Optra Prism — 개인정보 처리방침
시행일: 2026년 4월 4일 최종 업데이트: 2026년 4월 4일 운영 주체: Grumatic, Inc. ("회사", "당사")
1. 서문
본 개인정보 처리방침은 Grumatic, Inc. ("Optra Prism", "당사")가 Optra Prism 플랫폼, 웹사이트(prism.optra-ai.com), 대시보드, API, Claude Code 플러그인 및 관련 서비스(이하 "서비스")를 이용하시는 과정에서 정보를 어떻게 수집, 이용, 공유 및 보호하는지를 설명합니다.
본 방침은 다음의 대상에게 적용됩니다:
- 웹사이트 방문자 — 마케팅 사이트 및 문서를 열람하는 사용자
- 플랫폼 이용자 — 계정을 생성하고, 플러그인을 설치하며, 대시보드를 사용하는 사용자
- API 이용자 — Ingest 서비스 또는 Prism Engine 엔드포인트와 상호작용하는 사용자
이용자 데이터(당사 서비스 약관에서 정의된 Customer Data — 텔레메트리, 프롬프트, 트레이스, 로그, 메트릭 등)의 처리에 관해서는 데이터 처리 계약(DPA)이 구체적인 의무와 권리를 규율합니다. 본 개인정보 처리방침과 DPA는 함께 적용되어야 합니다.
2. 수집하는 정보
2.1 이용자가 직접 제공하는 정보
| 데이터 유형 | 예시 | 수집 목적 |
|---|---|---|
| 계정 정보 | 이름, 이메일 주소, 조직명, 비밀번호 | 계정 생성 및 인증 |
| 결제 정보 | 결제 수단, 청구 주소 | 구독 관리(결제 처리는 Stripe가 수행하며, 전체 카드번호는 저장하지 않음) |
| 커뮤니케이션 | 고객 지원 요청, 이메일, 피드백 | 고객 지원 및 제품 개선 |
| 프로필 환경설정 | 알림 설정, 대시보드 환경설정, 테마 | 개인화 |
2.2 자동으로 수집되는 정보
서비스 이용 시 다음 정보가 자동으로 수집됩니다:
| 데이터 유형 | 예시 | 수집 목적 |
|---|---|---|
| 기기 및 브라우저 정보 | IP 주소, 브라우저 유형 및 버전, 운영체제, 기기 종류, 화면 해상도 | 서비스 제공, 보안 및 분석 |
| 이용 정보 | 방문 페이지, 사용 기능, 클릭 패턴, 세션 시간, 타임스탬프 | 제품 개선 및 분석 |
| 로그 데이터 | 서버 로그, 오류 리포트, API 요청 메타데이터(호출된 엔드포인트, 응답 코드, 지연시간) | 디버깅, 모니터링 및 보안 |
2.3 Customer Data (플랫폼 데이터)
플러그인, SDK 또는 API를 통해 플랫폼을 이용할 때 다음 데이터가 처리됩니다:
| 데이터 유형 | 예시 | 출처 |
|---|---|---|
| 텔레메트리 데이터 | AI 코딩 세션의 OTLP 트레이스, 로그, 메트릭 | 플러그인 / OTLP 엔드포인트 |
| 프롬프트 데이터 | LLM 프롬프트, 응답, 모델 메타데이터 | 플러그인 / 프롬프트 캡처 API |
| Prism 점수 | 프롬프트 효율 점수(PES), 서브세션 효율 점수(SSE), 스킬 점수, 코칭 권고 | Prism Engine에서 생성 |
| 분석 데이터 | 툴 사용 현황, 오류율, 효율성 지표, 바이브 지표 | 텔레메트리에서 파생 |
중요: Customer Data는 이용자의 소유이며, 오로지 서비스 제공을 위해서만 처리됩니다. Customer Data에 관한 당사의 약속은 제5조를 참조하시기 바랍니다.
