개인정보처리방침

총칙 개요

피싱스테이(이하 "회사")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 본 처리방침을 수립·공개합니다. 회사는 본 처리방침을 회사 홈페이지(https://fishingstay.kr) 하단을 통해 항시 공개하며, 변경 시 변경사항을 사전 고지합니다.

회사가 처리하는 모든 개인정보는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「위치정보의 보호 및 이용 등에 관한 법률」, 「전자상거래 등에서의 소비자보호에 관한 법률」, 「전자금융거래법」, 「통신비밀보호법」 등 관련 법령에 근거하여 처리됩니다.

01 수집하는 개인정보 항목 및 수집 방법

가. 회원가입·로그인

• 필수: 이름, 로그인 아이디, 비밀번호(bcrypt 단방향 암호화), 휴대폰번호
• 본인확인: SMS 인증코드 (5분 메모리 보관 후 자동 폐기)
• 소셜로그인(카카오): 카카오 식별자(kakao_id), 이름, 이메일, 휴대폰번호
• 소셜로그인(네이버): 네이버 식별자(naver_id), 이름, 이메일, 휴대폰번호
• 동의 이력: 약관·개인정보처리방침·마케팅 수신 동의 시각, 동의 항목, 약관 버전, IP 주소 (입증책임 이행)

나. 예약·결제

• 예약자 정보: 이름, 연락처(회원의 경우 회원정보 자동 사용)
• 예약 내역: 낚시터·방가로, 입·퇴실 일시, 동반 인원, 적용 요금, 사용/적립 포인트
• 입금 및 환불 정보: 결제수단(계좌이체·현장 카드결제), 입금자명, 결제대기·입금확인·현장결제대기 상태, 환불 식별자(provider_ref)
• 제3자 제공 동의: 예약 시 동의 시각·IP·약관 버전

다. 대기 명단 신청 (비회원 포함)

• 필수: 예약자명, 연락처, 희망일자, 개인정보 수집·이용 동의 여부(privacy_agreed)

라. 파트너(낚시터 사장님) 입점

• 필수: 낚시터명, 로그인 아이디, 비밀번호(해시), 대표자 성명, 대표자 연락처, 영업 위치(좌표 포함), 카테고리, 지역
• 정산용: 은행명, 계좌번호, 예금주명
• 증빙자료: 사업자등록증 사본 (입점 심사 후 90일 이내 파기)
• 구독 결제 식별자: PortOne customer_uid·billing_key·billing_customer_key·provider_ref
• 운영 데이터: 좌대 정보, 공지/규칙, 결제정책, 정산 이력, 추천인 로그인 ID

마. 콘텐츠 게시

• 조황 사진(이미지 파일, 캡션, 어종 분류, 게시 시각)
• 낚시터 대표 이미지·좌대 이미지(이미지 파일, 게시 시각)
• 업로드 시 파일은 서버에서 WebP로 재인코딩되며, 실행 가능한 파일은 차단됩니다.

바. 웹 푸시 구독

• 푸시 endpoint, p256dh 키, auth 키, User-Agent
• 사장님 푸시: 로그인 세션과 연결
• 게스트 푸시: 연락처 기반으로 묶임

사. 자동 수집되는 정보

• 접속 IP 주소, User-Agent(기기·브라우저), 접속 일시, 요청 경로, 응답 상태, 요청 처리 시간(duration_ms)
• 보안 이벤트(로그인 실패, 권한 위반, 이상 거래 시도 등)
• 세션 쿠키(fishingstay_session), CSRF 쿠키(csrf_token), OAuth state 쿠키
• 브라우저 저장소: 로그인 후 리다이렉트 경로, 저장된 이메일, PWA 설치 안내 닫기 상태, 슈퍼관리자 step-up 만료 시각
• 지도 검색 시: 사용자가 직접 허용한 GPS 좌표(서버 저장 안 함)
• 결제 로그: reservation_id, amount, method, status, detail(merchant_uid·imp_uid·paymentId·환불사유 포함 가능)

아. 수집 방법

회원가입·예약·문의 폼 직접 입력, 소셜로그인 OAuth 콜백, SMS 인증, 구독 결제 콜백, 서비스 이용 중 자동 생성되는 로그.

