본 개인정보 처리방침은 Gnomi App Corp(GNOMI)가 당사의 모바일 애플리케이션, gnomi.com 웹사이트 및 기타 온라인 또는 오프라인 제공물(총칭하여 서비스)을 통해 개인정보를 처리하는 것에 적용됩니다.

1. 본 개인정보 고지의 업데이트

당사는 때때로 본 개인정보 고지를 업데이트할 수 있습니다. 업데이트할 경우, 당사 웹사이트에 업데이트된 개인정보 고지를 게시하거나 기타 방법으로 알려드립니다.

2. 당사가 수집하는 개인정보

당사는 귀하가 제공하는 개인정보, 서비스 이용 시 자동으로 수집되는 개인정보, 그리고 제3자 출처에서 수집한 개인정보를 수집합니다.

A. 귀하가 직접 제공하는 개인정보

• 계정 정보: 사용자 이름, 이메일 주소, 비밀번호, 소재 국가 및 계정에 저장하는 기타 정보
• 프로필 정보: 이름, 직함, 자기소개, 연결된 소셜 미디어 계정, 성별 및 생일(비공개)
• 상호작용 기능: 메시징, 댓글 및 소셜 미디어 기능을 통해 제출하는 콘텐츠
• 구매: GNOMI Premium 구독을 위한 결제 정보
• 커뮤니케이션: 이메일이나 채팅 도구를 통해 당사에 보내는 정보
• 설문조사: 참여한 설문조사에서 제공한 정보
• 콘테스트: 경품 행사 또는 콘테스트에서 수집한 정보
• 이벤트: 컨퍼런스 및 전시회에서 수집한 정보
• 채용 지원: 채용에 지원할 경우 연락처 정보 및 이력서

B. 자동으로 수집되는 개인 정보

• 기기 정보: IP 주소, 사용자 설정, 쿠키 식별자, 브라우저 정보, 위치 정보
• 사용 정보: 방문한 페이지, 검색어, 콘텐츠 상호작용, 활동 빈도 및 지속 시간
• 쿠키 및 기술: 서비스 사용에 관한 정보를 수집하기 위한 쿠키, 픽셀 태그 및 웹 비콘

C. 제3자로부터 수집한 개인 정보

GNOMI를 소셜 미디어 계정(Reddit, LinkedIn, Meta, X)과 연결하거나 제3자 로그인 서비스를 사용할 때 제3자 서비스에서 개인 정보를 수집할 수 있습니다.

3. 개인 정보 사용 방법

A. 서비스 제공

• 귀하의 정보 관리 및 기능 접근 제공
• 고객 지원 및 커뮤니케이션
• 결제 처리
• 구직 지원서 처리

B. 서비스 개선 및 신제품 개발

• AI 및 머신 러닝 기술 훈련
• 서비스 개선 및 향상

C. 관리 목적

• 보안 및 사기 방지
• 분석 및 참여도 측정
• 품질 관리 및 안전
• 법적 준수

D. 마케팅

당사는 관련 법률이 허용하는 범위 내에서 이메일 캠페인을 통해 마케팅 메시지와 제안을 제공하기 위해 귀하의 개인 정보를 사용할 수 있습니다.

F. 자동화된 의사 결정

당사는 서비스와의 상호작용을 기반으로 맞춤형 콘텐츠를 제공하기 위해 프로파일링을 포함한 자동화된 의사 결정에 참여할 수 있습니다.

4. 개인 정보 공개 방법

A. 서비스 제공을 위한 공개

• 서비스 제공업체: AI/ML 서비스, 호스팅, 고객 서비스, 분석, 마케팅, IT 지원
• 다른 사용자: 귀하가 다른 GNOMI 사용자와 공유하기로 선택한 정보
• 제3자 서비스: 귀하가 연결하거나 상호작용하는 서비스
• 비즈니스 파트너: 서비스 제공을 위해 협력하는 파트너
• 계열사: 당사의 기업 계열사
• 광고 파트너: 무료 사용자의 경우, 타겟 광고를 위해 광고 파트너와 정보를 공유할 수 있습니다

B. 당사 또는 타인을 보호하기 위한 공개

당사는 법적 요청을 준수하고, 권리와 안전을 보호하며, 정책을 시행하거나 조사를 지원하기 위해 정보를 공개할 수 있습니다.

C. 사업 거래

귀하의 정보는 합병, 인수 또는 기타 기업 거래와 관련하여 공개될 수 있습니다.

5. 귀하의 개인정보 선택권 및 권리

귀하의 개인정보 선택권

• 이메일 커뮤니케이션: 이메일에 포함된 링크를 사용하여 구독 취소
• 문자 메시지: "STOP"으로 회신하여 수신 거부
• 모바일 기기: 푸시 알림 및 위치 설정 조정
• 쿠키: 브라우저 환경설정 조정(참고: 기능에 영향을 미칠 수 있음)
• 추적 금지: 당사는 DNT 신호에 응답하지 않습니다

귀하의 개인정보 권리

귀하는 다음과 같은 권리가 있을 수 있습니다:

• 당사가 귀하의 개인정보를 처리하고 있는지 확인
• 귀하의 개인정보에 대한 접근 또는 이동성 요청
• 귀하의 개인정보 수정 요청
• 귀하의 개인정보 삭제 요청
• 처리 제한 요청 또는 처리에 대한 이의 제기
• 타겟 광고, 판매 또는 프로파일링 거부
• 동의 철회

6. 개인정보의 국제 이전

개인정보는 전 세계 어디에서나 이전, 처리 및 저장될 수 있으며, 이는 데이터 보호법이 다른 국가들을 포함합니다. EU/UK로부터의 이전의 경우, 당사는 안전장치로 EU 표준계약조항을 사용할 수 있습니다.

7. 개인정보 보유

당사는 귀하가 서비스를 이용하는 동안, 또는 목적 이행, 서비스 제공, 분쟁 해결 및 법적 의무 준수에 필요한 기간 동안 개인정보를 저장합니다.

8. EU/UK GDPR에 관한 보충 고지

이 섹션은 EU 또는 영국 GDPR의 적용을 받는 개인정보에 적용됩니다. 경우에 따라 개인정보 제공이 법률이나 계약에 의해 요구될 수 있습니다. 필수 정보 제공을 거부할 경우 발생할 수 있는 결과에 대해 안내해 드립니다.

