개인정보 처리방침 , Didit Protocol 법률 약관

본 개인정보 처리방침은 Didit 웹사이트 방문, 문의, 제품 및 서비스 이용, Didit 기반의 신원 또는 사기 인증 절차 완료 시 Didit이 개인 데이터를 처리하는 방법을 설명합니다.

은행, 핀테크, 암호화폐 플랫폼, 마켓플레이스, 고용주 또는 Didit을 사용하는 다른 기관을 위해 신원을 인증하는 경우, 해당 기관이 인증이 필요한 이유를 결정하는 주체입니다. 이러한 경우 해당 기관은 컨트롤러 또는 사업자이며, Didit은 해당 기관의 처리자 또는 서비스 제공자 역할을 합니다. 인증 관련 처리, 생체 데이터 및 화이트 라벨 흐름에 대해서는 인증 개인정보 처리방침 및 신원 인증 최종 사용자 약관을 참조하십시오.

1. 당사는 누구인가요?

서비스 및 지역에 따라 귀하의 데이터는 다음 Didit 법인 중 하나 또는 둘 다에 의해 처리될 수 있습니다.

Didit Identity Spain, S.L., CIF B22929327, Calle Nápoles 227, P. 1, 08013 Barcelona, Spain. 유럽 연합, 영국, 유럽 경제 지역, 스위스 및 라틴 아메리카 고객을 위한 계약 법인이며 유럽 데이터 플레인을 운영하는 사업장입니다.
Didit Identity, Inc., EIN 39-2860573, 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States. 미국, 캐나다, 아시아 태평양, 중동 및 글로벌 고객을 위한 계약 법인입니다.

"Didit", "당사", "저희" 또는 "우리의"라고 할 때, 이는 해당 서비스를 제공하는 Didit 법인 또는 법인들을 의미합니다.

개인정보 담당자: privacy@didit.me
데이터 보호 책임자: dpo@didit.me
보안 담당자: security@didit.me
일반 문의: hello@didit.me

2. 범위 및 당사의 역할

본 개인정보 처리방침은 다음 경우에 적용됩니다.

`didit.me` 또는 Didit이 운영하는 웹사이트를 방문할 때;
정보, 데모 또는 지원을 요청할 때;
Didit 비즈니스 관계, 계정 또는 통합을 생성하거나 관리할 때;
Didit에 채용 지원을 할 때; 또는
Didit이 운영하거나 Didit을 통해 운영되는 인증, 사기 방지, 인증 또는 규정 준수 흐름을 사용할 때.

당사의 역할은 상황에 따라 달라집니다.

상황	Didit의 역할	의미
웹사이트 방문자, 마케팅, 채용, 영업, 지원 및 직접적인 비즈니스 관계	컨트롤러	Didit은 이러한 직접적인 상호작용을 위해 데이터를 처리하는 이유와 방법을 결정합니다.
Didit 고객이 요청한 인증 흐름	처리자 / 서비스 제공자	고객이 인증이 발생하는 이유와 어떤 검사가 활성화되는지를 결정합니다. Didit은 고객을 대신하여 데이터를 처리합니다.
보안, 남용 방지, 서비스 무결성, 감사 로깅, 법률 준수, 익명화 또는 가명화된 데이터에 대한 사기 모델 훈련 및 검증, 법적 청구	해당 특정 목적을 위한 독립적인 컨트롤러	Didit은 플랫폼 보안, 사기 탐지 및 인증 모델 훈련 및 개선, 법률 준수, 법적 청구의 설정, 행사 또는 방어를 위해 제한된 데이터를 처리할 수 있습니다.

화이트 라벨 인증 흐름 또는 맞춤형 도메인에 있는 경우, 맞춤형 브랜딩이 반드시 브랜드 회사가 귀하의 데이터만 처리한다는 의미는 아닙니다. Didit은 여전히 기본 인증 기술 및 관련 처리를 제공할 수 있습니다.

3. 당사가 처리하는 개인 데이터의 범주

당사가 처리하는 데이터의 범주는 서비스, 워크플로우 구성 및 Didit과의 관계에 따라 달라집니다. 다음을 포함할 수 있습니다.

