개인정보 처리방침

주식회사 크리밋(Cremit Inc., 이하 "회사")은 이용자의 개인정보를 중요하게 여깁니다. 본 개인정보 처리방침은 회사의 웹사이트, 마케팅 활동, Non-Human Identity 보안 플랫폼(이하 "서비스") 이용 과정에서 회사가 개인정보를 어떻게 수집·이용· 제공하며 보호하는지 안내합니다.

본 방침은 회사가 개인정보처리자(controller)로서 처리하는 정보(예: 웹사이트 방문자, 잠재 고객, 계정 관리자 정보)에 적용됩니다. 회사가 서비스 내 고객 데이터(고객이 서비스에 제출한 데이터)에 포함된 개인정보를 처리하는 경우 회사는 고객을 대신한 수탁처리자(processor)로서 역할하며, 해당 처리는 고객사의 개인정보 처리방침 및 회사와 체결한 개인정보 처리 부속서(DPA)가 규율합니다.

2.1 이용자가 직접 제공하는 정보

• 계정 정보: 이름, 업무용 이메일, 회사명, 직책, 비밀번호(해시 처리).
• 결제 정보: 결제대행사를 통해 처리되며, 회사는 거래 내역·세금계산서를 보관할 뿐 전체 카드번호를 보유하지 아니합니다.
• 문의·커뮤니케이션: 이메일, 고객지원 티켓, 문의 양식, 데모 요청 등을 통해 제출한 메시지.
• 이벤트·웨비나 등록: 등록 시 제출한 정보.

2.2 자동으로 수집되는 정보

• 이용 기록: 방문 페이지, 사용 기능, 유입 URL, 클릭 경로, 세션 시간.
• 기기 및 로그 데이터: IP 주소, 브라우저 종류, 운영체제, 기기 식별자, 타임스탬프.
• 쿠키 및 유사 기술: 쿠키 정책에 상세히 안내합니다.

2.3 제3자로부터 수집하는 정보

회사는 파트너 및 서비스 제공자(B2B 데이터 제공자, 트래픽 분석 플랫폼 등)로부터 기업 관련 보강 정보를 수신할 수 있습니다. 회사는 개인 소비자에 대한 개인정보를 구매하지 않습니다.

회사는 다음 목적으로 개인정보를 이용합니다.

• 서비스 제공·유지·보안 강화·개선;
• 계정 생성·관리 및 문의 응대;
• 서비스 관련 안내(계정·보안·결제) 전송;
• 관련 법령이 허용하는 범위에서의 마케팅 안내(수신 거부 가능);
• 부정행위·남용·약관 위반의 탐지·예방·조사;
• 법령상 의무 이행 및 계약 집행;
• 서비스 이용 현황 분석 및 연구.

해외 법률 적용 시 처리 법적 근거는 계약 이행, 정당한 이익(서비스 보안, 기업 대상 다이렉트 마케팅 등), 동의, 법적 의무 이행입니다.

회사는 개인정보를 판매하지 않으며, 아래의 경우에 한해 제공합니다.

• 서비스 제공자·수탁자: 인프라 호스팅, 결제, 이메일 발송, 분석 등을 수행하는 업체(§5 참조).
• 계열사: 본 방침에 따라 크리밋 그룹 내 계열사.
• 사업 양도: 합병·인수·자산 매각 과정에서 합리적 보호 조치를 전제로.
• 법적 요구·안전: 법령·법적 절차·정부 요청에 응하거나 회사·이용자·타인의 권리·재산·안전을 보호하기 위해.
• 이용자의 요청·동의: 예컨대 제3자 통합 기능의 연동을 요청한 경우.

회사는 업무 수행에 필요한 범위에서 개인정보 처리를 위탁하며, 주요 범주는 다음과 같습니다.

• 클라우드 호스팅·인프라 (예: AWS, Vercel) — 서비스 및 웹사이트 운영.
• 콘텐츠 관리 (예: Sanity) — 블로그·문서·마케팅 콘텐츠.
• 고객관계관리(CRM) (예: Attio) — 영업 문의 및 데모 요청 관리.
• 이메일·고객지원 — 거래·마케팅 이메일 발송, 고객지원 티켓팅.
• 분석 (예: GTM 기반 Google Analytics, Ahrefs Analytics, Apollo.io Website Tracker, Vercel Analytics) — 트래픽 분석 및 콘텐츠 개선.
• 일정 관리 (Calendly) — 데모 및 미팅 예약.
• 서비스 상태 공지 (Instatus) — 서비스 상태 업데이트 공개.

