개인 정보 보호 정책

최종 업데이트 날짜: 2026년 2월 28일

1. 우리는 누구인가

Road to Headliner는 유럽 연합 슬로바키아에 본사를 둔 독립 개발자가 운영하는 온라인 멀티플레이어 밴드 관리 게임입니다. 당사는 규정(EU) 2016/679(일반 데이터 보호 규정, "GDPR")에 따라 이 서비스를 통해 처리되는 개인 데이터의 데이터 관리자입니다. 당사의 게임 서버와 데이터베이스는 독일 팔켄슈타인(EU)에 있는 Hetzner Cloud에서 호스팅됩니다. 모든 개인 정보 보호 관련 문의, 데이터 주체 요청 또는 불만 사항은 [email protected]으로 문의하세요.

2. 당사가 수집하는 데이터

  • 계정 데이터: 이메일 주소, 표시 이름, 해시된 비밀번호
  • 선호 데이터: 언어, 시간대
  • 기술 데이터: IP 주소, 사용자 에이전트(브라우저), 세션 식별자
  • 게임 데이터: 밴드 이름, 게임 활동, 통계, 시즌 점수
  • 커뮤니케이션 데이터: 다이렉트 메시지, 포럼 게시물(사용자 생성 콘텐츠)
  • 보안 데이터: 인증 시도, 다중 계정 감지 신호

3. 당사가 귀하의 데이터를 사용하는 방법

  • 게임서비스 제공 및 운영
  • 보안, 부정행위 방지, 사기 방지
  • PostHog EU 클라우드를 통한 쿠키 없는 제품 분석(메모리 전용, 쿠키 또는 localStorage 없음)
  • 자체 호스팅 메일 서버를 통해 전송된 거래 이메일(인증 코드, 비밀번호 재설정, 보안 경고)입니다.

4. 처리에 대한 법적 근거(GDPR)

  • 계약 이행(제6조 제1항(b)): 계정 관리, 게임 데이터, 통신
  • 정당한 이익(6(1)(f)조): 보안 모니터링, 치트 방지, 분석
  • 동의(6(1)(a)조): 특정 향후 기능에 필요한 경우에만

5. 데이터 보존

당사는 저장 제한 원칙(5(1)(e) GDPR)에 따라 수집 목적에 필요한 기간 동안만 개인 데이터를 보관합니다. 다음 보존 기간은 매일 예약된 정리를 통해 자동으로 적용됩니다.

  • 활성 계정: 귀하의 계정이 존재하고 활성화되어 있는 동안 보관되는 데이터
  • 인증 시도: 90일 후 자동 삭제
  • 세션: 최대 30일, 만료된 세션은 매일 정리됩니다.
  • 요청 및 보안 로그: 90일 후 자동으로 정리됨
  • 관리자 감사 로그: 규정 준수를 위해 1년 동안 보관한 후 삭제됩니다.
  • 알림: 읽은 알림은 90일 후 삭제되고, 180일이 지나면 읽지 않음
  • 보안 경고: 해결된 경고는 180일 후에 삭제되고 공개 경고는 365일 후에 삭제됩니다.
  • 게임 시스템 로그: 30일 후 삭제됩니다. 계산 추적 및 RNG 감사 기록: 90일 후 삭제
  • 다이렉트 메시지: 읽은 메시지는 180일 후 삭제, 읽지 않은 메시지는 365일 후 삭제
  • 플레이어 작업 로그: 30일 후 삭제됨
  • 상태 스냅샷 및 주간 스냅샷: 365일 후 삭제
  • 플레이어 신고: 해결되거나 기각된 신고는 180일 후에 삭제됩니다.
  • 만료되었거나 사용된 인증 및 비밀번호 재설정 토큰: 7일 후 삭제됨
  • 삭제된 계정: 계정 삭제 즉시 개인 데이터가 익명 처리됩니다. 게임 기록(밴드 순위, 차트 기록)은 경쟁의 무결성을 위해 가명 형태로 보존됩니다.
  • 백업: 개인 데이터는 삭제 후 최대 30일 동안 암호화된 백업으로 유지될 수 있습니다. 백업은 저장 시 암호화되고 액세스가 제어되며 보존 기간 내에 자동으로 삭제됩니다. 이는 Recital 65 GDPR에 공개된 허용된 제한 사항입니다.