9. 아동의 개인정보

본 서비스는 16세 미만의 아동을 대상으로 하지 않으며, 당사는 의도적으로 아동의 개인정보를 수집하지 않습니다. 귀하의 자녀가 관련 법률을 위반하여 정보를 업로드했다고 생각되면 당사에 연락해 주십시오.

10. 프로모션 개인정보 고지

GNOMI App Corp. ("스폰서")는 참가자가 제출한 이름, 이메일 주소, 거주 국가 또는 주, 그리고 자격 확인 및 상품 전달에 필요한 정보를 포함한 개인정보를 수집하고 처리합니다. 이 정보는 프로모션 관리, 사기 방지, 자격 확인 및 상품 제공을 위해서만 사용됩니다.

유럽 경제 지역 또는 영국에 위치한 참가자의 경우, 스폰서는 계약 이행(프로모션 관리) 및 프로모션 운영 및 보안에 대한 스폰서의 정당한 이익에 근거하여 개인 데이터를 처리합니다. 참가자가 마케팅 커뮤니케이션을 수신하기로 선택한 경우, 처리는 동의에 기반합니다. 프로모션 참가는 마케팅 동의 제공을 조건으로 하지 않습니다.

스폰서는 프로모션 관리, 커뮤니케이션, 분석 및 상품 제공을 지원하기 위해 서비스 제공업체를 이용할 수 있습니다. 개인 데이터는 스폰서 또는 그 서비스 제공업체가 운영하는 미국 또는 기타 국가로 전송되어 처리될 수 있으며, 필요한 경우 적절한 법적 보호 조치가 적용됩니다.

개인 데이터는 프로모션 종료 후 최대 십이(12) 개월 동안 보관된 후 삭제되거나 익명화됩니다. 단, 법적 또는 규제 목적으로 더 오랜 보관이 필요한 경우는 예외입니다. 프로모션은 18세 이상 또는 해당 관할권의 성년 연령 이상인 개인만 참가할 수 있습니다.

적용 가능한 법률에 따라, 참가자는 자신의 개인 데이터에 대한 접근, 수정 또는 삭제 요청, 처리 제한 또는 이의 제기, 또는 데이터 이동성 요청 권리를 가질 수 있습니다. EEA 또는 영국의 참가자는 현지 데이터 보호 당국에 불만을 제기할 수도 있습니다. 미국 거주자는 해당 주법에 따라 추가적인 개인정보 보호 권리를 가질 수 있습니다.

개인 데이터에 관한 요청은 다음 주소로 제출할 수 있습니다: privacy@gnomi.com

11. 데이터 보유 및 폐기 정책

GDPR 및 적용 가능한 개인정보 보호법 준수 문서

2. GDPR 및 적용 가능한 개인정보 보호법 준수 성명

GNOMI는 GDPR이 GNOMI 처리 활동에 적용되는 경우를 포함하여 일반 데이터 보호 규정(GDPR)을 포함한 적용 가능한 데이터 개인정보 보호 및 데이터 보호법 준수를 지원하기 위해 정의되고 시행되는 본 데이터 보유 및 폐기 정책을 유지합니다. 본 정책은 저장 제한, 데이터 최소화, 목적 제한, 무결성 및 기밀성, 책임성, 그리고 정보주체의 삭제 및 제한 요청의 합법적 처리를 포함한 GDPR 정렬 보유 및 폐기 원칙을 운영화하도록 설계되었습니다.

GNOMI의 보유 및 폐기 통제는 법률, 규제, 계약, 보안, 사기 방지, 회계, 감사, 분쟁 해결 또는 정당한 사업 목적을 위해 지속적인 보유가 필요한 경우를 제외하고, 개인 데이터가 수집되거나 합법적으로 처리되는 목적에 필요한 기간보다 오래 보유되지 않도록 보장하기 위한 것입니다.

GNOMI가 Plaid 또는 유사한 제공업체를 통해 사용자 승인 금융 계좌 또는 포트폴리오 정보를 처리하는 경우, GNOMI는 승인된 기능 제공, 보안 유지, 계약 의무 이행, 사기 방지 및 적용 가능한 법률 준수에 필요한 기간으로 금융 통합 데이터의 보유를 제한하도록 설계된 보유 및 폐기 통제를 적용합니다.

3. 범위

본 정책은 GNOMI 또는 GNOMI를 대신하여 행동하는 제3자 서비스 제공업체가 수집, 처리, 저장, 전송 또는 유지하는 모든 데이터에 적용됩니다. 여기에는 프로덕션 시스템, 클라우드 서비스, 애플리케이션 데이터베이스, 사용자 계정 시스템, 금융 통합 시스템, 포트폴리오 분석 시스템, AI 생성 금융 인텔리전스 시스템, 금융 분석 시스템, Plaid 통합, 증권 계좌 통합, 은행 통합, 보안 로그, 분석 환경, 고객 지원 도구, 공급업체 플랫폼, 기업 기록, 백업 및 재해 복구 시스템이 포함됩니다.

본 정책은 GNOMI를 대신하여 데이터를 생성, 액세스, 관리, 저장, 처리, 전송, 보유, 삭제 또는 폐기하는 GNOMI 직원, 계약자, 컨설턴트, 서비스 제공업체 및 기타 승인된 인력에게 적용됩니다.

4. 정책 성명

GNOMI는 서비스를 제공하고 개선하며, 승인된 사용자 기능을 지원하고, 보안을 유지하며, 계약 및 법적 의무를 이행하고, 사업 운영을 수행하며, GNOMI, 파트너 및 사용자를 보호하는 데 필요한 기간 동안만 데이터를 보유합니다. 데이터가 더 이상 필요하지 않을 때, GNOMI는 적절한 관리적, 기술적 및 절차적 통제를 사용하여 이를 삭제, 익명화, 집계 또는 안전하게 폐기합니다.

보유 기간은 데이터 유형, 처리 목적, 사용자 관계, 법적 근거, 사업 필요성, 계약 의무, 규제 요구사항 및 보안 요구사항을 기반으로 합니다. GNOMI는 보유 및 폐기 관행이 사업, 제품, 시스템, 공급업체 및 적용 가능한 개인정보 보호 의무에 적합한지 확인하기 위해 주기적으로 검토합니다.

