자동 삭제됨 | 서비스 운영 (재해 복구) |
5. 개인정보의 제3자 제공
회사는 원칙적으로 이용자의 개인정보를 외부에 제공하지 않습니다. 다만 다음의 경우는 예외로 합니다.
- 이용자가 사전 동의한 경우
- 법령에 의거하거나 수사기관이 적법한 절차에 따라 요구하는 경우
6. 개인정보의 처리위탁
안정적인 서비스 운영을 위해 다음과 같이 일부 업무를 위탁합니다. 위탁 업체는 「개인정보 보호법」 제26조에 따라 안전한 처리를 위한 계약을 체결하고 있습니다.
| 수탁자 | 위탁 업무 | 국가 |
|---|---|---|
| Amazon Web Services, Inc. | 웹 서버·데이터베이스 호스팅 (Lightsail), 이메일 발송 (SES) | 미국 (us-east-1 / 버지니아 리전) |
| Cloudflare, Inc. | 도메인 보안 (HTTPS), CDN, DDoS 방어 | 전 세계 엣지 |
| Anthropic PBC |
|
미국 |
| 네이버(주) | 이용자가 등록한 네이버 메일함 IMAP 수신 (이용자 위임) | 대한민국 |
| Solapi(주) | D-1 안내 SMS 발송 — 손님 휴대전화번호와 발송 시점·발신번호·메시지 본문을 일회 전달 (회원이 SMS 발송 기능을 활성화한 경우에 한함) | 대한민국 |
| Telegram FZ-LLC | 운영자 단방향 에러·이상 동작 알림 봇 — 에러 발생 시 호텔명·회원 이메일·에러 메시지·요청 경로 등 운영 진단 정보를 운영자 채팅방으로 송신 (회원에게 도달하지 않음) | 아랍에미리트(UAE) / 미국 |
7. 개인정보의 국외이전
회사는 「개인정보 보호법」 제28조의8 에 따라 다음과 같이 개인정보를 국외로 이전합니다. 회원은 회원 가입 시 본 국외이전에 동의함으로써 서비스를 이용할 수 있으며, 동의를 거부할 권리가 있으나 그 경우 핵심 기능(예약 메일 자동 파싱·서버 호스팅) 이용이 제한됩니다.
| 이전받는 자 | 이전 국가 | 이전 항목 | 이전 시점·방법 | 이용 목적 | 보유·이용 기간 |
|---|---|---|---|---|---|
| Amazon Web Services, Inc. (privacy@amazon.com) |
미국 (us-east-1 / 버지니아 리전) | 본 방침 제2조의 회원·예약·운영 정보 일체 | 회원 가입·이용 시 상시, TLS 암호화 통신 | 웹 서버·DB 호스팅, 이메일 발송 (SES) | 회원 탈퇴 또는 위탁 종료 시까지 |
| Cloudflare, Inc. (privacyquestions@cloudflare.com) |
전 세계 엣지 (이용자 위치 기준 최근접 PoP) | IP 주소, 접속 시각, User-Agent, 요청 URL 등 접속 메타데이터 | 웹 페이지 접속 시 자동, TLS 암호화 통신 | HTTPS 종단, CDN 캐싱, DDoS 방어 | 로그 90일 후 자동 파기 |
| Anthropic PBC (privacy@anthropic.com) |
미국 | OTA 예약 메일 본문 (손님 이름·050 안심번호·체크인·체크아웃·예약번호·결제금액 등 포함), 운영 자료 시트 헤더 일부 (1024자 가량) | 결정론적 파서 실패 시 또는 가입 마법사 운영자료 진단 시에만 즉시 전송, TLS 암호화 통신 | LLM 기반 예약 정보 추출 및 운영자료 양식 진단 (Claude API) | 응답 즉시 회사 서버에 저장 후, Anthropic 측 30일 이내 자동 삭제 (Anthropic 기본 보존 정책) |
| Telegram FZ-LLC (dmca@telegram.org) |
아랍에미리트(UAE) 및 미국 | 운영 진단 정보 (호텔명, 회원 이메일, 에러 메시지, 요청 경로 등) | 서비스 오류·이상 동작 발생 시 운영자 채팅방으로 즉시 전송, TLS 암호화 통신 | 운영자 단방향 에러 알림 | 운영자가 메시지를 삭제할 때까지 (Telegram 자체 보존 정책에 따름) |
8. 이용자의 권리와 행사 방법
이용자는 언제든지 다음 권리를 행사할 수 있습니다.
