개인정보처리방침
최종 수정일: 2025년 3월 1일 · 시행일: 2025년 3월 1일
Krow Inc(이하 "회사")는 ito(糸) 서비스(이하 "서비스", https://itothread.com)를 운영함에 있어 이용자의 개인정보를 소중히 여기며, 「개인정보 보호법」 및 관련 법령을 준수합니다. 본 방침은 회사가 수집하는 개인정보의 항목, 이용 목적, 보관 기간 및 이용자의 권리에 관하여 규정합니다.
수집하는 개인정보의 항목 및 수집 방법
1.1 회원가입 및 계정 정보
| 항목 | 목적 / 설명 |
|---|---|
| 이메일 주소 | 계정 식별, 로그인, 서비스 공지 발송 |
| 이름(닉네임) | 서비스 내 표시 이름 |
| 비밀번호(해시) | 인증 처리 (원문 비밀번호는 저장하지 않습니다) |
| 프로필 사진(선택) | 서비스 내 아바타 표시 |
1.2 소셜 로그인(OAuth)
Google 또는 GitHub 계정으로 로그인 시 해당 서비스로부터 아래 정보를 수집합니다.
| 항목 | 목적 / 설명 |
|---|---|
| 이메일, 이름, 프로필 사진, 고유 식별자(googleId) | |
| GitHub | 이메일, 이름, 프로필 사진, 고유 식별자(githubId) |
소셜 로그인 시 수집 범위는 각 OAuth 제공자의 권한(scope) 설정에 따르며, 최소 권한 원칙을 적용합니다.
1.3 서비스 이용 중 생성되는 정보
| 항목 | 목적 / 설명 |
|---|---|
| 워크스페이스 정보 | 워크스페이스 이름, 슬러그(URL 식별자), 멤버 관계 |
| 태스크(Todo) 데이터 | 제목, 내용, 상태, 우선순위, 마감일, 담당자 정보 |
| 실(Thread) 연결 정보 | 태스크 위임 체인, 연결 상태, 처리 이력 |
| 파일 업로드 | 태스크 또는 스레드에 첨부된 파일(최대 10MB), 파일명, 크기, MIME 타입 |
| 활동 로그 | 서비스 내 주요 액션 이력(태스크 생성, 상태 변경, 연결 등) |
| 알림 데이터 | 수신한 알림 내용, 읽음 여부 |
1.4 외부 서비스 연동
| 항목 | 목적 / 설명 |
|---|---|
| Slack 연동 | Slack 워크스페이스 ID, 채널 정보, 사용자 매핑 데이터, 이벤트 알림 수신을 위한 웹훅 토큰 |
| Google Calendar 연동 | Google OAuth 액세스 토큰 및 리프레시 토큰, 캘린더 이벤트 데이터(읽기/쓰기) |
외부 서비스 연동은 이용자가 명시적으로 승인한 경우에만 수집되며, 연동 해제 시 즉시 삭제됩니다.
1.5 자동 수집 정보
| 항목 | 목적 / 설명 |
|---|---|
| IP 주소 | 보안 목적, 악용 방지 |
| 접속 로그 | API 요청 로그 (서버 보안 및 장애 대응) |
| 쿠키 및 세션 | 인증 유지 (JWT 기반, 아래 쿠키 정책 참고) |
개인정보의 이용 목적
- 회원 가입, 본인 확인, 로그인 및 계정 관리
- 서비스 제공: 태스크 관리, 팀 협업, 실(Thread) 위임 및 알림
- 외부 서비스 연동 기능 제공 (Slack, Google Calendar)
- 서비스 개선 및 신규 기능 개발을 위한 이용 통계 분석
- 서비스 공지, 업데이트 알림, 고객 지원 응대
- 법적 의무 이행 및 분쟁 해결
- 보안 사고 탐지 및 시스템 보호
개인정보의 제3자 제공
회사는 원칙적으로 이용자의 개인정보를 제3자에게 제공하지 않습니다. 다만, 아래 경우는 예외로 합니다.
- 이용자가 사전에 동의한 경우
- 법령에 의거하거나 수사 기관의 적법한 요청이 있는 경우
- 서비스 제공을 위해 필요한 범위 내에서 수탁 업체에 위탁하는 경우 (아래 위탁 현황 참고)
수탁 업체 현황
| 수탁 업체 | 위탁 목적 | 보관 및 이용 기간 |
|---|---|---|
| Amazon Web Services (AWS) | 서버 인프라 및 파일 저장 | 서비스 이용 기간 |
| Resend | 이메일 발송 (초대 등) | 발송 후 즉시 파기 |
| Vercel | 프론트엔드 정적 배포 및 CDN | 서비스 이용 기간 |
개인정보의 보관 기간 및 파기
회사는 수집 목적이 달성된 개인정보를 지체 없이 파기합니다. 단, 관련 법령에 따라 일정 기간 보관이 필요한 경우 해당 기간 동안 별도 저장 후 파기합니다.
