개인정보처리방침
D-ONE HERO WTS(이하 "서비스")는 이용자의 개인정보를 서비스 운영의 필수 자산으로 인식하고, 목적에 필요한 최소한의 범위에서만 처리합니다. 본 방침은 어떤 정보를 왜 수집하는지, 얼마나 보관하는지, 언제 파기하는지, 그리고 이용자가 어떤 권리를 행사할 수 있는지를 구체적으로 설명하기 위해 작성되었습니다.
제1조 (목적)
본 방침은 개인정보 처리의 기준을 투명하게 고지하여 이용자의 예측 가능성을 높이고, 서비스 제공 과정에서 발생할 수 있는 오해를 최소화하는 것을 목적으로 합니다. 또한 개인정보 처리에 관한 내부 의사결정 기준을 외부에 명시함으로써 운영자의 책임 범위를 명확히 하고, 이용자의 권리 행사 절차를 실질적으로 보장하기 위한 운영 원칙을 제시합니다.
제2조 (정의)
- "개인정보"란 생존하는 개인에 관한 정보로서 성명, 식별번호, 계정 식별값 또는 다른 정보와 결합하여 개인을 알아볼 수 있는 정보를 의미합니다.
- "처리"란 수집, 기록, 저장, 보관, 정정, 이용, 제공, 파기 등 개인정보와 관련된 일체의 행위를 의미합니다.
- "처리자"란 서비스를 운영하면서 개인정보 처리 목적과 방법을 결정하는 주체를 의미하며, 본 방침에서는 서비스 운영자를 가리킵니다.
- "이용자"란 회원, 비회원, 고객지원 채널 이용자를 포함하여 서비스 기능 또는 문서를 이용하는 모든 주체를 의미합니다.
제3조 (적용 범위)
- 본 방침은 웹 애플리케이션, API 서버, 인증 시스템, 운영 대시보드, 로그 수집기, 장애 대응 체계를 포함한 서비스 전 영역에 적용됩니다.
- 서비스 내 링크 또는 연동 기능을 통해 연결되는 제3자 플랫폼은 별도 정책을 가질 수 있으며, 해당 영역의 처리는 각 플랫폼의 정책이 우선 적용됩니다.
- 본 방침은 이용자의 디바이스 자체 보안 설정, 브라우저 제공 기능, 통신사 제공 네트워크 정책 등 운영자가 통제할 수 없는 외부 환경까지 보장하지는 않습니다.
제4조 (기본 처리 원칙)
- 서비스는 목적 적합성 원칙에 따라 처리 목적을 사전에 특정하고, 해당 목적 달성에 필요한 범위 내에서만 정보를 처리합니다.
- 최소 수집 원칙에 따라 과도한 항목 수집을 지양하며, 동일 목적을 달성할 수 있는 경우 식별성이 낮은 데이터 구조를 우선 검토합니다.
- 보관 제한 원칙에 따라 목적이 달성된 정보는 지체 없이 파기 절차를 진행하고, 법정 보관 의무가 있는 정보는 분리 보관합니다.
- 안전성 원칙에 따라 접근권한 관리, 암호화 통신, 로그 모니터링, 취약점 점검 등 보호 조치를 지속적으로 유지합니다.
제5조 (수집하는 개인정보 항목)
| 구분 | 세부 항목 | 수집 시점 |
|---|---|---|
| 인증·계정 | Discord 사용자 ID, 표시명, 계정 연결 상태, 인증 갱신 시각 | 로그인, 재인증, 계정 상태 변경 시 |
| 거래·활동 | 주문 요청 데이터, 체결 내역, 보유 종목, 가상잔고, 손익 기록 | 서비스 기능 사용 시 자동 생성 |
| 접속·기술정보 | 접속 시각, 요청 경로, IP, User-Agent, 응답 코드, 세션 식별자 | 페이지 접근 및 API 호출 시 자동 생성 |
| 보안·감사 | 비정상 요청 패턴, 관리자 조작 로그, 에러 추적 로그, 차단 이력 | 보안 운영 및 점검 시 자동 생성 |
| 문의·분쟁 | 문의 본문, 증빙 자료, 처리 결과, 회신 이력 | 고객지원 접수 및 분쟁 처리 시 |
동일한 목적을 달성하기 위해 추가 항목이 필요한 경우, 운영자는 사전 고지 또는 관련 법령상 근거에 따라 최소 범위에서만 처리합니다.