GNOMI는 포트폴리오 분석, 다각화 분석, 포트폴리오 감정 생성, AI 생성 금융 인사이트, 사기 방지 및 통합 지원을 포함하여 사용자가 요청한 승인된 금융 인텔리전스 기능을 제공하는 데 필요한 기간 동안만 사용자 승인 금융 통합 데이터를 보유합니다.

5. GDPR 정렬 보유 원칙

• 저장 제한: GNOMI는 법률, 계약, 보안, 분쟁 해결, 감사, 회계 또는 규정 준수 요구사항에 의해 더 긴 보유가 정당화되지 않는 한, 관련 처리 목적에 필요한 기간 동안만 개인 데이터를 보유합니다.
• 데이터 최소화: GNOMI는 보유된 데이터를 관련 사업, 제품, 보안, 법률 또는 규정 준수 목적에 합리적으로 필요한 것으로 제한합니다.
• 목적 제한: GNOMI는 데이터가 수집되거나 합법적으로 처리된 목적을 기반으로 보유를 평가합니다.
• 무결성 및 기밀성: GNOMI는 적절한 액세스 통제, 최소 권한 허가, 모니터링 및 안전한 처리 관행으로 보유된 데이터를 보호합니다.
• 책임성: GNOMI는 보유 및 폐기 결정에 대한 소유권, 검토 및 시행 책임을 유지합니다.
• 정보주체 권리: GNOMI는 적용 가능한 개인정보 보호법 및 합법적 예외에 따라 적용 가능한 삭제, 정정, 제한 및 반대 요청을 처리합니다.
• 사용자 승인 제한: 금융 통합 데이터는 사용자가 승인한 기간 및 목적과 적용 가능한 합법적 처리 근거에 의해 지원되는 범위 내에서만 보유 및 처리됩니다.

6. 데이터 분류

GNOMI는 민감도, 처리 목적, 적용 가능한 의무 및 운영 사용을 기반으로 데이터를 분류합니다. 보유 및 폐기 통제는 데이터의 성격과 데이터가 존재하는 시스템에 따라 적용됩니다.

• 고객 및 사용자 데이터: 계정 관련 정보, 사용자 프로필 정보, 환경설정, 제품 사용 데이터, 지원 커뮤니케이션 및 서비스 관련 기록.
• 금융 연결 데이터: 사용자가 승인한 증권 계좌 데이터, 은행 관계 데이터, 포트폴리오 보유 자산, 거래 메타데이터, 투자 계좌 메타데이터, 잔액, 금융 기관 식별자, 금융 통합 자격 증명 또는 토큰, AI 생성 금융 인사이트, 포트폴리오 분석 결과물 및 Plaid 또는 유사한 금융 통합 제공업체를 통해 처리된 관련 정보.
• AI 생성 금융 인텔리전스 데이터: 포트폴리오 감정 분석, 분산 투자 분석, 금융 요약, 계정 수준 AI 결과물 및 승인된 금융 통합으로부터 생성된 관련 사용자별 금융 인텔리전스.
• 보안 및 운영 로그: 인증 기록, 접근 로그, 감사 로그, 모니터링 데이터, 시스템 활동 로그 및 사고 대응 기록.
• 비즈니스 및 관리 데이터: 계약서, 공급업체 기록, 청구 기록, 기업 기록, 법적 기록, 세무 기록 및 내부 운영 문서.
• 집계, 익명화 또는 식별 불가능 처리된 데이터: 식별 가능한 개인과 합리적으로 연결되지 않는 분석, 제품 개선 데이터 및 보고 데이터.

7. 보유 일정

GNOMI는 아래 범주에 따라 보유 기간을 적용합니다. 특정 기간은 법률, 계약, 보안 필요, 기술 시스템 요구사항 또는 승인된 비즈니스 필요에 따라 조정될 수 있습니다. 특정 보유 기간이 법적으로 요구되지 않는 경우, GNOMI는 해당 목적에 필요한 기간 동안만 데이터를 보유한 후 삭제, 익명화 또는 안전하게 폐기합니다.

데이터 범주	주요 목적	보유 기준	폐기 방법
계정 및 사용자 프로필 데이터	계정 운영, 인증, 사용자 지원, 서비스 제공	계정이 활성 상태인 동안 보유하며, 보안, 사기 방지, 법적, 감사 또는 지원 목적으로 필요한 경우 계정 폐쇄 후 제한된 기간 동안 보유합니다.	삭제, 익명화 또는 활성 시스템에서의 안전한 제거.
사용자 승인 금융 통합 데이터	승인된 금융 인텔리전스 기능 제공, 사용자 요청 기능, 통합 지원 및 보안	사용자가 승인된 금융 연결을 유지하는 동안 또는 승인된 금융 인텔리전스 기능을 제공하고, 보안을 유지하며, 사기를 방지하고, 합법적인 사업 운영을 지원하며, 계약상 의무를 이행하거나, 법적 및 규제 요구사항을 충족하는 데 필요한 동안만 보유합니다. 취소, 연결 해제, 만료 또는 비활성 통합은 운영 및 법적 요구사항에 따라 삭제, 비활성화, 익명화 또는 토큰 취소됩니다.	활성 시스템에서의 삭제, 안전한 토큰 취소, 익명화, 법적으로 요구되는 경우 제한적 보관 보유 또는 안전한 폐기.
AI 생성 금융 인사이트 및 포트폴리오 분석	포트폴리오 인텔리전스, 분산 분석, 감정 분석, AI 채팅 기능, 사용자 요청 분석	연관된 사용자 계정이 활성 상태로 유지되고 기능이 활성화된 동안 보유하며, 삭제 요청, 보안 요구사항, 법적 의무 및 운영상 필요에 따릅니다	삭제, 익명화, 집계 또는 안전한 폐기
지원 및 커뮤니케이션 기록	고객 지원, 문제 해결, 품질 보증 및 규정 준수	요청을 해결하고, 서비스 기록을 유지하며, 사업 또는 법적 요구사항을 지원하는 데 필요한 기간 동안 보유합니다.	만료 시 삭제 또는 안전한 보관 폐기.
보안, 접근 및 감사 로그	보안 모니터링, 사기 방지, 사고 탐지, 접근 검토, 감사 및 시스템 무결성	보안 목적, 시스템 요구사항 및 법적 또는 계약상 의무에 적합한 기간 동안 보유합니다.	예정된 만료, 안전한 제거 또는 제한적 보관 폐기.
청구, 세금, 기업 및 법적 기록	회계, 세금, 기업 지배구조, 감사, 계약 관리 및 법적 준수	해당 법률, 감사 기준, 계약 또는 기업 지배구조 요구사항에 따라 요구되는 기간 동안 보유합니다.	법적 또는 사업상 필요 만료 후 안전한 폐기.
집계, 익명화 또는 식별 불가 처리된 데이터	분석, 제품 개선, 연구, 보고 및 비즈니스 인텔리전스	데이터가 합리적으로 식별 가능하지 않고 해당 법률에 따른 개인 데이터 범위를 벗어나는 경우 더 긴 기간 동안 보유될 수 있습니다.	지속적 사용, 추가 집계 또는 더 이상 필요하지 않을 때 폐기.
백업 및 재해 복구 데이터	비즈니스 연속성, 보안 복구 및 시스템 복원	백업 수명 주기 일정에 따라 보유하며, 법적 보존 대상이 아닌 한 정상적인 백업 순환을 통해 덮어쓰기 또는 제거됩니다.	예정된 덮어쓰기, 만료 또는 안전한 파기.

