개인정보 처리방침
시행일: 2026년 5월 29일
개인정보 처리자: 캐치랩(Catchy Lab) 〔사업자 등록 정보·주소·개인정보 보호책임자 기입〕
문의: 〔privacy@ 도메인 기입〕
※ 본 문서는 검토용 초안입니다. 개인정보보호법·정보통신망법 등 관련 법령에 맞춘 법무 검토를 권장합니다.
1. 개인정보의 처리 목적
캐치랩(이하 「회사」)은 SAP 개발 파트너 서비스(이하 「서비스」) 제공을 위해 다음 목적에서 개인정보를 처리합니다.
- 회원 가입·본인 확인(이메일·휴대폰), 로그인, 계정·프로필 관리, 탈퇴 및 유예 기간 처리
- 개발 요청·인터뷰·제안서·FS·납품·문의/리뷰·오퍼·매칭 등 서비스 기능 제공
- AI 기능 제공(외부 AI API 연동), AI 크레딧 잔액·충전·사용 내역 관리
- 납품 대금 정산(의뢰자·컨설턴트 간 대금 합의·입금·지급 확인, 플랫폼 결제 연동)
- 업무 알림·마케팅 알림(회원 동의 시), SMS·이메일 발송
- 고객 문의·분쟁·부정 이용 방지(중복 가입·중복 혜택 방지 포함)
- 서비스 개선, 로그·통계, 보안·장애 대응
- 법령상 의무 이행
2. 처리하는 개인정보 항목
필수
- 이메일 주소, 비밀번호(암호화 저장), 이름(실명 또는 표시명)
- 서비스 이용 기록: 개발 요청 ID, 제출 내용·첨부, 인터뷰·제안서·AI 사용 로그, 접속 일시, IP 등
선택
- 회사명, 휴대전화번호(인증 시), 시간대(timezone), 청구·결제 통화 설정
- 컨설턴트: 프로필 첨부 파일, 오퍼·문의·납품 관련 내용
- 알림 수신 동의: 업무 이메일/SMS, 마케팅 이메일/SMS (동의·철회 시각 기록)
- AI 크레딧 충전(계좌이체): 입금자명, 신청 금액·일자, 환불 계좌 등 신청 시 입력 정보
- AI 크레딧 충전(온라인 결제): 결제대행사(PortOne 등)를 통해 처리되는 결제 식별자, 결제 상태·금액·통화(카드·PayPal 등 — 회사는 카드번호 전체를 직접 저장하지 않을 수 있음)
- 납품 대금 정산: 합의 대금, 결제 수단 선택, 입금·지급 확인 시각, 계좌이체 안내에 따른 입금 정보 등
자동 수집
- 쿠키·로컬 저장소: 언어(ko/en), 테마, 일부 UI 설정
- 서버 로그, 기기·브라우저 정보(보안·통계 목적)
비밀번호는 복호화 불가능한 방식으로 저장합니다. 첨부·업로드 파일은 클라우드 스토리지(R2 등)에 저장될 수 있습니다.
3. 개인정보의 처리 및 보유 기간
| 구분 | 보유 기간 |
|---|
| 회원 정보 | 회원 탈퇴 시까지. 탈퇴 후 유예 기간 경과 시 삭제(법령 보존 예외 제외) |
| 개발 요청·첨부·납품 | 서비스 운영·분쟁 대비 기간 또는 회원 삭제 시점까지(정책에 따름) |
| AI 크레딧 충전·결제 기록 | 전자상거래 등 관련 법령에 따른 보존 기간 |
| 납품 대금 정산 기록 | 정산·분쟁·세무 관련 법령에 따른 보존 기간 |
| 접속 로그 | 보안 목적 최대 〔예: 1년〕 |
| 중복 혜택 방지 | 탈퇴·삭제 후에도 이메일·휴대폰의 원문이 아닌 salted 일방향 해시만 〔예: 3년 또는 목적 달성 시까지〕 보관할 수 있음 |
보유 기간 경과 또는 처리 목적 달성 시 지체 없이 파기합니다. 단, 다른 법령에 보관 의무가 있으면 해당 기간 동안 보관합니다.