식별자 및 연락처 데이터, 이름, 이메일 주소, 전화번호, 우편 주소, 생년월일 및 유사한 식별 정보.
비즈니스 및 계정 데이터, 회사 이름, 청구 정보, 계정 자격 증명, API 사용 세부 정보 및 Didit과의 관계 기록.
인증 데이터, 신분증 이미지, 추출된 문서 데이터, 주소 증명 파일, 설문지 답변, 제재 또는 감시 목록 심사 입력 및 인증 결과.
생체 및 생체 활성 데이터 (워크플로우에 얼굴 인증 또는 유사한 검사가 포함된 경우), 셀카, 얼굴 이미지, 비디오, 생체 활성 캡처, 스푸핑 방지 신호 및 얼굴 기하학 스캔에서 파생된 데이터.
장치, 네트워크 및 기술 데이터, IP 주소, 브라우저 유형, 운영 체제, 언어, 장치 식별자, 타임스탬프, 네트워크 데이터에서 추론된 지리적 위치 및 기타 보안 또는 사기 방지 원격 측정 데이터.
통신 및 지원 데이터, 메시지, 지원 티켓, 통화 기록, 이메일 교환 및 운영 로그.
제3자 및 공개 출처 데이터, 고객, 신원 또는 사기 방지 파트너, 공공 기관, 통신 제공업체 및 법률이 허용하는 공개 출처에서 제공된 정보.
채용 데이터, 이력서, 고용 이력 및 채용 과정에서 제출된 기타 자료.

당사는 모든 상호작용에 대해 위에 나열된 모든 범주가 필요한 것은 아닙니다. 사용되는 정확한 데이터는 요청된 서비스 및 관련 고객이 선택한 구성에 따라 달라집니다.

4. 개인 데이터 사용 방법

당사는 다음 목적으로 개인 데이터를 사용할 수 있습니다.

웹사이트 및 서비스 운영, 계정 액세스, 제품 제공, 고객 지원, 청구 및 통신.
신원 및 사기 인프라 서비스 제공, 사용자 인증(Know Your Customer / KYC), 비즈니스 인증(Know Your Business / KYB), 거래 모니터링, 지갑 심사(Know Your Transaction / KYT) 및 기타 구성된 검사.
플랫폼 보안, 남용 방지, 스푸핑 탐지, 사기 방지, 의심스러운 활동 모니터링 및 서비스 무결성 유지.
익명화 또는 가명화된 인증 활동에서 파생된 데이터를 사용하여 사기 탐지 및 인증 모델을 훈련, 평가 및 개선 (법률이 허용하는 경우). 옵트아웃은 섹션 11을 참조하십시오.
요청에 응답, 데모 요청, 지원 질문, 실사 요청 및 비즈니스 통신.
채용 및 고용 관리, 지원서 검토 및 후보자와의 통신.
법적 및 규제 의무 준수, 기록 유지, 법적 요청에 응답, 계약 이행 및 내부 또는 외부 감사 수행.
법적 청구의 설정, 행사 또는 방어 및 Didit, 고객 및 관련 개인의 권리, 안전 및 보안 보호.

5. 처리의 법적 근거

일반 데이터 보호 규정(GDPR), 영국 GDPR, 스위스 데이터 보호법 또는 유사한 법률이 적용되는 경우, Didit은 다음 법적 근거 중 하나 이상에 의존합니다.

계약 이행 또는 계약 체결 전 귀하의 요청에 따라 취해진 조치.
정당한 이익, 플랫폼 보안, 고객 지원, 사기 방지, 기록 유지, 익명화 또는 가명화된 데이터에 대한 사기 탐지 및 인증 모델 훈련 및 개선, 비즈니스 연락처와의 통신 (귀하의 권리가 이러한 이익보다 우선하지 않는 경우).
동의, 마케팅 통신, 특정 쿠키 또는 특정 관할권 또는 워크플로우에서 생체 처리(biometric processing)에 동의가 필요한 경우를 포함합니다.
법적 의무, 해당 법률, 규정, 법원 명령 또는 당국의 법적 요청을 준수하기 위해 처리가 필요한 경우.
법적 청구의 설정, 행사 또는 방어.

귀하를 고유하게 식별하는 데 사용되는 생체 데이터를 포함하여 특수 범주 또는 민감한 데이터가 처리되는 경우, Didit은 해당 법률이 허용하는 경우에만 해당 데이터를 처리합니다. 인증 흐름에서 관련 고객은 명시적 동의가 필요한지 여부를 포함하여 인증 자체의 주요 법적 근거를 결정하고 문서화할 책임이 있습니다.

6. 개인 데이터 공개 방법

당사는 다음에게 개인 데이터를 공개할 수 있습니다.

