데이터 처리 추가 계약서

최종 업데이트: 2026년 4월 9일

본 데이터 처리 추가 계약서("DPA")는 기존 계약을 보완합니다. APIANT 서비스 약관 본 계약(이하 "본 계약")은 Apiant, Inc.(이하 "APIANT", "당사", "우리")와 고객(이하 "고객", "귀하", "당신") 간에 체결되며, 고객의 MCP(Model Context Protocol) 서버 인프라를 통해 처리되는 데이터를 포함하여 서비스와 관련하여 APIANT가 고객을 대신하여 개인 데이터를 처리하는 방식에 적용됩니다.

본 데이터 처리 계약(DPA)은 APIANT가 고객을 대신하여 데이터 처리자(또는 미국 주 개인정보 보호법에 따라 서비스 제공업체)로서 개인 데이터를 처리하는 범위 내에서 적용됩니다. 본 DPA와 계약 사이에 충돌이 발생하는 경우, 개인 데이터 처리에 관해서는 본 DPA가 우선합니다.

1. 정의

"개인 정보" 이는 APIANT가 서비스를 통해 고객을 대신하여 처리하는 식별되거나 식별 가능한 자연인과 관련된 모든 정보를 의미합니다.

"처리 중" '작업'이란 개인 데이터에 대해 수행되는 모든 활동을 의미하며, 여기에는 수집, 기록, 구성, 저장, 수정, 검색, 조회, 사용, 공개, 결합, 제한, 삭제 또는 파기가 포함됩니다.

"하위 프로세서" 이는 APIANT가 고객을 대신하여 개인 데이터를 처리하기 위해 고용한 제3자를 의미합니다.

"데이터 보호법" 이는 유럽연합 일반 데이터 보호 규정(GDPR), 영국 GDPR, 캘리포니아 소비자 개인정보 보호법(CCPA) 및 캘리포니아 개인정보 보호 권리법(CPRA)에 의해 개정된 캘리포니아 소비자 데이터 보호법(VCDPA), 그리고 기타 모든 해당 미국 주 개인정보 보호법을 포함하여 데이터 개인정보 보호 및 데이터 보호와 관련된 모든 관련 법률 및 규정을 의미합니다.

"MCP 서버 인프라" 이는 고객이 자체 APIANT 인프라(고객의 도메인 이름 포함)에 배포하는 MCP 호환 서버를 의미하며, 고객의 최종 사용자는 이 서버를 통해 타사 AI 플랫폼과 상호 작용할 수 있습니다.

2. 범위 및 역할

2.1 본 서비스를 통해 처리되는 개인 데이터와 관련하여, 고객은 데이터 관리자(또는 해당되는 경우 사업체)이며 APIANT는 데이터 처리자(또는 해당되는 경우 서비스 제공업체)입니다.

2.2 APIANT는 고객의 문서화된 지침에 따라서만 개인 데이터를 처리합니다. 자동화 구성 및 고객의 MCP 서버 인프라를 통해 처리되는 데이터를 포함한 고객의 서비스 이용은 본 데이터 처리 계약(DPA)의 목적상 문서화된 지침에 해당합니다.

2.3 APIANT는 관련 법률에 따라 요구되는 경우를 제외하고는 서비스 제공 목적 이외의 다른 목적으로 개인 데이터를 처리하지 않습니다. 그러한 경우, APIANT는 법률에서 그러한 통지를 금지하지 않는 한, 처리 전에 고객에게 해당 법적 요구 사항을 알립니다.

3. 처리되는 데이터 범주

3.1 플랫폼 서비스

고객이 플랫폼을 직접 사용하는 경우, APIANT는 고객의 구성에 따라 다음과 같은 범주의 개인 데이터를 처리할 수 있습니다.

연락처 정보 (이름, 이메일 주소, 전화번호)
계정 자격 증명 및 인증 토큰
타사 애플리케이션 간에 전송되는 비즈니스 데이터
고객이 플랫폼을 통해 처리하기로 선택한 기타 모든 데이터

3.2 MCP 서버 인프라

고객의 MCP 서버 인프라를 통해 데이터가 처리될 때, 기본 플랫폼 제공업체인 APIANT는 다음과 같은 작업을 처리할 수 있습니다.