4. 개인정보의 제3자 제공
회사는 원칙적으로 회원 개인정보를 외부에 판매·제공하지 않습니다. 다만 다음의 경우는 예외입니다.
- 회원이 사전에 동의한 경우
- 법령에 따른 수사·조사 기관의 요청
- 통계·연구 목적의 비식별 정보
컨설턴트·요청 회원 간 문의·납품·정산 관련 정보는 상대방 및 서비스 기능 범위 내에서 전달될 수 있으며, 회사 정책에 따라 발신자 표시가 제한될 수 있습니다.
5. 개인정보 처리 위탁 및 국외 이전
회사는 서비스 운영을 위해 다음과 같이 처리를 위탁하거나 국외에 저장·처리할 수 있습니다. 위탁 시 계약을 통해 안전성 확보 조치를 요구합니다.
- 클라우드 호스팅·DB: 〔예: Railway, PostgreSQL 호스팅 지역 기입〕
- 파일 저장: 〔예: Cloudflare R2 — 리전 기입〕
- AI 처리: Google LLC (Gemini API) — 미국 등 해외 서버
- 결제대행: PortOne(포트원) 등 — 결제 처리·웹훅
- 이메일 발송: 〔SMTP/발송 서비스명 기입〕
- SMS 발송: 〔SMS 게이트웨이명 기입〕
국외 이전 시 이전 받는 자, 이전 국가, 이전 항목·목적·보유 기간을 본 방침에 명시합니다. 이용자는 동의 거부 시 AI·결제·알림 일부 기능 이용이 제한될 수 있습니다.
6. 정보주체의 권리
회원은 다음 권리를 행사할 수 있습니다.
- 개인정보 열람·정정·삭제·처리 정지 요청
- 동의 철회(마케팅 수신 등)
- 계정 탈퇴(서비스 내 메뉴 또는 문의)
권리 행사는 〔문의 이메일〕로 요청할 수 있으며, 본인 확인 후 처리합니다. 법령상 보관이 필요한 정보는 삭제가 제한될 수 있습니다.
7. 개인정보의 파기 절차
전자적 파일은 복구 불가능한 방법으로 삭제하고, 출력물은 분쇄·소각합니다. 탈퇴 유예 기간 중에는 «탈퇴 예정» 상태로 접근을 제한할 수 있습니다.
8. 개인정보의 안전성 확보 조치
- 접근 권한 최소화, 관리자 계정 분리
- 전송 구간 TLS, 비밀번호 해시
- 정기적 접근·로그 점검
- 개인정보 취급자 교육 및 내부 관리 계획 〔내부 문서화〕
9. 쿠키 등
서비스는 언어·테마 등 이용 편의를 위해 브라우저 localStorage·쿠키를 사용할 수 있습니다. 브라우저 설정으로 거부할 수 있으나 일부 기능이 제한될 수 있습니다.
10. 아동의 개인정보
서비스는 원칙적으로 만 14세 미만(또는 관련 법령상 아동 연령)을 대상으로 하지 않으며, 해당 연령 정보를 인지한 경우 계정을 삭제할 수 있습니다.
11. 개인정보 보호책임자
- 성명/직책: 〔기입〕
- 연락처: 〔이메일, 전화〕
개인정보 침해 신고: privacy@〔도메인〕 / 개인정보보호위원회(www.privacy.go.kr) 등
12. 방침의 변경
법령·서비스 변경 시 본 방침을 개정하며, 시행 7일 전(회원에게 불리한 경우 30일 전) 서비스 공지 또는 이메일로 안내합니다.
부칙
본 방침은 시행일부터 적용됩니다.
Privacy Policy
Effective date: May 29, 2026
Controller: Catchy Lab 〔Insert legal entity, address, DPO contact〕
Inquiries: 〔Insert privacy email〕
※ Draft for review. Align with applicable law (e.g. Korean PIPA) before publication.