8. 데이터 삭제 및 안전한 폐기 절차

GNOMI는 관리적, 기술적, 절차적 통제를 통해 데이터 삭제 및 폐기를 시행합니다. 폐기 방법은 데이터 유형, 시스템, 민감도, 보존 요구사항 및 기술적 실행 가능성에 따라 선택됩니다.

• 데이터가 더 이상 필요하지 않을 때 활성 프로덕션 시스템에서 삭제 또는 제거.
• GNOMI가 합리적으로 식별 가능한 개인 데이터를 보유하지 않고 분석 또는 제품 인사이트를 보존해야 하는 경우 익명화 또는 집계.
• 법적 보존, 보안, 감사, 회계, 분쟁 해결 또는 기술적 제약으로 인해 삭제가 일시적으로 제한되는 경우 데이터의 제한 또는 비활성화.
• 승인된 삭제, 파기 또는 접근 권한 취소 프로세스를 사용한 기록 및 내보내기의 안전한 폐기.
• GNOMI를 대신하여 데이터가 처리되는 경우 보존 및 폐기 의무가 운영화되었는지 확인하기 위한 시스템 및 공급업체 검토.
• 통합이 연결 해제, 만료 또는 더 이상 필요하지 않을 때 Plaid 접근 토큰, OAuth 자격 증명, API 자격 증명 및 관련 통합 비밀의 취소 및 삭제.
• 관련 기본 금융 통합이 취소되거나 삭제된 경우 AI 생성 금융 인사이트의 삭제 또는 익명화, 단 별도로 보존이 요구되는 경우는 예외.

9. GDPR 데이터 주체 요청 및 계정 폐쇄

GDPR 또는 기타 적용 가능한 개인정보 보호법이 적용되는 경우, GNOMI는 접근, 정정, 삭제, 제한, 반대 및 이동성과 관련된 데이터 주체 요청을 적용 가능한 법적 요구사항 및 합법적 예외에 따라 처리합니다. GNOMI는 요청자의 신원, 데이터의 성격, 적용 가능한 법적 근거, 시스템 요구사항 및 데이터 보존에 대한 합법적 의무를 기반으로 요청을 평가합니다.

검증된 계정 폐쇄 또는 검증된 삭제 요청 시, GNOMI는 법적, 규제적, 계약적, 보안, 사기 방지, 회계, 감사, 분쟁 해결 또는 정당한 사업 목적을 위해 보존이 요구되거나 허용되지 않는 한 활성 시스템에서 해당 개인 데이터를 삭제, 익명화 또는 제한합니다. 백업에서 데이터를 즉시 삭제할 수 없는 경우, 일반적인 사용으로부터 보호되며 해당 백업 수명 주기를 통해 제거됩니다.

기술적으로 실행 가능하고 법적으로 허용되는 경우, GNOMI는 금융 통합 연결 해제, 금융 접근 토큰 취소, 관련 포트폴리오 분석 데이터 삭제 및 사용자 승인 금융 통합과 관련된 AI 생성 금융 인사이트 제거에 대한 검증된 요청을 처리합니다.

10. 법적 보존 및 보존 예외

GNOMI는 데이터가 법적 보존, 분쟁, 조사, 규제 요청, 감사 요구사항, 보안 사고, 계약 의무, 회계 의무 또는 기타 합법적 사업 요구사항의 대상이 될 때 정상적인 보존 또는 삭제 일정을 중단할 수 있습니다. 법적 보존 또는 승인된 예외의 대상이 되는 데이터는 예외가 적용되는 기간 동안만 보존되며 이후 해당 보존 및 폐기 프로세스로 반환됩니다. 보안, 사기 방지, 악용 방지, 분쟁 해결, 감사, 규제 검토 또는 기타 합법적 준수 의무는 금융 통합 기록 또는 보안 관련 금융 메타데이터의 제한적 지속 보존을 요구할 수 있습니다.

11. 공급업체, 처리자 및 제3자 시스템

GNOMI가 데이터를 저장하거나 처리하기 위해 제3자 서비스 제공업체를 사용하는 경우, GNOMI는 공급업체 검토, 해당되는 경우 계약 의무 및 운영 통제를 통해 적절한 보존 및 폐기 처리를 요구합니다. 처리자 또는 서비스 제공업체로 활동하는 제공업체의 경우, GNOMI는 보존, 삭제, 기밀성, 보안 및 지원 의무가 해당 계약, 데이터 처리 조건 또는 공급업체 통제에서 다루어질 것을 기대합니다.

GNOMI는 서비스의 성격, 데이터의 민감도 및 적용 가능한 개인정보 보호 및 보안 요구사항에 적합하게 공급업체 데이터 처리 관행을 검토합니다. GNOMI가 공급업체 또는 처리자가 보유한 데이터에 적용되는 검증된 삭제 요청을 받는 경우, GNOMI는 합법적 예외를 조건으로 해당 공급업체 워크플로를 통해 삭제, 제한 또는 익명화 요청을 전달하거나 실행하기 위한 합리적인 조치를 취합니다.