02 개인정보의 처리 목적

회사는 수집한 개인정보를 다음 목적 외의 용도로 이용하지 않으며, 이용 목적이 변경되는 경우 별도의 동의를 받습니다.

1. 서비스 제공: 낚시터·방가로 검색·예약 중개, 결제·정산, 환불 처리, 예약 확정·변경·취소 안내
2. 회원 관리: 본인확인, 부정이용 방지, 만 14세 미만 가입 차단, 분쟁 조정을 위한 기록 보존, 동의 이력 관리
3. 파트너 운영: 사업자 자격 검증, 정산금 송금, 입점 정책 위반 조치, 구독 정기결제 관리
4. 고객 응대: 문의·민원 응대, 분쟁·환불 중재, A/S 안내
5. 마케팅·광고 활용 (별도 동의 시에만): 신규 낚시터·이벤트·프로모션·쿠폰 안내, 맞춤형 추천
6. 서비스 개선: 비식별 통계 분석, 낚시터 추천 알고리즘 운용, UI/UX 개선
7. 안전 운영: 보안 감사 로그 기록, 이상 거래·DoS·로그인 공격 탐지·차단
8. 법적 의무 이행: 전자상거래법·전자금융거래법·세법 등 관련 법령에 따른 거래 기록 보존

03 개인정보 처리의 법적 근거

회사는 「개인정보 보호법」 제15조·제17조·제18조 및 관련 법령에 따라 다음 근거에 의거하여 개인정보를 처리합니다.

04 개인정보의 보유 및 이용 기간

회사는 회원 탈퇴 또는 수집 목적 달성 시 지체 없이 개인정보를 파기합니다. 단, 다음의 경우 명시된 기간 동안 보관합니다.

05 장기 미접속 계정의 개인정보 처리

1. 회사는 장기 미접속 계정의 부정 이용 방지와 개인정보 최소화를 위해 계정 이용 현황을 정기적으로 점검할 수 있습니다.
2. 장기 미접속 계정에 대해 보관 방식 변경, 이용 제한 또는 삭제가 필요한 경우 이메일·SMS·앱 푸시 등을 통해 사전에 안내하며, 안내 사항은 다음을 포함합니다.
   • 적용 예정일
   • 대상 개인정보 항목
   • 원하지 않는 경우의 조치 방법(접속, 탈퇴 또는 고객지원 요청)
3. 회원은 언제든지 마이페이지에서 직접 탈퇴하거나 고객지원([email protected])을 통해 개인정보 처리 정지·삭제를 요청할 수 있습니다.
4. 예약·결제·분쟁 처리 등 법정 보관 의무가 있는 정보는 본 방침의 보유기간에 따라 별도로 보관될 수 있습니다.

06 개인정보의 제3자 제공

회사는 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우 외에는 개인정보를 제3자에게 제공하지 않습니다.

07 개인정보 처리업무의 위탁

회사는 원활한 서비스 제공을 위하여 다음과 같이 개인정보 처리업무를 외부에 위탁하고 있으며, 위탁계약 시 「개인정보 보호법」 제26조에 따라 개인정보 보호 관련 의무를 명확히 규정하고 관리·감독하고 있습니다.

08 국외 처리 및 외부 SDK·CDN

회사의 회원·예약·결제 데이터베이스는 국내 리전을 우선 사용합니다. 다만 서비스 화면을 구성하는 과정에서 Google Fonts, cdnjs, Tailwind CDN, 네이버 지도, 카카오·네이버 OAuth, PortOne/KCP 등 외부 SDK·CDN을 브라우저가 직접 호출할 수 있으며, 이 과정에서 IP 주소, User-Agent, 요청 URL 등 접속 정보가 각 제공자에게 전송될 수 있습니다.

외부 SDK·CDN 호출은 화면 표시, 지도 로딩, 로그인, 결제 검증 등 서비스 제공에 필요한 범위로 제한하며, 이용자는 브라우저 확장 기능 또는 네트워크 설정으로 일부 외부 리소스를 차단할 수 있습니다. 단, 차단 시 로그인·지도·결제 등 일부 기능이 제한될 수 있습니다.