인증 자격 증명 (OAuth 2.0 토큰과 같은) 인증 정보는 고객의 MCP 서버에 대한 접근 권한을 확인하고 부여하는 데 사용됩니다.
툴 호출 매개변수AI 플랫폼이 고객의 MCP 서버로 전송하여 요청된 작업을 실행하는 구조화된 입력값
도구 호출 응답: 고객의 MCP 서버가 AI 플랫폼으로 반환하는 결과

APIANT는 ~ 아니다 AI 플랫폼과의 최종 사용자 대화 전문을 수신하거나 처리합니다. 요청된 작업을 실행하는 데 필요한 구조화된 도구 호출 데이터만 고객의 APIANT 기반 서버에서 처리됩니다.

4. 데이터 보존 및 삭제

4.1 APIANT는 고객이 조기 삭제를 요청하지 않는 한, 계약 기간 동안 서비스를 통해 처리된 개인 데이터를 보유합니다.

4.2 특히 MCP 서버 인프라를 통해 처리되는 데이터의 경우:

인증 토큰 세션이 지속되는 동안 메모리에 저장되며 연결이 끊어지면 유지되지 않습니다.
도구 호출 로그 (매개변수 및 응답)은 디버깅 및 운영 목적으로 최대 90일 동안 보관될 수 있으며 그 이후에는 자동으로 삭제됩니다.
사용자 프로필 없음 MCP 상호작용 데이터를 기반으로 구축되었습니다.

4.3 본 계약이 만료되거나 종료된 후 30일 이내에 APIANT는 관련 법률에 따라 보존이 요구되는 경우를 제외하고 보유 또는 관리하는 모든 개인 데이터를 삭제하거나 반환해야 합니다.

4.4 고객은 언제든지 연락하여 개인 데이터 삭제를 요청할 수 있습니다. privacy@apiant.comAPIANT는 법적 보존 의무를 준수하는 조건으로 30일 이내에 해당 요청에 응해야 합니다.

5. 고객 데이터 관련 교육 없음

APIANT는 ~ 아니다 개인 데이터, 사용자 데이터, 툴 호출 매개변수, 툴 호출 응답 또는 기타 고객 데이터를 사용하여 인공지능 모델, 머신러닝 모델 또는 모든 형태의 자동 의사 결정 시스템을 학습시키는 행위는 금지됩니다. 이는 플랫폼, MCP 서버 인프라 및 서비스의 기타 모든 구성 요소를 통해 처리되는 모든 데이터에 적용됩니다.

6. 서브프로세서

6.1 고객은 APIANT가 서비스 제공을 지원하기 위해 다음과 같은 하위 처리업체를 고용하는 것을 승인합니다.

서브프로세서	목적	위치
아마존 웹 서비스(AWS)	클라우드 인프라 및 호스팅	미국
리컬리	청구 및 결제 처리	미국
구글(구글 애널리틱스)	웹사이트 분석	미국
허브스팟	고객 관계 관리 및 커뮤니케이션	미국
스마트룩	세션 녹화 및 UX 분석 (웹사이트 데이터에 한함, 플랫폼 데이터는 제외)	EU (체코 공화국)
스플렁크	플랫폼 성능 모니터링 및 로깅	미국

6.2 APIANT는 본 데이터 처리 계약(DPA)을 업데이트하여 하위 처리자에 대한 변경 예정 사항을 고객에게 통지합니다. 고객은 APIANT에 연락하여 새로운 하위 처리자에 대해 이의를 제기할 수 있습니다. legal@apiant.com 통지일로부터 30일 이내.

6.3 APIANT는 본 데이터 처리 계약에 명시된 것보다 낮은 수준의 데이터 보호 의무를 부과하는 서면 계약을 각 하위 처리업체와 체결해야 합니다.

7. 보안 조치

APIANT는 개인정보 보호를 위해 다음과 같은 적절한 기술적 및 조직적 조치를 시행하고 유지합니다.

전송 중 암호화: APIANT 서버와의 모든 데이터 송수신(MCP 서버 통신 포함)은 HTTPS/TLS를 사용하여 암호화됩니다.
저장 데이터 암호화: APIANT의 인프라에 저장된 개인 데이터는 업계 표준 암호화를 사용하여 저장 시 암호화됩니다.
접근 제어: 개인 정보 접근은 필요에 따라 권한을 부여받은 직원으로 제한됩니다.
인증: 이 플랫폼은 인증된 접근이 필요합니다. MCP 서버 인프라는 OAuth 2.0 또는 그에 상응하는 인증 방식을 요구합니다.
모니터링: APIANT는 보안 사고 및 무단 접근을 감시하기 위해 시스템을 모니터링합니다.
사고 대응: APIANT는 사고 대응 절차를 유지하고 있으며, 개인정보 유출 사실을 인지하는 즉시 지체 없이(어떠한 경우에도 72시간 이내에) 고객에게 통지합니다.
하부 구조: 이 플랫폼은 SOC 2, ISO 27001 및 기타 업계 인증을 보유한 Amazon Web Services(AWS) 인프라에서 호스팅됩니다.