2.4 제3자로부터 수집하는 정보
| 출처 | 데이터 유형 | 목적 |
|---|---|---|
| 인증 제공자 | Supabase Auth를 통한 OAuth 프로필(이름, 이메일, 아바타) | 싱글 사인온 |
| 결제 처리자 | 거래 상태, 청구 이벤트 | 구독 관리 |
3. 정보의 이용 목적
수집된 정보는 다음 목적으로 이용됩니다:
서비스 운영
- 플랫폼 제공, 유지 및 개선
- 이용자 인증 및 계정 관리
- 텔레메트리, 분석 자료 및 PRISM 점수 처리와 표시
- 인텔리전스 결과 생성(낭비 탐지, 쓰로틀 분석, 라이트사이징)
- 고객 지원 요청 응대
보안 및 규정 준수
- 사기, 남용 및 보안 위협의 탐지 및 방지
- 무단 접근 모니터링
- 법적 의무 준수
- 이용 약관 집행
제품 개선
- 이용 패턴 분석을 통한 기능 개선(Operational Metadata만을 이용)
- 벤치마킹 및 연구를 위한 Aggregate Data 생성
- 오류 디버깅 및 신뢰성 개선
커뮤니케이션
- 거래 관련 이메일 발송(계정 확인, 청구, 보안 알림)
- 제품 업데이트 및 기능 발표 안내(수신 거부 가능)
- 문의 및 고객 지원 응대
당사는 다음 목적으로 이용자의 정보를 이용하지 않습니다:
- 개인정보의 제3자 판매
- 행동 기반 광고 또는 애드테크 프로파일링
- Customer Data를 이용한 머신러닝 모델 학습(제5조 참조)
4. 처리의 법적 근거 (EEA/영국 이용자)
이용자가 유럽경제지역(EEA) 또는 영국에 소재한 경우, 당사의 처리 법적 근거는 다음과 같습니다:
| 법적 근거 | 적용 범위 |
|---|---|
| 계약 이행 | 계정 관리, 서비스 제공, 청구, Customer Data 처리 |
| 정당한 이익 | 보안, 사기 예방, 제품 개선(Operational Metadata 이용), 분석 |
| 동의 | 마케팅 이메일, 선택적 분석, 필수 쿠키 이외의 쿠키 |
| 법적 의무 | 세무 기록, 법 집행 요청, 규제 준수 |
동의는 언제든지 철회할 수 있으며, 철회 이전에 이루어진 처리의 적법성에는 영향을 주지 않습니다.
5. Customer Data에 관한 약속
Optra Prism은 민감한 개발자 텔레메트리와 AI 상호작용 데이터를 처리하므로, 당사는 다음을 약속합니다:
5.1 모델 학습 금지. 당사는 Customer Data를 자체 또는 제3자의 머신러닝 모델의 학습, 파인튜닝, 개발, 개선에 이용하지 않습니다. 이는 서비스 이용 기간 중은 물론 그 이후에도 적용됩니다.
5.2 목적 제한. Customer Data는 오로지 다음 목적으로만 처리됩니다: (a) 이용자에게 서비스 제공, (b) 이용자 계정에 대한 PRISM 점수 및 인텔리전스 결과 생성, (c) 법적 의무 준수.
5.3 제3자 LLM 처리. LLM 기반 기능(예: LLM PRISM 점수, 인사이트 리포트)이 활성화된 경우, 최소한의 프롬프트 데이터가 다음에 전송될 수 있습니다:
- Anthropic (Claude) — Anthropic API 약관에 따라 API 입력을 학습에 이용하는 것이 금지됨
- OpenAI — OpenAI API 약관에 따라 기본적으로 API 입력을 학습에 이용하는 것이 금지됨
LLM 기능의 활성화 여부는 이용자가 통제합니다. 대시보드 설정에서 모든 제3자 LLM 처리를 비활성화할 수 있으며, 이 경우 휴리스틱(Rust 네이티브) 점수만 사용됩니다.
5.4 데이터 격리. 각 고객의 데이터는 논리적으로 분리됩니다. Customer Data는 다른 고객과 공유되거나, 다른 고객에게 노출되거나, 다른 고객이 접근할 수 있는 형태로 저장되지 않습니다.