1. Purpose of processing
Catchy Lab (“Company”) processes personal data to provide the SAP Development Partner service (“Service”), including:
- Registration, email/mobile verification, login, profile, account deletion (including grace period)
- New ABAP Development, Analyze & Improvement, and SAP-Connected Development requests; interviews, proposals, FS, delivery, inquiries/reviews, offers and matching
- AI features (external AI APIs), AI credit balance, top-up and usage records
- Project settlement (fee agreement, funding, payout confirmation, payment gateway where used)
- Operational and marketing notifications (with consent), email and SMS
- Support, disputes, and abuse prevention (including duplicate sign-up prevention)
- Improvement, logs, statistics, security and incident response
- Legal compliance
2. Categories of personal data
Required
- Email, password (stored hashed), name/display name
- Usage data: request IDs, submitted content and attachments, interview/proposal/AI logs, access time, IP, etc.
Optional
- Company name, mobile number (when verified), timezone, billing currency preferences
- Consultants: profile attachment, offer, inquiry and delivery-related content
- Notification consent: operational/marketing email and SMS (with timestamps)
- AI credit top-up (bank transfer): depositor name, amount, date, refund account details as entered
- AI credit top-up (online payment): payment identifiers and status via PortOne or similar (the Company may not store full card numbers)
- Project settlement: agreed amounts, payment method, funding/payout timestamps, bank transfer details as applicable
Automatic
- Cookies/local storage: language, theme, UI preferences
- Server logs and device/browser data for security and analytics
Passwords are stored in non-reversible form. Uploads may be stored on cloud object storage (e.g. R2).
3. Retention periods
| Category | Period |
|---|
| Member account | Until deletion; after grace period, deleted unless law requires retention |
| Requests, attachments, deliverables | Per operational/dispute policy or upon member deletion |
| AI credit and payment records | As required by e-commerce and tax law |
| Project settlement records | As required for settlement, disputes, and tax |
| Access logs | Up to 〔e.g. 1 year〕 for security |
| Anti-abuse hashes | After deletion, hashed email/phone identifiers (not plaintext) for 〔e.g. 3 years or until purpose achieved〕 |
Data is destroyed when no longer needed, except where law mandates retention.
4. Provision to third parties
We do not sell personal data. We may disclose data when you consent, law requires, or as non-identified statistics.
Inquiry, delivery and settlement information may be visible to the other party (requester/consultant) within the Service; sender display may be masked per policy.
5. Processors and international transfers
We may use processors or store/process data abroad, with contractual safeguards:
- Hosting/DB: 〔e.g. Railway, region〕
- Files: 〔e.g. Cloudflare R2, region〕
- AI: Google LLC (Gemini API) — may process in the US or other countries
- Payments: PortOne or similar — payment processing and webhooks
- Email: 〔provider〕
- SMS: 〔provider〕
Refusal may limit AI, payment, or notification features.
6. Your rights
You may request access, correction, deletion, restriction, and withdrawal of consent (e.g. marketing). You may delete your account in the Service or by contacting us. We may retain data where required by law.
Contact: 〔privacy email〕
7. Destruction
Electronic records are deleted irreversibly; paper records are shredded or incinerated. During deletion grace period, access may be blocked.
8. Security measures
Least-privilege access, separated admin accounts, TLS in transit, password hashing, log review, and internal policies.
9. Cookies and similar technologies
We use localStorage/cookies for language, theme and convenience. Blocking may limit some features.
10. Children
The Service is not directed at children under 14 (or applicable age). We may delete accounts if we learn such data was collected.
11. Privacy officer
- Name/role: 〔Insert〕
- Contact: 〔email, phone〕
Complaints: privacy@〔domain〕 / your local supervisory authority.
12. Changes
We may update this policy and will notify you before the effective date (e.g. 7 days; 30 days for material adverse changes).
Supplementary provisions
This policy applies from the effective date.