돌아가기
AxiPass
AxiPass

AxiPass 개인정보처리방침

시행일: 2026년 6월 19일

AxiPass는 B2B SaaS 기업을 위한 Identity Provider이며, AxiPass SWA Chrome 확장 프로그램은 사용자가 승인한 업무 앱에 안전하게 로그인하도록 돕는 단일 목적 도구입니다. 이 문서는 확장 프로그램과 AxiPass 서비스가 어떤 데이터를 처리하고, 처리하지 않으며, 어떻게 보호하는지 설명합니다.

확장 프로그램 데이터 사용 원칙

AxiPass는 Chrome Web Store User Data Policy 및 Limited Use 요구사항을 준수합니다. 확장 프로그램에서 처리되는 정보는 승인된 자동 로그인과 보안 감사 기능을 제공하거나 개선하는 목적에 한해 사용하며, 개인화 광고, 데이터 판매, 신용평가 또는 무관한 추적 목적으로 사용하지 않습니다.

1.확장 프로그램의 단일 목적

AxiPass SWA Chrome 확장 프로그램은 테넌트 관리자가 등록한 업무용 SaaS 로그인 화면에서 사용자가 승인한 계정 정보를 안전하게 자동 입력하고, 해당 로그인 시도를 감사 로그로 남기는 기능만 제공합니다.

2.수집하는 개인정보 항목 및 수집 방법

AxiPass는 서비스 제공에 필요한 최소한의 개인정보를 수집하며, 서비스 유형과 이용 단계에 따라 아래 항목을 수집합니다.

가. 수집 항목

  • 가입·계정(필수): 이메일, 이름, 비밀번호(단방향 암호화 저장), 소속 테넌트, 역할 및 그룹
  • 소셜 로그인(Google) 이용 시: 이메일, 이름, 프로필 이미지, 소셜 제공자 식별자(provider, uid)
  • 다단계 인증(MFA) 설정 시: TOTP 시드 및 복구 코드(컬럼 암호화 저장)
  • 조직·테넌트 정보: 테넌트 식별자(slug), 도메인 및 도메인 검증 토큰, 요금제, 정책 설정(언어·시간대·MFA 강제 등)
  • 인증·접근 기록: SSO·SWA 로그인 시도와 성공·실패 이벤트, 접속 IP, User-Agent, 기기·브라우저 정보, 세션 식별자
  • SCIM 프로비저닝: 고객사 IdP가 동기화하는 사용자 속성(이메일, 이름, 활성 상태, 그룹 등)
  • 앱 연동 정보: OAuth/OIDC client_id·client_secret, SAML SP 등록 정보, SCIM Bearer 토큰(비밀값은 컬럼 암호화)
  • 감사 로그: 행위자, 이벤트 종류, 처리 시각(UTC 저장), 대상 리소스, 접속 정보
  • SWA(자동 로그인): 등록된 업무 앱 식별자, 자동 입력 자격증명(컬럼 암호화), 일회성 grab token
  • 문의·지원: 이름, 이메일, 문의 내용(이용자가 고객 지원을 요청하는 경우)
  • 자동 수집: IP 주소, User-Agent, 쿠키 및 방문 식별자(visitor_id), 방문 일시·페이지, 리퍼러, 접속 로그

나. 수집 방법

  • 직접 입력: 회원가입·로그인·MFA 등록·문의 시 이용자가 직접 입력
  • 관리자 등록: 테넌트 관리자의 멤버 초대·등록(개별 또는 CSV 일괄 등록)
  • 외부 연동: 고객사 IdP의 SCIM 프로비저닝 동기화, Google 소셜 로그인 연동
  • 자동 생성: 서비스 이용 과정에서 쿠키·로그·접속 기록 등이 자동으로 수집

3.수집하지 않는 정보

확장 프로그램은 사용자의 전체 웹 탐색 기록, 방문 페이지 본문, 광고 식별자, 결제 정보, 주소록, 파일, 화면 내용 또는 업무 앱 로그인과 무관한 입력값을 수집하지 않습니다. 웹 페이지 접근은 사용자가 실행한 SWA 로그인 기능에 필요한 도메인과 화면 요소로 제한됩니다.

