개인정보 보호정책

1. 서론

iSewa("당사", "우리")는 말레이시아에서 운영되는 부동산 관리 플랫폼입니다. 당사는 웹사이트 isewa.com.my 및 iSewa 애플리케이션(총칭하여 "플랫폼")을 운영합니다. 본 개인정보 보호정책은 귀하가 당사 플랫폼에 접근하거나 이용할 때 당사가 귀하의 개인정보를 어떻게 수집, 이용, 저장, 공개 및 보호하는지에 대해 상세히 설명합니다.

당사는 말레이시아 개인정보 보호법 2010년("PDPA")과 모든 적용 가능한 데이터 보호 규정을 준수할 것을 약속합니다. 플랫폼을 이용함으로써 귀하는 본 개인정보 보호정책을 읽고 이해했으며, 본 정책에 기술된 바와 같이 귀하의 개인정보의 수집, 이용 및 공개에 동의함을 인정합니다.

본 개인정보 보호정책은 부동산 소유자, 세입자, 부동산 중개인, 계약업체, 변호사, 개발업체, 구매자, 위임인 및 플랫폼에 접근하거나 이용하는 기타 모든 사람을 포함한 플랫폼의 모든 사용자에게 적용됩니다.

2. 데이터 관리자

iSewa 플랫폼은 말레이시아에 설립된 회사인 TEKNOSIA SDN BHD에 의해 운영되며, 이 회사는 플랫폼을 통해 수집된 귀하의 개인정보에 대해 책임이 있는 데이터 관리자입니다. 데이터 보호에 관한 질문이나 우려사항이 있으시면 당사의 개인정보 보호담당자(DPO)에게 연락하실 수 있습니다:

• 운영 주체: TEKNOSIA SDN BHD
• 회사 등록 번호(SSM): 202401043304
• 개인정보 보호담당자: dpo@isewa.com.my
• 일반 지원: support@isewa.com.my

당사의 DPO는 PDPA 및 본 개인정보 보호정책 준수를 감독할 책임이 있으며, 말레이시아의 Jabatan Perlindungan Data Peribadi(개인정보 보호부)와의 주요 연락 담당자로 역할을 합니다.

3. 당사가 수집하는 정보

3.1 귀하가 제공하는 개인정보

귀하가 계정에 등록하거나, 당사의 서비스를 이용하거나, 당사와 통신할 때 다음의 개인정보를 제공할 수 있습니다:

• 신원 데이터: 성명, 표시 이름, 프로필 사진, 생년월일 및 신원 번호(예: MyKad/IC 번호, 여권 번호)
• 연락처 데이터: 이메일 주소, 전화번호(모바일) 및 거주지 또는 업소 주소
• 계정 데이터: 사용자명, 비밀번호(bcrypt를 사용하여 해시 형태로 저장), 2단계 인증(2FA/TOTP) 시크릿 및 복구 코드
• 조직 데이터: 회사 또는 조직 이름, 등록 번호(SSM) 및 부동산 관리 회사, 중개 회사 또는 계약업체의 사업 상세 정보
• 부동산 데이터: 부동산 주소, 소유권 상세 정보, 임차 계약, 유닛 구성, 부동산 사진, 평면도 및 관련 문서
• 재무 데이터: 은행 계좌 상세 정보(필드 수준 AES-256-GCM 암호화 사용), 청구서 기록, 결제 이력, 청구 선호도 및 세금 관련 정보
• 통신 데이터: 플랫폼의 메시징 시스템을 통해 전송된 메시지, 유지보수 티켓 설명, 공지사항 및 의견
• 문서 데이터: 귀하가 플랫폼에 업로드한 파일(임차 계약, 공과금 고지서, 영수증, 법률 문서 및 기타 부동산 관련 문서 포함)

3.2 인증 데이터

당사는 여러 인증 방법을 지원하며 관련 데이터를 수집합니다:

• 이메일/비밀번호: 귀하의 이메일 및 bcrypt-해시된 비밀번호; 당사는 평문 비밀번호를 저장하지 않습니다
• 휴대폰 OTP: SMS를 통해 일회용 비밀번호(OTP)로 인증하기 위한 귀하의 휴대폰 번호
• 소셜 로그인: Google, Facebook 또는 Apple을 통해 인증할 때 당사는 해당 서비스로부터 귀하의 이름, 이메일 및 프로필 식별자를 받습니다; 당사는 귀하의 소셜 미디어 비밀번호를 받거나 저장하지 않습니다
• MyDigital ID: 말레이시아의 MyDigital ID를 통해 인증할 경우 당사는 정부 신원 제공자로부터 신원 확인을 받습니다
• 2단계 인증: 활성화된 경우 당사는 암호화된 TOTP 시크릿 및 일회용 복구 코드를 저장합니다

3.3 자동으로 수집되는 정보

귀하가 플랫폼에 접근할 때 당사는 특정 기술 정보를 자동으로 수집합니다:

• 기기 정보: 기기 유형, 운영 체제, 브라우저 유형 및 버전, 화면 해상도 및 기기 식별자
• 네트워크 정보: IP 주소, 인터넷 서비스 제공자 및 대략적인 지리적 위치(국가/도시 수준)
• 사용 데이터: 방문한 페이지, 사용된 기능, 타임스탬프, 클릭 패턴, 세션 지속 시간, 참조 URL 및 플랫폼 내 검색 쿼리
• 성능 데이터: 페이지 로드 시간, 오류 로그 및 충돌 보고서(플랫폼의 안정성 개선을 돕기 위함)

3.4 제3자로부터의 정보

당사는 다음으로부터 귀하에 대한 정보를 받을 수 있습니다:

• 부동산 관리자 또는 소유자: 그들이 귀하를 세입자, 계약업체 또는 기타 역할로 그들의 부동산에 추가할 때
• 초대 링크: 귀하가 부동산 또는 조직에 가입하라는 초대를 수락할 때 당사는 소개 맥락을 받습니다
• 공과금 제공자: 통합된 경우 당사는 귀하의 동의하에 귀하를 대신하여 공과금 계정 정보 및 청구 데이터를 검색할 수 있습니다
• 정부 서비스: MyDigital ID 또는 기타 말레이시아 정부 디지털 신원 서비스를 통해

4. 처리의 법적 근거

PDPA 2010에 따라 당사는 다음의 합법적 근거에 따라 귀하의 개인정보를 처리합니다:

• 동의(제6조): 귀하가 플랫폼에 등록할 때 본 개인정보 보호정책에 기술된 목적을 위해 귀하의 개인정보를 처리하기로 명시적 동의를 제공합니다. 귀하의 동의는 감시 가능성을 위해 타임스탬프 및 버전 번호(consentGivenAt, consentVersion)와 함께 기록됩니다.
• 계약 필요성: 당사의 서비스 약관에서 합의한 바와 같이 플랫폼의 서비스를 귀하에게 제공하기 위해 필요한 처리(부동산 관리, 청구, 유지보수 추적 및 통신 포함)
• 정당한 이익: 사기 방지, 플랫폼 보안, 서비스 개선 및 분석의 목적을 위한 처리(그러한 이익이 귀하의 데이터 보호 권리에 의해 무효화되지 않는 경우)
• 법적 의무: 재무 기록 보관 의무, 세금 신고 및 법원 명령을 포함한 말레이시아 법적 요구사항을 준수하기 위해 필요한 처리

5. 당사의 정보 이용

당사는 다음의 목적을 위해 귀하의 개인정보를 이용합니다:

5.1 서비스 제공

• 플랫폼에서 귀하의 계정 생성 및 유지
• 귀하의 신원을 인증하고 귀하의 역할을 기반으로 접근 권한 관리
• 청구, 결제 추적 및 청구를 포함한 부동산 관리 운영 처리
• 유지보수 요청, 작업 지시서 및 계약업체 배치 관리
• 부동산 관련 문서를 안전하게 저장 및 정리
• 플랫폼 사용자(소유자, 세입자, 중개인, 계약업체 등) 간의 통신 활성화
• 위임 기능(가족 구성원, 부동산 관리자) 지원

