Legal

개인정보처리방침

시행일자: 2026년 4월 22일

1. 개요

SignalPilotAI(이하 "서비스")는 미국주식 투자자를 위한 브리핑·실적 분석 플랫폼입니다. 본 방침은 「개인정보 보호법」(PIPA) 및 EU 일반개인정보보호법(GDPR)을 기준으로 이용자의 개인정보를 어떻게 수집·이용·보관·제공·파기하는지 설명합니다.

2. 수집하는 개인정보 항목

  • 회원가입 — 이메일, 표시 이름, 프로필 이미지(선택), 인증 제공자(이메일·Google)
  • 서비스 이용 — 워치리스트 종목·수량·평단가, 알림 규칙, 투자 저널 메모
  • 자동 수집 — 접속 IP, User-Agent, 접속 일시, 요청 경로 (보안·감사 목적)
  • 결제 정보 — Stripe(결제 도입 시)에서 직접 처리. 카드 번호는 서비스 서버에 저장하지 않음

3. 수집·이용 목적

  • 본인 인증 및 회원 관리
  • 워치리스트·알림·브리핑 등 서비스 제공
  • 부정 이용·brute force 방지 등 보안 운영
  • 법적 의무 이행 (세금계산서, 분쟁 대응)

4. 보관 기간

  • 회원 정보 — 회원 탈퇴 시 즉시 파기
  • 워치리스트·알림·저널 — 회원 탈퇴 시 CASCADE 삭제
  • 접속 로그(IP, UA) — 90일 (보안·통신비밀보호법 준수)
  • 결제 기록 — 전자상거래법에 따라 5년

5. 제3자 처리(자) 목록

서비스 제공을 위해 다음 처리(자)에게 데이터의 일부가 전달됩니다. 모두 표준 보안 통제(TLS, 접근 통제)를 적용한 글로벌 사업자입니다.

처리자목적대상 데이터
Cloudflare (Pages·CDN)프론트엔드 호스팅·캐싱·DDoS 방어접속 IP·UA
Railway (백엔드)API 호스팅·로그요청 메타·접속 IP
Neon (PostgreSQL)관계형 DB 저장소계정·워치리스트·저널 등
Anthropic (Claude API)AI 브리핑·분석 생성사용자 종목·텍스트 입력
Google OAuth소셜 로그인 인증이메일·표시 이름
Apple Sign in소셜 로그인 인증 (iOS)이메일·사용자 식별자
Apple Push Notification serviceiOS 푸시 알림 전송디바이스 토큰
Financial Modeling Prep주가·재무 데이터 조회조회 종목 심볼만
Stripe결제 처리(도입 시)결제 metadata

6. 이용자의 권리

  • 개인정보 열람 — 마이페이지 또는 이메일 요청
  • 정정·삭제 — 마이페이지에서 직접 수정, 또는 계정 삭제로 일괄 파기
  • 처리 정지·동의 철회 — 회원 탈퇴 시점에 자동 적용
  • 이동권(Data Portability) — `GET /api/v1/auth/me/export`로 본인 데이터를 JSON 형식으로 내려받을 수 있음
  • 삭제권(Right to Erasure) — 계정 페이지의 "계정 삭제" 또는 `DELETE /api/v1/auth/me`로 본인 계정 영구 삭제

7. 안전성 확보 조치

  • 전송 구간 암호화 — TLS 1.3
  • 비밀번호 — PBKDF2-HMAC-SHA256 100,000회 + 솔트
  • JWT 서명 — HS256 + 환경변수 시크릿 (운영 강제)
  • 접근 제한 — 관리자 화면은 별도 권한 + 감사 로그
  • 요청 한도 — 로그인·가입에 IP 기준 sliding window rate limit

8. 쿠키

서비스는 HttpOnly 세션 쿠키로 로그인 상태를 유지하며, 일반적인 의미의 추적 쿠키는 사용하지 않습니다. Cloudflare가 보안 목적으로 단기 세션 쿠키(`__cf_bm` 등)를 발급할 수 있으며, 이는 봇·DDoS 방어 용도로만 사용됩니다.

9. 변경 이력

  • 2026-04-22 — 초기 게시 (베타 오픈)
  • 2026-04-24 — iOS 앱 출시 준비 (Apple Sign in, APNs 처리자 추가, 영문 병기)

10. 문의처

본 방침에 대한 문의 및 권리 행사 요청은 다음으로 부탁드립니다.
이메일: contact@signalpilotai.com