제6조 (수집 방법)
- 이용자가 OAuth 로그인 절차를 진행할 때 인증 제공자로부터 계정 식별 정보를 수신합니다.
- 이용자가 주문, 조회, 설정 변경 등 기능을 사용할 때 서버가 거래 및 활동 데이터를 생성·저장합니다.
- 서비스 안정화와 침해 대응을 위해 보안 시스템이 접속 기록, 오류 로그, 비정상 패턴을 자동 수집합니다.
- 문의 접수, 분쟁 대응, 정책 위반 조사 과정에서 이용자가 제공한 자료를 필요한 범위에서 기록할 수 있습니다.
제7조 (처리 목적)
- 계정 식별, 로그인 유지, 세션 검증, 계정 탈취 방지 등 인증 보안 목적
- 주문 처리, 체결 반영, 포트폴리오 계산, 이용내역 제공 등 핵심 기능 제공 목적
- 오류 분석, 성능 최적화, 부정 이용 탐지, 재발 방지 조치 수립 목적
- 문의 응대, 분쟁 조정, 정책 고지, 법령상 의무 이행 목적
- 통계 분석 및 기능 개선을 위한 집계·가명 데이터 활용 목적
제8조 (처리의 법적 근거)
- 서비스 이용계약 이행을 위한 처리: 계정 운영, 거래 기록 반영, 고객지원 제공
- 법적 의무 준수를 위한 처리: 법령상 보관·제출 의무가 발생하는 경우
- 정당한 이익을 위한 처리: 보안 위협 탐지, 부정 이용 차단, 서비스 무결성 보호
- 동의를 기반으로 한 처리: 법령상 동의가 요구되거나 추가 기능 제공을 위한 경우
제9조 (동의 및 철회)
- 이용자는 언제든지 개인정보 처리 동의를 철회하거나 처리 제한을 요청할 수 있습니다.
- 동의 철회는 향후 처리에 대해 효력을 가지며, 철회 이전의 적법 처리까지 소급하여 무효화하지 않습니다.
- 동의 철회 또는 처리 제한이 서비스 핵심 기능 제공을 불가능하게 하는 경우, 일부 또는 전부 서비스 이용이 제한될 수 있습니다.
제10조 (보유 및 이용기간)
| 구분 | 보유 기간 | 주요 사유 |
|---|---|---|
| 계정 식별정보 | 계정 유지 기간 + 합리적 정리 기간 | 중복가입 방지, 계정 복구, 분쟁 사실 확인 |
| 거래 및 주문기록 | 서비스 운영 기간 + 감사·분쟁 대응 기간 | 기록 검증, 데이터 정정, 부정 이용 조사 |
| 보안 로그 | 보안 운영상 필요한 기간 | 침해사고 분석, 차단 정책 개선, 재발 방지 |
| 문의 및 대응 이력 | 문의 종료 후 합리적 기간 | 후속 지원, 동일 사안 재발 대응 |
구체적인 보관기간은 법령상 의무, 보안 필요성, 분쟁 가능성, 백업 정책을 종합 고려하여 정해집니다.
제11조 (파기 절차)
- 보유 목적이 달성되거나 보유기간이 종료된 개인정보는 파기 대상 목록으로 분류합니다.
- 파기 대상 목록은 운영·보안 담당자 검토를 거친 후 삭제 또는 폐기 절차를 수행합니다.
- 법령상 별도 보관 의무가 있는 정보는 일반 운영 데이터와 분리하여 접근권한을 제한합니다.
제12조 (파기 방법)
- 전자 파일은 복구가 사실상 불가능한 방식으로 삭제하거나, 암호화키 폐기를 통해 복원 가능성을 차단합니다.
- 출력물 또는 종이 문서는 분쇄, 소각 등 재생 불가능한 방식으로 폐기합니다.
- 백업 저장소 데이터는 백업 주기에 따라 순차적으로 파기하며, 보존 구간에서는 접근을 엄격히 통제합니다.
제13조 (제3자 제공)
- 서비스는 이용자 개인정보를 제3자에게 판매하거나 임의로 이전하지 않습니다.
- 다만 법령상 요구, 적법한 절차의 수사 협조, 긴급한 생명·신체 보호 필요가 있는 경우 최소 범위 내 제공할 수 있습니다.
- 제공이 필요한 경우 가능한 범위에서 제공 목적, 항목, 보유기간을 사전에 또는 사후에 안내합니다.
