이 섹션에서는 당사의 준수 프레임워크를 소개하며, 관련 법규 및 규정 준수와 고객 데이터 보호를 위한 정책 및 절차를 안내합니다.
Grepp, Inc.는 관련 규정, 업계 표준, 모범 사례를 준수하기 위한 엄격한 컴플라이언스 프레임워크를 운영합니다.
저희는 ISO 27001, ISO 27701, KISA ISMS 인증을 보유하고 있으며, 이는 정보 보안, 개인정보 보호 관리, GDPR 준수 데이터 처리에 대한 저희의 의지를 공식적으로 증명합니다.
보유 인증 현황
ISO/IEC 27001: 2022, DNV
ISO/IEC 27701: 2019, DNV
ISMS, KISA(한국인터넷진흥원)
ISO 27001은 정보 보안 관리 시스템(ISMS) 구현 요건을 규정하는 국제 표준입니다. 본 인증을 통해 Grepp, Inc.가 고객 데이터를 보호하고 정보 보안 리스크를 관리하는 데 진지하게 임하고 있음을 증명합니다.
ISO 27701은 ISO 27001의 확장 표준으로, 개인정보 보호 관리(PIMS) 요건을 전문적으로 규정합니다. 본 인증을 통해 개인정보 및 민감 정보 보호, 투명성 강화, 데이터 보호 법령 준수에 대한 Grepp, Inc.의 의지를 증명합니다.
Monito는 GDPR 준수를 지원하도록 설계되었습니다. GDPR은 유럽 연합 시민에게 자신의 개인 데이터에 대한 실질적인 통제권을 부여합니다. 당사는 귀하의 개인 데이터를 보호하고 귀하의 개인정보 보호 및 투명성에 관한 권리를 존중할 것을 약속드립니다.
저희의 GDPR 준수 데이터 처리는 독립적으로 감사된 세 가지 프레임워크를 기반으로 합니다.
ISO/IEC 27001:2022 (인증기관: DNV)
주요 정보를 무단 접근, 유출, 손실로부터 보호하는 ISMS 통제를 수립하며, 기술적·조직적 보안 조치를 요구하는 GDPR 제32조를 직접적으로 뒷받침합니다.
ISO/IEC 27701:2019 (인증기관: DNV)
ISO 27001을 개인정보 관리(PIMS) 영역으로 확장합니다. ISO 27701은 처리의 합법적 근거, 정보 주체 권리, 데이터 침해 통보 등 GDPR 의무와 직접 매핑되는 실질적 구현 프레임워크로 널리 인정받고 있습니다.
GDPR 준수 데이터 처리를 실증하기 위해 다음 프로세스 및 문서를 갖추고 있습니다.
개인정보 처리방침
수집되는 개인정보 항목, 처리 목적, 법적 근거, 보관 기간, 수탁업체를 공개한 개인정보 처리방침을 홈페이지에 게시합니다.
정보 주체 권리 행사 절차
GDPR 제15조~제21조에 따라 정보 주체가 열람, 정정, 삭제(잊힐 권리), 처리 제한, 이동권을 행사할 수 있는 절차를 마련하고 있습니다. 요청은 수령 후 30일 이내에 처리됩니다.
쿠키 동의 관리
GDPR 및 ePrivacy 지침에 따라 비필수 쿠키 설치 전 동의를 수집하며, 이용자는 언제든지 동의를 관리하거나 철회할 수 있습니다.
데이터 처리 계약(DPA)
Grepp, Inc.는 기업 고객(데이터 컨트롤러)을 대신하여 개인정보를 처리하는 데이터 프로세서로서, GDPR 제28조에 부합하는 데이터 처리 계약(DPA)을 요청에 따라 체결합니다.
생체정보 처리 및 명시적 동의
Monito는 원격 감독(proctoring) 서비스의 특성상 시험 응시 과정에서 얼굴 이미지, 영상, 화면 기록, 신분증 이미지와 같은 개인정보를 처리합니다. 이러한 데이터는 시험 감독, 본인 확인, 부정행위 방지 등 명확한 목적 범위 내에서만 처리되며, 처리 목적별로 접근 권한과 보관 기간을 분리하여 관리합니다. 얼굴 이미지 또는 영상 데이터가 적용 법령상 특수범주 개인정보 또는 고위험 처리로 분류되는 경우, Monito는 별도의 명시적 동의를 법적 근거로 하여 처리합니다. AI 학습 등 부가 목적의 처리는 기본 처리와 구분되며, 별도 선택 동의에 근거하여 수행되고, 동의 철회 시 해당 데이터는 지체 없이 삭제됩니다.