8. 정보 주체의 권리

8.1 APIANT는 고객이 관련 데이터 보호법에 따라 데이터 주체의 요청(접근, 정정, 삭제, 처리 제한, 데이터 이동 및 처리 거부 요청 포함)을 이행할 수 있도록 지원합니다.

8.2 APIANT는 법률에 의해 금지되지 않는 한, 고객을 대신하여 처리된 개인 데이터와 관련하여 데이터 주체로부터 직접 요청을 받는 경우, 해당 데이터 주체를 고객에게 즉시 연결하고 고객에게 요청 사실을 통지해야 합니다.

8.3 APIANT는 데이터 주체의 요청에 대응하는 데 있어 처리의 특성을 고려하여 고객에게 합리적인 협력과 지원을 제공해야 합니다.

9. 국제 데이터 전송

9.1 APIANT의 주요 인프라는 미국에 위치해 있습니다. 고객은 서비스를 이용함으로써 개인 데이터가 미국으로 전송되는 것에 동의하는 것입니다.

9.2 유럽 경제 지역(EEA), 영국 또는 스위스에서 미국으로의 개인 데이터 전송이 관련 데이터 보호법에 따라 제한된 전송에 해당하는 경우, 해당 전송은 유럽 위원회가 채택한 표준 계약 조항(SCC)(모듈 2: 컨트롤러에서 프로세서로)의 적용을 받으며, 이는 본 계약에 참조로 포함됩니다.

9.3 고객은 문의를 통해 해당 송금 메커니즘의 사본을 요청할 수 있습니다. legal@apiant.com.

10. CCPA 및 미국 주 개인정보 보호법 준수

10.1 APIANT가 CCPA 또는 기타 미국 주 개인정보 보호법의 적용을 받는 개인 데이터를 처리하는 경우, APIANT는 CCPA에서 정의하는 "서비스 제공업체" 또는 해당 주법에 따른 동등한 역할을 수행합니다.

10.2 APIANT는 고객으로부터 수집한 개인 데이터를 판매하거나 공유하지 않습니다(CCPA에 정의된 바와 같음).

10.3 APIANT는 서비스 제공 이외의 어떠한 목적(서비스 제공 이외의 상업적 목적 포함)으로도 개인 데이터를 보유, 사용 또는 공개하지 않습니다.

10.4 APIANT는 서비스 제공을 위해 관련 법률에서 허용하는 경우를 제외하고, 고객으로부터 수집한 개인 정보를 다른 출처에서 수집한 개인 정보와 결합하지 않습니다.

10.5 APIANT는 본 섹션 10에 명시된 제한 사항을 이해하고 준수할 것임을 보증합니다.

11. 감사

11.1 APIANT는 합리적인 요청이 있을 경우, 그리고 12개월 기간 동안 한 번을 초과하지 않는 범위 내에서, 본 DPA 준수를 입증하는 데 필요한 정보를 고객에게 제공합니다.

11.2 고객은 APIANT의 데이터 처리 활동에 대한 감사를 직접 수행하거나, 자격을 갖춘 제3자 감사인을 지정하여 감사를 수행할 수 있으며, 이를 위해서는 사전에 서면으로 30일 전에 통지해야 합니다. 이러한 감사는 정상적인 업무 시간 중에 실시되어야 하며, APIANT의 운영에 불필요한 지장을 초래해서는 안 됩니다. 감사에 소요되는 비용은 고객이 부담합니다.

12. 계약 기간 및 해지

본 데이터 처리 계약(DPA)은 계약 기간 동안 효력을 유지합니다. APIANT가 보유 또는 관리하는 개인 데이터와 관련하여 본 DPA에 따른 APIANT의 의무는 계약 종료 후에도 제4조에 따라 모든 개인 데이터가 삭제되거나 반환될 때까지 존속합니다.

13. 연락처

본 개인정보처리방침과 관련된 질문이나 요청 사항은 다음 연락처로 문의해 주십시오.

아피안트 주식회사
196 W 애슐랜드 스트리트, 도일스타운
도일스타운, 펜실베이니아주 18901
미국

이메일: privacy@apiant.com
합법적인: legal@apiant.com