개인정보처리방침
스포츠위드(이하 "회사")는 「개인정보 보호법」을 비롯한 관련 법령을 준수하며, 정보주체의 개인정보 보호와 권익을 보호하기 위해 다음과 같이 개인정보처리방침을 수립·공개합니다.
본 처리방침은 SportsWith(이하 "서비스")의 이용과 관련된 개인정보 처리에 적용됩니다.
시행일자: 2026년 5월 25일 최종 개정일: 2026년 5월 25일 (코드 기반 데이터 인벤토리 정정 반영)
제1조 (개인정보의 처리 목적)
회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 외 용도로는 이용되지 않으며, 이용 목적이 변경될 때에는 사전 동의를 받습니다.
- 회원 가입 및 본인 확인
- 회원 가입 의사 확인 - 본인 식별 및 인증 - 회원자격 유지 및 관리 - 부정 이용 방지
- 펜싱 랭킹 서비스 제공
- 대한펜싱협회 공개 경기 결과 데이터 기반 랭킹 표시 - 선수 검색 및 본인 프로필 확인 - 시즌 점수 산정 및 표시
- 선수-부모-코치 연결
- 자녀-부모 매칭 및 법정대리인 동의 절차 (만 14세 미만 보호) - 코치-선수 연결 요청 및 승인 - 관련 알림 발송
- 서비스 운영 및 개선
- 서비스 안내 및 공지사항 전달 - 통계 분석 및 서비스 품질 개선 - 부정 이용 방지 및 분쟁 해결 - 보안 감사 (audit log)
제2조 (처리하는 개인정보 항목)
회사는 다음의 개인정보 항목을 처리하고 있습니다.
1. 회원 가입 및 운영 (users)
필수 항목
- 이메일 주소 (Supabase Auth)
선택 항목
- 사용자 역할 (athlete/parent/coach/admin) — 가입 후 온보딩 단계에서 선택, 기본값 없음
- 닉네임 (display_name) — Google 로그인 시 Google 프로필에서 자동 입력될 수 있음
- 전화번호
- 프로필 사진 URL (Google 로그인 시)
Google OAuth로 가입한 경우 Google로부터 수신
- 이메일 주소, 이름(프로필명), 프로필 사진 URL
- 위 정보는 Supabase Auth의
user_metadata에 저장되며, 회사는 이 외의 Google 계정 정보(연락처, Drive, Calendar 등)에 접근하지 않습니다.
2. 선수 정보 (athletes, athlete_name_history, athlete_affiliations)
대한펜싱협회 공개 데이터 기반 (PDF parser)
- 이름 (full_name) — 공개 화면에서는 만 14세 미만 미검증 선수의 경우 마스킹 처리 (예: 김◯)
- 출생 연도 (birth_year) — 공개 화면에 노출되지 않으며 내부 매칭에만 사용
- 성별, 종목 (사브르/플뢰레/에페)
- 카테고리: 전문선수(youth 초·중·고/university 대학) 또는 동호인(amateur)
- 손잡이 (hand), 외부 식별자 (external_id)
- 소속 (organizations: 학교/클럽), 연령부 (age_group)
- 과거 이름 이력 (athlete_name_history) — 개명 시 추가, append-only
본인 인증(self-claim) 시 추가 수집
- 생년월일 (birth_date) — 만 14세 판정 및 본인 식별 목적, 공개 화면에 노출되지 않음
- 본인 인증 정보: 인증 방식(parent_confirm/admin), 인증 일시, 소유 사용자 ID
- 상태(status): kfa_imported / self_claimed / admin_verified / archived
- 만 14세 미만 freeze 플래그(is_frozen) 및 사유(frozen_reason)
3. 부모-자녀 연결 정보
- 부모 사용자 ID
- 자녀 선수 ID
- 가족 관계 (어머니/아버지/보호자)
- 동의 일시 및 상태
4. 코치 정보 (coach_profiles)
- 소속명 (학교, 클럽)
- 자기소개 (bio, 최대 500자)
- 종목 (복수, sabre/foil/epee 부분집합)
- 소속 유형 (club/elementary/middle/high/university/pro_team)
- 직책 (coach/director/representative)
- 기타 메모 (최대 200자)
- ※ 수수료율 등 내부 운영 정보(commission_rate, commission_active)는 column-level 권한으로 외부에 공개되지 않으며 service_role 전용
5. 가입·관계·인증 부수 정보
- 초대(invitations): 무작위 초대 코드(12자), 초대자/대상 역할, 만료 일시(7일), 사용 일시·사용자
- 본인 인증 청구(athlete_claim_requests): 청구자 사용자 ID, 대상 선수 ID, 상태(pending/verified/rejected/admin_review), 청구자 역할(athlete/parent), 부모 사용자 ID, 검증 방식, 관리자 메모
- 부모-자녀 연결(parent_athlete_links): 부모 사용자 ID, 자녀 선수 ID, 가족 관계(mother/father/guardian), 상태(pending/confirmed/revoked), 초대 출처
- 코치-선수 연결(coaches_athletes): 코치/선수 ID, 상태, 개시 방향(coach/athlete), 승인자 경로
- 동명이인 동의 요청(result_attribution_requests): 결과 ID, 후보 선수 ID 배열, 응답(JSONB), 상태
6. 협회 공개 데이터 파싱 임시 정보 (athlete_match_candidates)
대한펜싱협회 공개 PDF를 파싱하여 기존 선수와 자동 매칭하는 과정에서 원본 텍스트를 임시 저장합니다.
