초안 공개 중본 문서는 현재 변호사 검토 중입니다. 검토 완료 및 시행일 확정 전까지는 법적 효력이 발생하지 않습니다. 문의: contact@papurion.com

법적 고지 — 개인정보 처리위탁계약 (DPA)

Papurion 개인정보 처리위탁계약

최종 업데이트: 2026년 5월 (초안)

개인정보 처리위탁 계약서 (Data Processing Agreement, DPA)

본 개인정보 처리위탁 계약서(이하 "본 계약")는 다음 양 당사자 간에 체결됩니다.

구분회사명주소대표자
위탁자(갑)[고객 회사명][주소][대표자명]
수탁자(을)Pie Nest Inc.[회사 주소]이동현

체결일: 20[ ]년 [ ]월 [ ]일

제1조 (목적)

본 계약은 「개인정보 보호법」 제26조에 따라 갑이 을에게 개인정보의 처리를 위탁함에 있어 그 처리에 관한 사항을 정함을 목적으로 합니다.

제2조 (용어의 정의)

본 계약에서 사용하는 용어의 정의는 다음과 같습니다.

  1. "개인정보": 「개인정보 보호법」 제2조에서 정의하는 개인정보를 의미합니다.
  2. "본 서비스": 을이 제공하는 Papurion 보안 취약점 점검 서비스를 의미합니다.
  3. "위탁 업무": 갑이 을에게 위탁하는 본 서비스 수행 업무를 의미합니다.
  4. "점검 대상": 갑이 본 서비스를 통해 점검을 의뢰한 소프트웨어 소스코드, 의존성, 인프라 코드 등 일체를 의미합니다.

제3조 (위탁 업무의 내용)

  1. 갑은 을에게 다음 업무를 위탁합니다.

    • 가. 점검 대상에 대한 AI 기반 보안 취약점 분석
    • 나. 발견된 취약점의 분류·우선순위 산정 (Triage)
    • 다. Executive 보고서 및 Technical 보고서 생성
    • 라. 점검 결과의 보관 및 갑에 대한 제공
    • 마. 점검 진행 상황 알림 및 갑의 보안 사고 발생 시 통보

  2. 위탁 업무는 본 계약과 별도로 체결한 점검 수행 동의서(RoE)에서 정한 범위 내에서만 수행됩니다.

제4조 (위탁 개인정보의 항목)

  1. 본 위탁에서 처리되는 개인정보의 항목은 다음과 같습니다.

    갑의 임직원 정보 (계약 관리 목적)

    • 가. 갑의 담당자 이름, 이메일, 전화번호, 직책

    점검 대상 내 포함된 개인정보

    • 가. 점검 대상 코드 내에 포함된 모든 형태의 개인정보 (개발 중 우연히 포함될 수 있는 데이터)
    • 중요: 갑은 점검 대상 코드에 가능한 한 개인정보가 포함되지 않도록 사전 정리 노력을 기울이며, 을은 발견된 모든 개인정보를 즉시 마스킹 처리합니다.

제5조 (위탁 업무의 수행)

  1. 데이터 격리

    • 가. 을은 갑의 점검 대상 데이터를 다른 고객사의 데이터와 물리적·논리적으로 분리하여 처리합니다.
    • 나. 갑 전용 격리된 환경(고객별 Supabase 프로젝트 분리)에서 처리합니다.
    • 다. AI 처리 시에도 갑 전용 API 키를 사용하여 다른 고객사와 격리됩니다.

  2. 마스킹(Redaction) 처리

    • 가. 을은 점검 대상 데이터를 AI 처리자(Anthropic, PBC)에 전송하기 전 반드시 마스킹 처리합니다.
    • 나. 마스킹 대상: 개인정보(이메일, 전화번호, 주민등록번호 등), 시크릿(API 키, 비밀번호 등), 갑의 내부 식별자
    • 다. 마스킹은 3단계로 수행됩니다.
      • 1단계: 정규식 기반 결정론적 마스킹
      • 2단계: AI 기반 컨텍스트 마스킹 (Claude Haiku 4.5)
      • 3단계: 검증 게이트 (잔존 시크릿 검출 시 처리 중단)

  3. AI 처리자 위탁

    • 가. 을은 본 위탁 업무 수행을 위해 Anthropic, PBC(미국)에 마스킹 처리된 데이터를 재위탁합니다.
    • 나. 재위탁 사실에 대해서는 본 계약 제8조에 따라 갑의 동의를 받습니다.