제14조 (처리위탁)
- 운영자는 인증, 호스팅, 모니터링, 장애 대응, 알림 발송 등 업무를 외부 수탁자에게 위탁할 수 있습니다.
- 수탁자 선정 시 보안성, 신뢰성, 장애 대응 능력, 계약상 보호조항의 충분성을 종합적으로 검토합니다.
- 수탁자는 위탁받은 업무 범위를 넘어 개인정보를 이용할 수 없으며, 운영자는 계약 및 점검을 통해 이를 관리합니다.
제15조 (국외 이전 가능성)
- 클라우드 인프라 구성, 백업 위치, 모니터링 시스템 운영 구조에 따라 개인정보가 국외에서 처리될 수 있습니다.
- 국외 처리 시에도 본 방침의 안전성 확보 조치, 접근통제 기준, 보유·파기 원칙은 동일하게 적용됩니다.
- 국외 이전 또는 처리 구조가 중대하게 변경되는 경우 운영자는 공지 문서를 통해 변경 사항을 안내합니다.
제16조 (자동화된 의사결정 및 탐지)
- 서비스는 보안 목적의 자동화된 탐지 로직을 적용하여 비정상 요청, 반복 실패, 트래픽 이상을 감지할 수 있습니다.
- 자동화 조치 결과 계정 또는 기능이 제한된 경우, 이용자는 이의 제기를 통해 수동 검토를 요청할 수 있습니다.
- 자동화 처리는 보안·안정성 목적 범위에서만 사용되며, 임의의 차별적 판단을 목적으로 하지 않습니다.
제17조 (쿠키 및 유사기술)
- 로그인 유지, 요청 위변조 방지, 사용자 세션 보호를 위해 쿠키 또는 브라우저 저장소를 사용할 수 있습니다.
- 이용자는 브라우저 설정을 통해 저장소 사용을 차단하거나 삭제할 수 있습니다.
- 저장소 차단 시 자동 로그인, 세션 복구, 일부 개인화 기능이 제한될 수 있습니다.
제18조 (아동 및 법정대리인)
- 법령상 특별 보호가 필요한 연령의 이용자 정보는 관련 규정에 따라 추가 보호 조치를 적용합니다.
- 필요 시 법정대리인 동의 확인 또는 권리행사 대리 절차를 요구할 수 있습니다.
- 아동 관련 분쟁이 발생한 경우 사실 확인을 위해 추가 증빙 자료 제출을 요청할 수 있습니다.
제19조 (이용자 권리)
- 이용자는 개인정보 열람, 정정, 삭제, 처리정지, 동의 철회, 이의 제기 등 권리를 행사할 수 있습니다.
- 운영자는 요청의 적법성 및 본인 여부를 확인한 뒤, 법령상 예외가 없는 범위에서 지체 없이 조치합니다.
- 권리 행사가 반복적이거나 과도하여 타 이용자의 권리 또는 시스템 안정성에 중대한 영향을 주는 경우, 법령 범위에서 제한될 수 있습니다.
제20조 (권리 행사 방법)
- 권리행사는 서비스에 공지된 지원 채널로 접수할 수 있으며, 요청 목적과 범위를 구체적으로 기재해야 합니다.
- 본인 확인을 위해 계정 식별정보, 회신 가능한 연락수단, 필요한 경우 추가 확인 자료를 요청할 수 있습니다.
- 운영자는 접수 순서, 사안 복잡도, 법령 검토 필요성을 고려하여 합리적 기간 내 결과를 통지합니다.
제21조 (계정 해지 및 삭제 요청)
- 이용자는 계정 해지 또는 개인정보 삭제를 요청할 수 있으며, 해지 시 일부 기능 접근이 즉시 중단됩니다.
- 분쟁 대응, 보안 조사, 법적 의무 이행을 위해 필요한 정보는 별도 분리 보관될 수 있습니다.
- 삭제 요청이 완료된 후에도 백업 주기상 일정 기간 복구 불가 구간에서 잔존할 수 있으나, 해당 데이터는 운영 목적으로 재이용되지 않습니다.
제22조 (안전성 확보 조치)
1. 기술적 조치
- TLS 기반 암호화 통신, 인증 토큰 검증, 세션 만료 정책을 적용합니다.
- 요청 빈도 제한, 접근제어, 관리자 권한 분리, 비정상 트래픽 차단 정책을 운영합니다.