- 원본 이름(raw_name), 출생연도(raw_birth_year), 소속명(raw_organization)
- 원본 연령부, 성별, 종목
- 매칭 후보 선수 ID 배열, 최종 해소 일시
- ※ 신규 선수 생성 또는 기존 선수 매칭이 완료되면 본 항목은 더 이상 갱신되지 않으며, 관리자 검수가 완료된 row는 정합화 처리됩니다.
7. 알림 발송 큐 (notifications)
- 수신자 사용자 ID
- 알림 유형 (new_result / attribution_request / invitation_received / claim_verified)
- 채널 (email)
- 템플릿 변수 (payload JSONB) — 수신자 이름·초대 링크 등 발송에 필요한 최소 정보
- 발송 일시, 읽음 일시
8. 감사 로그 (audit_logs)
서비스 부정 이용 방지 및 보안 감사 목적으로 다음을 기록합니다.
- 행위자 사용자 ID
- 액션 유형(19종): user.signup, role.select, claim.submit, claim.parent_auto_match, invite.create, invite.redeem, auth.logout, result.insert/edit/delete, match.edit, athlete.age_group_update, claim.match, coach.onboard, coach.invite, coach.accept, coach.decline, coach.remove, athlete.coach_invite
- 액션 컨텍스트 (JSONB metadata, 액션별 가변, 최소 수집 원칙)
- IP 주소 (best-effort, 최대 64자) —
x-forwarded-for/x-real-ip헤더에서 추출, 위·변조 가능성으로 인해 포렌식·법적 증거용으로 사용되지 않습니다. - User-Agent (best-effort, 최대 512자)
- 발생 시각
- ※ append-only(수정·삭제 불가), service_role 전용 접근
9. 자동 수집 정보
- 서비스 이용 기록 (페이지뷰, 클릭, 이벤트)
- 접속 기기 정보 (User-Agent) — 감사 로그(audit_logs)에 best-effort 저장
- 접속 IP 주소 — 감사 로그(audit_logs)에 best-effort 저장. 그 외에는 Rate Limit 키 용도로 일시 사용되며 영구 저장되지 않습니다.
- 쿠키 및 세션 정보 (아래 10 참조)
- 유입 경로 (UTM 파라미터, GA4)
10. 쿠키 및 브라우저 저장소
sb-*-auth-token— Supabase 인증 세션 (HTTP-only, Secure, SameSite=Lax) [필수]sw_feedback_seen— 베타 안내 1회 표시용 (1년) [선택]sw_attribution— 유입 경로 분석을 위한 sessionStorage 항목. 탭을 닫으면 소멸. 저장 필드:acq_source,acq_medium,acq_campaign,acq_content,acq_term,acq_gclid(Google 광고 클릭 ID),acq_fbclid(Facebook 광고 클릭 ID),acq_referrer(외부 유입 경로),captured_at- GA4 / Google Tag Manager / Contentsquare 가 자체적으로 설정하는 쿠키 — 이용자 분석 목적
회사는 사용자 추적 목적의 localStorage를 사용하지 않습니다.