제6조 (개인정보 보관 및 파기)

  1. 보관 기간

    • 가. 점검 대상 코드(분석용 사본): 점검 완료 후 7일 이내 영구 삭제
    • 나. 점검 결과 보고서: 점검 완료 후 12개월 또는 갑의 삭제 요청 시 즉시 삭제
    • 다. 감사 로그(메타데이터만): 3년 (관계 법령 준수)

  2. 파기 방법

    • 가. 전자적 파일: NIST SP 800-88 표준에 따른 안전한 삭제
    • 나. 백업 시스템에 자동 보관된 데이터는 백업 자동 만료(일반적으로 30일) 후 삭제됨

  3. 갑은 언제든지 자신의 데이터 즉시 삭제를 요청할 수 있으며, 을은 요청 접수 후 7일 이내에 삭제를 완료하고 갑에게 삭제 완료 확인서를 제공합니다.

제7조 (개인정보의 안전성 확보 조치)

을은 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)에 따라 다음과 같은 안전성 확보 조치를 합니다.

1. 관리적 조치

  • 내부관리계획 수립·시행
  • 정기적 자체 점검 및 보안 교육
  • 개인정보 보호책임자 지정

2. 기술적 조치

  • 접근권한 관리 (최소 권한 원칙)
  • 접근통제시스템 운영
  • 비밀번호 일방향 암호화 (bcrypt)
  • 전송 구간 암호화 (TLS 1.3)
  • 저장 데이터 암호화 (Supabase Vault, AES-256)
  • 보안프로그램 설치 및 정기 업데이트

3. 물리적 조치

  • 데이터센터 접근통제 (위탁사 SOC 2 인증 데이터센터 활용)

4. 추가 조치 (보안 점검 서비스 특수성)

  • 점검 환경 컨테이너 격리 (network=none)
  • 작업 완료 후 컨테이너 destroy + 디스크 wipe
  • 자체 도구(Papurion)를 통한 정기 보안 점검
  • 갑의 데이터에 접근하는 직원에 대한 추가 보안 서약

제8조 (재위탁)

  1. 을은 갑의 사전 서면 동의 없이 위탁 업무를 제3자에게 재위탁하지 않습니다.

  2. 단, 갑은 본 계약 체결 시 다음의 재위탁에 대해 일괄 동의한 것으로 간주합니다.

재수탁자재위탁 업무재위탁 데이터국적
Anthropic, PBCAI 기반 취약점 분류·분석마스킹 처리된 점검 데이터미국
Supabase, Inc.데이터베이스 호스팅 (한국 서울 리전)메타데이터, 보고서미국 (데이터는 한국 저장)
Cloudflare, Inc.네트워크 인프라, DDoS 방어통신 로그미국
Resend, Inc.이메일 발송발송용 이메일 주소미국

  1. 위 재수탁자들과의 계약에는 본 계약과 동등한 수준의 개인정보 보호 의무가 포함되어 있습니다.

  2. 갑이 추가 재위탁에 대해 동의하지 않을 경우, 을은 해당 부분에 대해 본 서비스를 제공할 수 없으며, 이로 인한 책임은 갑에게 있습니다.

제9조 (개인정보의 국외 이전)

  1. 갑은 본 계약 제8조에 따른 재위탁이 국외 이전에 해당함을 인지하고, 「개인정보 보호법」 제28조의8에 따라 이에 동의합니다.

  2. 국외 이전 상세 내역:

Anthropic, PBC (미국)

항목내용
이전받는 자Anthropic, PBC
이전 항목마스킹 처리된 점검 데이터
이전 일시 및 방법실시간, HTTPS/TLS 1.3 암호화
이전 목적AI 기반 취약점 분석
보유·이용기간30일 (Anthropic 상업 약관)
보호 장치마스킹 처리, 학습 데이터 미사용 보장

Supabase, Inc. (미국 본사, 한국 서울 리전 데이터 저장)

데이터는 대한민국 내(ap-northeast-2 서울 리전)에 저장되지만, Supabase가 미국 법인이므로 형식상 국외 이전 동의가 필요합니다.

제10조 (수탁자의 의무)

을은 본 계약 수행 시 다음 의무를 부담합니다.

