개인정보 처리방침

최종 업데이트: 2026-04-14

1. 수집하는 정보

• GitHub 계정 정보: login, 이메일(공개 또는 primary/verified), 이름, 아바타 URL. GitHub App OAuth scope 는 read:user, user:email 만 요청합니다.
• 리포지토리 메타데이터: 이름, 기본 브랜치, 언어, 커밋 SHA, 의존성 매니페스트 (package.json, requirements.txt, go.mod 등).
• 감사 로그: 로그인, PR 생성/머지, 스캔 결과 요약, 결제 이벤트. IP 주소와 User-Agent 는 보안 조사 목적으로 90 일간 보관 후 자동 파기됩니다.

2. 수집 목적

CVE 탐지, AI 자동 수정, 컴플라이언스 리포트 (EU CRA, NIS2) 생성을 위해 최소한의 정보만 수집합니다. 수집된 정보는 제 3 자에게 판매되지 않으며, 마케팅 목적으로 활용되지 않습니다.

3. 저장 및 암호화

• 모든 데이터는 AWS EC2 (us-east-1) 의 PostgreSQL 16 에 저장됩니다.
• 민감 필드 (GitHub App Private Key, Stripe Customer ID, SECRET_KEY) 는 애플리케이션 레벨에서 AES-256 으로 암호화됩니다.
• 전송 구간은 TLS 1.2+ (Let's Encrypt) 로 보호되며, HSTS preload 를 적용했습니다.
• Row Level Security (FORCE) 정책으로 조직 간 데이터 격리를 DB 수준에서 강제합니다.

4. 제 3 자 공유

AI 수정 파이프라인의 Stage 2 (코드 생성) 에서 Anthropic Claude API 에 취약한 코드 스니펫을 전송합니다. Anthropic 은 본 서비스가 제출한 입력을 모델 학습에 사용하지 않는 zero-retention 모드로 구성되어 있습니다. 이 외 제 3 자 (NVD, GitHub Security Advisories, EPSS) 에는 귀사의 식별 가능한 정보를 전송하지 않습니다.

5. 권리 행사 (GDPR / CCPA)

EU / 캘리포니아 이용자는 본인 데이터의 열람, 정정, 삭제, 이동을 요청할 수 있습니다. privacy@patchguard.ai 로 요청하시면 30 일 이내에 응답합니다.

6. 쿠키

본 서비스는 세션 유지를 위한 HttpOnly, Secure, SameSite=Lax 쿠키 patchops_session 하나만 사용합니다. 추적용 제 3 자 쿠키는 사용하지 않습니다.

7. 데이터 보존 기간

• 감사 로그: 7 년 (EU CRA 요구사항)
• CVE 탐지 결과: 구독 기간 + 30 일
• AI 수정 이력: 구독 기간 + 30 일
• IP 주소 / User-Agent: 90 일

8. 문의

개인정보 보호 책임자: privacy@patchguard.ai