GNOMI는 Plaid 및 기타 금융 통합 제공업체에 대해 적절한 계약적, 개인정보 보호, 보안, 보존, 삭제, 기밀성 및 규제 준수 통제를 평가합니다.

필요한 경우, GNOMI는 금융 통합 데이터와 관련된 국경 간 처리를 위해 GDPR 준수 데이터 전송 보호 조치를 구현합니다.

12. 백업 및 재해 복구

백업 또는 재해 복구 시스템에 포함된 데이터는 활성 프로덕션 시스템에서 삭제된 후 제한된 기간 동안 지속될 수 있습니다. 백업 데이터는 무단 접근으로부터 보호되며 수명 주기 통제, 보존 일정 및 예정된 덮어쓰기 또는 삭제의 대상이 됩니다. GNOMI는 보안, 재해 복구, 법적 또는 운영상 필요를 위해 복원이 요구되는 경우를 제외하고 해당 삭제 요청 후 일반적인 사업 처리를 위해 백업 데이터를 사용하지 않습니다. 백업 시스템 내에 보존된 금융 통합 데이터 및 AI 생성 금융 인사이트는 접근 제한, 암호화 통제, 수명 주기 관리 및 안전한 덮어쓰기 절차의 대상으로 유지됩니다.

13. 시행 및 책임

GNOMI 경영진, 보안, 엔지니어링, 제품, 운영 및 준수 담당자는 각자의 책임 영역 내에서 본 정책을 적용할 책임이 있습니다. 직원 및 계약자는 승인된 보존, 삭제, 접근 통제 및 폐기 절차를 따라야 합니다. 승인된 프로세스 외부에서 데이터의 무단 보존, 내보내기, 복사 또는 폐기는 금지됩니다.

14. 정기 검토

본 정책은 최소 연 1회 및 GNOMI의 제품, 시스템, 공급업체, 데이터 처리 활동, 법적 요구사항, 계약 의무 또는 보안 태세에 중대한 변경이 있을 때 검토됩니다. 검토는 보존 기준, 폐기 절차, GDPR 정렬 관행, 공급업체 통제 및 운영 시행이 적절하고 효과적으로 유지되는지 확인하기 위한 것입니다. 검토는 새로운 금융 통합 기능, AI 금융 분석 기능, 포트폴리오 분석 시스템, Plaid 통합 변경 및 진화하는 개인정보 보호 또는 금융 데이터 의무를 고려해야 합니다.

15. 준수 확인

GNOMI는 데이터 보존, 삭제 및 폐기를 위한 활성 회사 문서로 본 정책을 유지합니다. 본 정책은 해당되는 경우 GDPR을 포함한 적용 가능한 데이터 개인정보 보호법 준수를 지원하고 GNOMI가 데이터를 보존, 삭제, 익명화 및 폐기하는 방법에 대한 정의되고 시행 가능한 프레임워크를 제공하도록 설계되었습니다.

16. 승인

GDPR 정렬 보존 및 삭제 관행을 포함한 데이터 보존 및 폐기에 대한 활성 회사 정책으로 GNOMI 경영진이 승인했습니다.

12. 정보 보안 정책

GDPR 및 적용 가능한 개인정보 보호법 통제 포함

2. 적용 범위

본 정책은 모든 GNOMI 직원, 창립자, 임원, 계약자, 컨설턴트, 서비스 제공업체, 공급업체, 시스템, 애플리케이션, 클라우드 환경, 데이터베이스, 소스 코드 저장소, 프로덕션 자산, 기업 장치, 사용자 데이터, 파트너 데이터 및 GNOMI 제품 및 서비스를 제공하는 데 사용되는 기타 모든 정보 자산에 적용됩니다.

본 정책은 사용자 승인 증권 중개 계정 데이터, 은행 관계 데이터, 포트폴리오 보유 자산, 거래 메타데이터, 금융 통합 토큰, AI 생성 포트폴리오 분석 및 금융 인텔리전스 출력을 포함하여 회사, 고객, 사용자, 금융, 기술, 운영, 인증, API 및 공급업체 관리 데이터에 적용되며, 여기에는 GNOMI가 처리하거나 GNOMI를 대신하여 처리되는 개인 데이터, 민감 데이터 및 규제 대상 데이터가 포함됩니다.

3. 법적, 규제 및 개인정보 보호 준수

GNOMI는 해당되는 경우 다음을 포함하여 운영과 관련된 모든 적용 가능한 정보 보안 및 개인정보 보호 법률, 규칙, 규정 및 계약상 요구사항의 준수를 지원하기 위해 보안 프로그램을 설계하고 운영합니다:

• 일반 데이터 보호 규정(GDPR) 및 적용 가능한 EU/EEA 데이터 보호 요구사항;
• 해당되는 경우 영국 GDPR 및 데이터 보호법 요구사항;
• 해당되는 경우 CCPA/CPRA 및 뉴욕 SHIELD법을 포함한 미국 주 개인정보 보호 및 보안 법률;
• GNOMI가 해당 의무의 적용을 받는 데이터를 처리하는 범위 내에서 GLBA 및 FTC 보호조치 규칙 요구사항;
• 데이터 보호, 기밀성, 접근 통제, 사고 통지 및 공급업체 보안 요구사항을 포함한 계약상 파트너 보안 의무;
• 적용 가능한 침해 통지, 데이터 최소화, 보존, 삭제 및 사용자 권리 요구사항;
• 금융 통합 환경에 적용되는 Plaid 계약상 보안 및 데이터 처리 의무;
• 사용자 승인 금융 통합과 관련된 적용 가능한 금융 데이터 개인정보 보호, 보호조치 및 소비자 보호 의무.

법률, 계약 또는 파트너 요구사항이 본 정책보다 더 엄격한 의무를 부과하는 경우, 더 엄격한 기준이 적용됩니다. GNOMI는 본 정책이 적용 가능한 법적, 규제, 파트너 및 보안 요구사항과 계속 일치하도록 주기적으로 검토합니다.