  1. 위탁 업무의 목적 외 개인정보 처리 금지
  2. 위탁 업무 수행 외 개인정보의 사용 금지
  3. 본 계약상 안전성 확보 조치 준수
  4. 정기적 자체 점검 결과의 갑에 대한 보고 (연 1회 또는 갑의 요청 시)
  5. 본 계약 위반 시 갑이 입은 손해의 배상
  6. 본 계약 종료 후 보관 중인 개인정보의 즉시 파기 및 파기 결과 확인서 제공

제11조 (위탁자의 권리)

갑은 다음의 권리를 가집니다.

  1. 을의 개인정보 처리 현황 점검·감독권 (사전 통지 후 합리적 시간 내 수행)
  2. 을의 안전성 확보 조치 적정성 확인
  3. 본 계약 위반 사실 발견 시 시정 요구
  4. 본 계약 해지 및 위탁한 개인정보의 즉시 반환·파기 요구

제12조 (사고 발생 시 통보)

  1. 을은 다음 사항을 인지한 경우 24시간 이내에 갑에게 서면(이메일 포함) 통지합니다.

    • 가. 개인정보의 분실, 도난, 유출 (또는 의심 정황)
    • 나. 위탁 데이터에 대한 무단 접근 시도
    • 다. 을의 보안 시스템 침해
    • 라. 본 계약상 의무 위반 사항

  2. 통보 시 다음 사항을 포함합니다.

    • 가. 사고 발생 일시 및 경위
    • 나. 노출된 개인정보의 종류 및 범위
    • 다. 사고 원인 분석
    • 라. 사고에 대한 대응 조치 및 추가 피해 방지 방안
    • 마. 갑이 취해야 할 권장 조치

  3. 을은 「개인정보 보호법」 제34조에 따라 개인정보보호위원회 및 한국인터넷진흥원에 신고할 의무가 발생한 경우, 이를 즉시 갑에게 알리고 협조합니다.

제13조 (책임의 한도)

  1. 본 계약상 을의 손해배상 책임은 갑이 을에게 지급한 직전 12개월간의 본 서비스 이용료를 한도로 합니다.

  2. 단, 다음의 경우에는 본 조 제1항의 한도가 적용되지 않습니다.

    • 가. 을의 고의 또는 중대한 과실
    • 나. 「개인정보 보호법」 제39조 등 관계 법령에 따른 법정 책임

제14조 (계약 기간 및 해지)

  1. 본 계약의 유효기간은 본 서비스 이용계약(이용약관 또는 별도 MSA)의 유효기간과 동일합니다.

  2. 다음 경우 양 당사자는 즉시 본 계약을 해지할 수 있습니다.

    • 가. 상대방이 본 계약의 중요 조항을 위반하고 시정 요구 후 7일 이내에 시정하지 않는 경우
    • 나. 상대방이 파산, 회생절차 개시 신청 등 신용 위험이 발생한 경우
    • 다. 본 서비스 이용계약이 종료된 경우

  3. 본 계약 종료 시 을은 보유 중인 갑의 개인정보를 본 계약 제6조에 따라 즉시 파기하고 갑에게 파기 결과를 확인합니다.

제15조 (분쟁 해결)

  1. 본 계약에 관한 분쟁은 대한민국 법령에 따라 해결합니다.

  2. 양 당사자는 분쟁 발생일로부터 30일간 협의로 해결하도록 노력합니다.

  3. 협의가 이루어지지 않을 경우, 서울중앙지방법원을 1심 관할법원으로 합니다.

제16조 (기타)

  1. 본 계약과 본 서비스 이용약관이 충돌하는 경우, 본 계약이 우선합니다.

  2. 본 계약 변경은 양 당사자의 서면 합의로만 가능합니다.

  3. 본 계약 일부 조항이 무효가 되더라도 나머지 조항의 효력에는 영향을 미치지 않습니다.

본 계약의 체결을 증명하기 위하여 본 계약서 2부를 작성하여 양 당사자가 서명·날인한 후 각각 1부씩 보관합니다.

20[ ]년 [ ]월 [ ]일

위탁자 (갑)

회사명: [고객 회사명] 주소: [주소] 대표자: [대표자명] (인) 개인정보 보호책임자: [성명] / [연락처]

수탁자 (을)

회사명: Pie Nest Inc. 주소: [회사 주소] 대표자: 이동현 (인) 개인정보 보호책임자: 이동현 / privacy@papurion.com

인쇄 또는 PDF 저장: 브라우저 인쇄 기능(Cmd+P / Ctrl+P)을 사용하세요.

법적 고지 전체 목록

이용약관개인정보처리방침비밀유지계약 (NDA)개인정보 처리위탁계약 (DPA)점검 수행 동의서 (RoE)