개인정보 처리방침

가. 회원가입

• 필수 항목: 이름, 이메일, 비밀번호
• 선택 항목: 전화번호, 생년월일, 건강 특이사항(부상 이력, 질환 등)

나. 무료체험 / 드랍인 신청

• 필수 항목: 이름, 연락처(전화번호), 희망 날짜, 희망 수업 시간
• 선택 항목: 요청사항(메모)

다. 서비스 이용 중 자동 수집

• 가입일, 최근 접속 시각
• IP 주소, 브라우저/기기 정보(User-Agent)
• 로그인 시도 기록 (브루트포스 차단용)
• 관리자 작업 감사 로그 (회원 승인·역할 변경 등)
• 페이지 조회 기록 (사용성 분석 및 서비스 개선용)
• 예약·출석·WOD 기록 등 서비스 이용 데이터
• NextAuth 세션 쿠키 (로그인 유지)

• 회원 식별 및 가입·탈퇴 관리
• 수업 예약, 출석 관리, 회원권 운영
• 공지사항, 예약 확정, 일정 변경 등 서비스 알림 전송
• 안전한 운동 지도 및 부상 예방을 위한 건강 특이사항 참고(선택 제공 시)
• 무료체험/드랍인 신청 접수, 일정 조율 및 확인 연락
• 서비스 운영 통계 및 개선

아래 데이터는 모두 MongoDB TTL(Time-To-Live) 인덱스를 통해 지정된 기간이 지나면 자동으로 영구 삭제됩니다.

• 회원 정보: 회원 탈퇴 시 지체 없이 파기. 단, 관계 법령상 보존 의무가 있는 경우 해당 기간 동안 보관합니다.
• 무료체험 / 드랍인 신청 정보: 신청일로부터 90일
• 푸시 알림 이력: 생성 후 60일
• 활동 로그(페이지 조회): 생성 후 90일
• 관리자 감사 로그(IP, 작업 이력): 생성 후 1년
• 로그인 시도 기록: 생성 후 24시간
• 예약 / 출석 / WOD 기록 / PR: 회원 탈퇴 시까지 보관 (운동 이력 추적 목적)

수집된 개인정보는 보유 기간 경과 후 복구 불가능한 방법으로 파기됩니다.

• 전자적 파일: 복구 불가능한 기술적 방법으로 영구 삭제
• 데이터베이스: MongoDB TTL(Time-To-Live) 자동 삭제 메커니즘 활용

원활한 서비스 제공을 위해 다음 업체에 개인정보 처리 업무를 위탁하고 있습니다.

회원은 박스에 대해 언제든지 다음의 권리를 행사할 수 있습니다.

• 개인정보 열람 요구
• 오류 등이 있을 경우 정정 요구 (프로필 페이지에서 직접 수정 가능)
• 삭제 요구 (회원 탈퇴)
• 처리 정지 요구

권리 행사는 프로필 페이지에서 직접 처리하거나, 아래 연락처로 문의해 주시기 바랍니다.

• 비밀번호 일방향 암호화 저장 (bcrypt, salt rounds 12)
• 비밀번호 최소 8자 이상 강제
• 로그인 5회 실패 시 15분 자동 잠금 (브루트포스 차단)
• 로그인 세션 7일 후 자동 만료, 매일 토큰 갱신
• HTTPS 기반 전 구간 암호화 통신 (HSTS preload 적용)
• 관리자/코치/회원 권한 분리 및 접근 제어 (role-based access)
• 보안 헤더 적용: 클릭재킹 방지(X-Frame-Options), MIME sniffing 차단, Referrer 최소화
• 입력값 화이트리스트 검증 (NoSQL injection·mass assignment 방지)
• 관리자 작업 감사 로그 1년 보관 (IP·작업자·대상 기록)
• 정기적인 의존성 보안 업데이트 및 취약점 점검

로그인 세션 유지를 위해 필수 쿠키(NextAuth 세션 토큰)를 사용하며, 해당 쿠키는 HttpOnly·Secure·SameSite=Lax 옵션이 적용되어 있습니다. 광고·추적·분석 목적의 제3자 쿠키는 일절 사용하지 않습니다.

• 필수 항목에 대한 동의를 거부하실 수 있으나, 그 경우 서비스 이용이 제한될 수 있습니다.
• 선택 항목(전화번호, 생년월일, 건강 특이사항 등)은 미제공 시에도 기본 서비스 이용에 제한이 없습니다.

본 처리방침의 내용은 법령·정책 또는 보안 기술의 변경에 따라 수정될 수 있으며, 변경 시 시행일자 7일 이전에 공지사항을 통해 고지합니다.

시행일자: 2026년 4월 27일