데이터 처리 부록

베뉴, 브랜드, 엔터프라이즈 고객을 대신하여 JazzNode가 개인 데이터를 처리하는 관계에 적용되는 표준 DPA입니다.

발효일: 2026년 4월 14일·버전 1.0

본 DPA 체결 방법

이 페이지는 현재 표준 DPA 텍스트입니다. JazzNode와 유료 구독을 체결함으로써 적용 범위 내에서 현재 형식의 본 DPA에 동의하는 것으로 간주됩니다. 서명본, 수정본 또는 기업별 변형본이 필요한 경우, 제목에 "DPA execution"을 기재하여 security@jazznode.com으로 법인명, 관할 구역, 요청하는 수정 사항과 함께 이메일을 보내주세요.

초안 버전 — 역서명 전 법률 검토 권장

1. 정의

본 DPA에서 사용되는 용어는 GDPR, UK GDPR 또는 해당 현지 데이터 보호법에 할당된 의미를 가집니다. 명확성을 위해:

컨트롤러 — 개인 데이터 처리의 목적과 수단을 결정하는 JazzNode 고객인 귀하.
프로세서 — 귀하를 대신하여 개인 데이터를 처리하는 JazzNode Inc.(미국 델라웨어) 및 娛興喂有限公司(대만).
개인 데이터 — GDPR 제4조(1)에 정의된 대로; 식별되었거나 식별 가능한 자연인과 관련된 데이터.
처리 — 개인 데이터에 대해 수행되는 모든 작업(수집, 저장, 사용, 전송, 삭제 등).
하위 프로세서 — 컨트롤러를 대신하여 개인 데이터를 처리하기 위해 JazzNode가 계약한 제3자, §5에 명시.
서비스 — 아티스트/베뉴/브랜드 프로필, 이벤트 검색, 티켓 판매, 메시징 및 관련 기능을 포함한 JazzNode 플랫폼.

2. 주제, 기간, 성격 및 목적

주제: 컨트롤러에 서비스를 제공하는 것과 관련하여 JazzNode가 개인 데이터를 처리하는 것.

기간: 컨트롤러의 JazzNode 구독 기간과 법률에 따라 요구되는 보존 기간(예: 티켓 수익에 대한 세금 기록).

성격 및 목적: 컨트롤러가 JazzNode 플랫폼을 사용하는 것을 호스팅, 인증, 표시, 전달 및 지원. 티켓 발행, Stripe를 통한 결제 처리, Resend를 통한 트랜잭션 이메일, 플랫폼 사용 분석을 포함합니다.

3. 데이터 주체 및 개인 데이터의 범주

데이터 주체 범주: 팬/티켓 구매자, 뮤지션/아티스트 프로필 소유자, 베뉴 운영자, 브랜드 운영자 및 그들이 초대한 직원을 포함한 서비스의 최종 사용자.

개인 데이터 범주:

식별: 이름, 표시 이름, 이메일, 프로필 이미지.
인증: 해시된 비밀번호(Supabase Auth), OAuth 토큰(Google).
상거래: 티켓 구매 기록, 주문 총액, 지급 대상지(베뉴/브랜드용). JazzNode는 원본 카드 번호를 저장하지 않으며 — PCI DSS에 따라 별도의 컨트롤러로서 Stripe가 보유합니다.
커뮤니케이션: 플랫폼을 통해 전송된 메시지, shoutouts, 리뷰.
사용: 익명화된 분석, 리퍼러 소스, 일반적인 지리적 지역.
장치(모바일 앱만 해당): 푸시 알림 토큰, 장치 이름, OS/앱 버전.

JazzNode는 GDPR 제9조의 특수 범주 개인 데이터를 의도적으로 처리하지 않습니다. 컨트롤러는 서비스를 통해 그러한 데이터를 제출해서는 안 됩니다.

