개인정보 보호정책

Effective date: 2026-04-18

본 개인정보 처리방침은 MyAutoBudget("서비스", "당사", "우리")이 귀하의 정보를 어떻게 처리하는지 설명합니다. MyAutoBudget은 미국 애리조나주에 기반을 둔 독립 소프트웨어 개발자인 Josh Jones가 운영합니다. 우리는 투명성을 중요시하므로, 이 정책은 평이한 언어로 작성되었으며 이미 구축한 것과 아직 구축하지 않은 것에 대해 솔직하게 설명합니다.

1. 수집 항목

계정 정보: 가입할 때 이메일 주소, 표시 이름 및 비밀번호를 수집합니다. 비밀번호는 일방향 암호화 해시로 저장되며 일반 텍스트 비밀번호를 저장하거나 액세스하지 않습니다.

입력하는 금융 데이터: 계정, 잔액, 청구서, 수입원, 할당 버킷, 저축 목표 및 유사한 기록입니다. 이 모든 데이터는 귀하에 의해 입력되며 가입한 예산 기능을 제공하기 위해서만 저장됩니다.

Plaid 데이터 (선택 사항): Plaid 연동을 통해 은행 계좌를 연결하면 귀하를 대신하여 Plaid로부터 계좌 잔액, 거래 데이터 및 계좌 메타데이터(예: 연이율)를 수신합니다. Plaid 연결은 읽기 전용입니다 — MyAutoBudget은 이체를 시작하거나 결제를 하거나 귀하의 은행 계좌를 어떤 방식으로든 수정할 수 없습니다. 귀하의 은행 로그인 자격 증명을 수신하거나 저장하지 않습니다 — 이는 Plaid가 자체 개인정보 처리방침에 따라 전적으로 관리합니다.

서버 및 운영 로그: 보안, 안정성 및 악용 방지를 위해 제한된 액세스 및 운영 로그(IP 주소, 요청 타임스탬프, URL 경로 및 오류 정보 등)를 유지합니다. 이러한 로그는 30일 이내로 유지됩니다.

2. 데이터 사용 방법

당사는 서비스를 제공하고, 안정성과 보안을 유지하고, 버그를 수정하고, 예산 기능 및 제품 기능을 개선하기 위해 귀하의 데이터를 사용합니다. 여기에는 예산 대시보드 생성, 계산 및 예측 실행, 거래 이메일(예: 비밀번호 재설정 링크) 전송이 포함됩니다. 당사는 광고, 사용자 간 프로파일링 또는 제3자 판매를 위해 귀하의 개인 재무 데이터를 사용하지 않습니다.

서비스를 유지하고 개선하기 위해 집계된 비식별 운영 통계(예: 오류율, 기능 사용 횟수 또는 성능 지표)를 생성할 수 있습니다. 이러한 통계는 개별 사용자를 식별하지 않도록 설계되었으며 제3자에게 판매되지 않습니다.

3. 데이터 격리 및 접근

각 사용자의 재무 기록이 다른 사용자의 기록과 격리되도록 서비스를 설계합니다. MyAutoBudget의 통상적인 운영 과정에서 개별 사용자의 재무 데이터를 검토하지 않습니다. 서비스가 소규모 독립 제공자에 의해 운영되므로 운영자는 기본 인프라에 대한 관리 접근 권한을 가지고 있습니다. 계정 데이터에 대한 접근은 지원 제공, 보고된 문제 조사, 서비스 유지 또는 보호, 법적 의무 준수, 또는 보안 사고 대응을 위해 합리적으로 필요한 경우에 이루어질 수 있습니다. 귀하가 보고한 특정 문제에 대한 지원 관련 접근이 필요한 경우, 실행 가능한 범위에서 귀하에게 알리기 위해 합리적인 노력을 기울이겠습니다.