제3조 (개인정보의 처리 및 보유 기간)
회사는 법령에 따른 개인정보 보유·이용기간 또는 정보주체로부터 동의받은 보유·이용기간 내에서 개인정보를 처리·보유합니다.
| 항목 | 보유 기간 | 근거 |
|---|---|---|
| 회원 정보 (이메일, 이름 등) | 회원 탈퇴 시까지 | 정보주체 동의 |
| 부모 동의 입증 자료 | 자녀 회원 탈퇴 시까지 | PIPA 시행령 |
| 부정 이용 기록 | 1년 | 부정 이용 방지 |
| 감사 로그 (audit_logs) | 3년 | 전자상거래법 |
| 협회 공개 경기 결과 | 영구 보유 | 협회 공개 데이터 |
| 본인 인증 정보 | 회원 탈퇴 시 즉시 삭제 | 정보주체 동의 |
탈퇴 시 처리:
- 회원 가입 정보, 본인 인증 정보, 쿠키 등은 지체 없이 삭제합니다.
- 단, 관계 법령에 의해 보존이 필요한 경우 해당 기간 동안 보관합니다.
- 협회 공개 경기 결과(이름, 소속, 순위, 점수)는 공개 데이터로 처리되며, 회원 탈퇴 후에도 협회 공개와 동일한 범위 내에서 보존됩니다. 본인 인증 정보(소유자 연결)만 삭제됩니다.
제4조 (만 14세 미만 아동의 개인정보 보호)
회사는 「개인정보 보호법」 제22조의2의 취지에 따라 만 14세 미만 아동의 개인정보 보호를 위해 다음과 같이 운영합니다.
- 만 14세 여부 판정
- 회원 가입(본인 인증, self-claim) 시 입력된 생년월일을 기준으로 만 14세 미만 여부를 자동 판정합니다.
- 만 14세 미만 안내 및 법정대리인 동의 절차
- 만 14세 미만으로 판정된 경우, 회원에게 법정대리인 동의를 권장하는 안내가 표시됩니다. - 법정대리인은 회원이 발송한 초대 코드를 통해 부모 회원으로 가입하여 자녀 연결을 확인할 수 있으며, 이로써 본 약관 및 본 처리방침에 대한 법정대리인 동의가 완료됩니다. - 법정대리인 동의 완료 시 verified 배지가 부여되며, 향후 추가될 유료·결제·이벤트 신청 기능이 활성화됩니다.
- 본인 인증 후 법정대리인 미확인 시
- 본인 인증(self-claim) 후 7일 이내 법정대리인의 확인이 완료되지 않으면, 해당 선수 프로필의 소유자 연결(owner)이 자동 해제되어 unowned 상태로 복귀합니다. - 회원 본인은 언제든지 다시 본인 인증을 시도할 수 있습니다.
- 만 14세 미만 보호 조치
- 만 14세 미만 선수의 생년월일은 내부 만 나이 판정에만 사용되며 공개 화면에 노출되지 않습니다. - 만 14세 미만 미인증 선수의 경우 공개 화면에서 이름의 일부가 마스킹 처리됩니다(예: 김◯). - 보호가 필요하다고 판단되는 일부 선수 프로필에 대해 회사는 freeze 처리를 적용하여 외부의 임의 변경(코치 연결, 프로필 수정 등 일부 동작)을 제한할 수 있습니다.
- 법정대리인 정보
- 수집 항목: 이메일 주소, (선택) 닉네임, 가족 관계(어머니/아버지/보호자) - 보유 기간: 자녀 회원 탈퇴 시까지 (동의 입증 목적) - 탈퇴 시 즉시 삭제
- 랭킹·H2H 등 협회 공표 데이터의 표시
- 대한펜싱협회가 공식적으로 공개한 경기 결과(이름, 소속, 순위, 점수, 매치 기록)는 본인 인증 여부와 무관하게 협회 공표 범위 내에서 표시됩니다. 다만 만 14세 미만 미인증 선수의 이름은 위 4항과 같이 마스킹됩니다.
- V0(초기 출시) 운영 안내 및 향후 강화 계획
- 본 정책은 V0(2026년 5월 기준 초기 출시) 운영 기준이며, 「개인정보 보호법」 제22조의2 에서 요구하는 법정대리인 동의 절차의 완전한 형태(예: 사전 동의 후 활성화, 동의 미응답 시 자동 삭제 등)는 향후 변호사 자문을 거쳐 단계적으로 강화됩니다. - 본인 또는 법정대리인은 언제든지 제8조에 따라 자녀 개인정보의 열람·정정·삭제·처리정지를 요청할 수 있습니다.