5.2 통신

• 청구 기한, 유지보수 업데이트 및 임차 상기와 같은 서비스 알림 전송
• 로그인 알림, 2FA 프롬프트 및 의심 활동 경고를 포함한 보안 경고 전달
• 플랫폼 공지사항, 기능 업데이트 및 중요한 서비스 변경 사항 제공
• 귀하의 문의 및 지원 요청에 응답

5.3 플랫폼 개선

• 사용 패턴 및 추세를 분석하여 기능 및 사용자 경험 개선
• 새로운 플랫폼 기능을 위한 내부 연구 개발 수행
• 플랫폼 성능 모니터링, 문제 디버깅 및 안정성 확보
• 비즈니스 보고를 위한 익명화된, 집계된 통계 생성

5.4 보안 및 규정 준수

• 사기, 보안 사건 및 악용 탐지, 방지 및 대응
• 당사의 서비스 약관 및 허용 사용 정책 집행
• 규정 준수 및 책임성을 위한 감시 추적 유지
• 말레이시아 법적 및 규제 요구사항 준수

6. 데이터 공유 및 공개

당사는 귀하의 개인정보를 마케팅 목적으로 제3자에게 판매, 임차 또는 거래하지 않습니다. 당사는 다음의 상황에서만 귀하의 정보를 공유할 수 있습니다:

6.1 플랫폼 사용자 간

부동산 관련 데이터는 부동산 관리 운영에 필요한 범위 내에서 연결된 사용자 간에 공유됩니다. 예를 들어:

• 부동산 소유자는 세입자의 연락처 정보 및 임차 상세 정보를 볼 수 있습니다
• 세입자는 관련 부동산 상세 정보 및 소유자/중개인 연락처 정보를 볼 수 있습니다
• 중개인은 소유자를 대신하여 관리하도록 배치된 부동산에 접근할 수 있습니다
• 계약업체는 자신에게 배치된 작업의 유지보수 티켓 상세 정보를 볼 수 있습니다
• 위임인은 소유자가 권한을 부여한 부동산에 접근할 수 있습니다

공유된 정보의 범위는 각 역할에 필요한 범위로 제한되며 플랫폼 내의 역할 기반 권한 시스템에 의해 제어됩니다.

6.2 제3자 서비스 제공자

당사는 플랫폼의 운영을 지원하기 위해 신뢰할 수 있는 제3자 서비스 제공자를 고용합니다. 이 제공자들은 계약상 귀하의 데이터를 당사의 지시에 따라서만 처리하고 적용 가능한 데이터 보호 법에 준수할 것을 요구받습니다. 당사의 서비스 제공자 범주는 다음을 포함합니다:

• 클라우드 인프라: 플랫폼 데이터 및 파일 업로드를 위한 호스팅 및 저장소 제공자
• 이메일 배송: 트랜잭션 이메일, 알림 및 경고 전송을 위한 서비스
• SMS/OTP 배송: 휴대폰 인증 코드 및 SMS 알림 전송을 위한 제공자
• 결제 처리: 구독 결제(Pro 계획) 처리를 위한 제3자 결제 게이트웨이
• 인증 제공자: 소셜 로그인 제공자(Google, Facebook, Apple) 및 신원 확인을 위한 MyDigital ID
• 분석: 플랫폼 사용을 이해하도록 도움이 되는 개인정보 보호 중심 분석 서비스

6.3 법적 요구사항

당사는 다음이 필요하다고 선의로 판단할 때 귀하의 개인정보를 공개할 수 있습니다:

• 적용 가능한 말레이시아 법, 규정 또는 법적 절차(법원 명령 포함)를 준수하기 위해
• Jabatan Perlindungan Data Peribadi을 포함한 정부 당국의 합법적인 요청에 응답하기 위해
• iSewa, 당사의 사용자 또는 대중의 권리, 재산 또는 안전을 보호하기 위해
• 당사의 서비스 약관 위반의 잠재적 가능성을 조사 또는 방지하기 위해

6.4 사업 양수

합병, 인수, 구조 조정 또는 자산 판매 사건의 경우 귀하의 개인정보는 수취 주체로 양수될 수 있습니다. 당사는 귀하에게 그러한 양수 및 그러한 거래로 인한 본 개인정보 보호정책의 변경사항에 대해 알립니다.