- 열람·정정: 마이페이지(설정) 에서 직접 확인·수정 가능
- 삭제·동의 철회: 회원 탈퇴 시 즉시 모든 개인정보 파기
- 처리 정지: hello@onshim-ai.com 으로 요청
9. 자동으로 수집되는 정보 (쿠키)
회사는 로그인 상태 유지·CSRF 방어·세션 식별을 위해 다음 쿠키를 사용합니다.
| 쿠키명 | 용도 | 보관 기간 |
|---|---|---|
| sessionid | 로그인 세션 유지 | "로그인 유지" 체크 시 30일 / 미체크 시 브라우저 종료 시 만료 |
| csrftoken | 위·변조 방지 토큰 | 1년 |
이용자는 브라우저 설정에서 쿠키 저장을 거부할 수 있으나, 그 경우 로그인 등 일부 서비스 이용이 제한됩니다.
10. 개인정보의 안전성 확보 조치
- 전송 구간: HTTPS (TLS) 전 구간 적용
- 저장 보안:
- 회원 비밀번호: PBKDF2 단방향 해시로 저장 (평문 미저장)
- OTA 메일함 자격 증명 (앱 비밀번호): Fernet (AES-128-CBC + HMAC-SHA256) 으로 암호화하여 저장. 평문은 일체 저장하지 않으며, 복호화는 메일 수신 시 메모리에서만 일시적으로 수행
- 접근 통제: 회원 페이지 캐시 차단 (Cache-Control: no-store), 단일 세션 enforcement (동일 계정 다중 로그인 시 이전 세션 자동 무효화), CSRF 방어 토큰, 보안 응답 헤더 적용 (X-Frame-Options, X-Content-Type-Options, Referrer-Policy 등)
- 관리적 보호: 운영자(staff) 접근 권한 최소화, 감사 로그 보존
- 운영자 대시보드 (/ops/) 접근 범위:
- 접근 자격:
is_staff와is_superuser권한을 모두 부여받은 운영자에 한함. 회원(호텔 사장님) 로그인으로는 접근 불가. - 운영자 전용 로그인 페이지(/ops/login/) 가 회원 로그인(/login/) 과 분리되어 있음.
- 운영자가 열람 가능한 정보: 시스템 에러 이벤트, JS 에러 로그, AI 분석 결과, 시스템 헬스 지표 등 운영 진단용 데이터. 회원·손님의 개인정보(이름·연락처·결제정보 등) 는 운영 필요 시에만 접근 기록을 남기고 열람.
- 접근 자격:
- 백업 보안: 데이터베이스 백업본은 회사 서버 내 별도 디렉토리(/opt/onshim/backups/) 에 gzip 압축 보관되며, 운영자 권한 외 접근이 차단됨. 백업 무결성 자동 점검 (매일 04:00 KST) 수행.
- 침해 대응: 운영자 대시보드(/ops/) 통한 실시간 에러·이상 행위 모니터링, 텔레그램 봇을 통한 운영자 즉시 알림
11. 개인정보 침해사고 통지 및 신고
회사는 「개인정보 보호법」 제34조 및 제39조의4 에 따라 개인정보 침해사고 발생 시 다음 절차에 따라 통지·신고합니다.
- 정보주체 통지: 개인정보의 분실·도난·유출·위조·변조·훼손 사실을 인지한 때로부터 72시간 이내 에 관련 회원·정보주체에게 이메일·서비스 내 공지 등의 방법으로 다음 사항을 통지합니다.
- 유출된 개인정보 항목
- 유출 시점과 경위
- 피해 최소화를 위해 정보주체가 취할 수 있는 조치
- 회사의 대응 조치 및 피해 구제 절차
- 접수 부서 연락처
- 당국 신고: 1천명 이상 정보주체의 개인정보가 유출된 경우, 동일 시한 내에 개인정보보호위원회 및 한국인터넷진흥원(KISA) 에 신고합니다.
- 72시간 초과 시: 정당한 사유로 72시간을 초과하는 경우, 그 사유와 통지·신고 예정 시점을 함께 명시하여 사전 안내합니다.
12. 개인정보 보호책임자
| 구분 | 내용 |
|---|---|
| 성명 | 정세한 |
| 직책 | 온쉼AI 대표 |
| 이메일 | mp9227@naver.com |
| 전화 | 010-7107-8531 |
| 카카오톡 채널 | 「온쉼AI」 |
개인정보 침해 신고·상담은 다음 기관에도 가능합니다.
- 개인정보침해신고센터 (privacy.go.kr / 국번없이 182)
- 개인정보분쟁조정위원회 (kopico.go.kr / 1833-6972)
- 대검찰청 사이버수사과 (spo.go.kr / 02-3480-3573)
- 경찰청 사이버수사국 (ecrm.police.go.kr / 국번없이 182)
13. 변경 사항 고지
본 방침은 법령·정책 변경 또는 서비스 변경에 따라 개정될 수 있으며, 변경 시 본 페이지에 시행 7일 전 공지합니다. 이용자에게 중대한 영향을 미치는 변경은 30일 전 공지 후 별도 동의를 받습니다.