제5조 (개인정보의 제3자 제공)
회사는 정보주체의 개인정보를 제1조에서 명시한 목적 범위 내에서만 처리하며, 정보주체의 동의 없이는 본래의 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다.
다만, 다음의 경우에는 예외로 합니다.
- 정보주체로부터 별도의 동의를 받은 경우
- 법령에 특별한 규정이 있는 경우
- 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우
제6조 (개인정보 처리의 위탁)
회사는 원활한 서비스 제공을 위하여 다음과 같이 개인정보 처리업무를 외부 전문업체에 위탁하고 있습니다.
| 수탁자 | 위탁 업무 | 보관 지역 |
|---|---|---|
| Supabase Inc. | 인증, 데이터베이스, 실시간 통신 | 미국 (AWS 기반) |
| Resend Inc. | 이메일 발송 (부모 초대, 알림) | 미국 |
| Vercel Inc. | 웹 호스팅, Cron, Edge 컴퓨팅 | 글로벌 (Edge 분산) |
| Upstash Inc. | Rate limiting (Redis) | 미국 |
| Google LLC | Google Analytics 4 (이용 분석) | 미국 |
| Google LLC | Google Tag Manager | 미국 |
| Google LLC | Google OAuth (소셜 로그인) | 미국 |
| Contentsquare SA | 세션 분석, 히트맵 (Hotjar 후신) | 프랑스 / 글로벌 |
회사는 위탁 계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독 등을 명확히 규정하고 있습니다.
Supabase Auth 별도 로그: 인증 보안 목적으로 Supabase가 자체적으로 로그인 시도, IP, User-Agent 등을 별도 기록하며, 이는 Supabase 시스템 내에서만 관리됩니다.
제7조 (개인정보의 국외이전)
회사는 다음과 같이 개인정보를 국외로 이전하고 있습니다.
| 이전받는 자 | 국가 | 이전 항목 | 이전 일시 및 방법 | 보유 기간 |
|---|---|---|---|---|
| Supabase Inc. | 미국 (AWS 기반) | 회원 정보, athletes, audit_logs, 인증 세션 등 회사 데이터베이스 전체 | 회원 가입·로그인·서비스 이용 시 네트워크 전송 | 회원 탈퇴 시까지 (audit_logs 등은 본 처리방침 제3조 보유 기간) |
| Resend Inc. | 미국 | 수신자 이메일 주소, 메일 제목·본문 | 메일 발송 시 네트워크 전송 | Resend 보관 정책에 따름 (약 90일) |
| Vercel Inc. | 글로벌 (Edge 분산) | 요청 트래픽 로그 | 서비스 이용 시 자동 | Vercel 보관 정책에 따름 |
| Google LLC | 미국 | GA4 이벤트·페이지뷰·attribution(acq_*) 차원, OAuth 프로필(이메일·이름·사진 URL) | 페이지 접속·로그인 시 자동 | GA4 기본 보존 기간 (Google 정책에 따름) |
| Contentsquare SA | 프랑스 / 글로벌 | 페이지 인터랙션, 마우스/터치 동작, 폼 입력(비밀번호 등 민감정보 자동 마스킹), IP, User-Agent | 페이지 접속 시 자동 | Contentsquare 보관 정책에 따름 (약 30일) |
| Upstash Inc. | 미국 | 클라이언트 IP (rate limit 키 용도) | API 호출 시 자동 | Rate limit 윈도우 만료 시 즉시 소멸 (1분~1시간) |
국외이전 동의: 회원 가입 시 본 처리방침에 대한 동의를 통해 위 국외 이전에 동의한 것으로 봅니다. 동의를 거부하시면 서비스 이용이 제한됩니다.
제8조 (정보주체의 권리·의무 및 행사 방법)
정보주체는 회사에 대해 언제든지 다음과 같은 개인정보 보호 관련 권리를 행사할 수 있습니다.
