개인정보 처리방침
시행일 2026-07-06 · 최종 갱신일 2026-07-06
1. 운영 주체
Scorvo("서비스")는 오시(사업자등록번호 247-70-00655, 대표자 이재원, 주소: 서울특별시 용산구 용문동 8-126, 지하1층 Q139호)가 운영합니다. 개인정보 관련 문의와 권리 행사는 support@scorvo.io로 연락해 주십시오. 개인정보 보호책임자 역할은 운영자가 겸합니다.
이 방침의 준거 언어는 영어본입니다. 번역본은 편의를 위해 제공되며, 상충 시 영어본이 우선합니다.
2. 컨트롤러·프로세서 역할 구분
계정·결제·운영 로그 데이터는 오시가 개인정보처리자(controller)로서 처리합니다. 클럽 운영자가 소속 선수·팀에 대해 입력하는 멤버 데이터(이름·연락처·메모·사진·기록)는 클럽 운영자가 처리자(controller)이고, Scorvo는 운영자의 지시에 따라 이를 저장·처리하는 수탁자(processor)입니다. 이 관계는 데이터 처리 부속약관(DPA)이 규율합니다.
3. 수집 항목과 목적
- 계정·인증: 이메일 주소와 이름(인증 제공자 Clerk를 통해 관리), 표시 언어, 로그인 세션. 법적 근거: 서비스 계약의 이행.
- 이용자가 생성하는 클럽·대회 데이터: 클럽·팀·선수·대회·경기·점수·통계·경기장·메모. 법적 근거: 서비스 계약의 이행.
- 클럽 운영자가 입력하는 멤버(선수) 데이터: 선수 이름, 선택 연락처, 메모, 등번호, 포지션, 역할, 상태, 선택 사진. 법적 근거: 클럽 운영이라는 운영자의 정당한 이익. 이 데이터에 대해서는 운영자가 컨트롤러입니다(출처 고지는 8항 참조).
- 결제 데이터: 플랜, 구독 상태, AI 크레딧 원장. 카드·결제 정보는 Merchant of Record인 Paddle이 처리하며, 당사는 카드번호를 수신·보관하지 않습니다(7항 참조).
- AI 임포트 콘텐츠: 분석을 위해 업로드하는 파일(이미지·PDF·엑셀 텍스트)과 필요한 컨텍스트(6항 참조).
- 진단 데이터: 안정성·남용 방지를 위한 서버 로그. 애플리케이션 로그에 이메일 주소나 이름을 기록하지 않습니다.
4. 쿠키·로컬 저장소
Scorvo는 필수 쿠키와 기능성 로컬 저장소만 사용합니다. 광고·분석·추적 스크립트를 전혀 사용하지 않으므로 쿠키 배너가 없습니다.
- Clerk가 설정하는 인증 쿠키(로그인 상태 유지). 로그인 여부 판별을 위해 공개 랜딩·공유 페이지를 포함한 모든 페이지에서 로드됩니다.
- 선택한 언어를 기억하는 NEXT_LOCALE 쿠키.
- Paddle 쿠키는 결제 창을 열 때만 설정됩니다.
- Google 지도는 장소 검색을 명시적으로 활성화할 때만 로드되며, 그때에만 자체 쿠키를 설정할 수 있습니다(9항 참조).
- 기능성 브라우저 저장소에 소수의 값만 담깁니다. 로컬 저장소에는 읽은 알림과 1회성 가이드 노출 여부가, 세션 저장소에는 진행 중 임포트 초안이 임시로(탭을 닫으면 삭제) 담깁니다.
5. 데이터를 수령하는 곳(수탁자·제3자)
서비스 운영을 위해 아래 인프라 제공자를 이용하며, 이들은 당사를 위해 데이터를 처리하는 수탁자입니다. 해당 인프라가 국외에서 운영되므로 아래 이전은 개인정보 보호법 제28조의8에 따라 공개합니다. 이들 제공자는 미국에서 개인정보를 처리하며, Cloudflare는 글로벌 네트워크를 병행하고 OpenAI는 EEA·스위스 고객 데이터를 OpenAI Ireland를 통해 처리합니다. 현재 수탁자 목록은 하위 수탁자 페이지에 공개합니다.
| 수령자 | 목적 | 항목 | 이전 국가 | 보유기간 |
|---|---|---|---|---|
| Convex | 애플리케이션 데이터베이스·백엔드 | 이용자가 만든 모든 앱 기록 | 미국 | 계정 삭제 시까지 |
| Clerk | 인증·계정 | 이메일, 이름, 세션 | 미국 | 계정 삭제 시까지 |
| Cloudflare R2 | 파일·사진 저장 | 업로드 사진·AI 임포트 파일 | 미국(글로벌 네트워크) | 삭제 시까지 / AI 파일 30일 |
| OpenAI | AI 임포트 분석 | 업로드 파일 내용, 선수 이름 | 미국 | 당사 미보관(6항 참조) |
| Resend | 트랜잭션 이메일 발송 | 이메일 주소, 메시지 내용 | 미국 | 발송에 필요한 기간 |
| Vercel | 웹 애플리케이션 호스팅 | 요청 데이터 | 미국 | 운영 로그 |
Paddle(결제), Google Maps(장소 검색), OpenWeather(경기장 날씨)는 수탁자가 아니라 독립적인 제3자 서비스입니다. Paddle은 결제 데이터의 독립 컨트롤러입니다. 각 제공자의 개인정보 처리 조건은 하위 수탁자 페이지에서 확인할 수 있습니다.