4.개인정보의 수집 및 이용 목적

AxiPass는 수집한 개인정보를 다음 목적으로만 이용하며, 목적 외 이용이 필요하거나 이용 목적이 변경되는 경우 사전에 동의를 받습니다. 회사는 계약의 이행(개인정보 보호법 제15조 제1항 제4호), 정보주체의 동의(같은 항 제1호), 법령상 의무의 준수(같은 항 제2호) 등을 처리 근거로 합니다.

  • 서비스 제공·계약 이행: 통합 로그인(SSO) 및 OIDC/OAuth2·SAML 인증, SWA 자동 로그인, SCIM 프로비저닝, 테넌트·멤버·그룹·앱 접근 정책 관리
  • 본인 확인·계정 관리: 가입 의사 및 본인 확인, 계정 식별, 비밀번호·세션 관리, 멤버 초대 및 권한 부여
  • 보안·부정 이용 방지: MFA 적용, 접근 권한 통제, 비정상 로그인·부정 이용 탐지 및 차단, 보안 사고 조사
  • 감사·법규 준수: 감사 로그 기록·제공, ISMS-P 등 보안 보고서 작성, 전자상거래법 등 법령상 의무 이행
  • 고객 지원·운영: 문의 응대, 장애·보안 사고 대응, 서비스 변경·정책 공지 전달
  • 서비스 개선(통계 또는 별도 동의): 특정 개인을 식별하지 않는 형태의 이용 통계 분석, 신규 기능 개발 및 품질 개선

5.개인정보의 보유 및 이용 기간

회사는 원칙적으로 개인정보 수집 및 이용 목적이 달성된 후에는 해당 정보를 지체 없이 파기합니다. 다만, 다음의 정보는 명시한 기간 동안 보관하며, 보관 시에는 보관 목적에 필요한 최소한의 항목만 분리하여 보관합니다.

가. 회사 내부 정책에 의한 보관

  • 회원·멤버 계정 정보: 회원 탈퇴 또는 테넌트 계약 종료 시까지(즉시 파기)
  • 감사·보안 이벤트 로그: 보안 사고 대응 및 고객 감사 지원에 필요한 기간
  • 부정 이용 기록: 1년(부정 이용 방지)

나. 관계 법령에 의한 보관

  • 계약 또는 청약철회 등에 관한 기록: 5년(전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조)
  • 대금결제 및 재화 등의 공급에 관한 기록: 5년(전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조)
  • 소비자 불만 또는 분쟁처리에 관한 기록: 3년(전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조)
  • 표시·광고에 관한 기록: 6개월(전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조)
  • 웹사이트 방문(접속) 기록: 3개월(통신비밀보호법 제15조의2)

6.개인정보의 파기 절차 및 방법

AxiPass는 보유기간이 경과하거나 처리 목적이 달성되어 더 이상 불필요한 개인정보를 지체 없이 파기합니다. 파기 절차와 방법은 다음과 같습니다.

가. 파기 절차

  • 보유기간 경과·목적 달성 시 파기 대상으로 분류하고, 개인정보 보호책임자의 확인을 거쳐 파기합니다.
  • 법령에 따라 보존이 필요한 정보는 별도의 저장 공간으로 분리 보관한 뒤, 보존 기간이 경과하면 파기합니다.

나. 파기 방법

  • 전자적 파일: 복구·재생할 수 없는 기술적 방법으로 삭제하며(soft delete 후 영구 삭제), 비밀값 컬럼은 암호화 상태에서 삭제하거나 익명화합니다.
  • 출력물: 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각하여 파기합니다.

7.개인정보의 제3자 제공

AxiPass는 이용자의 개인정보를 외부에 제공하지 않는 것을 원칙으로 하며, 광고 네트워크·데이터 브로커·정보 리셀러에 판매하거나 제공하지 않습니다. 다만 다음의 경우는 예외로 합니다.

