개인정보처리방침

1. 수집하는 개인정보 항목

회사는 다음의 정보를 수집합니다.

1.1 회원가입 및 서비스 이용 시 수집 항목

구분	수집 항목	수집 방법
필수	이메일, 이름	Google OAuth 2.0
선택	병원명, 진료과, 원장명	이용자 직접 입력
자동 수집	접속 IP(해시), 브라우저 정보, 접속 로그	서비스 이용 과정에서 자동 생성
결제 시	토스페이먼츠 Customer Key, 결제 금액, 결제 일시	토스페이먼츠 결제 게이트웨이

1.2 Google Search Console 연동 시 수집 항목

이용자가 GSC 연동 기능을 사용할 경우 다음 데이터를 Google API를 통해 가져옵니다.

요청 권한 (Scope): https://www.googleapis.com/auth/webmasters.readonly (읽기 전용)
가져오는 데이터: 검색 키워드, 노출수(impressions), 클릭수(clicks), 평균 순위, CTR, 페이지 URL
가져오지 않는 데이터: 사이트맵, 색인 요청, 보안 이슈, 수정 권한 (모두 읽기 전용 권한이므로 수정 불가)
접근 범위: 이용자 본인이 GSC에 등록한 사이트 중 본인이 선택한 사이트에 한함

2. 개인정보 수집 및 이용 목적

회원 식별 및 인증: Google OAuth를 통한 로그인, 본인 확인
서비스 제공: SEO 진단 결과 저장, 대시보드 제공, GSC 데이터 표시
결제 처리: 유료 플랜 결제, 환불, 영수증 발급
서비스 개선: 이용 통계 분석(개인 식별 불가능한 형태로), 오류 수정
고객 지원: 문의 응대, 공지사항 안내
법적 의무 이행: 전자상거래법 등 관련 법령 준수

3. 개인정보 보유 및 이용 기간

항목	보유 기간	근거
회원 정보	회원 탈퇴 시까지	이용자 동의
GSC OAuth Refresh Token	연결 해제 또는 회원 탈퇴 시까지	서비스 제공
GSC 데이터 캐시	최대 24시간	성능 최적화 (자동 만료)
결제 기록	5년	전자상거래법 제6조
접속 로그(IP 해시)	3개월	통신비밀보호법 제15조

4. Google API 사용자 데이터 정책 준수

Patient Rank의 Google API 사용은 Google API Services User Data Policy (Limited Use 요건 포함)을 준수하며, 다음 사항을 약속합니다.

사용 제한 (Limited Use): GSC에서 가져온 데이터는 이용자에게 표시되는 사용자 대면 기능에만 사용합니다.
데이터 전송 금지: GSC 데이터를 제3자에게 전송하거나 판매하지 않습니다. 단, (a) 이용자의 명시적 동의가 있는 경우, (b) 보안 목적, (c) 법적 의무 이행을 위한 경우는 제외합니다.
광고 활용 금지: GSC 데이터를 광고(맞춤 광고 포함)에 사용하지 않습니다.
인적 열람 금지: GSC 데이터를 사람이 직접 열람하지 않습니다. 단, (a) 이용자의 명시적 동의가 있는 경우, (b) 보안 목적, (c) 법적 의무, (d) 데이터가 익명·집계 처리되어 내부 운영에 사용되는 경우는 제외합니다.

5. 개인정보의 제3자 제공

회사는 원칙적으로 이용자의 개인정보를 제3자에게 제공하지 않습니다. 단, 다음의 경우에는 예외로 합니다.

이용자가 사전에 동의한 경우
법령의 규정에 의거하거나, 수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우

6. 개인정보 처리 위탁

회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리를 위탁하고 있습니다.

수탁 업체	위탁 업무	처리 위치
Cloudflare, Inc.	서비스 호스팅, 데이터 저장(D1, KV)	글로벌 엣지 (한국 포함)
Google LLC	OAuth 인증, Search Console API	미국
DataForSEO	SEO 데이터 조회	미국
토스페이먼츠	결제 처리	대한민국
Resend	이메일 발송	미국

7. 개인정보 보호를 위한 기술적·관리적 조치

암호화 저장: 이메일은 AES-256-GCM으로 암호화하여 저장합니다.
일방향 해시: IP 주소는 SHA-256 해시로만 저장하며 원본은 보관하지 않습니다.
전송 구간 암호화: 모든 통신은 HTTPS(TLS 1.3)로 암호화됩니다.
OAuth 토큰 관리: Google OAuth Refresh Token은 Cloudflare KV에 암호화 저장되며, 이용자가 연결 해제 시 즉시 폐기됩니다.
접근 권한 통제: 개인정보 처리 권한은 최소 인원에게만 부여하며 정기적으로 점검합니다.
로그 모니터링: 비정상 접근 시도를 자동 감지하고 차단합니다.

8. 이용자 및 법정대리인의 권리·의무 및 행사 방법

이용자는 언제든지 다음의 권리를 행사할 수 있습니다.

열람 요청: 자신의 개인정보 처리 현황 확인
정정·삭제 요청: 잘못된 정보의 수정 또는 삭제
처리 정지 요청: 개인정보 처리 중단 요청
회원 탈퇴: 대시보드 → 설정 → 회원 탈퇴
GSC 연결 해제: 결과 페이지 → GSC 카드 → 연결 해제 또는 Google 계정 권한 페이지에서 직접 해제 가능

위 권리 행사는 이메일([email protected])로 요청 가능하며, 회사는 지체 없이 조치합니다.

9. 개인정보 파기 절차 및 방법

파기 시점: 보유 기간 경과, 처리 목적 달성, 회원 탈퇴 시
전자적 파일: 복구 불가능한 방법으로 영구 삭제 (DB DELETE + 백업 회전 만료)
OAuth Token: Google API revoke 엔드포인트 호출 후 KV 삭제
출력물: 분쇄 또는 소각 (해당 사항 거의 없음)

10. 쿠키(Cookie) 사용

회사는 로그인 세션 유지를 위해 쿠키를 사용합니다.

쿠키 이름: pr_session (HttpOnly, Secure, SameSite=Lax)
유효 기간: 30일
거부 방법: 브라우저 설정에서 쿠키 차단 가능 (단, 로그인 기능 사용 불가)

11. 개인정보 보호책임자

성명: 문석준 (대표)
소속: Patient Rank
이메일: [email protected]

12. 권익침해 구제방법

개인정보 침해로 인한 피해 발생 시 아래 기관에 신고하실 수 있습니다.

개인정보분쟁조정위원회: www.kopico.go.kr (1833-6972)
개인정보침해신고센터: privacy.kisa.or.kr (118)
대검찰청 사이버수사과: www.spo.go.kr (1301)
경찰청 사이버수사국: ecrm.cyber.go.kr (182)

13. 개정 이력

2026-04-25: 최초 제정 및 시행 (v1.0)