- 개인정보 열람 요구
- 오류 등이 있을 경우 정정 요구
- 삭제 요구
- 처리정지 요구
행사 방법
- 이메일: gyuhoyoun@sportswithofficial.com
- 서비스 내 회원 탈퇴 기능 (계정 설정 페이지)
권리 행사는 법정대리인이나 위임을 받은 자 등 대리인을 통해서도 할 수 있습니다. 이 경우 위임장을 제출하셔야 합니다.
만 14세 미만 아동의 개인정보 관련 권리는 법정대리인이 행사합니다.
회사는 정보주체의 권리 행사 요청에 대해 지체 없이 조치합니다.
제9조 (개인정보의 파기)
회사는 원칙적으로 개인정보 처리목적이 달성된 경우에는 지체없이 해당 개인정보를 파기합니다.
- 파기 절차
- 불필요한 개인정보는 처리 목적 달성 후 즉시 파기합니다. - 다른 법령에 따라 보존되어야 하는 경우, 해당 법령의 보존 기간 종료 후 파기합니다.
- 파기 방법
- 전자적 파일 형태: 복구 및 재생이 불가능한 방법으로 영구 삭제 - 종이 문서: 분쇄 또는 소각
제10조 (개인정보의 안전성 확보 조치)
회사는 「개인정보 보호법」 제29조에 따라 다음과 같은 안전성 확보 조치를 취하고 있습니다.
- 관리적 조치
- 내부관리계획 수립·시행 - 정기적인 접근권한 검토
- 기술적 조치
- 개인정보 처리시스템 접근 권한 관리 (Row Level Security) - 비밀번호 암호화 (Supabase Auth 표준) - 접속 기록 보관·점검 (audit_logs) - 보안 프로그램 설치 및 갱신 - 만 14세 미만 데이터 freeze 처리
- 물리적 조치
- 외부 클라우드 사업자(Supabase, Vercel)의 보안 인증 활용 (SOC 2, ISO 27001)
제11조 (쿠키 및 분석 도구 사용)
회사는 서비스 제공을 위해 쿠키와 분석 도구를 사용합니다.
- 필수 쿠키 (서비스 운영 필수)
- 인증 세션 쿠키 (Supabase)
- 분석 쿠키 (이용 통계)
- Google Analytics 4 (Google의 기본 IP 처리 정책에 따라 수집) - Google Tag Manager (GA4 태그 라우팅) - Contentsquare / Hotjar (세션 리플레이, 비밀번호 등 민감 입력 필드 자동 마스킹)
- 쿠키 거부 권리
- 브라우저 설정에서 쿠키를 거부할 수 있습니다. - 단, 필수 쿠키를 거부하면 서비스 이용이 제한될 수 있습니다. - 분석 도구별 차단(opt-out)은 각 제공자의 안내에 따라 가능합니다.
제12조 (자동화된 의사결정에 대한 정보주체의 권리)
회사는 회원의 권리 또는 의무에 중대한 영향을 미치는 자동화된 의사결정을 운영하지 않습니다.
랭킹 점수 산정은 대한펜싱협회 공개 데이터에 기반한 객관적 알고리즘으로 처리됩니다.
제13조 (개인정보 보호책임자)
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
개인정보 보호책임자
- 성명: 윤규호
- 직책: 대표
- 이메일: gyuhoyoun@sportswithofficial.com
정보주체께서는 회사의 서비스를 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자에게 문의하실 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.
제14조 (정보주체의 권익침해에 대한 구제방법)
정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결이나 상담 등을 신청할 수 있습니다.
- 개인정보분쟁조정위원회: 1833-6972 (https://www.kopico.go.kr)
- 개인정보침해신고센터: 118 (https://privacy.kisa.or.kr)
- 대검찰청: 02-3480-3573 (https://www.spo.go.kr)
- 경찰청 사이버수사국: 182 (https://ecrm.cyber.go.kr)
제15조 (개인정보처리방침의 변경)
이 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 공지사항을 통하여 고지할 것입니다.
사용자에게 불리한 변경의 경우 30일 전에 공지하고 별도의 동의를 받을 수 있습니다.
회사 정보
- 상호: 스포츠위드
- 대표자: 윤규호
- 사업자등록번호: 294-30-02124
- 사업장 주소: 서울특별시 동작구 사당로16사길 4
- 업태/종목: 교육서비스업 / 기타 교육지원 서비스업
- 이메일: gyuhoyoun@sportswithofficial.com
- 웹사이트: https://sportswithofficial.com
시행일자: 2026년 5월 25일