4. GDPR 및 Privacy-by-Design 요구사항

GNOMI는 개인 데이터가 포함된 시스템 및 프로세스에 Privacy-by-Design 및 Security-by-Design 원칙을 적용합니다. GDPR이 적용되는 경우, GNOMI의 보안 및 개인정보 보호 통제는 다음 원칙을 지원하도록 설계됩니다:

• 데이터 처리 활동의 적법성, 공정성 및 투명성;
• 목적 제한 및 합법적인 사업, 제품, 법적, 보안 또는 사용자 승인 목적으로만 데이터 사용;
• 데이터 최소화 및 명시된 목적에 합리적으로 필요한 데이터만 수집;
• 정확성 및 적절한 수정 또는 삭제 프로세스;
• 정의된 보존 및 삭제 기준을 통한 보관 제한;
• 적절한 기술적 및 조직적 조치를 통한 무결성 및 기밀성;
• 개인정보 보호 및 보안 통제의 문서화, 소유권, 검토 및 시행을 통한 책임성.
• 사용자 승인 금융 데이터 처리는 동의 범위, 계약상 필요성 또는 요청된 기능에 적용 가능한 기타 합법적 근거로 제한되어야 합니다.
• 금융 인텔리전스 기능 및 AI 생성 포트폴리오 분석 기능은 데이터 최소화, 최소 권한 접근, 안전한 처리 및 적절한 사용자 투명성 통제를 통합해야 합니다.

GNOMI는 해당되는 경우 접근, 수정, 삭제, 제한, 이동성 및 반대를 포함한 데이터 주체 권리 프로세스를 지원합니다. 요청은 적용 가능한 법률 및 GNOMI의 내부 개인정보 보호, 보안, 보존 및 법적 보존 요구사항에 따라 평가됩니다.

5. 보안 거버넌스 및 책임

• 경영진은 GNOMI가 회사의 규모, 위험 프로필, 제품, 데이터 및 파트너 의무에 적합한 정보 보안 프로그램을 유지하도록 보장할 책임이 있습니다.
• 보안 책임은 엔지니어링, 제품, 운영, 법무 및 경영진 이해관계자에게 적절히 할당됩니다.
• 보안 요구사항은 제품 개발, 공급업체 선정, 접근 관리, 사고 대응, 데이터 처리 및 운영 의사결정에 통합됩니다.
• GNOMI는 접근 통제, 데이터 보존, 사고 대응, 공급업체 관리 및 보안 개발 관행을 포함하여 본 정책을 이행하기 위한 내부 절차 및 지원 통제를 유지합니다.

6. 위험 관리

GNOMI는 기밀성, 무결성, 가용성, 프라이버시 또는 법적 준수에 영향을 미칠 수 있는 정보 보안 위험을 식별, 평가, 완화 및 모니터링합니다. 위험 검토에는 시스템 아키텍처, 데이터 흐름, 공급업체 의존성, 인증 통제, 접근 권한, 프로덕션 환경, 신규 제품 기능, 제3자 통합 및 사고 이력이 포함될 수 있습니다.

중대한 위험은 개선, 수용, 이전 또는 추가 통제를 위해 적절한 관리층에 에스컬레이션됩니다. 위험 처리 결정은 법적 요구사항, 파트너 의무, 사용자 영향, 보안 영향 및 비즈니스 연속성을 고려해야 합니다.

위험 평가는 금융 통합, Plaid 의존성, AI 생성 금융 분석 기능, 포트폴리오 분석 시스템, 금융 데이터 접근 통제, 모델 출력 및 제3자 금융 데이터 흐름을 고려해야 합니다.

7. 데이터 분류 및 처리

GNOMI는 민감도, 비즈니스 가치, 법적 의무 및 위험에 따라 데이터를 분류하고 보호합니다. 데이터 범주에는 공개, 내부, 기밀, 민감, 개인, 금융, 인증, 소스 코드, 보안 및 파트너 데이터가 포함될 수 있습니다.

• 민감 데이터 및 개인 데이터는 정당한 업무상 필요가 있는 승인된 인력만 접근해야 합니다.
• 데이터는 승인된 시스템과 적절한 보호조치를 사용하여 저장, 전송 및 처리되어야 합니다.
• 시크릿, 자격증명, 토큰, API 키, 개인 키 및 인증서는 평문 저장소, 보안되지 않은 문서, 채팅 메시지 또는 승인되지 않은 시스템에 저장되어서는 안 됩니다.
• 프로덕션 데이터는 승인되고 적절히 보호되거나, 최소화되거나, 익명화되거나, 가명처리된 경우를 제외하고는 비프로덕션 환경으로 복사될 수 없습니다.
• 데이터 처리는 GNOMI의 보존, 삭제, 폐기 및 프라이버시 요구사항과 일치해야 합니다.
• 사용자 승인 증권 계좌 데이터, 은행 정보, 포트폴리오 보유 내역, 거래 메타데이터, AI 생성 금융 인사이트 및 포트폴리오 센티먼트 출력은 민감 데이터로 분류되어야 합니다.
• 금융 통합 데이터는 승인된 시스템과 승인된 워크플로우를 통해서만 처리될 수 있습니다.
• 프로덕션 금융 통합 데이터는 최소화, 익명화, 가명처리 또는 기타 적절히 보호되지 않는 한 개발 또는 테스트 환경으로 복사될 수 없습니다.

8. 신원 및 접근 관리

GNOMI는 프로덕션 자산, 클라우드 리소스, 관리 도구, 시스템, 소스 코드 저장소 및 민감 데이터에 대한 접근을 제한하도록 설계된 접근 통제를 시행합니다. 접근은 역할, 업무상 필요, 최소 권한 및 승인 요구사항에 따라 부여됩니다.

