개인정보 처리방침
최종 업데이트: 2026-05-12
BaliPick (이하 "서비스") 은 발리 현지 서비스 제공자 정보를 공유하는 비영리/정보 플랫폼이며, 한국 개인정보보호법(PIPA) 및 인도네시아 PDP Law 정신을 따릅니다.
1. 수집 항목
| 구분 | 항목 | 수집 시점 |
|---|---|---|
| 업체 정보 | 이름, 카테고리, 지역, 왓츠앱(E.164), 카카오톡 ID, 영업시간, 설명, 사진 (최대 10장) | 사용자/운영자 제보 시 |
| 이용자 식별 | 익명 user_token (cookie), IP 해시 (SHA-256), User-Agent 해시 | 제출/평가 시 |
| 이용 로그 | 왓츠앱 클릭(provider_contact_logs), 조회수, 평가, 피드백 | 각 행동 시 |
2. 수집·이용 목적
- 업체 정보 검색·표시·추천
- 중복 제보 방지 (phone / kakao_id 매칭)
- 스팸·부정 사용 식별 (IP 해시 기반 rate limit)
- 서비스 품질 개선을 위한 통계
3. 보유 기간
- 업체 정보: 운영 중 영구 (운영자가 비공개 처리 가능)
- 익명 토큰: cookie 만료까지 (사용자 기기에서 직접 삭제 가능)
- IP/UA 해시: 90일 (rate limit 목적)
4. 제3자 제공·위탁
다음 외엔 제3자에게 제공하지 않습니다.
- AWS S3 (싱가포르 ap-southeast-1) — 사진 저장
- AWS Lightsail — 애플리케이션·DB 호스팅
5. 이용자 권리
- 열람·정정: 본인이 제보한 트립(`/my` 페이지)에서 직접 조회·수정·삭제
- 삭제·연락: 본인이 등록한 업체의 삭제는 denvernext80@gmail.com 로 요청
- 왓츠앱·카카오톡 ID 노출 차단: 출력 시 자동 마스킹 (DB 원본은 dedup 목적으로 보관)
6. 쿠키 사용
tone_user_token— 익명 트립 본인 확인 (HttpOnly, SameSite=Lax)- 세션 쿠키 — admin 로그인 유지
- 분석 쿠키 (GA / Matomo) — 사용하지 않음
7. 보안 조치
- 모든 DB 쿼리에 PDO prepared statement (SQL injection 방어)
- 비밀번호 bcrypt 해시 (PHP password_hash)
- CSRF 토큰 + IP 블랙리스트 + rate limiting
- HTTPS 강제 (Caddy 자동 갱신)
- X-Frame-Options DENY / CSP / X-Content-Type-Options nosniff
8. 만 14세 미만 처리
서비스는 만 14세 미만의 개인정보를 수집하지 않습니다.
9. 변경 고지
처리방침이 변경될 경우 본 페이지 상단에 업데이트 일자를 표시합니다.