개인정보처리방침

SyncBlock(이하 "서비스")은 개인 개발자가 운영하는 캘린더 통합 서비스입니다. 본 방침은 서비스가 수집하는 개인정보의 항목, 수집 목적, 보관 기간 및 이용자의 권리를 설명합니다.

서비스는 다음의 개인정보를 수집합니다.

회원가입 시:

• 이메일 주소
• 이름 (선택)
• 비밀번호 (이메일 가입 시, 암호화 저장)

Google 계정 연동 시:

• Google 계정 ID
• 이메일 주소
• 이름
• 프로필 사진 URL

Microsoft 계정 연동 시:

• Microsoft 계정 ID
• 이메일 주소
• 이름

서비스 이용 중 자동 수집:

• 언어, 타임존, 테마 등 사용자 설정 정보
• 서비스 내에서 직접 생성한 로컬 이벤트 및 태그

Google Calendar 및 Outlook Calendar의 이벤트 데이터는 서비스 데이터베이스에 영구적으로 저장하지 않습니다. 사용자가 캘린더를 조회할 때 해당 플랫폼의 API를 실시간으로 호출하여 표시합니다.

단, 다음의 경우 일시적으로 데이터가 보관될 수 있습니다.

• 서버 메모리: API 응답을 클라이언트로 전달하는 동안 일시적으로 보관되며, 응답 전송 후 폐기됩니다.
• 브라우저 메모리: 화면 렌더링을 위해 사용자의 브라우저 세션 동안 보관되며, 세션 종료 또는 페이지 이탈 시 폐기됩니다.
• 서버 로그: 디버깅 목적의 메타데이터(요청 URL, 응답 코드, 사용자 ID 등)만 기록하며, 이벤트 본문(제목, 설명, 참석자 등)은 로그에 기록하지 않습니다.

서비스 내에서 사용자가 직접 생성한 로컬 이벤트는 서비스 데이터베이스에 저장됩니다. 사용자가 SyncBlock에서 외부 캘린더(Google/Outlook)에 이벤트를 생성·수정·삭제하면 해당 플랫폼에는 반영되지만, 그 본문은 SyncBlock 데이터베이스에 별도 저장되지 않습니다.

• 캘린더 통합 서비스 제공 (Google Calendar, Outlook Calendar 연동)
• 사용자 인증 및 계정 관리
• 서비스 설정 저장 (언어, 타임존, 테마 등)
• 일정 공유 기능 제공

SyncBlock의 Google API 사용은 Google API Services User Data Policy (Limited Use 요건 포함)를 준수합니다.

• Google API를 통해 수신한 데이터는 캘린더 통합 기능 제공 목적으로만 사용합니다.
• Google 사용자 데이터를 제3자에게 전송하거나 판매하지 않습니다.
• Google 사용자 데이터를 광고 목적으로 사용하지 않습니다.
• 사람이 데이터를 읽는 경우는 사용자의 명시적 동의가 있거나, 보안 목적, 법적 요구, 또는 서비스 제공을 위해 필요한 경우에 한합니다.

서비스는 다음의 Google OAuth 범위(scope)를 요청하며, 각 범위는 명시된 기능 제공 목적으로만 사용됩니다.

• email — 사용자 계정을 식별하고 로그인 세션을 생성하기 위해 사용합니다.
• profile — 사용자 이름과 프로필 사진을 서비스 화면에 표시하기 위해 사용합니다.
• https://www.googleapis.com/auth/calendar.calendarlist.readonly — 사용자가 연결한 Google 계정의 캘린더 목록을 표시하기 위해 사용합니다. 캘린더 메타데이터(이름, 색상)만 조회하며 수정하지 않습니다.
• https://www.googleapis.com/auth/calendar.events — 사용자가 SyncBlock에서 통합 캘린더를 조회·생성·수정·삭제할 때 Google Calendar의 이벤트와 동기화하기 위해 사용합니다. 사용자의 명시적 조작(이벤트 생성/수정/삭제 버튼 클릭) 없이는 사용자 캘린더에 어떠한 변경도 가하지 않습니다. 읽기 전용(readonly) 범위로는 SyncBlock의 핵심 기능인 통합 캘린더 편집을 제공할 수 없어 본 범위가 필요합니다.

Microsoft Graph API를 통해 수신한 데이터는 캘린더 연동 및 사용자 인증 목적으로만 사용합니다. Microsoft 사용자 데이터를 제3자에게 제공하거나 광고 목적으로 사용하지 않습니다.

• OAuth 액세스 토큰: 약 1시간 (만료 시 자동 갱신)
• OAuth 리프레시 토큰: 계정 연동 해제 또는 회원 탈퇴 시 삭제
• 계정 정보: 회원 탈퇴 시 즉시 삭제
• 로컬 이벤트 및 태그: 회원 탈퇴 시 즉시 삭제

회원 탈퇴 시 Google 및 Microsoft OAuth 토큰을 폐기(revoke)하고, 데이터베이스에서 모든 사용자 데이터를 완전히 삭제합니다.

서비스는 사용자의 개인정보를 제3자에게 판매하거나 제공하지 않습니다. 다만 다음의 경우 예외로 합니다.

• 사용자가 일정 공유 기능을 통해 직접 공유한 경우
• 법령에 의해 요구되는 경우

이용자는 다음의 권리를 행사할 수 있습니다.

• 개인정보 열람 요청
• 개인정보 수정 (설정 페이지에서 직접 수정)
• 캘린더 연동 해제 (설정 페이지에서 직접 해제)
• 회원 탈퇴 및 데이터 삭제 요청

서비스는 사용자 인증을 위해 HttpOnly 쿠키를 사용합니다. 이 쿠키는 로그인 세션 유지 목적으로만 사용되며, 광고 추적 등의 목적으로 사용하지 않습니다.

서비스는 사용자의 개인정보를 보호하기 위해 다음과 같은 보안 조치를 적용합니다.

• 전송 중 암호화: 모든 데이터 전송은 HTTPS(TLS) 프로토콜을 통해 암호화됩니다.
• 비밀번호 보호: 사용자 비밀번호는 단방향 해시 함수(bcrypt)를 사용하여 암호화 저장되며, 원본 비밀번호는 서버에 저장되지 않습니다.
• 인증 토큰 보호: JWT 토큰은 서버 측 비밀 키로 서명되며, HttpOnly·Secure·SameSite 속성의 쿠키를 통해 전달됩니다.
• OAuth 토큰 관리: Google 및 Microsoft OAuth 토큰은 데이터베이스에 저장되며, 계정 삭제 시 즉시 폐기(revoke)됩니다.
• 접근 제어: 모든 API 엔드포인트는 JWT 기반 인증 가드를 통해 보호되며, 인증되지 않은 접근은 차단됩니다.
• 인프라 보안: 서비스는 HTTPS가 적용된 클라우드 플랫폼에서 운영되며, 데이터베이스는 암호화된 연결을 통해 접근합니다.
• 데이터 처리 위치: 사용자 데이터는 Neon PostgreSQL(아시아·태평양 싱가포르 리전, ap-southeast-1)에서 저장 및 처리되며, 애플리케이션 서버는 Vercel의 글로벌 엣지 네트워크에서 운영됩니다.

본 방침이 변경될 경우 서비스 내 공지를 통해 안내합니다.

개인정보 관련 문의: contact@sync-block.app