• 역할 기반 접근 통제(RBAC)는 시스템 및 애플리케이션에서 지원되는 경우 사용됩니다.
• 특권 및 관리자 접근은 승인된 인력으로 제한되며 정기적으로 검토됩니다.
• 중앙집중식 신원 및 접근 관리 솔루션은 사용자 인증 및 권한 부여를 관리하기 위해 적절한 경우 사용됩니다.
• 다중 인증은 지원되는 경우 특권 계정 및 중요 시스템에 필수입니다.
• 접근 검토 및 감사는 접근이 적절하게 유지되는지 검증하기 위해 정기적으로 수행됩니다.
• 인력이 역할을 변경하거나, 책임을 이전하거나, GNOMI와의 관계를 종료할 때 접근은 수정되거나 취소됩니다.
• 서비스 계정, OAuth 토큰, API 자격증명 및 TLS 인증서를 포함한 비인간 인증은 승인되고, 안전하게 저장되며, 필요한 최소 권한으로 범위가 지정되고, 더 이상 필요하지 않을 때 교체되거나 취소되어야 합니다.
• 금융 통합 시스템, Plaid 관리 환경, AI 금융 인텔리전스 시스템 및 사용자 금융 데이터셋에 대한 접근은 정당한 운영, 보안, 규정 준수 또는 지원 필요가 있는 승인된 인력으로 제한되어야 합니다.
• 사용자 승인 금융 계좌 데이터를 검색하거나 분석할 수 있는 시스템에 대한 관리자 접근은 지원되는 경우 다중 인증이 필요합니다.

9. 프로덕션 자산 보안

• 프로덕션 환경은 접근 통제, 로깅, 모니터링, 보안 구성 및 변경 관리 관행을 통해 보호되어야 합니다.
• 프로덕션 접근은 승인된 운영 또는 엔지니어링 필요성이 있는 인력으로 제한됩니다.
• 프로덕션 시스템에 대한 변경은 위험과 긴급성에 따라 적절한 검토, 테스트, 승인 및 배포 관행을 따라야 합니다.
• 민감한 프로덕션 데이터는 정당한 비즈니스, 법적, 보안 또는 운영 목적으로 승인되지 않는 한 내보내기, 다운로드 또는 전송되어서는 안 됩니다.
• 긴급 프로덕션 접근은 제한되고, 기록되며, 사용 후 검토되어야 합니다.
• 사용자 승인 금융 통합 데이터를 처리하는 시스템은 적절한 로깅, 모니터링, 암호화, 접근 제한 및 보안 구성 통제를 구현해야 합니다.
• AI 생성 금융 인사이트 및 포트폴리오 분석 결과물에 대한 접근은 관련 사용자 금융 데이터의 민감도에 부합하도록 제한되어야 합니다.

10. 암호화, 비밀 정보 및 키 관리

GNOMI는 민감한 데이터, 자격 증명 및 통신을 보호하기 위해 적절한 기술적 안전 조치를 사용합니다. 암호화는 전송 중인 민감한 데이터에 사용되어야 하며, 지원되고 적절한 경우 저장된 민감한 데이터에 적용되어야 합니다. 비밀 정보, 토큰, 인증서, 키 및 자격 증명은 승인된 보안 시스템에 저장되고 무단 사용 또는 공개로부터 보호되어야 합니다.

키와 자격 증명은 손상되었거나, 더 이상 필요하지 않거나, 인력 또는 공급업체 접근이 변경될 때 교체, 비활성화 또는 폐기되어야 합니다. 자격 증명은 승인된 서비스 계정 통제가 사용되는 경우를 제외하고 사용자 간에 공유되어서는 안 됩니다.

Plaid API 자격 증명, 금융 통합 토큰, OAuth 자격 증명, 웹훅 비밀 정보, 리프레시 토큰 및 관련 금융 통합 비밀 정보는 암호화되고, 안전하게 저장되며, 무단 접근으로부터 보호되어야 합니다.

11. 로깅, 모니터링 및 보안 검토

GNOMI는 시스템 및 위험 프로필에 적합한 로깅 및 모니터링 관행을 유지합니다. 로그에는 인증 이벤트, 관리 활동, 애플리케이션 이벤트, 시스템 활동, 프로덕션 변경, 접근 변경 및 보안 관련 오류 또는 경고가 포함될 수 있습니다.

• 로그는 보안 이벤트, 운영 문제, 접근 이상 및 사고를 조사하기 위해 필요에 따라 검토됩니다.
• 보안 관련 이벤트는 조사 및 해결을 위해 책임 인력에게 에스컬레이션됩니다.
• 모니터링 및 경고 통제는 시스템, 공급업체 및 비즈니스 위험이 변화함에 따라 업데이트됩니다.
• 개인 데이터 또는 민감한 정보를 포함하는 로그는 GNOMI의 보존 및 개인정보 보호 의무에 부합하도록 보호되고 보존되어야 합니다.
• 보안 모니터링에는 금융 통합 활동, Plaid 통합 이벤트, 토큰 관리 이벤트, 금융 데이터셋에 대한 특권 접근 및 사용자 금융 정보와 관련된 비정상적인 접근 패턴이 포함되어야 합니다.

12. 보안 개발 및 변경 관리

GNOMI는 소프트웨어 개발 및 제품 제공에 보안을 통합합니다. 보안 요구 사항은 GNOMI 시스템의 설계, 개발, 테스트, 배포 및 유지 관리 중에 고려됩니다.

• 코드 변경은 적절한 경우 프로덕션 배포 전에 검토되어야 합니다.
• 보안에 영향을 미치는 변경은 인증, 권한 부여, 데이터 흐름, API, 통합, 프로덕션 인프라 또는 민감한 데이터와 관련된 변경을 포함하여 위험에 대해 평가되어야 합니다.
• 종속성, 라이브러리 및 타사 구성 요소는 알려진 취약점을 줄이기 위해 적절하게 검토되고 업데이트되어야 합니다.
• 내부 검토, 타사 보고서, 모니터링 또는 공급업체 알림을 통해 식별된 취약점은 심각도 및 비즈니스 영향에 따라 분류되고 해결되어야 합니다.
• 금융 통합, Plaid API, AI 생성 포트폴리오 분석, 금융 분석 기능 또는 사용자 금융 데이터 흐름과 관련된 보안 영향 변경은 배포 전에 적절한 보안 및 개인정보 보호 검토를 거쳐야 합니다.

13. 공급업체 및 타사 보안

GNOMI는 처리되는 데이터 유형, 제공되는 서비스, 운영 의존성, 보안 태세, 법적 의무 및 계약 요구 사항을 기반으로 타사 공급업체, 처리자, 하위 처리자 및 통합 파트너를 평가합니다.