회사가 서버 DB의 보관 국가를 변경하거나 개인정보를 국외 사업자에게 직접 이전하는 구조로 변경하는 경우 「개인정보 보호법」 제28조의8에 따라 다음 사항을 정보주체에게 알리고 필요한 동의를 받습니다.

• 이전되는 개인정보 항목, 이전되는 국가, 이전 일시 및 방법
• 개인정보를 이전받는 자(법인명, 책임자 연락처)
• 이전받는 자의 이용 목적과 보유·이용 기간
• 국외 이전 거부 절차·방법·효과

09 만 14세 미만 아동의 개인정보

1. 회사는 만 14세 미만 아동의 회원가입을 받지 않습니다. 회원가입 시 만 14세 이상임을 확인합니다.
2. 만 14세 미만 아동의 개인정보가 수집된 사실이 확인되는 경우 즉시 해당 계정을 삭제하고 관련 개인정보를 파기합니다.
3. 만 14세 미만 아동의 법정대리인은 아동의 개인정보 열람·정정·삭제·처리정지를 요구할 수 있으며, 회사는 본인확인 후 지체 없이 조치합니다(요청: [email protected]).

10 쿠키 등 자동수집장치의 운영 및 거부

가. 쿠키의 사용 목적

• 세션 쿠키(fishingstay_session): 로그인 상태 유지, 세션 기반 인증 (보유기간 1일)
• CSRF 쿠키(csrf_token): 위·변조 요청 방어 (세션 종료 시 삭제, SameSite=Strict)
• OAuth state 쿠키: 카카오·네이버 소셜로그인 흐름 보호 (단기, 인증 완료 시 삭제)

나. 브라우저 저장소 (localStorage·sessionStorage)

• fs_post_login_redirect: 로그인 후 이동할 경로
• fs_pending_bonus·fs_pending_bonus_queue: 보류 보너스 큐
• fs_saved_email: 이메일 자동 입력 (사용자 선택 시)
• pwa-dismissed·pwa-guest-dismissed: PWA 설치 안내 닫기 상태
• superAdminStepUpUntil: 슈퍼관리자 단계인증 유효 시각

다. 쿠키 거부 방법

이용자는 브라우저 설정에서 쿠키 저장을 거부할 수 있습니다. 단, 세션 쿠키를 거부하면 로그인 및 예약 기능을 사용할 수 없습니다.

• Chrome: 설정 → 개인정보 보호 및 보안 → 쿠키 및 기타 사이트 데이터
• Safari: 환경설정 → 개인 정보 보호 → 쿠키 및 웹사이트 데이터
• Edge: 설정 → 쿠키 및 사이트 권한
• Firefox: 설정 → 개인 정보 및 보안 → 쿠키와 사이트 데이터

라. 행태정보(타게팅 광고)

회사는 현재 광고 식별자(IDFA·ADID), Meta Pixel, Google Ads, Naver Premium Log 등 행태정보 기반 맞춤형 광고 도구를 운영하지 않습니다. 향후 도입 시 본 방침을 사전 개정하고 별도 동의를 받습니다.

11 위치정보의 처리

1. 회사는 「위치정보의 보호 및 이용 등에 관한 법률」을 준수하며, 위치정보의 처리에 관한 상세한 사항은 별도의 「위치기반서비스 이용약관」에 따릅니다.
2. 회사가 처리하는 위치정보는 다음과 같습니다.
   • 이용자: 메인 검색 시 사용자가 직접 허용한 GPS 좌표(브라우저 Geolocation API) — 검색 응답에만 사용되며 서버에 저장되지 않음
   • 파트너: 낚시터 위치(주소·위도·경도) — 파트너가 직접 입력, 검색·지도 표시 목적으로 저장
3. 이용자는 브라우저 설정에서 위치 권한을 거부할 수 있으며, 거부 시 "현재 위치 검색"은 이용할 수 없으나 다른 서비스 이용에는 제한이 없습니다.
4. 위치정보를 이용한 서비스가 추가되는 경우, 회사는 사전에 별도 동의를 받습니다.