6. AI 기능
AI 임포트를 사용하면 업로드한 파일(이미지·PDF·엑셀 추출 텍스트)과 클럽 선수 이름이 기록 추출을 위해 OpenAI API로 전송됩니다. 선수 연락처는 전송되지 않습니다. 요청은 OpenAI가 콘텐츠를 재사용 목적으로 저장하지 않도록 설정(store 비활성화)되어 있으며, OpenAI는 남용 모니터링을 위해 최대 30일간만 입력을 보관할 수 있고 API 데이터를 모델 학습에 사용하지 않습니다. 업로드된 원본 파일은 당사 저장소에 최대 30일 보관 후 자동 삭제됩니다.
MCP로 외부 AI 클라이언트를 Scorvo에 연결하면, 그 클라이언트는 이용자의 지시에 따라 임포트·편집을 돕기 위해 최소화된 클럽 기록(식별자·이름·로스터 필드)을 읽을 수 있습니다. 선수 연락처와 자유서술 메모는 MCP로 공유되지 않습니다. 전달되는 내용은 해당 클라이언트에서의 이용자 명령에 따라 결정됩니다.
7. 결제
결제는 Merchant of Record인 Paddle.com이 처리합니다. Paddle은 결제 정보를 독립 컨트롤러로서 수집·처리하고 세금·청구·환불·분쟁을 대행합니다. Scorvo는 플랜, 구독 식별자, 크레딧 잔액만 저장하며 카드번호는 저장하지 않습니다.
8. 클럽 운영자로부터 받는 데이터(출처 고지)
클럽 운영자가 입력한 데이터의 대상 선수라면, 당사는 그 정보를 본인에게서 직접 수집하지 않았습니다. 컨트롤러인 운영자로부터 수령했으며, 운영자는 이를 입력할 적법한 근거(미성년자의 경우 법정대리인 동의 포함)를 확보할 책임이 있습니다. 항목은 이름과 운영자가 추가한 연락처·메모·사진입니다. support@scorvo.io로 직접, 또는 데이터를 입력한 클럽을 통해 권리를 행사할 수 있습니다.
9. 지도·장소 검색
경기장 장소 검색은 Google 지도를 사용하며, 이용자가 명시적으로 활성화할 때만 로드됩니다. 활성화하면 제안을 받기 위해 검색어가 Google로 전송됩니다. 활성화하지 않으면 Google로 데이터가 전송되지 않으며, 경기장 정보를 직접 입력할 수 있습니다.
10. 보유·파기
- 계정·앱 데이터: 계정을 삭제할 때까지 보관하며, 삭제 시 데이터베이스·파일 저장소·인증 제공자 전반에서 제거합니다.
- AI 임포트 원본 파일: 업로드 30일 후 자동 삭제됩니다.
- 선수 사진·팀/클럽 이미지: 제거·교체 시, 그리고 관련 기록이나 계정이 삭제될 때 저장된 원본을 파기합니다.
- 계정을 삭제하면 Paddle의 진행 중 구독도 즉시 해지합니다.
11. 정보주체의 권리
개인정보에 대한 열람·정정·삭제·처리정지를 요청할 수 있고, 정당한 이익에 근거한 처리에 대해 거부할 수 있습니다. 가입 이용자는 앱에서 자신의 데이터를 직접 수정·삭제하고 계정 설정에서 탈퇴할 수 있습니다. 운영자가 입력한 데이터의 대상 선수는 support@scorvo.io로 직접 연락하거나 소속 클럽을 통해 요청할 수 있습니다. 데이터 이동권은 요청 시 기계가독 형식의 사본을 제공합니다.
12. 안전조치
데이터 접근은 인증과 단일 소유자 모델로 통제되어, 기록·파일은 소유자만 접근할 수 있습니다. 사진·파일에는 공개 URL이 없으며, 소유자에게 발급되는 단기 서명 링크로만 제공됩니다. 운영 데이터 접근을 제한하고 남용을 모니터링합니다.
13. 공유 페이지
운영자가 대회·경기 공유 링크를 만들면, 그 링크를 가진 누구나(선수·비가입 방문자 포함) 공유된 이름과 결과를 볼 수 있습니다. 공유 링크는 추측 불가능한 토큰을 사용하고 검색엔진 색인에서 제외됩니다. 공유 여부와 범위는 운영자가 통제합니다.
14. 만 14세 미만
계정 생성은 만 14세 이상만 가능합니다. 클럽 운영자가 유소년 선수의 데이터를 기록하는 경우, 법령상 필요한 법정대리인 동의를 확보할 책임은 운영자에게 있습니다.
15. 개인정보 유출
개인정보 유출이 발생하면 GDPR 제33조(가능한 경우 72시간 이내)와 개인정보 보호법 제34조를 포함한 관련 법령에 따라 감독기관과 정보주체에게 통지합니다.
16. 방침의 변경
이 방침은 개정될 수 있습니다. 중요한 변경은 상단의 시행일을 갱신하고, 필요한 경우 서비스 내 추가 고지로 반영합니다.