  • 이용자 또는 고객 조직이 사전에 동의한 경우
  • 법령에 근거하거나, 적법한 절차에 따라 수사기관의 요청이 있는 경우
  • 통계 작성·보안 연구 등을 위해 특정 개인을 식별할 수 없는 형태로 가공하여 제공하는 경우

8.개인정보 처리의 위탁

AxiPass는 안정적인 서비스 제공을 위해 아래와 같이 개인정보 처리 업무를 외부에 위탁합니다. 위탁 계약 시 개인정보 보호법 제26조에 따라 위탁 업무 목적 외 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁사 관리·감독, 손해배상 등 책임에 관한 사항을 문서에 명시하고, 수탁사가 개인정보를 안전하게 처리하는지 감독합니다. 위탁 업무 내용이나 수탁사가 변경되는 경우 본 방침을 통해 지체 없이 공개합니다.

  • Amazon Web Services, Inc. — 서버·데이터베이스 인프라(클라우드) 호스팅 / 서비스 운영에 저장되는 개인정보
  • Contabo GmbH — 서버 인프라 호스팅 / 서비스 운영에 저장되는 개인정보
  • Polar Software, Inc. — 유료 구독 결제 및 결제대행(Merchant of Record), 인보이스 발행·세금 처리 / 구매자 이름·이메일·전화번호, 청구지 주소, 상호·사업자 번호, 카드 종류·카드번호 끝 4자리, 구매·구독 이력, 접속 정보. 결제 처리에는 Polar의 하위 수탁사가 관여하며 전체 목록은 https://polar.sh/legal/sub-processors 에서 확인할 수 있습니다.
  • Stripe, Inc.(Polar의 결제 처리 하위 수탁사) — 카드결제 승인·정산·환불·사기 방지 / 결제카드 정보, 청구지 주소, 이메일, 결제 거래내역

9.개인정보의 국외 이전

AxiPass는 서비스 제공을 위해 아래와 같이 일부 개인정보를 국외로 이전합니다(이전 항목 / 이전 목적 / 이전 시점·방법 / 보유 기간 순). 이용자는 국외 이전을 거부할 수 있으나, 거부 시 해당 기능(소셜 로그인 등) 이용이 제한될 수 있으며, 거부 의사는 [email protected] 로 알려 주시기 바랍니다.

  • Amazon Web Services, Inc. (미국) / 서버에 저장되는 개인정보 / 인프라 호스팅 / 서비스 이용·인증 시점에 네트워크 전송 / 서비스 이용 기간 동안 보관
  • Contabo GmbH (독일) / 서버에 저장되는 개인정보 / 인프라 호스팅 / 서비스 이용·인증 시점에 네트워크 전송 / 서비스 이용 기간 동안 보관
  • Google LLC (미국) / 이메일·이름·프로필 / Google 소셜 로그인 / 로그인 시점에 네트워크 전송 / Google 정책에 따른 보관
  • Polar Software, Inc. (미국) / 구매자 이름·이메일·전화번호, 청구지 주소, 상호·사업자 번호, 카드 종류·카드번호 끝 4자리, 구매·구독 이력, 접속 정보 / 유료 구독 결제·결제대행(세금 처리·인보이스 발행) / 결제(체크아웃) 진행 시점에 네트워크 전송 / 계정 유지 기간 및 관련 법령상 의무 이행·분쟁 해결에 필요한 기간
  • Stripe, Inc. (미국) / 결제카드 정보, 청구지 주소, 이메일, 결제 거래내역 / 카드결제 승인·정산·환불·사기 방지 / 결제 시점에 Polar를 통해 전송 / 결제·정산 및 관련 법령상 보존 기간

10.정보주체의 권리·행사 방법

이용자(정보주체)는 자신의 개인정보에 대해 다음 권리를 행사할 수 있습니다. 요청은 서비스 내 기능, 소속 조직의 AxiPass 관리자, 또는 [email protected] 를 통해 접수할 수 있으며, 회사는 본인 또는 정당한 대리인 여부를 확인한 뒤 처리합니다. 관리형 테넌트의 경우 일부 권리는 소속 조직 관리자의 정책에 따라 처리될 수 있습니다.

  • 개인정보 열람 요구
  • 오류 등에 대한 정정·삭제 요구
  • 처리정지 요구(정당한 사유가 없는 한 10일 이내 처리)
  • 동의 철회 및 회원(계정) 탈퇴 요구
  • 권리 행사는 법정대리인이나 위임을 받은 대리인을 통해서도 할 수 있습니다.
  • 열람·처리정지 요구는 개인정보 보호법 제35조 제4항 및 제37조 제2항에 따라 제한될 수 있으며, 다른 법령에서 수집 대상으로 명시된 개인정보는 삭제를 요구할 수 없습니다.