4. 프로세서로서 JazzNode의 의무

JazzNode는:

컨트롤러의 문서화된 지시(구독 계약, 본 약관, 컨트롤러가 제공하는 서면 지시)에 따라서만 개인 데이터를 처리합니다.
개인 데이터 처리 권한을 가진 사람이 계약상 비밀유지 의무를 지도록 보장합니다.
적절한 기술적 및 조직적 보안 조치를 구현합니다(§7 참조).
처리 성격을 고려하여 데이터 주체 요청에 대응하고 GDPR 제32조부터 제36조까지의 의무를 충족하는 데 컨트롤러를 지원합니다.
GDPR 제28조 준수를 입증하기 위해 필요한 모든 정보를 컨트롤러에 제공합니다.
컨트롤러의 선택에 따라 서비스 종료 후 모든 개인 데이터를 삭제하거나 반환합니다(§11 참조).

5. 하위 프로세서

컨트롤러는 JazzNode가 다음 하위 프로세서를 고용하도록 승인하며, 각 하위 프로세서는 본 DPA 이상의 보호 수준을 부과하는 데이터 보호 조건이 포함된 서면 계약을 체결했습니다:

Supabase, Inc.: 데이터베이스, 인증, 오브젝트 스토리지. SOC 2 Type 2, ISO 27001. 데이터는 주로 JazzNode 운영 지역에 맞게 선택된 AWS 리전에서 호스팅됩니다.
Vercel Inc.: 애플리케이션 호스팅, 엣지 네트워크, 빌드 파이프라인. SOC 2 Type 2, ISO 27001.
Stripe, Inc.: 결제 처리. Stripe는 PCI DSS Level 1에 따라 카드 데이터에 대한 독립 컨트롤러 역할을 합니다.
Resend, Inc.: 트랜잭션 이메일 전달. SOC 2 Type 2. APAC용 도쿄 리전.
Amazon Web Services, Inc.: Supabase 및 선택된 파일 스토리지를 통해 사용되는 기반 클라우드 인프라. SOC 2, ISO 27001.
Google LLC: Google 로그인용 OAuth ID 제공자; 내부 ID 제공자로서의 Google Workspace.

JazzNode는 하위 프로세서의 추가 또는 교체를 /trust 및 이메일을 통해 최소 30일 전에 컨트롤러에 통지합니다. 컨트롤러는 합리적인 데이터 보호 근거로 이의를 제기할 수 있으며, 이의가 해결되지 않으면 어느 당사자든 구독을 종료할 수 있습니다.

6. 국제 데이터 이전

JazzNode는 여러 관할 구역에서 운영합니다. 개인 데이터가 EEA, 영국 또는 스위스에서 적정성 결정이 없는 국가로 이전되는 경우, JazzNode는 참조로 통합된 EU 표준 계약 조항(2021/914) 및 이에 상응하는 영국 IDTA/부록을 따릅니다.

EEA 외부에서 운영하는 하위 프로세서는 SCC 동등 보호에 자체 인증하거나 적정성 프레임워크 하에서 운영합니다. 현재 관할 구역: 미국(JazzNode Inc., Vercel, Stripe, AWS, Google), 대만(娛興喂), 일본(Resend 도쿄 리전 선택 시).

7. 보안 조치

JazzNode는 /trust 및 /legal/security에 설명된 대로 위험에 적절한 기술적 및 조직적 조치를 구현하고 유지합니다. 최소한 다음을 포함합니다:

전송 중 암호화(모든 도메인에서 TLS 1.2+, HSTS)와 저장 시 암호화(인프라 제공자를 통한 AES-256).
사용자별, 역할별 액세스 제어를 위해 데이터베이스 계층에서 Row Level Security 적용.
민감한 작업에 대해 승격된 권한이 필요한 최소 권한 내부 역할(Owner / Admin / Editor).
Vercel 환경 변수를 통한 암호화된 시크릿 관리; 클라우드 간 인증에 OIDC; 소스 제어에 장기 자격 증명 없음.
Supabase 시점 백업 및 독립적으로 저장된 티켓 기록.
/trust에 게시된 취약성 공개 프로그램, 연락처 security@jazznode.com.