7. 데이터 보안

당사는 귀하의 개인정보의 보안을 심각하게 생각하며 2단계 인증, AES-256-GCM 암호화 및 요청 속도 제한을 포함한 PDPA 요구사항과 일치하는 보안 조치를 구현합니다:

7.1 암호화

• 전송 중인 데이터: 귀하의 기기와 당사의 서버 간의 모든 통신은 TLS(전송 계층 보안)를 사용하여 암호화됩니다
• 저장 중인 데이터: IC 번호 및 은행 계좌 상세 정보를 포함한 민감한 개인정보는 AES-256-GCM 필드 수준 암호화를 사용하여 암호화됩니다
• 비밀번호: 사용자 비밀번호는 적절한 솔트 라운드를 사용하여 bcrypt로 해시됩니다; 당사는 평문 비밀번호를 저장하지 않습니다

7.2 인증 및 접근 제어

• 토큰 도용을 방지하기 위한 새로고침 토큰 회전을 포함한 보안 JWT(JSON 웹 토큰) 인증
• 강화된 계정 보안을 위한 선택적 2단계 인증(2FA/TOTP)
• 여러 번의 실패한 로그인 시도 후의 계정 잠금 보호
• 2FA 기기 손실 시 계정 접근을 위한 복구 코드
• 사용자가 자신의 역할과 관련된 데이터에만 접근할 수 있도록 하는 역할 기반 접근 제어(RBAC)

7.3 인프라 보안

• Helmet을 통해 시행되는 HTTP 보안 헤더(Content Security Policy, X-Frame-Options 등)
• 무차별 대입 및 서비스 거부 공격을 방지하기 위한 API 엔드포인트에 대한 요청 속도 제한
• 주입 공격을 방지하기 위한 입력 검증 및 위생 처리
• 정기적인 보안 감사 및 취약점 평가
• 보안 관련 사건의 포괄적인 감시 로깅

7.4 인원 제어

당사의 직원에 의한 개인정보 접근은 그들의 직무 수행에 필요한 인원으로 제한되며 모든 접근 권한이 있는 직원은 비밀유지 의무에 구속됩니다.

8. 데이터 보유

당사는 귀하의 개인정보를 수집된 목적을 이행하거나 법에서 요구하는 기간 동안만 보유합니다. 당사의 구체적인 보유 기간은:

8.1 자동화된 데이터 제거

당사는 자동화된 데이터 보유 시행 시스템을 운영합니다:

• 매일 자동화된 프로세스(MYT 오전 2시 30분에 실행)는 30일 이상 소프트 삭제 상태에 있던 사용자 계정을 영구 삭제합니다
• 만료된 로그인 세션은 매일 자동으로 정리됩니다
• 모든 자동화된 제거 작업은 규정 준수 책임성을 위해 당사의 감시 로그에 기록됩니다

9. PDPA에 따른 귀하의 권리

말레이시아 개인정보 보호법 2010에 따라 귀하는 귀하의 개인정보와 관련하여 다음의 권리를 갖습니다:

9.1 접근권

귀하는 당사가 보유한 귀하에 대한 개인정보 접근을 요청할 권리가 있습니다. 귀하는 플랫폼을 통해 또는 dpo@isewa.com.my로 이메일을 통해 데이터 주체 접근 요청(DSAR)을 제출할 수 있습니다. 당사는 PDPA에서 요구하는 21일 이내에 검증된 접근 요청에 응답합니다.

귀하의 데이터 내보내기는 다음을 포함합니다: 프로필 정보, 동의 기록 및 이력, 임차 기록 및 청구서, 부동산 및 소유권 기록, 업로드된 문서 메타데이터, 감시 로그 항목 및 보안 사건 기록.

9.2 정정권

귀하는 부정확하거나 불완전한 개인정보의 정정을 요청할 권리가 있습니다. 귀하는 귀하의 프로필 설정을 통해 대부분의 정보를 직접 업데이트할 수 있습니다. 자체 정정이 불가능한 데이터의 경우 당사의 DPO에 연락하시기 바랍니다.