4. 보안 및 개인정보 보호 성숙도

보안 및 개인정보 보호 인프라의 현재 성숙도에 대해 솔직하게 말씀드리겠습니다. 다음 보호 기능이 구현되어 활성화되어 있습니다:

• 저장 중 암호화 — 민감한 재무 필드 및 Plaid 액세스 토큰은 지속적인 저장소에 쓰기 전에 애플리케이션 계층에서 암호화됩니다. 암호화 키는 데이터베이스 파일과 별도로 저장됩니다.
• 셀프 서비스 데이터 내보내기 — 프로필 페이지에서 언제든지 JSON 형식으로 모든 데이터의 전체 사본을 다운로드할 수 있으며, 문의할 필요가 없습니다.
• 셀프 서비스 계정 삭제 — 프로필 페이지에서 계정 및 모든 관련 데이터를 영구적으로 삭제할 수 있습니다. 삭제는 암호 확인이 필요하며 인증 기록, 모든 세션 및 사용자 재무 데이터를 활성 응용 프로그램 저장소에서 제거합니다.
• 사용자별 데이터 격리 — 각 사용자의 재무 기록은 다른 사용자의 기록과 논리적으로 분리되어 있으며, 현재의 저장소 아키텍처는 사용자의 재무 데이터를 사용자별로 분리된 상태로 유지합니다.
• 전송 중 HTTPS/TLS — 서비스에 대한 모든 연결이 암호화됩니다.
• 비밀번호 해싱 — 비밀번호는 최신의 소금 처리된 일방향 해싱 알고리즘을 사용하여 저장됩니다.
• CSRF 보호 — 사이트 간 요청 위조 토큰이 상태 변경 요청에 적용됩니다.
• 세션 보안 — 세션 토큰은 암호화 방식으로 무작위이며 구성 가능한 기간 후에 만료됩니다.
• 로그인 속도 제한 — 무차별 대입 공격 시도가 제한됩니다.

다음 보호 기능은 아직 구현되지 않았습니다:

• 독립적인 보안 감시 — 서비스는 정식 침투 테스트 또는 독립적인 보안 감시를 받지 않았습니다.

어떤 시스템도 완벽하게 안전하지 않습니다. 서비스에 입력할 데이터를 결정할 때 이러한 제한사항을 고려해주세요.

5. 은행 계정을 연결하기 전에

MyAutoBudget은 공개 베타 버전의 독립적인 예산 도구입니다. 은행이 아니며 독립적인 보안 감사를 받지 않았습니다. Plaid를 통해 금융 계좌를 연결하도록 선택한 경우 이러한 이해를 가지고 진행해야 합니다. 자신의 은행 계좌에 보유된 자금은 계속해서 은행의 이용약관 및 보호 대상입니다. MyAutoBudget은 FDIC 또는 유사한 예금 보험을 제공하지 않습니다.

6. 데이터 공유

당사는 마케팅 또는 광고 목적으로 개인 데이터를 제3자와 판매, 임차 또는 공유하지 않습니다. 당사는 다음의 제한된 경우에만 데이터를 공유합니다:

• Plaid (선택 가입 시) — 계좌 잔액, 거래 데이터 및 부채 정보(예: 신용카드 연이율)를 조회합니다. Plaid는 귀하를 대신하여 데이터 처리자 역할을 합니다. 은행 자격 증명 처리 방법에 대한 자세한 내용은 Plaid의 개인정보 처리방침을 참조하세요.
• 이메일 배송 — 비밀번호 재설정 링크를 보내기 위해 SMTP 이메일 서비스를 사용합니다. 서비스는 이메일 주소와 메시지 내용만 수신합니다.
• 법적 의무 — 법률, 규정, 소환장 또는 유효한 법적 절차에 의해 필요한 경우 데이터를 공개할 수 있습니다.

