개인정보 처리방침

1. 개인정보처리자

Kyntra 서비스에 대한 개인정보처리자는 Flowlabs입니다.

• 운영자: Flowlabs
• 사업자등록번호: 331-78-00505
• 대표자: Koo Yoobhin
• 주소: 경기도 하남시 덕풍공원로 50, 우편번호 12973
• 개인정보 보호 문의: contact@kyntra.ai.kr

2. 수집 항목

2.1 계정 정보

• 이메일 주소
• 표시 이름(선택)
• 국가 코드(가입 시 IP로부터 추출)
• Paddle 고객 ID(결제 처리자가 부여)
• 인증 시각 기록

2.2 결제 정보

결제 정보(신용카드 번호, 청구 주소, 해당 시 VAT ID)는 Merchant of Record인 Paddle이 직접 수집·처리합니다. 당사는 전체 카드번호를 수집·저장하거나 접근하지 않습니다. 당사는 Paddle이 부여한 구독 ID, 거래 상태, 구독 관리에 필요한 상위 메타데이터만 수신합니다.

2.3 거버넌스 이벤트 데이터

Kyntra 클라이언트 SDK 이용 시 각 AI 도구 호출 이벤트가 당사 /governance/check 엔드포인트에 전송되며, 다음 정보를 포함할 수 있습니다:

• 이벤트 유형(pre_tool_use, post_tool_use, stop 등)
• 도구 이름(Bash, Edit, Write, Read 등)
• 도구 호출에 연결된 명령 문자열, 파일 경로 또는 diff
• 결정론적 캐싱에 사용되는 콘텐츠 해시
• 위반 감지 시 매칭된 원칙 ID
• 클라이언트 SDK 버전 및 운영체제 식별자

이 데이터는 allow / block / warn 판정 반환에 필수입니다. 당사는 전체 소스 코드 저장소를 요구하거나 저장하지 않습니다. 어댑터는 거버넌스 판정에 필요한 최소 메타데이터만 전송합니다.

2.4 이용 로그 및 카운터

Fair-Use 집행, 디버깅, 요금 산정, 제품 개선을 위해 호출별 메타데이터(이용자 ID, API 키 ID, 판정 결과, 처리 레이어, 입출력 토큰 수, 지연 시간)를 기록합니다.

2.5 웹 분석

마케팅 사이트(kyntra.ai.kr)는 개인을 추적하지 않는 프라이버시 친화적 분석 도구(예: Cloudflare Web Analytics)를 사용할 수 있으며, 서드파티 쿠키나 광고 트래커는 사용하지 않습니다. Google Analytics나 광고 트래커는 도입하지 않습니다.

3. 절대 하지 않는 일

• 귀하의 원칙, 거버넌스 이벤트, 코드 스니펫을 포함한 모든 제출 콘텐츠로 머신러닝 모델을 학습시키지 않습니다.
• 어떠한 경우에도 개인정보를 제3자에게 판매하거나 대여하지 않습니다.
• 광고주 또는 광고 네트워크에 데이터를 공유하지 않습니다.
• 클라이언트 SDK를 통해 명시적으로 전송되는 메타데이터 외 귀하의 소스 코드에 접근하지 않습니다.
• 전체 카드번호를 저장하지 않습니다. 모든 카드 정보는 Paddle이 처리합니다.

4. 처리 근거 및 목적

개인정보는 다음 목적과 법적 근거로 처리합니다:

• 서비스 제공(계약 이행) — 계정 관리, 거버넌스 판정, 원칙 동기화.
• 결제 및 부정 방지(계약 이행 + 정당한 이익) — 구독 관리, Fair-Use 집행, 남용 탐지.
• 보안(정당한 이익) — 침해 탐지 로깅, 요율 제한.
• 법적 의무 이행(법적 의무) — 세무 기록, 법령에 따른 요청 대응.
• 제품 개선(정당한 이익) — 집계·비식별화된 지표만 사용. 개별 수준의 프로파일링은 없음.