12 마케팅 정보 수신 동의

1. 회사는 「정보통신망법」 제50조에 따라 마케팅·광고성 정보 발송 전 이용자의 사전 동의를 별도로 받습니다.
2. 마케팅 정보의 종류: 신규 낚시터 입점 알림, 시즌별 추천, 할인·이벤트·쿠폰·포인트 적립 안내, 서비스 신기능 소식
3. 발송 채널: 이메일, SMS, 카카오 알림톡, 앱 푸시
4. 야간 시간대(21:00~익일 08:00) 광고성 정보 발송은 별도 동의를 받아 진행합니다.
5. 이용자는 언제든지 다음 방법으로 수신 동의를 철회할 수 있습니다.
   • 마이페이지 → 알림 설정에서 직접 변경
   • 수신한 메시지 하단의 "수신 거부" 링크 클릭
   • 고객지원([email protected])으로 요청
6. 예약 확정·결제·환불·기상특보 등 서비스 이용에 필수적인 거래 안내는 마케팅 동의 여부와 관계없이 발송됩니다.
7. 회사는 마케팅 동의 이력(동의 시각, IP, 수신 채널, 동의·철회 내역)을 「정보통신망법」 시행령 제62조의3에 따라 보관·관리합니다.

13 자동화된 의사결정·추천 알고리즘

1. 회사는 위치·인기도·계절성 등을 기반으로 한 낚시터 추천 알고리즘을 운영합니다. 이 추천은 회원의 권리·의무에 중대한 영향을 미치는 자동화 결정에 해당하지 않으며(「개인정보 보호법」 §37의2 적용 제외), 검색 결과 순서에만 활용됩니다.
2. 추천 알고리즘이 사용하는 정보: 낚시터 메타데이터(위치·카테고리·계절성), 사용자가 직접 허용한 위치 좌표, 비식별 인기도 통계
3. 회사는 이상 거래 탐지(다중 계정·매크로·DoS 시도 등)에 자동화 룰을 사용할 수 있으며, 결과 조치(계정 잠금 등)에 대해서는 정보주체가 사람의 검토(보호책임자에게 이의 제기)를 요구할 수 있습니다.
4. 추천 결과 또는 자동화 조치에 대한 거부·설명·이의 제기는 아래 보호책임자 연락처로 가능합니다.

14 개인정보의 안전성 확보 조치

회사는 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)에 따라 다음과 같은 조치를 취하고 있습니다.

• 관리적 조치: 개인정보 보호책임자 지정, 내부관리계획 수립·시행, 정기 직원 교육, 접근 권한 최소화, 슈퍼관리자 별도 계정 분리, 단계인증(step-up) 적용
• 기술적 조치: bcrypt 단방향 비밀번호 암호화, HTTPS/TLS 전송 구간 암호화, 세션 회전 미들웨어, 로그인 실패 시 계정 잠금(5회/15분), 슈퍼어드민 비밀번호 20자 이상 강제, CSRF 토큰 검증, SQL 인젝션 방지(파라미터 쿼리)
• 물리적 조치: 국내 데이터센터(서울 리전)에 서버 배치, Cloudflare WAF 및 DDoS 보호 적용
• 업로드 파일: 이미지 검증 및 WebP 재인코딩 후 저장, 실행 가능한 파일 업로드 차단, 파일명 무작위화
• 접근기록 보관: 보안 감사 로그(logs/security-audit.log.jsonl)에 접속 IP, 행위자, 경로, 결과를 기록 — 최소 1년 이상 보관(개인정보처리시스템에 한함, 통신비밀보호법 적용 일반 접속 로그는 3개월)
• 침해 사고 대응: 보호책임자 주관 침해사고 대응 매뉴얼 비치, 정기 모의 훈련