11.쿠키 및 자동 수집 장치

AxiPass는 로그인 상태 유지와 서비스 이용 분석·보안을 위해 쿠키 및 방문 식별자 등 자동 수집 장치를 사용합니다.

  • 사용 목적: 로그인 세션 유지, 방문 빈도·이용 통계 분석, 보안 및 부정 이용 방지
  • 거부 방법: 웹브라우저 설정에서 쿠키 저장을 거부할 수 있으며, 거부 시 로그인 유지 등 일부 기능 이용이 제한될 수 있습니다

12.개인정보의 안전성 확보 조치

AxiPass는 개인정보가 분실·도난·유출·위변조·훼손되지 않도록 다음의 관리적·기술적·물리적 조치를 시행합니다.

  • 관리적 조치: 개인정보 취급 권한의 최소화 및 역할 기반 분리, 정기적 내부 점검
  • 기술적 조치: 비밀값(OAuth client_secret, TOTP 시드, SCIM 토큰, SWA 자격증명 등)의 컬럼 암호화(Lockbox), 비밀번호 단방향 암호화, 전송 구간 TLS 적용, 감사 로그에 비밀값 평문 미기록
  • 접근 통제: 테넌트·역할 기반 접근 제어(멀티테넌시 격리), 운영 환경 접근 권한 관리 및 접속 기록 보관
  • 물리적 조치: 클라우드 데이터센터의 출입 통제 및 보안 시설 이용

13.개인정보 보호책임자

AxiPass는 개인정보 보호법 제30조에 따라 본 방침을 수립·공개하며, 개인정보 처리에 관한 업무를 총괄하고 이용자의 불만 처리 및 피해 구제를 담당하는 개인정보 보호책임자를 다음과 같이 지정합니다. — 성명: 정은호 / 직책: 대표 / 연락처: 010-3140-2180 / 이메일: [email protected]. 개인정보 보호 관련 문의·고충은 보호책임자에게 접수할 수 있으며, 회사는 신속하고 성실하게 답변합니다.

14.만 14세 미만 아동의 개인정보

AxiPass는 고객 조직이 도입·관리하는 B2B 업무용 서비스로 만 14세 미만 아동을 대상으로 하지 않으며, 만 14세 미만 아동의 개인정보를 수집하지 않습니다.

15.권익침해 구제 방법

개인정보 침해에 관한 신고나 상담이 필요한 경우 아래 기관에 문의할 수 있습니다.

  • 개인정보침해신고센터 (KISA): (국번없이) 118 / privacy.kisa.or.kr
  • 개인정보 분쟁조정위원회: (국번없이) 1833-6972 / www.kopico.go.kr
  • 대검찰청 사이버수사: (국번없이) 1301
  • 경찰청 사이버수사국: (국번없이) 182 / ecrm.police.go.kr

16.처리방침의 변경

본 개인정보처리방침은 시행일로부터 적용되며, 법령 또는 회사 정책에 따라 변경되는 경우 시행 7일 전(중요하거나 이용자에게 불리한 변경은 30일 전)부터 서비스 내 공지 또는 이메일로 고지합니다.

17.문의

개인정보, 확장 프로그램 데이터 처리, 삭제 요청 또는 보안 취약점 제보는 [email protected] 로 연락해 주세요. 관리형 테넌트 사용자는 소속 조직의 AxiPass 관리자에게도 접근 권한 및 계정 삭제를 요청할 수 있습니다.

사업자 정보

상호명
액시멈주식회사
대표자
정은호
사업자등록번호
445-87-02954
통신판매업 신고
제2026-부천원미-1246호
주소
(14598) 경기도 부천시 원미구 송내대로73번길 46, 7층 D2호
연락처
010-3140-2180

본 문서는 AxiPass 서비스와 AxiPass SWA Chrome 확장 프로그램에 적용됩니다. 문의는 [email protected] 로 연락해 주세요.