5. 수탁자(Sub-processor)

서비스 제공을 위해 다음 수탁자를 이용합니다. 각 수탁자는 보안·규정 준수 수준을 고려하여 선정되었습니다:

• Cloudflare, Inc.(미국) — 호스팅, CDN, D1 데이터베이스, KV 저장소, Workers 연산. Cloudflare 글로벌 엣지 네트워크에서 서비스됩니다.
• Paddle.com Market Ltd.(영국) — Merchant of Record, 결제 처리, 세금 규정 준수, 구독 청구.
• Anthropic PBC(미국) — Layer 2(Haiku) 및 Layer 3(Sonnet) 거버넌스 분석을 위한 AI 모델 추론. 거버넌스 이벤트 메타데이터는 Anthropic API의 API 고객 대상 무보존(zero-retention) 데이터 정책 하에 전송됩니다.

그 외 제3자 수탁자는 이용하지 않습니다. 새로운 수탁자가 추가되면 본 조항을 업데이트합니다.

6. 보유 기간

• 계정 정보: 계정이 활성 상태인 동안 보유하며, 탈퇴 후 결제 정합성 확인을 위해 최대 30일까지 보관합니다.
• 결제 기록: 대한민국 세법상 최소 5년 보관합니다.
• 거버넌스 이벤트 메타데이터: 디버깅 및 Fair-Use 집행 목적으로 최대 90일 보유 후 삭제 또는 완전 익명화합니다.
• 이용 카운터: 정산 정확성 및 추세 분석을 위해 최대 13개월 보유합니다.
• Webhook 이벤트(Paddle): 멱등성 및 감사 목적으로 12개월 보유합니다.

7. 국외 이전

수탁자가 미국 및 영국에 소재하므로 귀하의 데이터가 대한민국 외부로 이전될 수 있습니다. 당사는 표준 계약 조항과 각 수탁자의 적정성 평가(Cloudflare, Paddle, Anthropic 모두 GDPR 및 국외 이전 안전장치 유지)에 근거하여 이를 수행합니다.

8. 정보주체의 권리

관련 법령에 따라 귀하는 다음 권리를 가집니다:

• 당사가 보유한 개인정보에 대한 열람;
• 부정확하거나 불완전한 정보의 정정;
• 관련 법령이 허용하는 경우 삭제(잊힐 권리);
• 특정 처리의 제한 또는 반대;
• 구조화·기계 판독 가능 형식으로 데이터를 받을 수 있는 이동권;
• 동의가 처리 근거인 경우 언제든 동의 철회;
• 개인정보보호위원회(PIPC) 또는 관할 개인정보 보호 기관에 민원 제기.

위 권리의 행사는 contact@kyntra.ai.kr로 문의해 주십시오. 30일 이내에 회신드립니다.

9. 보안 조치

당사는 다음 기술적·관리적 보호 조치를 시행합니다:

• 모든 전송 구간은 TLS 1.3으로 암호화됩니다.
• API 키는 저장 전 SHA-256으로 해시 처리되며, 원문 키는 저장하지 않습니다.
• 운영 시스템에 대한 접근은 Flowlabs 인원으로 한정되며 다중 인증으로 보호됩니다.
• 인프라는 ISO 27001 및 SOC 2 Type II 인증을 유지하는 Cloudflare에서 운영됩니다.
• 거버넌스 이벤트 메타데이터는 결정론적 해싱으로 처리·캐시되며, 평문 소스 코드는 저장하지 않습니다.

완벽하게 안전한 시스템은 존재하지 않습니다. 귀하의 개인정보에 영향을 미치는 유출이 확인되면 관련 법령에 따라 귀하와 관계 당국에 통지합니다.

10. 아동의 개인정보

Kyntra는 만 14세 미만 아동을 대상으로 하지 않습니다. 당사는 아동의 개인정보를 의도적으로 수집하지 않습니다. 아동이 개인정보를 제공했다고 판단될 경우 즉시 당사에 연락해 주시면 삭제하겠습니다.

11. 방침의 변경

본 처리방침은 수시로 개정될 수 있습니다. 중대한 변경은 시행 최소 14일 전에 가입 이용자에게 이메일 또는 제품 내 공지로 통지합니다. 시행일 이후 Kyntra의 계속 사용은 개정 방침에 대한 동의로 간주됩니다.

12. 문의

개인정보 관련 문의는 contact@kyntra.ai.kr 또는 상기 주소로 연락해 주십시오.