• 민감한 정보, 개인정보, 재무 정보 또는 사용자 데이터를 처리하는 공급업체는 적절한 보안 및 개인정보 보호 조치에 대해 검토되어야 합니다.
• 계약에는 적절한 경우 기밀유지, 데이터 보호, 보안, 접근 통제, 사고 통지, 보관, 삭제 및 하위처리자 의무가 포함되어야 합니다.
• GNOMI 시스템 또는 데이터에 대한 공급업체의 접근은 승인된 사용으로 제한되어야 하며 더 이상 필요하지 않을 경우 취소되어야 합니다.
• GNOMI는 중요한 공급업체 위험을 모니터링하며 적절한 경우 공급업체로부터 보안 문서, 증명서 또는 규정 준수 증거를 요청할 수 있습니다.
• Plaid 및 관련 하위처리자를 포함한 금융 통합 제공업체는 보안 태세, 데이터 보호 통제, 규제 준수 일치 및 계약상 개인정보 보호 의무에 대해 평가되어야 합니다.
• EU 또는 UK 금융 통합 데이터와 관련된 국경 간 전송은 필요한 경우 적절한 합법적 전송 메커니즘을 활용해야 합니다.

14. 사고 대응 및 침해 통지

GNOMI는 보안 사고를 식별, 조사, 격리, 해결, 문서화 및 전달하기 위한 사고 대응 절차를 유지합니다. 보안 사고에는 무단 접근, 데이터 노출, 자격 증명 침해, 시스템 침해, 데이터 손실, 악성코드, 서비스 중단 또는 기밀성, 무결성 또는 가용성의 침해 의심이 포함될 수 있습니다.

• 사고는 적절한 내부 이해관계자에게 신속하게 상급 보고되어야 합니다.
• GNOMI는 사고의 성격, 범위, 영향받은 시스템, 영향받은 데이터, 사용자 영향, 파트너 영향, 법적 의무 및 해결 조치를 평가합니다.
• 사용자, 규제기관, 파트너, 공급업체 또는 기타 당사자에 대한 통지는 해당 법률, 계약 또는 GNOMI의 사고 대응 결정에 따라 요구되는 경우 이루어집니다.
• 사고로부터 얻은 교훈은 통제, 절차, 교육, 모니터링 및 공급업체 감독을 개선하는 데 사용될 수 있습니다.
• 금융 통합 시스템, Plaid 자격 증명, 증권사 또는 은행 정보, 포트폴리오 분석 시스템 또는 AI 생성 금융 인텔리전스 출력과 관련된 사고는 조사 및 격리를 위해 우선순위가 부여되어야 합니다.

15. 데이터 보관, 폐기 및 법적 보존

GNOMI는 제품 제공, 사용자 계정 관리, 보안, 사기 방지, 분석, 법적 준수, 재무 기록, 계약상 의무, 분쟁 해결 및 정당한 사업 운영을 포함하여 수집 또는 처리된 목적을 위해 합리적으로 필요한 기간 동안만 정보를 보관합니다.

• 개인 데이터는 법적, 규제적, 계약적, 보안적 또는 정당한 사업 보관 필요에 따라 더 이상 필요하지 않을 경우 삭제, 익명화 또는 안전하게 폐기되어야 합니다.
• 사용자 삭제 및 계정 폐쇄 요청은 해당 개인정보 보호법 및 GNOMI의 보관 요구사항에 따라 처리됩니다.
• 백업 및 로그는 정의된 수명주기 관행에 따라 보관 및 폐기되며 기술적, 보안적 또는 법적 요구사항으로 인해 삭제가 지연될 수 있습니다.
• 법적 보존은 법적, 규제적, 감사, 조사 또는 분쟁 목적으로 정보를 보존하기 위해 필요한 경우 삭제 또는 폐기를 중단할 수 있습니다.
• 금융 통합 데이터 및 AI 생성 금융 인사이트는 합법적인 보관 요구사항에 따라 승인된 기능에 더 이상 필요하지 않을 경우 삭제, 익명화, 제한 또는 토큰 취소되어야 합니다.

16. 인력 보안 및 교육

회사 시스템, 프로덕션 자산 또는 민감한 데이터에 접근하는 GNOMI 직원 및 계약자는 본 정책 및 해당 보안 절차를 준수해야 합니다. 직원은 자격 증명을 보호하고, 승인된 시스템을 사용하며, 의심되는 보안 사고를 보고하고, 분류 및 알 필요성 요구사항에 따라 데이터를 처리할 것으로 기대됩니다.

보안 및 개인정보 보호 인식은 GNOMI의 제품, 위험 및 규정 준수 의무가 발전함에 따라 온보딩, 역할별 지침, 내부 커뮤니케이션 및 지속적인 업데이트를 통해 제공될 수 있습니다.

금융 통합 시스템 또는 사용자 승인 금융 데이터에 접근하는 직원은 금융 데이터 처리, 개인정보 보호 의무, 안전한 처리, 피싱 방지, 토큰 보안 및 사고 상급 보고 절차에 관한 추가 지침을 받을 수 있습니다.

17. 사업 연속성 및 가용성

GNOMI는 중요한 서비스의 연속성 및 가용성을 지원하기 위한 합리적인 조치를 유지합니다. 통제에는 시스템 중요도 및 위험에 기반한 클라우드 복원력, 백업, 모니터링, 사고 상급 보고, 공급업체 의존성 검토, 재해 복구 계획 및 운영 대응 절차가 포함될 수 있습니다. 사업 연속성 계획은 가용성 위험, 공급업체 중단, 토큰 실패 및 금융 통합 서비스 중단을 포함하여 Plaid 및 기타 금융 통합 제공업체에 대한 의존성을 고려해야 합니다.

18. 예외

본 정책에 대한 모든 예외는 사업 필요성, 위험, 보완 통제, 기간 및 법적 또는 계약적 요구사항에 기반하여 적절한 GNOMI 경영진의 승인을 받아야 합니다. 예외는 적절한 경우 문서화되어야 하며 해결되거나 공식적으로 수용될 때까지 정기적으로 검토되어야 합니다.

19. 시행

본 정책을 준수하지 않을 경우 접근 취소, 해결 요구사항, 공급업체 조치, 징계 조치, 계약 해지 또는 위반의 성격 및 심각성에 적절한 기타 조치가 취해질 수 있습니다. GNOMI는 의심되는 위반을 조사하고 회사 시스템, 사용자, 파트너 및 데이터를 보호하기 위한 시정 조치를 취할 수 있습니다.