Skip to Content
정책데이터 처리 계약 (DPA)

데이터 처리 계약 (Data Processing Agreement)

최종 수정일: 2026년 4월 24일

개요

본 데이터 처리 계약(Data Processing Agreement, 이하 “DPA”)은 Safient(이하 “처리자” 또는 “회사”)와 고객(이하 “관리자”)간의 개인정보 처리에 관한 계약입니다.

본 DPA는 유럽연합 일반 데이터 보호 규정(GDPR), 한국 개인정보 보호법, 캘리포니아 소비자 개인정보 보호법(CCPA) 및 기타 해당 데이터 보호 법률을 준수하기 위해 체결됩니다.

본 DPA는 Safient 이용약관의 일부를 구성하며, 서비스 이용 시 자동으로 적용됩니다.

1. 정의

본 DPA에서 사용되는 용어의 정의는 다음과 같습니다:

“개인정보(Personal Data)”

  • 식별되거나 식별 가능한 자연인에 관한 모든 정보

“처리(Processing)”

  • 개인정보에 대한 수집, 기록, 구성, 저장, 수정, 조회, 사용, 전송, 배포, 삭제 등 모든 작업

“관리자(Controller)”

  • 개인정보 처리의 목적과 수단을 결정하는 자 (고객)

“처리자(Processor)”

  • 관리자를 대신하여 개인정보를 처리하는 자 (Safient)

“하위 처리자(Sub-processor)”

  • 처리자가 위임한 개인정보 처리를 수행하는 제3자

“데이터 주체(Data Subject)”

  • 개인정보의 주체가 되는 자연인

“데이터 보호법(Data Protection Laws)”

  • GDPR, 개인정보 보호법, CCPA 등 적용 가능한 모든 데이터 보호 관련 법령

“EU 표준 계약 조항(SCCs)”

  • 유럽위원회가 승인한 표준 데이터 보호 조항

2. 처리의 범위 및 목적

2.1 처리의 주제

처리자는 관리자가 제공하는 서비스 이용을 위해 개인정보를 처리합니다:

  • Safient 계정 및 서비스 관리
  • biqapp.com 게임 서버 호스팅
  • biq.kr 게임 서버 호스팅
  • biqapp.net 클라우드 인프라 서비스

2.2 처리의 기간

  • 서비스 계약 기간 동안
  • 계약 종료 후: 관리자의 지시에 따라 삭제 또는 반환

2.3 처리의 성격

  • 호스팅 및 저장
  • 백업 및 복원
  • 기술 지원
  • 서비스 제공 및 유지보수

2.4 처리의 목적

  • 관리자에게 호스팅 서비스 제공
  • 서비스 운영 및 지원
  • 보안 및 무결성 유지
  • 법적 의무 준수

2.5 개인정보의 유형

처리되는 개인정보는 다음을 포함할 수 있습니다:

  • 신원 정보: 이름, 이메일, 전화번호
  • 계정 정보: 사용자명, 비밀번호
  • 결제 정보: 청구 주소, 결제 방법
  • 기술 정보: IP 주소, 로그 데이터
  • 사용 정보: 서비스 이용 내역
  • 관리자가 업로드한 모든 콘텐츠

2.6 데이터 주체의 범주

  • 관리자의 고객
  • 관리자의 직원
  • 관리자의 서비스 이용자
  • 관리자가 지정한 기타 개인

3. 관리자 및 처리자의 의무

3.1 관리자의 의무

관리자는 다음을 보장합니다:

법적 근거:

  • 개인정보 처리에 대한 적법한 근거 보유
  • 데이터 주체로부터 필요한 동의 획득
  • 데이터 주체에게 적절한 정보 제공

정확성:

  • 처리자에게 제공하는 개인정보의 정확성
  • 부정확한 정보의 즉시 정정 또는 삭제

지시:

  • 처리자에게 명확하고 합법적인 처리 지시 제공
  • 문서화된 지시

권한:

  • 처리자와 DPA를 체결할 권한 보유

3.2 처리자의 의무

처리자는 다음을 보장합니다:

지시 준수:

  • 관리자의 문서화된 지시에 따라서만 개인정보 처리
  • 법적 요구사항이 있는 경우를 제외하고는 관리자의 사전 승인 없이 처리하지 않음

기밀성:

  • 개인정보 처리 권한이 있는 직원만 접근
  • 모든 직원에 대한 기밀 유지 의무 부과
  • 정기적인 보안 교육 실시

보안:

  • 적절한 기술적·관리적 보안 조치 구현
  • 정기적인 보안 평가 및 업데이트

하위 처리자:

  • 하위 처리자 사용 전 관리자 승인 획득
  • 하위 처리자와 동등한 수준의 계약 체결

지원:

  • 데이터 주체 권리 행사 지원
  • 데이터 보호 영향 평가 지원
  • 감사 및 검사 협조

통지:

  • 데이터 유출 시 지체 없이 관리자에게 통지
  • 법적 요구사항 수령 시 관리자에게 통지 (법적으로 금지되지 않는 한)

4. 보안 조치

4.1 기술적 조치

처리자는 다음의 기술적 보안 조치를 구현합니다:

암호화:

  • 전송 중 암호화: TLS 1.2 이상
  • 저장 시 암호화: AES-256
  • 데이터베이스 암호화
  • 백업 암호화

접근 제어:

  • 역할 기반 접근 제어 (RBAC)
  • 다중 인증 (MFA)
  • 최소 권한 원칙
  • 정기적인 접근 권한 검토

네트워크 보안:

  • 방화벽
  • 침입 탐지/방지 시스템 (IDS/IPS)
  • DDoS 보호
  • VPN 및 네트워크 격리

모니터링:

  • 24/7 보안 모니터링
  • 로깅 및 감사 추적
  • 이상 탐지 시스템
  • SIEM (Security Information and Event Management)

4.2 관리적 조치

정책 및 절차:

  • 정보보안 정책
  • 사고 대응 계획
  • 재해 복구 계획
  • 변경 관리 절차

인력 보안:

  • 신원 확인 및 배경 조사
  • 보안 교육 (연 2회 이상)
  • 비밀 유지 계약
  • 퇴사자 접근 권한 즉시 제거

물리적 보안:

  • Tier 3/4 데이터센터
  • 생체 인증 출입 통제
  • CCTV 감시
  • 환경 제어

벤더 관리:

  • 하위 처리자 보안 평가
  • 계약상 보안 의무
  • 정기 검토

4.3 인증 및 규정 준수

처리자는 다음 인증을 보유하거나 준비 중입니다:

  • ISO/IEC 27001 (정보보안 관리)
  • SOC 2 Type II
  • PCI DSS (결제 정보 보안)
  • ISO/IEC 27701 (개인정보 관리)

5. 하위 처리자

5.1 하위 처리자 사용 승인

관리자는 처리자가 다음 하위 처리자를 사용하는 것을 승인합니다:

하위 처리자서비스위치처리 데이터
[클라우드 제공업체]인프라 호스팅미국, 유럽, 아시아모든 데이터
[결제 게이트웨이]결제 처리미국결제 정보
[이메일 서비스]이메일 전송미국이메일 주소, 통신 내용
[고객 지원]티켓 시스템미국고객 문의 내용
[모니터링 도구]성능 모니터링미국기술 데이터

최신 목록: https://safient.com/subprocessors 

5.2 하위 처리자 변경

사전 통지:

  • 새로운 하위 처리자 추가 또는 교체 시 최소 30일 전 통지
  • 이메일 및 웹사이트를 통한 공지

이의 제기:

  • 관리자는 통지 후 14일 이내에 합리적 사유로 이의 제기 가능
  • 이의 제기 시 처리자는 대안 마련 또는 관리자의 계약 해지 허용

5.3 하위 처리자 계약

처리자는 모든 하위 처리자와 다음을 포함하는 서면 계약을 체결합니다:

  • 본 DPA와 동등한 데이터 보호 의무
  • 보안 조치
  • 기밀성
  • 감사 권한

6. 국제 데이터 이전

6.1 데이터 저장 위치

개인정보는 다음 리전에 저장될 수 있습니다:

  • 유럽 (아일랜드, 독일, 프랑스)
  • 미국 (버지니아, 캘리포니아)
  • 아시아 (싱가포르, 일본, 한국)
  • 기타 관리자가 선택한 리전

6.2 EU/EEA 외부로의 이전

적법화 메커니즘:

EU 적정성 결정:

  • 유럽위원회가 적정한 보호 수준을 인정한 국가로의 이전

표준 계약 조항 (SCCs):

  • 유럽위원회가 승인한 SCC 적용
  • 본 DPA에 SCC 통합
  • 부록 참조

기타 보호 조치:

  • 암호화
  • 가명 처리
  • 접근 제어

6.3 한국법 준수

한국 개인정보 보호법에 따라:

  • 국외 이전 시 고지 및 동의
  • 이전 국가 및 이전 받는 자 정보 제공
  • 연락처 정보 제공

7. 데이터 주체 권리

7.1 권리 지원

처리자는 관리자가 다음 데이터 주체 권리 요청에 응답할 수 있도록 지원합니다:

접근권 (Right of Access):

  • 데이터 주체가 자신의 개인정보 사본 요청
  • 처리 정보 제공

정정권 (Right to Rectification):

  • 부정확한 개인정보 수정

삭제권 (Right to Erasure / Right to be Forgotten):

  • 개인정보 삭제 요청

처리 제한권 (Right to Restriction):

  • 특정 개인정보 처리 제한 요청

데이터 이동권 (Right to Data Portability):

  • 구조화되고 기계 판독 가능한 형식으로 개인정보 수령

반대권 (Right to Object):

  • 특정 처리에 대한 반대

7.2 지원 절차

요청 접수:

  • 데이터 주체가 관리자에게 직접 요청
  • 처리자가 요청 수령 시 지체 없이 관리자에게 전달

응답 지원:

  • 관리자의 요청에 따라 필요한 정보 및 도구 제공
  • 30일 이내 (GDPR 기준) 응답 지원
  • 기술적 지원 제공

수수료:

  • 표준 지원: 무료
  • 과도한 요청: 합리적 비용 청구 가능

8. 데이터 유출 통지

8.1 통지 의무

개인정보 유출 사고 발생 시:

처리자 → 관리자:

  • 인지 후 지체 없이 통지 (72시간 이내 권장)
  • 서면 통지 (이메일)
  • 보안 사고 상세 정보 제공

관리자 → 감독 기관/데이터 주체:

  • GDPR: 72시간 이내 (필요 시)
  • 개인정보 보호법: 24시간 이내 (한국)
  • 관리자의 책임

8.2 통지 내용

포함 정보:

  • 유출 사실 및 발견 일시
  • 유출된 개인정보의 유형 및 수량
  • 영향받은 데이터 주체 수 (추정)
  • 유출 원인 및 경위
  • 잠재적 영향
  • 취해진 또는 취할 조치
  • 연락처 정보

8.3 협력

처리자는 관리자의 유출 대응을 지원합니다:

  • 추가 정보 제공
  • 영향 평가 지원
  • 완화 조치 구현
  • 포렌식 조사 협조

9. 데이터 보호 영향 평가 (DPIA)

관리자가 데이터 보호 영향 평가를 수행해야 하는 경우, 처리자는 다음을 지원합니다:

정보 제공:

  • 처리 작업에 대한 설명
  • 처리 목적
  • 개인정보 범주
  • 보안 조치

협력:

  • DPIA 프로세스 참여
  • 리스크 평가 지원
  • 완화 조치 권고

문서:

  • 관련 문서 및 정책 제공

10. 감사 및 검사

10.1 감사 권한

관리자는 다음 권한을 가집니다:

정보 요청:

  • 처리 활동에 대한 정보
  • 보안 조치 증명
  • 규정 준수 증명

감사 및 검사:

  • 합리적 사전 통지 (최소 30일)
  • 연 1회 (추가 감사는 비용 청구 가능)
  • 영업 시간 내
  • 업무 방해 최소화

10.2 감사 대안

처리자는 다음을 제공하여 감사 의무를 충족할 수 있습니다:

  • ISO 27001 인증서
  • SOC 2 Type II 보고서
  • 독립적인 제3자 감사 보고서
  • 보안 질문지 응답

11. 계약 종료 후 처리

11.1 데이터 반환 또는 삭제

서비스 계약 종료 시:

관리자 선택:

  • 개인정보 반환 요청
  • 개인정보 삭제 요청

반환 방법:

  • 안전한 파일 전송 (암호화)
  • 구조화된 형식 (CSV, JSON 등)
  • 30일 이내 완료

삭제 방법:

  • 안전한 삭제 (DoD 5220.22-M)
  • 백업 포함 모든 사본 삭제
  • 삭제 증명서 발급 (요청 시)

11.2 보존 예외

다음의 경우 삭제가 지연될 수 있습니다:

  • 법적 보존 의무
  • 법적 분쟁
  • 백업 시스템 (정기 삭제 주기까지)

12. 책임 및 보상

12.1 책임 범위

처리자의 책임:

  • 본 DPA 및 데이터 보호법 위반으로 인한 손해
  • 부적절한 보안 조치
  • 무단 또는 불법 처리

책임 제한:

  • 관리자의 지시에 따른 처리: 관리자 책임
  • 불가항력: 면책
  • 제3자 행위 (하위 처리자 제외): 제한적 책임

12.2 보상

상호 보상:

  • 각 당사자는 자신의 데이터 보호법 위반으로 인해 상대방이 입은 손해를 보상

손해 범위:

  • 직접 손해
  • 벌금 및 과태료
  • 합리적인 법률 비용

13. 통지 및 연락처

13.1 일반 통지

처리자 (Safient):

관리자:

  • 계정 등록 시 제공한 이메일 주소
  • 계정 설정에서 업데이트 가능

13.2 긴급 통지

데이터 유출:

13.3 데이터 보호 책임자 (DPO)

Safient DPO:

  • 이메일: dpo@safient.com
  • 역할: 데이터 보호 감독, 규정 준수, 문의 대응

14. DPA 변경

변경 통지:

  • 중요 변경: 60일 전 통지
  • 경미한 변경: 30일 전 통지
  • 법적 요구사항: 즉시 적용 가능

변경 거부:

  • 관리자는 중요 변경에 이의 제기 가능
  • 이의 제기 시 계약 해지 가능 (위약금 면제)

동의:

  • 통지 후 계속 서비스 이용 시 변경 동의로 간주

15. 준거법 및 관할

준거법:

  • 관리자의 소재지 법률
  • 데이터 보호법은 해당 법역 법률 적용

분쟁 해결:

  • 우선 협의
  • 협의 불성립 시 중재 또는 소송
  • 관할 법원: 관리자 소재지 또는 상호 합의

16. 기타 조항

16.1 완전 합의

본 DPA는 당사자 간 개인정보 처리에 관한 완전한 합의를 구성합니다.

16.2 분리 가능성

본 DPA의 일부 조항이 무효로 판단되더라도 나머지 조항은 유효합니다.

16.3 권리 포기 금지

어느 당사자도 본 DPA의 권리를 포기한 것으로 간주되지 않습니다.

16.4 양도

처리자의 사전 서면 동의 없이 관리자는 본 DPA를 양도할 수 없습니다.

16.5 존속 조항

다음 조항은 계약 종료 후에도 유효합니다:

  • 기밀성
  • 책임 및 보상
  • 데이터 반환/삭제

부록 A: 처리 세부사항

A.1 처리 주체

상기 제2조 참조

A.2 처리 기간

서비스 계약 기간

A.3 처리 성격 및 목적

상기 제2조 참조

A.4 개인정보 유형

상기 제2.5조 참조

A.5 데이터 주체 범주

상기 제2.6조 참조

부록 B: 보안 조치

상기 제4조의 상세한 보안 조치 목록 참조

부록 C: 하위 처리자 목록

상기 제5.1조 및 https://safient.com/subprocessors  참조

부록 D: EU 표준 계약 조항 (SCCs)

유럽위원회 결정 2021/914에 따른 표준 계약 조항이 본 DPA에 통합됩니다.

모듈:

  • Module 2: Controller to Processor (관리자 → 처리자)

조항:

  • Clause 1-18 적용
  • 선택적 조항: [구체적 선택사항 명시]

우선순위:

  • SCC와 본 DPA가 충돌하는 경우, SCC 우선

전문: https://safient.com/legal/sccs 

발효일: 2026년 4월 24일

버전: 1.0

DPA 동의: 본 서비스를 이용함으로써 관리자는 본 DPA에 동의하는 것으로 간주됩니다.

관련 문서:

문의:

다운로드:

쿠키 정책서비스 수준 계약 (SLA)