15 개인정보 유출 사고 시 통지·신고 절차

1. 회사는 개인정보 유출 사고를 인지한 경우 「개인정보 보호법」 제34조에 따라 다음 절차를 따릅니다.
   • 72시간 이내 정보주체 통지: 유출 항목·시점·경위·피해 최소화 방법·회사 대응 조치·신고 접수 부서를 이메일·SMS·홈페이지 게시 등으로 개별 통지
   • 관계기관 신고: 1천 명 이상 유출 또는 민감정보·고유식별정보 유출 시 한국인터넷진흥원(KISA) 또는 개인정보보호위원회에 72시간 이내 신고
   • 피해 구제 지원: 정보주체의 피해 최소화를 위한 콜센터 운영, 비밀번호 재설정 안내 등
2. 유출 사고 신고 접수: [email protected]

16 정보주체의 권리·의무 및 행사 방법

회원은 언제든지 다음 권리를 행사할 수 있습니다(「개인정보 보호법」 제35조~제37조의2).

1. 개인정보 열람 요구
2. 오류 등이 있을 경우 정정·삭제 요구
3. 개인정보 처리 정지 요구
4. 개인정보 처리 동의 철회 (회원 탈퇴 포함)
5. 개인정보 전송 요구 (본인 정보의 사본 다운로드, 표준 형식 제공)
6. 자동화된 결정에 대한 거부·설명 요구

권리 행사는 다음과 같이 처리됩니다.

• 마이페이지에서 직접 처리: 정보 수정, 마케팅 수신 동의 변경, 회원 탈퇴, 본인 정보 사본 다운로드
• 서면·이메일·전화로 요청: 보호책임자에게 신청, 10일 이내 조치 또는 처리 일정 안내
• 대리인 신청 가능: 위임장(본인 신분증 사본 첨부) 제출 시 가능

만 14세 미만 아동의 법정대리인은 아동의 개인정보 열람·정정·삭제·처리정지를 요구할 수 있습니다. 회사는 권리 행사 거절 시 사유를 안내하고 이의 제기 절차를 알려드립니다.

17 개인정보의 파기 절차 및 방법

• 파기 절차: 보유기간 경과 또는 처리 목적 달성 시, 보호책임자의 승인을 받아 즉시 파기합니다. 법령에 따른 보존 의무가 있는 정보는 별도 DB로 분리하여 보관 후 파기합니다.
• 파기 방법:
  • 전자적 파일: 복구 불가능한 방법(완전삭제 또는 7회 이상 덮어쓰기)으로 영구 삭제
  • 업로드 이미지: 원본 및 WebP 변환본을 모두 파일 시스템에서 삭제
  • 종이 문서: 분쇄기로 파쇄하거나 소각
• 파기 주기: 보유기간이 경과한 개인정보는 종료일로부터 5일 이내, 처리 목적 달성·서비스 폐지 등 그 개인정보가 불필요하게 되었을 때에는 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 지체 없이(통상 5일 이내) 파기합니다.

18 개인정보 보호책임자 및 담당부서

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제를 위해 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

정보주체는 회사의 서비스를 이용하면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 보호책임자에게 문의할 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.

19 권익침해 구제방법

정보주체는 개인정보 침해로 인한 피해 구제, 상담 등을 위해 아래 기관에 문의할 수 있습니다.

• 개인정보 분쟁조정위원회: (국번없이) 1833-6972 / www.kopico.go.kr
• 개인정보 침해신고센터(KISA): (국번없이) 118 / privacy.kisa.or.kr
• 대검찰청 사이버수사과: (국번없이) 1301 / www.spo.go.kr
• 경찰청 사이버수사국: (국번없이) 182 / ecrm.police.go.kr
• 한국소비자원: 1372 / www.kca.go.kr

회사의 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다(중앙행정심판위원회 110, www.simpan.go.kr).

20 처리방침의 변경

본 처리방침은 법령·정책 또는 보안 기술의 변경에 따라 내용의 추가·삭제 및 수정이 있을 수 있으며, 변경 시 시행 7일 전(중요한 변경의 경우 30일 전)에 홈페이지 공지사항 및 등록된 이메일·SMS를 통해 사전 공지합니다.

본 처리방침의 개정 이력은 법적 문서 개정 이력에서 열람할 수 있습니다.