7. 데이터 보관 및 삭제

귀하의 계정이 활성 상태인 동안 데이터를 보유합니다. 프로필 페이지에서 비밀번호 확인을 통해 언제든지 계정 및 관련 애플리케이션 데이터를 영구적으로 삭제할 수 있습니다. 그 후 인증 기록, 세션 및 사용자 재무 데이터를 활성 애플리케이션 저장소에서 제거합니다. 삭제 후 사용자 재무 데이터의 장기적인 사용자 접근 가능한 백업을 의도적으로 유지하지 않지만, 제한된 잔여 데이터가 단기 로그, 인프라 스냅샷 또는 정상 만료 또는 덮어쓰기를 대기하는 시스템에 일시적으로 남아 있을 수 있습니다. 활성 시스템에서 삭제가 완료되면 귀하의 데이터를 복원할 수 없습니다. 프로필 페이지를 통한 셀프 서비스 삭제는 활성 애플리케이션 시스템에서 즉시 처리됩니다. 이메일로 삭제 요청을 support@myautobudget.com에 제출하시면 30일 이내에 완료하겠습니다.

8. 위반 알림

개인 데이터를 크게 손상시키는 보안 사건을 확인한 경우, 영향을 받은 사용자에게 부당한 지연 없이 가능한 한 확인 후 72시간 이내에 알립니다. 공지사항은 사건의 성질, 당시 이해된 데이터, 취하는 조치 및 적절한 권장 보호 조치를 설명합니다.

9. 귀하의 데이터가 호스팅되는 위치

서비스는 두 개의 분리된 인프라 계층에서 실행됩니다. 애플리케이션 계층은 미국(로스앤젤레스 / LAX 지역)의 Fly.io 인프라에서 호스팅됩니다. 인증 데이터와 암호화된 재무 기록은 Turso 관리형 SQLite(libSQL) 인프라에 별도로 저장되며, 이는 Amazon Web Services 미국 서부 지역에서 운영됩니다. 저장된 데이터는 Turso 저장소에 도달하기 전에 애플리케이션 계층에서 암호화됩니다. Fly.io의 보안 관행은 보안 문서에 설명되어 있습니다.

10. 쿠키 및 추적

당사는 귀하를 로그인 상태로 유지하기 위해 단 하나의 엄격히 필요한 세션 쿠키를 사용합니다. 당사는 분석 쿠키, 광고 추적기 또는 제3자 추적 스크립트를 사용하지 않습니다. 당사는 교차 사이트 추적이나 행동 광고에 참여하지 않습니다. 서비스의 어떤 페이지에도 제3자 픽셀, 태그 또는 SDK가 없습니다.

11. 귀하의 권리

귀하의 위치에 따라 적용 가능한 개인정보 보호법(캘리포니아 거주자인 경우 CCPA, EU/EEA에 있는 경우 GDPR 등)에 따른 권리를 가질 수 있습니다. 여기에는 데이터에 대한 접근, 수정, 삭제 또는 이전 권리, 또는 특정 처리에 대한 이의 제기 권리가 포함될 수 있습니다. 데이터 이동성 및 계정 삭제 권리는 프로필 페이지에서 직접 행사할 수 있습니다. 기타 모든 요청은 support@myautobudget.com으로 이메일을 보내주세요. 30일 이내에 응답하겠습니다.

12. 아동 개인정보 보호

서비스는 18세 미만의 개인을 대상으로 하지 않습니다. 당사는 미성년자의 데이터를 의도적으로 수집하지 않습니다. 18세 미만인 사람으로부터 데이터를 실수로 수집한 것으로 판명되면 즉시 삭제하겠습니다.

13. 이 정책에 대한 변경

당사는 이 개인정보처리방침을 수시로 업데이트할 수 있습니다. 중요한 변경의 경우, 당사는 변경이 효력을 발생하기 적어도 14일 전에 이메일 또는 서비스 내의 눈에 띄는 공지를 통해 귀하에게 알리며 이 페이지 상단의 유효 날짜를 업데이트합니다. 공지 기간 후 서비스의 계속 사용은 개정된 정책의 수락을 의미합니다.

14. 관할 법

본 개인정보처리방침은 미국 애리조나 주의 법률에 따라 관리됩니다.

