개인정보처리방침

최종 개정일: 2026-06-17 (초안)

⚠ 본 문서는 초안입니다. 서비스 정식 시행 전 법무 검토를 거쳐 확정됩니다(설계 문서 24 법무·컴플라이언스 기준).

StockFlow(이하 “회사”)는 「개인정보 보호법」 등 관련 법령을 준수하며, 정보주체의 개인정보를 다음과 같이 처리합니다.

1. 수집하는 개인정보 항목 및 방법

• 가입 시: 이메일, 비밀번호(단방향 해시), 표시 이름, (소셜 로그인 시) 소셜 식별자
• 서비스 이용 시: 보유 종목·수량·매입단가 등 자산 수치(사용자별 키로 암호화 저장)
• 계좌 캡처 업로드 시: 이미지에서 종목 정보를 추출(이미지 원본은 저장하지 않음)
• 자동 수집: 접속 로그, 기기·브라우저 정보, 쿠키(인증·CSRF)

2. 개인정보의 이용 목적

• 회원 식별·인증 및 계정 관리
• 스냅샷 기반 회고·백테스팅 분석 제공
• 구독 결제 및 고객지원
• 서비스 보안, 부정 이용 방지, 법령상 의무 이행

3. 보유 기간 및 파기

• 회원 탈퇴 시 개인정보는 지체 없이 파기합니다(법령상 보존 의무가 있는 경우 해당 기간 보관).
• 업로드된 계좌 캡처 이미지는 분석 직후 메모리에서 즉시 파기하며, 디스크·스토리지에 저장하지 않습니다.

4. 안전성 확보 조치

• 봉투 암호화(Envelope Encryption): 자산 수치는 사용자별 데이터 키(AES-256-GCM)로 암호화하고, 데이터 키는 KMS 마스터키로 래핑하여 보관합니다. DB가 유출되어도 복호화할 수 없습니다.
• 분석은 서버의 격리된 일시 복호화 영역에서만 수행하고 사용 직후 폐기합니다.
• 모든 통신은 TLS로 암호화하며, 접근 권한 통제·감사 로깅을 적용합니다.
• 비밀번호는 Argon2id로 단방향 해시 처리합니다.

5. 제3자 제공 및 처리위탁

회사는 서비스 제공을 위해 다음의 업무를 외부에 위탁할 수 있습니다.

• OCR/AI 비전 분석(이미지 텍스트 추출) — 재학습 방지 옵션 적용
• 결제 처리 — Lemon Squeezy(Merchant of Record)
• 시세·뉴스 데이터 — 국내외 시세 데이터 공급사
• 클라우드 인프라(데이터 저장·연산), 키 관리 서비스(KMS)

6. 정보주체의 권리

• 개인정보 열람·정정·삭제·처리정지 요구
• 데이터 이동(다운로드) 요청
• 회원 탈퇴를 통한 계정·데이터 삭제

암호화 키는 비밀번호에서 유도되지 않으므로, 비밀번호를 분실해도 데이터 복구가 가능합니다.

7. 쿠키

회사는 로그인 유지 및 CSRF 보호를 위해 필수 쿠키를 사용합니다. 분석/마케팅 쿠키를 사용하는 경우 별도 동의를 받습니다.

8. 개인정보 보호책임자 및 문의

개인정보 관련 문의·권리 행사는 고객지원 채널을 통해 접수하며, 관련 법령에 따라 지체 없이 처리합니다.

9. 고지의 의무

본 방침의 변경 시 시행일 및 변경 사유를 사전에 공지합니다.