6. 귀하의 권리

GDPR(15-22조)에 따라 귀하는 귀하의 개인 데이터와 관련하여 다음과 같은 권리를 갖습니다. 이러한 권리를 행사하려면 "데이터 주체 요청"이라는 제목을 사용하여 [email protected]으로 이메일을 보내고 행사하려는 권리를 명시하십시오. 귀하의 요청을 처리하기 전에 귀하의 신원을 확인하겠습니다. 당사는 30일 이내에 응답할 것이며(12(3) GDPR조), 복잡한 요청의 경우 추가로 60일까지 연장할 수 있습니다. 이 경우 최초 30일 이내에 연장 사실을 귀하에게 알려드립니다.

  • 접근 권한(15조): 당사가 귀하에 대해 보유하고 있는 모든 개인 데이터의 사본을 요청하십시오. 또한 설정 > 데이터 내보내기를 통해 언제든지 또는 로그인한 상태에서 /api/v1/auth/data-export에 GET 요청을 보내 기계가 읽을 수 있는 JSON 형식으로 데이터를 다운로드할 수 있습니다. 내보내기에는 계정 데이터, 게임 데이터, 메시지, 포럼 게시물 및 거래 내역이 포함됩니다.
  • 삭제 권리(17조): 귀하의 계정을 영구적으로 삭제하고 모든 개인 데이터의 익명화를 요청하십시오. 설정 > 계정 삭제를 통해 언제든지 직접 이 작업을 수행할 수 있습니다(비밀번호 확인 필요). 귀하의 개인 데이터는 즉시 익명화됩니다. 게임 기록(밴드 순위, 차트 항목)은 경쟁의 무결성을 위해 가명 형태로 보존됩니다. 참고: 익명화된 데이터는 최대 30일 동안 암호화된 백업에 유지될 수 있습니다.
  • 정정 권리(제16조): 부정확한 개인 데이터의 정정을 요청합니다. 계정 설정을 통해 프로필 정보를 업데이트할 수 있습니다. UI를 통해 변경할 수 없는 데이터(예: 이메일 주소)의 경우 [email protected]에 문의하세요.
  • 데이터 이동성에 대한 권리(제20조): 구조화되고 일반적으로 사용되며 기계 판독이 가능한 형식(JSON)으로 개인 데이터를 수신합니다. 위에서 설명한 데이터 내보내기 기능을 사용하거나 이메일을 통해 사본을 요청하세요.
  • 반대할 권리(21조): 치트 방지 프로파일링 및 보안 모니터링을 포함하여 당사의 정당한 이익(6(1)(f)조)에 따른 처리에 반대합니다. 귀하가 반대하는 구체적인 처리 내용을 포함하여 [email protected]으로 이메일을 보내십시오. 귀하의 이익에 우선하는 설득력 있고 합법적인 근거를 입증하지 않는 한 당사는 처리를 중단할 것입니다.
  • 제한에 대한 권리(18조): 당사가 귀하 데이터의 정확성을 확인하고, 귀하의 이의를 평가하거나, 당사의 합법적인 근거가 귀하의 근거보다 우선하는지 여부를 확인하는 동안 일시적인 처리 제한을 요청하십시오. 제한 기간 동안 당사는 관련 데이터를 저장하지만 적극적으로 처리하지는 않습니다. 제한을 요청하려면 [email protected]으로 이메일을 보내세요.
  • 동의 철회 권리(7(3)조): 처리가 귀하의 동의에 기반한 경우 귀하는 언제든지 동의를 철회할 수 있습니다. 철회는 철회 전에 수행된 처리의 합법성에 영향을 미치지 않습니다. 현재 모든 처리는 동의가 아닌 계약 이행 또는 정당한 이익을 기반으로 이루어집니다.
  • 불만을 제기할 권리(제77조): 귀하는 감독 기관에 불만을 제기할 권리가 있습니다. 당사 운영에 대한 관할 기관은 Urad na ochranu osobnych udajov Slovenskej republiky(슬로바키아 개인정보 보호국), Hranicna 12, 820 07 Bratislava, Slovakia(https://dataprotection.gov.sk)입니다. 또한 귀하의 상거소나 직장이 있는 EU 회원국의 감독 기관에 문의할 수도 있습니다.

7. 데이터 공유 및 하위 프로세서

당사는 이 서비스를 운영하기 위해 다음과 같은 하위 프로세서를 사용합니다. 각 하위 처리자는 데이터 처리 계약(28 GDPR조)에 따라 계약을 맺고 해당 목적에 꼭 필요한 데이터만 처리합니다.