조치는 매년 검토되고 플랫폼이 진화함에 따라 업데이트됩니다. 중요한 변경 사항은 /trust에 반영됩니다.

8. 데이터 주체 권리 지원

JazzNode는 GDPR 제III장(접근, 수정, 삭제, 제한, 이동성, 반대)에 따른 데이터 주체 요청에 컨트롤러가 대응하는 것을 합리적으로 지원하며, 그러한 지원이 불균형적인 경우 컨트롤러의 비용으로 합니다.

데이터 주체가 컨트롤러에서 비롯된 데이터에 대해 JazzNode에 직접 연락하는 경우(예: 팬이 베뉴의 이벤트 페이지에 있는 자신의 프로필에 대해 이메일을 보내는 경우), JazzNode는 관련 컨트롤러를 데이터 주체에게 알리고 적절한 경우 컨트롤러에 통지합니다.

9. 개인 데이터 침해 통지

JazzNode는 컨트롤러의 데이터에 영향을 미치는 개인 데이터 침해에 대해 확인 후 72시간 이내, 부당한 지연 없이 컨트롤러에 통지합니다.

통지에는 그 시점에 알려진 범위 내에서 다음이 포함됩니다: 침해의 성격, 영향받은 데이터 주체 및 기록의 범주와 대략적인 수, 발생 가능한 결과, 침해에 대처하고 악영향을 완화하기 위해 취해진 또는 제안된 조치.

JazzNode는 모든 개인 데이터 침해를 문서화하고 요청 시 컨트롤러에 기록을 제공합니다.

10. 감사 및 검사

컨트롤러는 다음을 검토하여 JazzNode의 본 DPA 준수를 확인할 수 있습니다:

JazzNode 하위 프로세서의 현재 제3자 감사 보고서(SOC 2, ISO 27001) — NDA 요청 시 security@jazznode.com을 통해 제공.
합리적인 보안 설문지에 대한 JazzNode의 응답(12개월당 1회로 제한; 30영업일 이내에 응답).

현장 검사는 위의 방법이 명백히 불충분하거나 감독 당국이 요구하는 경우에만 예약됩니다. 이 경우 컨트롤러는 30일 서면 통지, 자비 부담, 상호 합의된 범위 및 기밀 조건 하에서 정상 영업 시간 동안 감사를 수행합니다.

11. 반환 및 삭제

컨트롤러 구독 종료 시, JazzNode는 종료 후 30일 이내에 컨트롤러의 서면 선택에 따라: (a) 컨트롤러를 대신하여 처리된 모든 개인 데이터를 삭제하거나, (b) 구조화되고 일반적으로 사용되는 기계 판독 가능 형식으로 반환합니다.

적시 선택이 없으면 JazzNode는 90일 후 컨트롤러의 개인 데이터를 삭제하며, 법률에 따라 보존이 필요한 데이터(예: 미국 및 대만 세법에 따른 티켓 거래 세금 기록)는 제외됩니다. 백업 시스템의 데이터는 정상 백업 순환에서 덮어쓰여집니다.

12. 책임, 준거법 및 우선 순위

본 DPA에 따른 책임은 기본 JazzNode 구독 계약의 책임 한도 및 제외 사항을 따릅니다. 본 DPA의 어떤 내용도 법적으로 제외할 수 없는 책임을 제외하지 않습니다.

본 DPA는 이를 통합하는 JazzNode 구독 계약의 법률이 적용됩니다.

본 DPA와 기본 구독 계약이 데이터 보호 의무와 관련하여 상충하는 경우 본 DPA가 우선합니다. EU 표준 계약 조항은 해당되는 경우 본 DPA보다 우선합니다.

13. 연락처

데이터 보호 및 DPA 질문: security@jazznode.com.

JazzNode HQ를 통한 일반 연락: .

JazzNode 운영 법인: JazzNode Inc.(미국 델라웨어) 및 娛興喂有限公司(대만).