개인정보의 국제 이전
Monito는 대한민국에 기반한 서비스이며, EU 집행위원회의 대한민국 적정성 결정에 따라 EU·EEA에서 대한민국으로의 개인정보 이전은 표준계약조항(SCCs) 등 추가적인 이전 메커니즘 없이 적법하게 이루어질 수 있습니다. 또한 Monito는 서비스 제공을 위해 일부 글로벌 인프라 및 수탁업체를 활용하며, 이 과정에서 EU 외 지역으로의 이전이 발생할 수 있습니다. 이러한 이전에 대해서는 GDPR 제46조에 따른 표준계약조항, 계약상 데이터 보호 의무, 접근 통제, 암호화 등 적절한 기술적·조직적 보호조치를 적용합니다.
개인정보 영향평가(DPIA)
Monito는 원격 감독, 신원 확인, 영상 처리, AI 기반 분석 등 정보주체의 권리와 자유에 높은 위험을 초래할 수 있는 처리 활동에 대해 위험 기반 접근법을 적용합니다. 신규 기능 도입 또는 처리 목적의 중대한 변경이 있는 경우, 개인정보 영향평가(DPIA)를 수행하고 그 결과, 완화 조치, 잔여 위험을 문서화하여 정기적으로 재검토합니다. 특히 체계적 모니터링, 대규모 영상 처리, 신분증 검증, AI 학습 목적의 데이터 활용과 같이 고위험성이 인정될 수 있는 영역에 대해서는 목적의 필요성·비례성, 데이터 최소화, 보관 기간, 접근 권한, 정보주체 권리 보호조치를 중점적으로 평가합니다.
수탁업체 관리
Monito 서비스의 특정 기능을 제공하기 위해 제3자 수탁업체를 활용합니다. 각 수탁업체는 고객사 DPA와 동등한 수준의 데이터 보호 의무를 계약상 부담합니다. 주요 수탁업체는 개인정보 처리방침에서 확인하실 수 있습니다.
데이터 유형 | 주요 항목 | 보관 기간 |
기업 회원 계정 | 이메일, 이름, 휴대전화번호, 서비스 이용 기록 | 계약 종료 시 삭제 (서비스 이용 기록: 2년) |
응시자 신분증 인증 | 신분증 이미지(마스킹), 얼굴 이미지 | 얼굴 비교: 동일인물 확인 후 즉시 파기 신분증 이미지(마스킹): 스토리지 35일 보관 |
시험 녹화본 (감독 검토) | 웹캠 영상, 화면 녹화 | 기본 응시자로 35일 보관 |
시험 녹화본 (AI 학습) | 별도 선택 동의자 전용 녹화 데이터 | 별도 동의 응시자로 3년 보관 (동의 철회 시 즉시 삭제) |
결제 정보 | 마스킹 카드번호, 이메일, 거래 내역 | 전자상거래법 등에 따라 5년 보관 |
고객 상담 | 이름, 이메일, 전화번호 | 소비자거래법 등에 따라 3년보관 |
마케팅 | 이름, 이메일, 전화번호 및 마케팅 선택 동의 시 수집한 정보 | 동의 시 명시한 기간에 따라 최대 2년 보관되며 목적 달성 시 즉시 파기 또는 마케팅 동의 철회 시 즉시 파기 |
데이터 보관 및 삭제 절차는 ISO 27001 및 27701과 보유한 기타 인증에 준거합니다.
계약 해지 후 고객 데이터가 영구 삭제됩니다. 다만 관계 법령에 따른 법정 보관 의무, 백업 및 감사 로그 보관, 고객별 설정 또는 별도 동의에 기반한 데이터에 대해서는 위 삭제 원칙의 예외가 적용될 수 있습니다.