  • Hetzner Cloud(Hetzner Online GmbH, 독일): 인프라 호스팅 및 암호화된 백업 스토리지. 데이터 카테고리: 모든 데이터베이스 콘텐츠(계정 데이터, 게임 데이터, 커뮤니케이션). 위치: 독일 Falkenstein 데이터 센터 -- 해외 전송이 불가능합니다. DPA: 제품별 Hetzner 표준 DPA. 28 GDPR(https://docs.hetzner.com/general/general-terms-and-conditions/data-privacy-faq/).
  • Cloudflare(Cloudflare, Inc., EU 에지 노드가 포함된 US): CDN, DDoS 보호 및 웹 애플리케이션 방화벽. 데이터 카테고리: IP 주소, HTTP 요청 헤더, 요청 URL. 전송 메커니즘: EU-US 데이터 개인정보 보호 프레임워크(DPF, 45조 적절성 결정) 및 표준 계약 조항(SCC, 모듈 2: 컨트롤러-프로세서, 46(2)(c)조). DPA: Cloudflare 고객 DPA(https://www.cloudflare.com/cloudflare-customer-dpa/).
  • 거래 이메일 전달: 확인 이메일, 비밀번호 재설정 및 보안 알림은 현재 애플리케이션과 동일한 Hetzner 호스팅 인프라에 있는 자체 호스팅 SMTP/Postfix 서버를 통해 전송됩니다. 이메일 주소와 표시 이름은 메시지 전달용으로만 처리됩니다.
  • PostHog Cloud(EU 지역): 제품 분석 및 공개 사이트 CTA 분석. 데이터 카테고리: 가명 사용자 ID, 밴드 ID, 시즌 ID, 페이지 경로 및 명시적인 이벤트 속성. 클라이언트 저장소가 비활성화되어(`persistence: memory`) 브라우저에서 PostHog에 의해 분석 쿠키 또는 localStorage 식별자가 생성되지 않습니다. DPA: https://posthog.com/dpa.

당사는 마케팅, 광고 또는 프로파일링 목적으로 귀하의 개인 데이터를 제3자에게 판매, 임대, 거래 또는 공유하지 않습니다. 데이터는 설명된 목적으로만 위에 나열된 하위 처리자와만 공유됩니다.

8. 국제 데이터 전송

귀하의 데이터는 주로 독일(Hetzner Cloud, Falkenstein 데이터 센터)에 저장됩니다. Cloudflare는 EU 에지 노드에서 HTTP 요청 데이터를 처리합니다. EU 이외의 처리에 대해 Cloudflare는 EU-US 데이터 개인 정보 보호 프레임워크(DPF, 45조 적절성 결정)에 참여하고 보충 보호 수단으로 표준 계약 조항(SCC, 모듈 2, 46(2)(c)조)을 제공합니다. 제품 분석은 쿠키 없는 메모리 모드에서 PostHog의 EU 클라우드 영역을 통해 처리됩니다. 거래 이메일 전달은 현재 Hetzner 호스팅 인프라에서 자체 호스팅 SMTP/Postfix 서버를 사용하므로 별도의 제3국 이메일 프로세서가 프로덕션에서 활성화되지 않습니다. 전송 중인 모든 데이터는 TLS 1.2+를 통해 암호화됩니다. EU 타당성 결정이나 적절한 보호 조치(GDPR 조항 46) 없이는 개인 데이터가 국가로 전송되지 않습니다.

9. 보안 조치

  • 전송 중 암호화(TLS 1.2+)
  • Argon2id로 해시된 비밀번호(업계 최고의 알고리즘)
  • CSRF 보호 기능을 갖춘 HttpOnly 세션 쿠키
  • 역할 기반 액세스 제어 및 포괄적인 감사 로깅

10. 쿠키 및 로컬 저장소

우리는 ePrivacy 지침(5(3)조, 지침 2002/58/EC)에 정의된 대로 엄격히 필요하고 기능적인 쿠키만 사용합니다. 이러한 쿠키는 귀하가 요청한 서비스를 제공하는 데 필수적이므로 이에 대한 동의가 필요하지 않습니다. 당사는 추적, 광고 또는 제3자 분석 쿠키를 사용하지 않습니다.

  • access_token(httpOnly, Secure, SameSite=Strict, 1시간): 인증 세션 쿠키입니다. 로그인 세션을 유지하는 데 반드시 필요합니다.
  • Refresh_token(httpOnly, Secure, SameSite=Strict, 30일): 세션 새로 고침 쿠키입니다. 원활한 재인증을 위해 반드시 필요합니다.
  • rth-lang(기능적): 언어 기본 설정을 저장합니다. ePrivacy 조항에 따라 기능 쿠키가 면제됩니다. 5(3) 귀하가 선택한 언어로 서비스를 제공하는 데 필요하기 때문입니다.
  • __cf_bm(Cloudflare, 타사, 세션 기간): 봇 관리 쿠키. DDoS 보호 및 보안에 꼭 필요합니다.
  • 분석: 우리는 제품 및 공개 사이트 분석을 위해 메모리 전용 모드에서 PostHog를 사용합니다. PostHog는 이 구성의 브라우저에 분석 쿠키 또는 localStorage 식별자를 설정하지 않습니다.
  • 로컬 저장소: 당사는 비개인적인 UI 기본 설정(쿠키 알림 해제, 튜토리얼 진행, UI 힌트)을 브라우저의 로컬 저장소에 저장합니다. 여기에는 개인 데이터가 포함되어 있지 않습니다.