- 로그 수집, 오류 추적, 침해 징후 탐지 및 알림 체계를 통해 사고 대응 시간을 단축합니다.
2. 관리적 조치
- 최소 권한 원칙, 역할 기반 접근통제, 내부 승인 절차를 적용합니다.
- 운영 변경 이력 및 관리자 작업 기록을 보관하여 사후 감사가 가능하도록 합니다.
- 정기 점검과 정책 보완을 통해 보안 수준을 지속 개선합니다.
제23조 (접근권한 관리)
- 개인정보 접근은 업무상 필요가 있는 인원으로 제한되며, 권한은 최소 수준으로 부여됩니다.
- 권한 부여·변경·회수 이력을 기록하고, 장기 미사용 권한은 정기적으로 회수합니다.
- 고위험 작업은 이중 검토 또는 승인 절차를 통해 오남용 가능성을 낮춥니다.
제24조 (침해사고 대응)
- 침해 의심 징후가 발견되면 즉시 접근 차단, 로그 보전, 영향 범위 분석을 수행합니다.
- 필요 시 토큰 무효화, 비밀번호 재설정 안내, 기능 제한, 임시 점검 조치를 실시할 수 있습니다.
- 법령상 통지 의무가 있는 경우 이용자 및 관련 기관에 지체 없이 통지합니다.
제25조 (통계 활용 및 가명처리)
- 서비스 품질 개선과 운영 효율 분석을 위해 통계 데이터를 생성할 수 있습니다.
- 통계 분석 과정에서는 가명처리 또는 집계 데이터 형태를 우선 사용하여 개인 식별 가능성을 낮춥니다.
- 통계 결과는 기능 개선, 장애 예방, 정책 최적화 목적으로만 활용됩니다.
제26조 (기록 보존 및 증거 보전)
- 분쟁, 침해조사, 정책 위반 대응에 필요한 범위에서 관련 기록을 일정 기간 보전할 수 있습니다.
- 증거 보전은 목적 달성에 필요한 최소 범위로 제한되며, 보전 종료 후 즉시 파기 절차를 진행합니다.
- 보전 기록은 일반 운영 데이터와 분리하여 관리하고 접근권한을 제한합니다.
제27조 (정책 변경)
- 본 방침은 법령 개정, 서비스 기능 변화, 보안 환경 변화에 따라 수정될 수 있습니다.
- 중요 변경 사항은 시행 전 공지하고, 개정 사유와 시행일을 명확히 표시합니다.
- 경미한 문구 정리 또는 오탈자 수정은 즉시 반영될 수 있으며, 본질적 권리 의무 변경과 구분하여 안내합니다.
제28조 (공지 방법)
- 개인정보 관련 공지는 서비스 화면, 정책 문서 페이지, 운영 공지 채널을 통해 게시합니다.
- 중요 공지의 경우 이용자가 쉽게 인식할 수 있도록 별도 강조 표시 또는 고정 공지를 사용할 수 있습니다.
- 이용자의 공지 미확인으로 인한 불이익은 운영자가 책임지지 않을 수 있습니다.
제29조 (분쟁 처리 원칙)
- 개인정보 처리와 관련한 이의나 분쟁은 우선 고객지원 채널을 통해 사실관계를 확인하고 협의합니다.
- 운영자는 접수된 사안을 기록 기반으로 검토하여 처리 결과와 근거를 안내합니다.
- 협의로 해결되지 않는 경우에는 관련 법령과 이용약관의 분쟁 해결 조항을 따릅니다.
제30조 (문의처)
- 개인정보 열람·정정·삭제·처리정지 요청, 침해신고, 정책 문의는 서비스 운영 문의 채널로 접수할 수 있습니다.
- 문의 시 계정 식별정보, 요청 항목, 사실관계, 회신 가능 수단을 함께 제출하면 처리 속도를 높일 수 있습니다.
- 운영자는 접수 순서와 사안의 중대성에 따라 합리적 기간 내 회신합니다.
제31조 (약관과의 관계)
- 본 방침은 개인정보 처리에 특화된 규정이며, 이용약관과 함께 해석됩니다.
- 개인정보 영역에서 본 방침과 이용약관이 충돌하는 경우 본 방침을 우선 적용합니다.
- 그 외 서비스 이용 조건과 책임 범위는 이용약관이 정한 기준을 따릅니다.