9.3 동의 철회권

귀하는 언제든지 귀하의 개인정보 처리에 대한 동의를 철회할 수 있습니다. 귀하는 플랫폼의 설정을 통해 또는 당사의 DPO에 연락하여 이를 수행할 수 있습니다. 동의 철회는 플랫폼의 특정 기능을 이용할 수 있는 귀하의 능력에 영향을 미칠 수 있으며, 당사는 귀하의 철회 처리 전에 귀하에게 모든 결과를 알립니다.

동의 철회는 철회 전에 수행된 처리 또는 기타 합법적 근거(예: 법적 의무)에 기반한 처리의 합법성에 영향을 미치지 않습니다.

9.4 삭제권

귀하는 언제든지 귀하의 계정 및 관련 개인정보의 삭제를 요청할 수 있습니다. 삭제 요청을 받은 후:

• 귀하의 계정은 즉시 소프트 삭제됩니다(비활성화됨)
• 귀하는 계정을 재활성화할 수 있는 30일 유예 기간을 갖게 됩니다
• 30일 후, 귀하의 개인정보는 영구적이고 되돌릴 수 없게 삭제됩니다
• 특정 데이터는 법에서 요구하는 범위 내에서(예: 7년 동안의 재무 기록) 이 기간을 넘어 보유될 수 있습니다

9.5 처리 방지권

귀하는 직접 마케팅 목적의 귀하의 개인정보 처리를 방지할 권리가 있습니다. 당사는 사용자에 대해 직접 마케팅에 참여하지 않지만 귀하는 플랫폼 설정의 알림 선호도를 통해 필수 이외의 통신을 거부할 수 있습니다.

9.6 귀하의 권리 행사 방법

귀하의 권리를 행사하기 위해 귀하는 다음을 수행할 수 있습니다:

• 플랫폼 내의 관련 자체 서비스 옵션 사용(프로필 설정, 계정 삭제)
• dpo@isewa.com.my로 당사의 DPO에 이메일 보내기
• 아래의 연락처 섹션에 제공된 주소로 당사에 편지 보내기

당사는 귀하의 개인정보의 보안을 보장하기 위해 귀하의 요청을 처리하기 전에 귀하의 신원을 확인하도록 요청할 수 있습니다.

10. 데이터 침해 알림

영향을 받은 데이터 주체에 중대한 해를 끼칠 가능성이 있는 개인정보 침해 사건이 발생한 경우 당사는 다음을 수행합니다:

• 침해를 인식한 후 72시간 이내에 Jabatan Perlindungan Data Peribadi(PDPA 위원)에 알립니다
• 침해의 세부 정보, 잠재적 결과 및 당사가 취했거나 취할 것으로 제안하는 조치를 제공하면서 지체 없이 영향을 받은 데이터 주체에 알립니다
• 심각도 수준, 영향을 받은 데이터 범주, 영향을 받은 사용자 수, 근본 원인 분석 및 개선 단계를 포함한 당사의 내부 사건 관리 시스템에서 침해를 문서화합니다

11. 국제 데이터 양수

귀하의 데이터는 주로 말레이시아에서 저장 및 처리됩니다. 제3자 클라우드 인프라 또는 서비스 제공자를 사용할 때 경우에 따라 귀하의 데이터는 다른 관할권에서 처리될 수 있습니다. 그러한 양수가 발생하는 경우 당사는 다음을 보장합니다:

• 당사의 서비스 제공자와의 계약 데이터 보호 약관을 포함한 적절한 보호 조치가 있습니다
• 수취 관할권이 적절한 수준의 데이터 보호를 제공하거나 적절한 계약상 조치가 구현됩니다
• 양수는 PDPA 2010(제129조)의 요구사항을 준수합니다

12. 쿠키 및 추적 기술

12.1 필수 쿠키

당사는 다음의 목적을 위해 엄격하게 필요한 쿠키를 사용합니다:

• 인증: 귀하의 로그인 상태를 유지하고 안전한 접근을 관리하기 위한 세션 쿠키
• 보안: CSRF(사이트 간 요청 위조) 보호 토큰
• 선호도: 언어 및 테마 선호도 저장

이 쿠키는 플랫폼이 기능하기 위해 필수이며 비활성화할 수 없습니다.

