개인정보처리방침

가. 회원 가입 사용자

• 필수: 이메일, 이름
• 역할별: 의사면허번호(의사), 사업자등록번호(브랜드/유통사), 전화번호
• OAuth 가입: provider account ID (Google)
• 면허 검증: 의사면허증 이미지 (GCS private bucket 저장)
• 자동: IP 주소, 접속 로그

나. 공개 self-claim 폼 제출자 (가입 X)

• 클리닉 self-claim (/global/clinics/claim): 클리닉명, 영문명, 회신 이메일, 지역, 주소, 웹사이트, 진료과, 보유 device 카테고리
• 유통사 self-claim (/global/distributors/claim): 회사명, 영문명, 국가, 회신 이메일, KFDA / FDA 등록번호 (선택), 웹사이트, 주소
• 제출 시각 (claimedAt) + 회신 채널 보존용 이메일 (claimContactEmail)

다. 환자 (/global) 익명 방문자

• 본 서비스의 Phase D-1 단계는 정보 노출만이며, 환자 개인 식별 정보를 수집하지 않습니다.
• 분석 목적의 익명 접근 로그 (IP, User-Agent, 페이지뷰) 만 수집됩니다.

• 회원 식별 및 인증 (이메일/OAuth)
• 의사·공급자 자격 검증
• 견적 매칭 및 알림 발송
• 공개 self-claim 검증 — 운영자에게 검증 결과 회신 + 검증 후 directory 노출
• 운영 감사 — admin 의 승인 / 반려 / 취소 액션은 영구 audit log (ClaimAuditLog) 에 기록되어 분쟁 대응에 활용됨
• 서비스 부정 사용 방지 (rate limiting, fraud 감지)

• 회원 정보: 회원 탈퇴 시까지 (탈퇴 즉시 비식별 처리 후 90일 내 완전 삭제)
• 전자상거래법상 거래 기록: 5년
• 접속 로그: 통신비밀보호법에 따라 3개월
• Self-claim 제출 정보: 검증 / 반려 후 1년 (운영자 항의 / 재제출 대응). 운영자 요청 시 즉시 삭제 가능
• Audit log (ClaimAuditLog): 3년 (운영 분쟁 / 컴플라이언스 대응). 익명화 불가 — admin user ID 식별성 유지

원칙적으로 제공하지 않습니다. 단, 견적 거래 성립 시 의사·공급자 간 필요한 정보(이름·이메일)만 거래 당사자에게 공개됩니다.

• Google Cloud Platform — 호스팅·데이터 저장 (Cloud Run / Cloud SQL / GCS)
• SMTP 이메일 발송업체 — 검증 / 반려 / 매직링크 알림
• 인증 OAuth provider — Google

국외 데이터 이전: GCP 의 한국 (asia-northeast3 Seoul) 리전을 primary 로 사용합니다. 장애 / 백업 목적의 다국 복제는 사용자에게 별도 고지 후 시행합니다.

• 본인 정보 조회·수정 — 로그인 후 프로필 페이지
• 회원 탈퇴 — 본인 의사로 언제든 가능
• 처리 정지·이의 — contact@medianalytics.kr 로 요청
• Self-claim 운영자 — 제출 정보 삭제 요청은 회신 이메일(claimContactEmail)에서 contact@medianalytics.kr 로 요청 (본인 인증)
• 국외 거주자 (GDPR / CCPA 등 적용) — 정보 이전 / 삭제 / 이동권 요청 시 동일 이메일로 연락. 사업 규모 확장 시 별도 절차 마련 예정

• 비밀번호 bcrypt 해싱, 토큰 SHA-256
• 전송 구간 TLS 1.2 이상
• 면허 이미지 GCS private bucket + 단기 signed URL (관리자 검수 시 5분)
• 인증 정보 GCP Secret Manager 보관, 코드 내 하드코딩 금지

본 방침이 변경될 때 본 페이지에 시행일과 함께 공지합니다.

개인정보보호 책임자: contact@medianalytics.kr