제32조 (부칙)
본 개인정보처리방침은 2026년 2월 22일부터 적용됩니다. 본 문서는 일반적 운영 기준을 설명하기 위한 것이며, 개별 사건에 대한 맞춤형 법률자문을 제공하지 않습니다.
D-ONE HERO WTS (the "Service") recognizes personal data as sensitive operational information and processes it only to the extent necessary for account operation, service delivery, security controls, and dispute handling. This English text is provided for usability, while preserving the same policy structure and practical scope as the Korean policy.
Article 1 (Purpose)
This policy defines transparent processing standards to reduce ambiguity, protect users, and clarify the operator's accountability framework.
Article 2 (Definitions)
- "Personal Data" means information relating to an identified or identifiable person.
- "Processing" means collecting, storing, using, disclosing, and deleting data.
- "User" means any person using the service or support channels.
Article 3 (Scope)
This policy applies to web pages, APIs, authentication, administrative tools, logs, and support channels used for service operation.
Article 4 (Principles)
Purpose limitation, data minimization, retention limitation, and security safeguards are applied across the data lifecycle.
Article 5 (Data Categories)
Processed categories include account identifiers, simulation trading records, technical access logs, security logs, and support/dispute records.
Article 6 (Collection Methods)
Data is collected through OAuth linkage, user actions, security monitoring systems, and user-submitted support requests.
Article 7 (Processing Purposes)
Primary purposes are account security, feature delivery, abuse prevention, operational stability, legal compliance, and dispute handling.
Article 8 (Legal Basis)
Processing is based on contract performance, legal obligation, legitimate interests in security, and consent where applicable.
Article 9 (Consent and Withdrawal)
Users may withdraw consent where relevant; withdrawal may limit features that require related processing.
Article 10 (Retention Period)
Retention depends on processing purpose, legal obligations, security needs, and dispute response requirements.
Article 11 (Deletion Procedure)
After purpose fulfillment or retention expiry, records are queued and processed for deletion without undue delay.
Article 12 (Deletion Method)
Electronic data is securely erased or cryptographically rendered unrecoverable; paper records are physically destroyed.
Article 13 (Third-Party Disclosure)
Data is not sold and is disclosed only when legally required or urgently necessary in narrow, justified cases.
Article 14 (Outsourced Processing)
Vendors may support hosting, monitoring, and operations under contractual controls and least-privilege access rules.
Article 15 (Cross-Border Processing)
Data may be processed outside a user's jurisdiction depending on infrastructure design, under equivalent security controls.
Article 16 (Automated Security Decisions)
Automated detection may restrict suspicious activities; users can request review through support channels.
Article 17 (Cookies and Similar Tools)
Session/cookie-like technologies may be used for authentication integrity and service security continuity.
Article 18 (Minors)
Where required, additional safeguards and guardian verification procedures are applied for protected age groups.
Article 19 (User Rights)
Users may request access, correction, deletion, restriction, or objection, subject to verification and legal limits.
Article 20 (How to Exercise Rights)
Requests can be submitted through official support with account identifiers, request scope, and reply channel details.
Article 21 (Account Closure and Deletion)
Users may request closure or deletion; legally required or dispute-related records may be retained separately.
Article 22 (Security Controls)
Controls include encrypted transport, access control, role separation, anomaly monitoring, and operational hardening.
Article 23 (Access Governance)
Data access is limited to authorized personnel under least-privilege and audit-trail requirements.
Article 24 (Incident Response)
On incident suspicion, the service performs isolation, evidence preservation, impact analysis, and legal notice obligations.
Article 25 (Pseudonymization and Analytics)
Aggregated or pseudonymized data may be used to improve performance and reliability while reducing identifiability risk.
Article 26 (Record Preservation)
Records may be preserved for investigations and disputes only for the minimum period required by purpose or law.
Article 27 (Policy Changes)
This policy may be updated for legal, operational, or security reasons, with effective-date notices for material changes.
Article 28 (Notice Method)
Notices may be published in-service, through policy pages, or in official operational communication channels.
Article 29 (Dispute Handling)
Privacy disputes should first be raised through support to enable fact review and practical settlement efforts.
Article 30 (Contact)
Privacy inquiries and rights requests can be submitted through the official service support channel.
Article 31 (Relationship with Terms)
For privacy matters, this policy prevails over general terms where interpretation conflict exists.
Article 32 (Supplementary Provision)
This policy is effective as of February 22, 2026, and serves as a general operational privacy statement.