5.5 암호화. Customer Data는 전송 중에는 TLS 1.2 이상, 저장 시에는 AES-256으로 암호화됩니다. API 키(gck_*)는 마스터 암호화 키를 이용한 AES-256-GCM으로 암호화됩니다.
6. 정보의 공유
당사는 다음의 경우에만 정보를 공유합니다:
6.1 서비스 제공자 (하위 처리자)
당사는 다음 범주의 서비스 제공자를 통해 당사를 대신하여 데이터를 처리합니다:
| 제공자 | 목적 | 처리 데이터 |
|---|---|---|
| AWS (Amazon Web Services) | 클라우드 인프라, S3 스토리지, 컴퓨트 | Customer Data(암호화됨), Operational Metadata |
| Supabase | PostgreSQL 데이터베이스, 인증 | 계정 데이터, PRISM 점수, 세션 메타데이터 |
| Stripe | 결제 처리 | 결제 정보 |
| NATS | 메시지 스트리밍(자체 호스팅) | Customer Data(전송 중, 일시적) |
모든 하위 처리자는 데이터 처리 계약의 구속을 받습니다. 최신 목록은 [optra-ai.com/legal/sub-processors]에서 확인할 수 있습니다.
6.2 법적 요구사항
법률, 규정, 법적 절차 또는 정부 요청에 따라 요구되는 경우 정보를 공개할 수 있습니다. 법적으로 금지되지 않는 한 공개 전에 이용자에게 통지하며, 과도하게 광범위한 요청에 대해서는 이의를 제기합니다.
6.3 사업 양수도
합병, 인수, 파산 또는 자산 매각과 관련하여 이용자의 정보가 인수 주체에 이전될 수 있습니다. 이용자의 정보가 다른 개인정보 처리방침의 적용을 받게 되기 전에 이용자에게 통지합니다.
6.4 동의에 기반한 공유
이용자가 명시적으로 지시한 경우(예: 이용자가 설정한 통합 기능) 제3자와 정보를 공유할 수 있습니다.
6.5 Aggregate Data
당사는 Aggregate Data(비식별화, 익명화, 귀속 불가능한 데이터)를 연구, 벤치마킹 또는 산업 보고서를 위해 제3자와 공유할 수 있습니다. Aggregate Data는 이용자 또는 특정 개인을 합리적으로 식별하는 데 이용될 수 없습니다.
당사는 다음을 수행하지 않습니다:
- 개인정보의 판매
- 광고 네트워크와의 개인정보 공유
- 데이터 브로커에 대한 개인정보 제공
7. 데이터 보관 기간
| 데이터 유형 | 보관 기간 |
|---|---|
| 계정 정보 | 계정 존속 기간 + 삭제 요청 후 30일 |
| Customer Data (텔레메트리, 프롬프트, 점수) | 고객이 구성 가능하며 기본값은 90일. 계정 해지 후 30일 내보내기 기간 경과 후 30일 이내 삭제 |
| Operational Metadata | 12개월 |
| Aggregate Data | 무기한(개인 식별 불가능) |
| 청구 기록 | 세법상 요구 기간(일반적으로 7년) |
| 서버 로그 | 90일 |
| 백업 복사본 | 원본 삭제 후 90일 이내 파기 |
대시보드를 통해 또는 privacy@optra-ai.com으로 연락하여 Customer Data의 조기 삭제를 요청할 수 있습니다.