인증을 요청한 고객, 고객이 온보딩, 사기 검토, 규정 준수 검사 또는 관련 비즈니스 프로세스를 완료할 수 있도록 합니다.
Didit 그룹 법인, 관련 서비스를 운영, 지원, 보안 또는 제공하는 데 필요한 경우.
서비스 제공업체 및 하위 처리자, 클라우드 호스팅, 스토리지, 인프라, 통신, 지원, 분석, 사기 방지, 문서 처리, 보안, 감사 및 전문 서비스 제공업체. 현재 하위 처리자 목록은 security@didit.me로 요청 시 서명된 비공개 계약(NDA)에 따라 고객 및 잠재 고객에게 제공됩니다.
전문 고문, 변호사, 감사인, 보험사 및 컨설턴트 (정당한 비즈니스, 규정 준수 또는 법적 목적에 필요한 경우).
공공 기관, 규제 기관, 법원, 법 집행 기관 또는 기타 제3자, 법률, 법적 절차 또는 집행 가능한 정부 요청에 따라 요구되는 경우.
승계인 및 거래 상대방, Didit이 합병, 인수, 자금 조달, 파산 절차 또는 자산 매각에 관여하는 경우 (기밀 유지 및 법적 보호 조치에 따름).

Didit은 생체 식별자 또는 생체 정보를 판매, 임대, 거래하거나 기타 방식으로 이익을 얻지 않습니다.

7. 국제 전송

Didit은 여러 국가에서 데이터를 처리할 수 있습니다. 개인 데이터가 유럽 경제 지역, 영국, 스위스 또는 기타 전송 제한이 있는 관할권 외부로 전송되는 경우, Didit은 필요한 경우 다음을 포함한 적절한 보호 조치를 사용합니다.

적정성 결정;
유럽 위원회의 2021년 표준 계약 조항(SCC) 및 이에 상응하는 영국 또는 스위스 추가 조항;
그룹 내 전송 협정; 또는
해당 법률이 인정하는 다른 합법적인 전송 메커니즘.

8. 보존

Didit은 본 개인정보 처리방침에 설명된 목적을 위해 합리적으로 필요한 기간 동안 개인 데이터를 보존합니다. 여기에는 다음이 포함됩니다.

관련 서비스 제공 및 지원;
처리자 관계에서 고객 지침 준수;
계약, 법률, 세금, 회계 및 규제 의무 준수;
보안 및 사기 방지 기록 유지;
분쟁 해결; 및
법적 청구의 설정, 행사 또는 방어.

보존 기간은 서비스, 워크플로우 구성, 해당 법률 및 Didit이 처리에서 수행하는 역할에 따라 다릅니다.

비즈니스 관계 데이터는 일반적으로 관계 기간 동안 및 합법적인 종료 후 기록 보존 기간 동안 보존됩니다.
지원 및 감사 기록은 운영, 보안 및 규정 준수 목적으로 보존될 수 있습니다.
채용 데이터는 채용 과정 및 합법적인 후속 기간 동안 보존되거나, 별도로 동의하는 경우 더 오래 보존됩니다.
인증 데이터, 기본 보존 기간은 무기한("무제한")이며, 고객이 더 짧은 기간을 구성하지 않는 한 그렇습니다. 고객은 비즈니스 콘솔에서 애플리케이션별로 30일에서 10년 사이의 보존 기간을 구성하거나, API 엔드포인트 `POST /v3/sessions/:session_id/delete/`를 통해 언제든지 세션별 삭제를 트리거할 수 있습니다. 최종 사용자는 섹션 9에 설명된 대로 삭제 권한을 행사할 수도 있습니다. 생체 데이터 보존은 모든 경우에 해당 생체 개인정보 보호 법률 및 규정의 적용을 받으며 그에 따라 제한됩니다., EU 일반 데이터 보호 규정(GDPR) 제9조, 일리노이 생체 정보 개인정보 보호법(BIPA), 텍사스 생체 식별자 캡처 또는 사용법(CUBI), 워싱턴 H.B. 1493 및 기타 해당 생체 개인정보 보호법을 포함합니다. 이러한 법률이 더 짧은 보존 기간 또는 더 빠른 파기 의무를 규정하는 경우, 해당 더 짧거나 엄격한 규칙이 기본 또는 고객 구성 보존 기간보다 우선합니다.

데이터가 더 이상 필요하지 않으면 Didit은 해당 데이터를 삭제, 수정, 익명화, 비식별화 또는 안전하게 파기합니다. 생체 데이터 및 인증 미디어에 대해서는 인증 개인정보 처리방침을 참조하십시오.

9. 귀하의 권리

귀하의 위치 및 해당 법률에 따라 귀하는 다음 권리를 가질 수 있습니다.