15. 번역

이 개인정보 보호정책은 영어 이외의 다른 언어로 제공될 수 있습니다. 번역본과 영어본 간의 충돌이나 불일치가 있는 경우 영어본이 우선합니다.

16. 문의

이 정책, 귀하의 데이터 또는 개인정보 보호에 대한 질문이 있으신가요? support@myautobudget.com으로 이메일을 보내주세요. 보안 문제로 의심되는 사항을 신고하려면 제목에 "보안 문제"를 적어 support@myautobudget.com으로 이메일을 보내주세요.

Service Availability

MyAutoBudget is currently available only to residents of the United States, Canada, and Mexico. Requests originating from other jurisdictions are blocked at the network layer using IP-based geolocation. If you access the Service from a sanctioned jurisdiction or a jurisdiction outside our service area, we may be required to refuse service and will display a notice to that effect under RFC 7725 (HTTP 451 Unavailable For Legal Reasons).

Categories of Personal Information We Collect

In the last twelve months we have collected the following categories of personal information, as those categories are defined by the California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA):

• Identifiers: your email address, display name, and an internal numeric user ID.
• Commercial information: your subscription status, billing history (processed by our payment processor, Stripe), and coupon redemptions.
• Internet or other similar network activity: the IP address of the devices you use to access the Service, browser user-agent, approximate country / region derived from your IP address, and request timestamps.
• Financial information you choose to enter: accounts, balances, bills, income, transactions, allocations, and goals that you record in the Service. All such fields are encrypted at rest using Fernet (AES-128-CBC + HMAC-SHA256) with a key controlled by MyAutoBudget.
• Inferences: projections and insights derived algorithmically from the financial data you enter (for example, an ETA for a savings goal). Inferences are regenerated on demand and are not persisted across sessions.

How We Use Personal Information

We use the categories above exclusively to operate, secure, and improve the Service; to process your subscription; to send transactional email (such as password-reset and email-verification messages); and to comply with our legal obligations. We do not use personal information for advertising, for building profiles to sell to third parties, or for any purpose that is not reasonably necessary to deliver the Service you requested.

Sale or Sharing of Personal Information

We do not sell your personal information, and we do not share it for cross-context behavioral advertising, as those terms are defined under the CCPA/CPRA. We have not sold or shared personal information in the preceding twelve months, and we have no present intention to do so.

You can record an opt-out of any future sale or sharing in two equally effective ways:

• Enable the checkbox on the Privacy Preferences section of your profile. This records a Do Not Sell or Share My Personal Information election on your account and appends a dated entry to our Consent Log.
• Browse with the Global Privacy Control (GPC) signal enabled in your browser or extension. We honor GPC as a legally-binding opt-out under California Civil Code § 1798.135(b)(1); the first authenticated request we receive with a valid Sec-GPC: 1 header automatically records a Do Not Sell / Share election on your account.

Your Rights as a US Resident

Depending on your state of residence you may have some or all of the following rights with respect to your personal information: the right to know what we have collected about you and how we use it; the right to access a copy of that information in a portable format; the right to correct inaccurate information; the right to delete your information; and the right to opt out of any sale or sharing. The exact scope of these rights depends on your state's statute (CCPA/CPRA for California; CPA for Colorado; CTDPA for Connecticut; UCPA for Utah; VCDPA for Virginia; and similar laws in other states).

You can exercise most of these rights directly in the Service:

• Access / portability: Profile → Download your data produces a JSON export of every record we hold about you.
• Correction: you can edit account identifiers on the Profile page and any financial record through the normal management screens.
• Deletion: the "Delete Account" control on the Profile page permanently removes your account and all associated financial data. We retain a one-way hash of the email address and the original account creation timestamp for the sole purpose of preventing abusive re-creation of free trials; this hash is not reversible and cannot be used to identify you.
• Opt-out of sale or sharing: see the preceding section.

To exercise any right that cannot be exercised through the self-service controls above, email us at privacy@myautobudget.com. We verify requests by requiring that you submit them from the email address of record on the account, and we will respond within forty-five (45) days of receiving a verifiable request as required by California Civil Code § 1798.130. You may designate an authorised agent to submit a request on your behalf; the agent must provide written proof of the designation, and we will in all cases verify the identity of the consumer directly.