12.2 분석 쿠키

당사는 사용자가 플랫폼과 어떻게 상호작용하는지 이해하기 위해 개인정보 보호 중심 분석을 사용할 수 있습니다. 이 분석은 다음과 같이 구성됩니다:

• 개인 식별 정보를 수집 또는 저장하지 않음
• 익명화된 또는 집계된 데이터만 사용
• 광고 네트워크와 데이터 공유 안 함

12.3 제3자 쿠키

당사는 광고 또는 리마케팅 쿠키를 사용하지 않습니다. 당사는 제3자 광고 네트워크가 플랫폼에 쿠키를 배치하는 것을 허용하지 않습니다.

12.4 쿠키 관리

귀하는 귀하의 브라우저 설정을 통해 쿠키를 제어 및 관리할 수 있습니다. 필수 쿠키를 비활성화하면 플랫폼의 특정 기능이 제대로 작동하지 않을 수 있음을 참고하시기 바랍니다.

13. 자동화된 의사결정

플랫폼은 법적 효과를 생성하거나 귀하에게 유사하게 중대하게 영향을 미치는 자동화된 의사결정 또는 프로파일링을 사용하지 않습니다. 자동화된 처리(예: 청구 주기 예측 또는 유지보수 우선순위 제안 등)는 사용자를 지원하기 위해서만 사용되며 인간의 의사결정을 대체하지 않습니다.

14. 아동 개인정보 보호

플랫폼은 18세 미만의 개인이 사용하도록 의도되지 않습니다. 당사는 18세 미만의 아동으로부터 개인정보를 의도적으로 수집하지 않습니다. 당사가 18세 미만의 아동으로부터 개인정보를 수집했음을 알게 되면 당사는 그러한 데이터를 당사의 시스템에서 삭제하기 위한 즉각적인 조치를 취합니다.

귀하가 부모 또는 보호자이며 귀하의 자녀가 당사에 개인정보를 제공했다고 믿는 경우 dpo@isewa.com.my에서 당사의 DPO에 연락하시기 바랍니다.

15. 제3자 링크

플랫폼은 당사가 운영하지 않는 제3자 웹사이트, 서비스 또는 리소스의 링크를 포함할 수 있습니다. 당사는 이 제3자들의 개인정보 보호 관행에 대해 책임이 없으며 개인정보를 제공하기 전에 그들의 개인정보 보호정책을 검토할 것을 권장합니다.

16. 본 개인정보 보호정책의 변경

당사는 당사의 관행, 플랫폼의 기능 또는 법적 요구사항의 변경을 반영하기 위해 불시에 본 개인정보 보호정책을 업데이트할 수 있습니다. 당사가 중대한 변경을 수행할 때:

• 당사는 이 페이지 상단의 "마지막 업데이트" 날짜를 업데이트합니다
• 당사는 이메일 또는 플랫폼의 알림 시스템을 통해 등록된 사용자에게 알립니다
• PDPA에서 요구하는 범위 내에서 당사는 귀하의 개인정보 처리 방식에 영향을 미치는 중대한 변경에 대해 신선한 동의를 얻습니다
• 당사는 감시 가능성을 보장하기 위해 동의의 버전 이력을 유지합니다

모든 변경 후 플랫폼을 계속 사용하는 것은 업데이트된 개인정보 보호정책을 수락하는 것을 의미합니다.

17. 불만

당사가 본 개인정보 보호정책 또는 PDPA 2010에 따라 귀하의 개인정보를 적절하게 처리하지 않았다고 믿는 경우 귀하는 다음을 수행할 수 있습니다:

• 귀하의 우려를 제기하기 위해 dpo@isewa.com.my에서 당사의 DPO에 연락합니다
• www.pdp.gov.my에서 Jabatan Perlindungan Data Peribadi(말레이시아 개인정보 보호부)에 불만을 제기합니다

18. 당사에 연락

본 개인정보 보호정책 또는 당사의 데이터 보호 관행에 대해 질문, 우려 또는 요청사항이 있으시면 당사에 연락하시기 바랍니다:

TEKNOSIA SDN BHD(iSewa 운영자)

• 회사 등록 번호(SSM): 202401043304
• 개인정보 보호담당자: dpo@isewa.com.my
• 일반 지원: support@isewa.com.my