개인 데이터에 접근할 권리;
부정확하거나 불완전한 데이터의 수정을 요청할 권리;
삭제 또는 지우기를 요청할 권리;
처리 제한을 요청할 권리;
특정 처리에 이의를 제기할 권리 (정당한 이익에 기반한 처리를 포함하며, 모델 훈련 및 사기 탐지 옵트아웃은 섹션 11 참조);
동의에 기반한 처리의 경우 동의를 철회할 권리;
제공한 데이터의 이동성을 요청할 권리;
법적 또는 유사하게 중대한 영향을 미치는 자동화된 처리에만 기반한 결정의 대상이 되지 않을 권리 (GDPR 제22조의 조건 및 예외에 따름); 및
감독 기관에 불만을 제기할 권리. Didit의 주요 감독 기관은 `aepd.es`에 있는 스페인 데이터 보호 기관(Agencia Española de Protección de Datos / AEPD)입니다.

Didit이 컨트롤러 역할을 하는 경우, 개인정보 관련 요청은 privacy@didit.me 또는 dpo@didit.me로 제출하십시오.

Didit이 고객 인증 흐름을 위한 처리자 또는 서비스 제공자 역할을 하는 경우, 귀하의 요청을 인증을 요청한 기관에 직접 전달하십시오. 해당 고객이 인증 목적을 제어하며 가장 적절하게 응답할 수 있습니다. Didit이 그러한 요청을 직접 받는 경우, 관련 고객에게 전달할 수 있습니다.

10. 쿠키 및 유사 기술

Didit은 웹사이트에서 기능, 보안, 분석 및 귀속을 위해 쿠키 및 유사 기술을 사용합니다. 전체 목록, 동의 배너 제어 및 글로벌 개인정보 제어(GPC) 및 추적 금지(DNT) 정책에 대해서는 쿠키 정책을 참조하십시오.

11. 익명화된 모델 훈련 및 사기 탐지, 귀하의 옵트아웃

Didit은 익명화 또는 가명화된 인증 활동에서 파생된 데이터(예: 문서 특징, 사기 신호, 공격 패턴, 모델 오류 샘플)를 사용하여 신원 확인, 생체 인식 및 사기 탐지 모델을 훈련, 평가 및 개선하며, 고객 간 사기 방지 보호 조치를 운영합니다. Didit은 훈련 및 사기 탐지에 사용되는 데이터가 기본 인증 기록 외의 식별 가능한 개인과 합리적으로 연결될 수 없도록 익명화, 가명화, 집계 및 접근 제어를 적용합니다.

이러한 처리는 다음 Didit의 정당한 이익에 기반합니다.

모든 고객이 사용하는 신원 및 사기 인프라의 정확성과 안전성 향상;
사기, 신원 도용 공격, 딥페이크 및 알려진 공격자의 반복 시도 탐지 및 방지; 및
모델 성능, 공정성 및 보안에 대한 규제 기대치 충족.

옵트아웃. 고객 또는 최종 사용자는 다음을 통해 모델 훈련 및 사기 탐지 처리에서 자신의 데이터를 옵트아웃할 수 있습니다.

API 또는 비즈니스 콘솔을 통해 기본 인증 기록을 삭제 (삭제는 다음 새로 고침 주기에서 훈련 파이프라인에서 기록을 제거합니다), 또는
관련 세션 식별자 또는 계정을 포함하여 privacy@didit.me로 이메일을 보내 옵트아웃을 요청.

옵트아웃은 요청일로부터 장래에 적용됩니다. Didit은 또한 활성 훈련 데이터 세트에서 적격 기록을 제거하기 위해 상업적으로 합리적인 노력을 기울일 것입니다.

12. 미국, 캘리포니아 소비자 개인정보 보호법(CCPA) / 캘리포니아 개인정보 보호 권리법(CPRA) 추가 조항

이 섹션은 캘리포니아 거주자를 위한 본 개인정보 처리방침을 보완하며, Didit이 캘리포니아 소비자 개인정보 보호법(CCPA) 및 캘리포니아 개인정보 보호 권리법(CPRA)에 따라 "사업자"인 경우에 적용됩니다. Didit이 Didit 고객(CCPA에 따른 "사업자")의 "서비스 제공업체" 또는 "계약자"인 경우, 고객의 개인정보 처리방침이 관련 인증 흐름을 규율하며 Didit은 관련 데이터 처리 계약에 따라 개인 정보를 처리합니다.