Non-discrimination. We will not deny you service, charge you a different price, or provide you a different level or quality of service because you exercised any right under the CCPA, CPRA, or analogous state law.

Service Providers

We disclose personal information only to the following categories of service providers, each of which is bound by a written contract that limits their use of the information to the purpose for which we engaged them:

• Turso — managed SQLite (libSQL) hosting for the authentication database and the per-user financial databases. Turso operates on Amazon Web Services in the United States West region. Data at rest is encrypted at the application layer before it reaches Turso storage.
• Stripe, Inc. — subscription billing and payment processing. We never store your card number, expiry, or CVV; Stripe issues the charge directly and returns only a subscription identifier.
• Plaid Inc. — optional bank-account aggregation for users who choose to link an account. Plaid handles all contact with your financial institution; we receive only the normalised account and transaction data that you elect to share.
• SMTP relay — a transactional-email provider used to send password-reset and email-verification messages. Only your email address and the message body leave our infrastructure.
• Cloudflare, Inc. — DNS, DDoS mitigation, and (optionally) the geo-country header used to determine jurisdiction for service availability.

Global Privacy Control (GPC) & Browser Signals

In addition to honoring explicit opt-outs recorded via the Profile page, MyAutoBudget respects the Sec-GPC HTTP header defined by the Global Privacy Control working group as a legally-binding Do Not Sell / Share opt-out under California Civil Code § 1798.135 and corresponding provisions of the Colorado Privacy Act and Connecticut Data Privacy Act. A browser or browser extension that emits Sec-GPC: 1 on a request from an authenticated session will cause the Service to automatically record a Do Not Sell / Share election on that account; the election is reflected in the Consent Log and persists across future sessions.

We do not respond to the legacy "Do Not Track" browser header because that signal has been deprecated and carries no unambiguous legal meaning. GPC supersedes DNT for this purpose.

California Shine the Light (Civil Code § 1798.83)

We do not share personal information with third parties for their own direct-marketing purposes, so no "Shine the Light" disclosure is required. If this changes, we will update this policy and provide the statutorily-required notice.

California Civil Code § 1789.3 Notice

Under California Civil Code § 1789.3, users of the Service from California are entitled to the following consumer rights notice: the Complaint Assistance Unit of the Division of Consumer Services of the California Department of Consumer Affairs may be contacted in writing at 1625 North Market Blvd., Suite N 112, Sacramento, CA 95834, or by telephone at (800) 952-5210 or (916) 445-1254.

Mexico — LFPDPPP

Users in Mexico have rights of Access, Rectification, Cancellation, and Opposition ("ARCO" rights) under the Ley Federal de Protección de Datos Personales en Posesión de los Particulares. The self-service export, edit, and delete controls described above satisfy the Access, Rectification, and Cancellation rights in full. To exercise the right of Opposition or to submit any ARCO request that cannot be satisfied by self-service, email privacy@myautobudget.com.

Canada — PIPEDA & Provincial Equivalents

Canadian users are protected by the Personal Information Protection and Electronic Documents Act and, where applicable, by provincial statutes (Quebec's Law 25, Alberta's PIPA, British Columbia's PIPA). We handle personal information in accordance with the ten Fair Information Principles and will respond to any access or correction request within thirty (30) days as required by section 8 of PIPEDA.

Consent Log & Version History

Each time you create an account, toggle a privacy preference, or transmit a browser-level opt-out signal, we append an immutable row to an internal Consent Log recording the event, the date, and the version of this Privacy Policy and of our Terms of Use in force at that moment. You can review the last ten entries in your own log from the Privacy Preferences section of your profile and request the full record as part of a data-subject access request.

Contact

For any privacy question, data-subject request, or notice of complaint, contact:

MyAutoBudget — Privacy
Email: privacy@myautobudget.com