현행 수탁자 목록은 요청 시 제공되며, 각 수탁자는 본 방침 및 해당되는 경우 DPA에 준하는 개인정보 보호 의무를 부담합니다.

회사 본사는 대한민국에 소재하며, 회사와 수탁자는 이용자의 거주국 외 국가(미국, 유럽경제지역 등)에서 개인정보를 처리할 수 있습니다.

유럽경제지역(EEA), 영국, 스위스로부터의 이전에 대해서는 유럽연합 표준 계약 조항(SCC), 영국 국제 데이터 이전 부속서 등 적용 가능한 안전조치를 적용합니다. 대한민국 관련 이전에 대해서는 개인정보 보호법(PIPA)의 국외 이전 요건을 준수합니다.

회사는 본 방침에 명시된 목적 달성을 위해 필요한 기간 동안 개인정보를 보유합니다.

• 계정 정보: 계정 유지 기간 및 해지 후 3년(법령이 더 긴 기간을 요구하는 경우 해당 기간).
• 결제 기록: 거래일로부터 5년(세법·회계법 등이 요구하는 경우 해당 기간).
• 고객지원 티켓·문의: 해결일로부터 3년.
• 웹 분석·쿠키 데이터: 최대 26개월.
• 보안 로그: 최대 1년(사고 조사 필요 시 연장 가능).

목적 달성 후에는 지체 없이 개인정보를 삭제 또는 익명화합니다. 다만, 백업의 기술적 한계와 법적 보존 의무가 있는 경우에는 그 한도 내에서 예외가 적용됩니다.

회사는 개인정보 보호를 위해 관리적·기술적·물리적 보호 조치를 시행합니다(전송 구간 TLS 1.2+ 및 저장 구간 암호화, 역할 기반 접근 제어, 로깅·모니터링, 수탁자 실사, 임직원 보안 교육 등). 절대적으로 안전한 시스템은 존재하지 아니하며, 이용자 개인정보에 영향을 미치는 사고를 인지한 경우 관련 법령에 따라 이용자에게 통지합니다.

이용자는 거주 지역 법령에 따라 다음 권리를 행사할 수 있습니다.

• 보유 개인정보의 열람 요청;
• 부정확·불완전 정보의 정정 요청;
• 개인정보 삭제 요청;
• 특정 처리에 대한 반대·제한 요청;
• 개인정보 이동(포터빌리티) 요청;
• 동의 철회(기존 처리의 적법성에는 영향 없음);
• 감독기관에 대한 불만 제기.

권리 행사를 원하시는 경우 privacy@cremit.io로 연락 주시기 바랍니다. 회사는 관련 법령이 정한 기한 내에 회신합니다. 마케팅 이메일은 메시지 내 "수신 거부" 링크를 통해 언제든지 수신을 중단할 수 있습니다.

10.1 유럽경제지역·영국·스위스

본 방침에 따라 처리되는 개인정보에 대해 회사는 개인정보처리자입니다. GDPR·UK GDPR 하에서 §9에 기재된 권리를 행사할 수 있으며, 해당 국가의 감독기관에 불만을 제기할 수 있습니다.

10.2 대한민국

개인정보 보호법(PIPA)에 따른 개인정보처리자는 주식회사 크리밋입니다. 이용자는 §9에 기재된 열람·정정·삭제·처리정지 요청 권리를 보유합니다. 관련 문의·이의·피해구제 요청은 §13에 기재된 개인정보 보호책임자를 통해 제출할 수 있습니다.

10.3 캘리포니아(미국)

캘리포니아 주민은 CCPA/CPRA에 따라 §9의 권리를 행사할 수 있습니다. 회사는 개인정보를 판매하지 않으며, CPRA가 정의하는 교차 맥락 행동 광고(cross-context behavioral advertising) 목적의 "공유"를 의도적으로 수행하지 아니합니다.

본 서비스는 각 국가에서 성년 연령에 도달한 비즈니스 이용자를 대상으로 합니다. 회사는 만 16세 미만 아동의 개인정보를 고의로 수집하지 않습니다. 아동이 개인정보를 제공한 것으로 의심되는 경우 privacy@cremit.io로 연락 주시면 삭제 조치를 취하겠습니다.

회사는 본 방침을 수시로 변경할 수 있습니다. 중대한 변경 사항은 효력 발생 전 이메일 또는 제품 내 공지를 통해 사전 안내합니다. 페이지 상단의 "최종 검토일"은 항상 최신 버전의 일자를 반영합니다.

본 방침 또는 개인정보 처리에 관한 문의·요청은 아래로 연락 주시기 바랍니다.