지난 12개월 동안 수집된 개인 정보 범주 (CCPA 범주):

식별자 (이름, 이메일, 전화, IP 주소, 장치 식별자).
고객 기록 (청구, 연락처, 계정).
인터넷 또는 네트워크 활동 (브라우징, 상호작용, 원격 측정).
지리적 위치 데이터 (IP에서 추론).
감각 데이터 (셀카, 얼굴 이미지, 생체 활성 비디오, 문서 이미지).
전문 또는 고용 데이터 (지원자의 경우).
민감한 개인 정보 (SPI), 소비자를 고유하게 식별하는 데 사용되는 생체 정보, 신분증에 포함된 정부 식별자 및 계정 로그인 자격 증명을 포함합니다.
위에서 언급된 모든 것에서 도출된 추론 (위험 점수, 사기 신호, 결정 결과).

목적, 섹션 4에 나열된 목적.

개인 정보의 판매 또는 공유. Didit은 생체 정보를 포함한 개인 정보를 판매하거나 공유하지 않습니다 (CCPA/CPRA에 정의된 용어에 따름).

민감한 개인 정보의 사용 및 공개. Didit은 민감한 개인 정보를 캘리포니아 민법 § 1798.121(a) 및 시행 규정에 따라 허용된 목적으로만 사용합니다. 즉, 인증 서비스 제공 및 보안, 사기 및 보안 사고 방지, 법적 의무 준수 및 별도의 소비자 제한 권리가 필요 없는 기타 목적을 위해서입니다.

귀하의 캘리포니아 권리:

수집, 사용, 공개 및 판매/공유되는 개인 정보에 대해 알 권리;
개인 정보를 삭제할 권리;
부정확한 개인 정보를 수정할 권리;
판매 또는 공유를 거부할 권리 (Didit은 둘 다 하지 않음);
민감한 개인 정보의 사용 및 공개를 제한할 권리 (Didit의 처리는 이미 해당 권리를 트리거하지 않는 목적으로 제한됨);
데이터 이동성 권리; 및
위 권리 중 어느 하나를 행사하는 것에 대한 비차별 권리.

캘리포니아 요청은 privacy@didit.me로 제출하십시오. 응답 전에 귀하의 신원 확인이 필요할 수 있습니다. 승인된 대리인은 승인 증명과 함께 요청을 제출할 수 있습니다.

글로벌 개인정보 제어(GPC) 및 추적 금지(DNT). Didit은 마케팅 사이트에서 브라우저 기반 글로벌 개인정보 제어 신호를 판매 또는 공유 거부로 간주합니다. Didit은 개인 정보를 판매하거나 공유하지 않지만, GPC 신호는 공유로 해석될 수 있는 광고 또는 분석 쿠키가 해당 브라우저에 설정되지 않도록 기록됩니다. Didit은 현재 레거시 추적 금지(DNT) 헤더에 응답하지 않습니다. 이는 이를 해석하는 방법에 대한 업계 합의가 없기 때문입니다. Didit의 목적상 GPC 신호가 DNT를 대체합니다.

13. 보안

Didit은 무단 접근, 손실, 오용, 변경 및 불법적인 파괴로부터 개인 데이터를 보호하기 위해 설계된 관리적, 기술적 및 조직적 보호 조치를 사용합니다. 여기에는 AES-256을 사용한 저장 데이터 암호화, TLS 1.3을 사용한 전송 데이터 암호화, AWS KMS의 키 관리, 역할 기반 접근 제어, 환경 분리, 지속적인 모니터링, 공급업체 감독 및 사고 대응 절차가 포함됩니다. 전체 정책 및 인증에 대해서는 정보 보안 정책을 참조하십시오.

완벽한 보안 조치는 없습니다. 귀하도 자신의 장치, 자격 증명 및 통신을 보호해야 합니다.

14. 아동

Didit의 공개 웹사이트 및 표준 비즈니스 서비스는 아동을 대상으로 하지 않습니다. 일부 고객은 어린 사용자와 관련된 연령 또는 신원 관련 검사를 위해 Didit을 합법적으로 사용할 수 있지만, 해당 사용은 적절한 법적 근거와 고객 자체의 고지에 의해 뒷받침되어야 합니다. 적절한 승인 없이 개인 데이터가 Didit에 제출되었다고 생각하시면 privacy@didit.me로 문의하십시오.

15. 본 개인정보 처리방침의 변경

당사는 법적, 기술적, 운영적 또는 제품 변경 사항을 반영하기 위해 본 개인정보 처리방침을 수시로 업데이트할 수 있습니다. 정책 상단의 발효일은 마지막 새로 고침을 반영합니다. 법률에 따라 요구되는 경우 중대한 변경 사항은 통지될 것입니다.

16. 문의

일반 문의: hello@didit.me
개인정보: privacy@didit.me
데이터 보호 책임자: dpo@didit.me
보안 및 신뢰 팩: security@didit.me
법률 / 계약: legal@didit.me

개인정보 처리방침