8. 이용자의 권리
8.1 모든 이용자
소재지와 관계없이 다음 권리를 행사할 수 있습니다:
- 접근 — 대시보드를 통해 계정 데이터 및 Customer Data 접근
- 내보내기 — 대시보드 또는 API를 통한 데이터 내보내기
- 삭제 — 계정 및 관련 데이터 삭제
- 수신 거부 — 마케팅 커뮤니케이션 수신 거부
- 비활성화 — LLM 기반 기능 비활성화
- 설정 — 데이터 보관 기간 설정
8.2 EEA/영국 이용자 (GDPR)
EEA 또는 영국에 소재한 이용자는 추가로 다음 권리를 가집니다:
- 접근권: 체계적이고 일반적으로 사용되며 기계 판독 가능한 형식으로 개인정보 사본을 요청할 권리
- 정정권: 부정확한 개인정보의 정정을 요청할 권리
- 삭제권: 개인정보 삭제를 요청할 권리("잊힐 권리")
- 처리 제한권: 개인정보 처리의 제한을 요청할 권리
- 이동권: 이동 가능한 형식으로 개인정보를 받아 다른 컨트롤러에 이전할 권리
- 반대권: 정당한 이익에 근거한 처리에 반대할 권리
- 동의 철회권: 동의 기반 처리에 대해 언제든지 동의를 철회할 권리
- 이의 제기권: 현지 감독 기관에 이의를 제기할 권리
이 권리를 행사하시려면 privacy@optra-ai.com으로 연락해주시기 바랍니다. 30일 이내에 회신드립니다.
GDPR 대리인:
- EU: [추후 지정 — legal@optra-ai.com 문의]
- 영국: [추후 지정 — legal@optra-ai.com 문의]
8.3 캘리포니아 거주자 (CCPA/CPRA)
캘리포니아 거주자는 다음 권리를 가집니다:
- 알 권리: 지난 12개월 동안 수집, 이용, 공유된 개인정보의 공개 요청
- 삭제권: 개인정보 삭제 요청
- 정정권: 부정확한 개인정보의 정정 요청
- 판매/공유 거부권: 당사는 개인정보를 판매하거나 교차 맥락 행동 광고를 위해 공유하지 않으므로 별도의 거부가 필요하지 않음
- 차별 금지: 권리 행사를 이유로 차별하지 않음
수집된 개인정보 범주 (지난 12개월):
| 범주 | 수집 | 판매 | 광고용 공유 |
|---|---|---|---|
| 식별자(이름, 이메일, IP) | 예 | 아니오 | 아니오 |
| 상업 정보(결제) | 예 | 아니오 | 아니오 |
| 인터넷 활동(이용 데이터) | 예 | 아니오 | 아니오 |
| 직업 정보(조직) | 예 | 아니오 | 아니오 |
| 위치정보(IP 기반, 개략적) | 예 | 아니오 | 아니오 |
이 권리를 행사하시려면 privacy@optra-ai.com으로 연락하시거나 [추후 개설 예정]으로 전화하시기 바랍니다.
8.4 기타 관할권
당사는 브라질의 LGPD, 캐나다의 PIPEDA, 호주의 Privacy Act 등 전 세계 관련 법률에 따른 프라이버시 권리를 존중합니다. 현지법에 따른 권리 행사는 privacy@optra-ai.com으로 연락해주시기 바랍니다.
9. 쿠키 및 추적 기술
9.1 쿠키 유형
| 유형 | 목적 | 예시 |
|---|---|---|
| 필수 쿠키 | 인증, 보안, 세션 관리 | Supabase 인증 쿠키(sb-*-auth-token*), CSRF 토큰 |
| 기능 쿠키 | 사용자 환경설정, 테마, 언어 설정 | 대시보드 설정, 테마 환경설정 |
| 분석 쿠키 | 이용 패턴, 기능 채택도 | [분석 도구 추후 선정] |
9.2 쿠키 관리
- 브라우저 설정: 브라우저 설정을 통해 쿠키를 차단하거나 삭제할 수 있습니다. 필수 쿠키를 차단하면 기능이 제한될 수 있습니다.
- Do Not Track: 당사는 브라우저의 Do Not Track(DNT) 신호를 존중합니다. DNT가 활성화되면 비필수 분석 추적을 비활성화합니다.
9.3 광고 쿠키 미사용
당사는 광고 쿠키, 광고 네트워크용 추적 픽셀 또는 교차 사이트 추적 기술을 사용하지 않습니다. 실시간 입찰(RTB) 또는 광고 거래소에 참여하지 않습니다.
10. 국가 간 데이터 이전
Customer Data는 주로 미국(AWS us-east-1 리전)에서 처리 및 저장됩니다. 미국 외 지역에 소재한 경우:
- EEA/영국: 개인정보 이전 시, 유럽위원회가 승인한 표준계약조항(SCC)과 기술적 조치(암호화, 접근 통제 등)를 함께 적용합니다.