11. 아동의 개인정보 보호 및 연령 확인

Road to Headliner에서는 GDPR Art에 따라 사용자가 16세 이상이어야 합니다. 8 (정보사회 서비스에 관한 아동의 동의에 적용되는 조건) 등록 시 모든 사용자는 필수 연령 확인 확인란을 선택하여 16세 이상임을 확인해야 합니다. 이 확인은 감사 가능한 증거로 기록됩니다. 당사는 16세 미만 어린이로부터 고의로 개인 데이터를 수집하거나 처리하지 않습니다. 사용자가 16세 미만임을 알게 되면 해당 계정 및 관련된 모든 개인 데이터를 즉시 삭제합니다. 16세 미만의 사람이 계정을 만들었다고 생각되면 [email protected]으로 문의해 주세요.

12. 치트 방지 및 자동 프로파일링

공정한 플레이를 유지하기 위해 자동화된 IP 기반 상관 관계를 사용하여 잠재적인 다중 계정 사용을 감지합니다. 이 시스템은 계정 전체의 IP 주소와 로그인 패턴을 비교합니다. 탐지 경고는 조치를 취하기 전에 관리자가 검토합니다. 자동화된 탐지만으로 계정이 자동으로 금지되거나 불이익을 받는 일은 없습니다. 이러한 처리는 게임 무결성 유지에 대한 당사의 적법한 이익에 근거합니다(6(1)(f) GDPR조). 귀하는 [email protected]에 연락하여 이러한 처리에 반대할 수 있습니다.

13. 데이터 유출 알림

귀하의 권리와 자유에 위험을 초래하는 개인 데이터 침해가 발생한 경우, 당사는 위반 사실을 인지한 후 72시간 이내에 관할 감독 기관에 통보할 것입니다(33조 GDPR). 위반으로 인해 귀하에게 큰 위험이 발생할 가능성이 있는 경우 당사는 이메일이나 게임 내 알림을 통해 지체 없이 귀하에게 알릴 것입니다(GDPR조 34조).

14. 데이터 보호 책임자 및 감독 기관

특정 범주의 데이터에 대한 대규모 처리 또는 대규모의 체계적인 모니터링을 수행하지 않는 소규모 데이터 컨트롤러로서 당사는 Art. 37(1) GDPR. 모든 개인 정보 보호 관련 문의, 데이터 주체 요청 또는 불만 사항이 있는 경우 [email protected]으로 직접 문의하세요. 이 서비스에 대한 관할 감독 기관은 Urad na ochranu osobnych udajov Slovenskej republiky(슬로바키아 개인 데이터 보호국), Hranicna 12, 820 07 Bratislava, Slovakia, 웹사이트: https://dataprotection.gov.sk.입니다. 귀하는 또한 귀하의 거주지 또는 직장이 있는 EU 회원국의 감독 기관에 불만을 제기할 권리가 있습니다(Art. 77GDPR).

15. 본 정책의 변경

당사는 수시로 본 개인정보 보호정책을 업데이트할 수 있습니다. 중요한 변경 사항은 게임 내 알림이나 이메일을 통해 전달됩니다. 변경 후에도 서비스를 계속 사용하면 업데이트된 정책에 동의하는 것으로 간주됩니다.

16. 연락처

개인 정보 보호 문의, 데이터 주체 액세스 요청(SAR), 데이터 삭제 요청, 정정 요청 또는 불만 사항이 있는 경우 [email protected]으로 문의하세요. 빠른 처리를 위해 제목 줄에 "데이터 주체 요청"을 포함하십시오. 당사는 영업일 기준 5일 이내에 접수를 확인하고 접수 후 30일 이내에 모든 데이터 주체 요청에 실질적으로 응답하는 것을 목표로 합니다(12(3) GDPR조). 요청이 복잡하거나 요청량이 많은 경우, 응답 기간을 최대 60일까지 연장할 수 있으며, 이 경우 초기 30일 이내에 귀하에게 알려드립니다.

← 홈으로 돌아가기