| 보관 항목 | 보관 기간 | 근거 |
|---|---|---|
| 회원 계정 및 서비스 데이터 | 회원 탈퇴 시까지 | 서비스 제공 계약 |
| 전자상거래 관련 기록 | 5년 | 전자상거래법 제6조 |
| 소비자 불만 및 분쟁 기록 | 3년 | 전자상거래법 제6조 |
| 접속 로그 (IP, 접속 시간) | 3개월 | 통신비밀보호법 제15조의2 |
| 구글·슬랙 OAuth 토큰 | 연동 해제 또는 탈퇴 즉시 | 최소 수집 원칙 |
전자적 파일의 경우 복구 불가능한 방법으로 영구 삭제하며, 출력물 등 비전자적 기록은 분쇄 또는 소각합니다.
이용자의 권리
이용자는 언제든지 아래 권리를 행사할 수 있습니다.
- 열람권본인의 개인정보 처리 현황 및 항목을 확인할 수 있습니다.
- 정정·삭제권부정확하거나 불필요한 개인정보의 정정 또는 삭제를 요청할 수 있습니다.
- 처리 정지권개인정보 처리의 일시적 정지를 요청할 수 있습니다. 단, 법령상 의무 이행 등 정당한 사유가 있을 경우 거절될 수 있습니다.
- 이의 제기권개인정보 처리에 대해 이의를 제기하거나 개인정보 보호 감독 기관에 민원을 제기할 수 있습니다.
- 동의 철회권동의를 기반으로 처리되는 개인정보에 대해 언제든지 동의를 철회할 수 있습니다.
권리 행사는 서면, 이메일 또는 서비스 내 설정 페이지를 통해 요청하실 수 있으며, 회사는 요청 접수 후 10영업일 이내에 처리합니다. 미성년자의 경우 법정대리인이 권리를 행사할 수 있습니다.
쿠키(Cookie) 및 로컬 스토리지 정책
서비스는 인증 유지 및 사용자 경험 개선을 위해 아래 기술을 사용합니다.
| 종류 | 목적 | 보관 기간 |
|---|---|---|
| JWT 액세스 토큰 (메모리) | 인증 상태 유지 (15분 유효) | 브라우저 세션 동안 |
| JWT 리프레시 토큰 (로컬 스토리지) | 자동 토큰 갱신 (7일 유효) | 7일 또는 로그아웃 시 |
| 세션 관련 쿠키 | OAuth 콜백 처리 | 인증 완료 즉시 삭제 |
브라우저 설정을 통해 쿠키를 거부하거나 삭제할 수 있으나, 이 경우 로그인 유지 등 일부 기능이 제한될 수 있습니다. 서비스는 광고 목적의 쿠키 또는 제3자 추적 쿠키를 사용하지 않습니다.
개인정보의 보안 조치
회사는 개인정보의 안전성 확보를 위해 아래와 같은 기술적·관리적 조치를 시행합니다.
전송 암호화
HTTPS/TLS 1.2 이상으로 모든 데이터 전송을 암호화합니다.
비밀번호 해시
bcrypt 알고리즘으로 비밀번호를 단방향 해시 처리하여 원문을 저장하지 않습니다.
JWT 단기 유효
액세스 토큰 유효시간을 15분으로 제한하고, Refresh Token Rotation을 적용합니다.
접근 통제
데이터베이스 및 서버에 대한 접근 권한을 최소화하고 정기적으로 검토합니다.
파일 검증
업로드 파일의 MIME 타입 및 크기(10MB 제한)를 서버에서 검증합니다.
보안 모니터링
API 요청 로그를 보관하여 이상 접근을 탐지하고 대응합니다.
단, 인터넷 환경의 특성상 완전한 보안을 보장하기는 어렵습니다. 이용자는 계정 정보를 안전하게 관리할 책임이 있으며, 비밀번호 유출이 의심되는 경우 즉시 변경하고 회사에 알려주시기 바랍니다.
개인정보 보호책임자 및 문의처
이용자는 서비스 이용 중 개인정보와 관련된 민원, 열람·정정·삭제 요청 등을 아래 창구로 문의하실 수 있습니다. 회사는 신속하고 성실하게 답변드리겠습니다.
개인정보 침해 신고·상담은 개인정보보호위원회(privacy.go.kr, 182) 또는 한국인터넷진흥원 개인정보침해신고센터(privacy.kisa.or.kr, 118)를 이용하실 수 있습니다.
방침 변경 고지
본 개인정보처리방침은 법령, 정부 지침 또는 서비스 정책 변경에 따라 수정될 수 있습니다. 변경 사항은 시행일 7일 전 서비스 내 공지사항 또는 이메일을 통해 사전 고지하며, 중요한 변경의 경우 30일 전 고지합니다. 변경된 방침의 시행일 이후 서비스를 계속 이용하면 변경 내용에 동의한 것으로 간주합니다.