- 기타 관할권: 관련 법률에서 요구하는 적절한 보호조치를 이행합니다.
EU 데이터 레지던시 옵션을 검토 중입니다. 현 시점의 제공 가능 여부는 sales@optra-ai.com으로 문의해주시기 바랍니다.
11. 데이터 보안
당사는 다음을 포함한 포괄적인 보안 조치를 구현합니다:
- 암호화: 전송 중 TLS 1.2 이상; 저장 시 AES-256; API 키는 AES-256-GCM
- 접근 통제: 클라우드 인프라에 대한 IAM 역할 기반 접근(정적 자격증명 미사용); 최소 권한 원칙; 내부 시스템에 대한 다중 인증
- 인프라: 전용 VPC; 네트워크 세분화; 방화벽 규칙; DDoS 방어
- 모니터링: 지속적인 보안 모니터링; 자동 알림; 감사 로깅
- 실행 관행: 정기 보안 검토; 의존성 취약점 스캔; 보안 개발 수명주기
100% 안전한 시스템은 존재하지 않습니다. 취약점을 발견하신 경우 security@optra-ai.com으로 신고해주시기 바랍니다.
12. 아동의 개인정보
본 서비스는 18세 미만 개인을 대상으로 하지 않습니다. 당사는 아동의 개인정보를 의도적으로 수집하지 않습니다. 18세 미만 아동의 개인정보가 부주의하게 수집된 사실을 인지한 경우 즉시 삭제합니다. 미성년자의 데이터가 수집되었다고 생각되는 경우 privacy@optra-ai.com으로 연락해주시기 바랍니다.
13. 제3자 링크 및 통합
본 서비스는 제3자 웹사이트 링크를 포함하거나 제3자 서비스(예: GitHub, IDE 확장)와 통합될 수 있습니다. 당사는 제3자의 개인정보 처리 관행에 책임을 지지 않습니다. 해당 개인정보 처리방침을 검토하시기를 권장합니다.
14. 방침의 변경
당사는 본 개인정보 처리방침을 수시로 업데이트할 수 있습니다. 중대한 변경 사항은 다음을 통해 통지합니다:
- 개정된 "최종 업데이트" 일자와 함께 웹사이트에 업데이트된 방침 게시
- 계정에 등록된 이메일 주소로 이메일 통지
- 대시보드에 공지 표시
중대한 변경은 통지 후 30일이 지나면 효력이 발생합니다. 발효일 이후에도 서비스를 계속 이용하는 것은 변경에 대한 동의로 간주됩니다. 중대한 변경에 동의하지 않는 경우 계정을 해지할 수 있습니다.
15. 문의처
개인정보 관련 문의, 정보 주체 권리 요청 또는 이의 제기는 다음으로 문의해주시기 바랍니다:
Grumatic, Inc. 이메일: privacy@optra-ai.com 웹사이트: optra-ai.com/legal
개인정보 보호 책임자(DPO): dpo@optra-ai.com
해결되지 않은 우려사항이 있는 경우 현지 개인정보 보호 감독 기관에 문의하실 수 있습니다.
부록: 데이터 흐름 요약
개발자 머신
│
├── Claude Code 플러그인 ──→ Ingest 서비스 (ingest.prism.optra-ai.com)
│ (프롬프트, 텔레메트리) │
│ ├── 인증: gck_* 키 검증
│ ├── NATS JetStream (발행)
│ │ │
│ │ Prism Engine (내부)
│ │ ├── NATS → S3 (Parquet, AES-256)
│ │ ├── PRISM 스코어링 → Postgres
│ │ └── DataFusion → 쿼리 API
│ │
└── 대시보드 (dashboard.prism.optra-ai.com) ◄──┘── API 응답 (점수, 분석)
(점수, 분석 조회)
모든 데이터는 전송 중(TLS 1.2+) 및 저장 시(AES-256) 암호화됩니다.
Customer Data는 조직별로 격리되며, 고객 간 접근은 없습니다.