법적/운영 체크리스트
서비스 오픈, PG·카드사 심사, OAuth provider 도입, 약관 개정, 연간 점검까지 단계별로 약관·동의·증빙·화면 노출을 빠뜨리지 않고 점검하는 체크리스트
핵심 요약
- 서비스 오픈, PG 심사, OAuth 도입, 약관 개정, 연간 점검을 5개 단계별 체크리스트로 나눠 누락을 막습니다.
- 오픈 전에는 필수/선택 약관 분리, 만 14세 확인 플로우,
{{ ... }}플레이스홀더 치환, 동의 증빙(버전·일시·source) 저장을 확인합니다. - PG 심사는 사업자정보·통신판매업 신고번호·환불정책이 푸터와 결제 흐름에서 실제로 보이는지, 심사 URL에
dev/test/0원같은 반려 요소가 없는지 점검합니다. - 연간 점검에서 마케팅 수신 동의는 시행령 제62조의3에 따라 2년마다 정기 확인하고, 동의 철회 경로가 실제 동작하는지 테스트합니다.
서비스 오픈 전 체크리스트
- 서비스 이용약관 등록 및 내부 리뷰 완료
- 개인정보 수집 및 이용 동의 등록(필수/선택 구분 포함)
- (해당 시) 개인정보 제3자 제공 동의 등록(제공받는 자/항목/목적/기간 명시)
- (해당 시) 마케팅 정보 수신 동의는 "선택"으로 분리하여 등록
- (해당 시) 국외 서비스(SaaS/클라우드/API) 사용 시 DPA/국외 이전 고지·동의/Exit(삭제·이관) 점검
- (해당 시) Google Sign-In 등 OAuth provider 사용 시 provider 약관 정본, OAuth 정책, scope inventory, consent screen, 개인정보 처리방침 반영 여부 점검
- (글로벌 출시 시) 영문 Terms, Privacy Policy, DPA, Refund Policy, AUP, Support/SLA 문서 세트 분리
- (글로벌 결제 시) MoR/리셀러/PG 사용 여부와 결제 주체·서비스 제공자 책임 분리 고지 검토
- 만 14세 이상 확인(또는 법정대리인 동의 플로우) 적용
- (해당 시) 전자금융거래 이용약관 또는 PG/MoR 약관 고지 구조 검토
- (국내 PG 연동 시) 사업자정보, 상품/가격, 배송·교환·환불 정책, 결제창 호출 가능 여부를 실제 심사 URL 또는 앱 화면에서 확인
- 모든 약관 본문에서
{{ ... }}플레이스홀더가 치환되었는지 확인 - 고객 동의 수집 화면 테스트(필수 미동의 차단, 선택 미동의 허용)
- 동의 증빙 저장 확인(버전, 일시, source 등)
- 고객센터/문의 채널 준비(약관/개인정보/마케팅 문의 대응)
국내 PG·카드사 심사 체크리스트
- 메인/푸터와 결제 페이지에 사업자등록증과 일치하는 상호, 대표자, 사업자등록번호, 주소, 대표전화, 이메일을 표시
- 통신판매업 신고번호와 호스팅서비스 제공자 상호를 표시(신고 전이면 PG/카드사별 심사 제한 여부 확인)
- 이용약관, 개인정보 처리방침, 배송·교환·반품·환불 안내 링크가 푸터와 결제 흐름에서 접근 가능
- 실물 상품은 상품 상세에 배송기간, 배송비, 교환/반품 신청 방법, 반품 주소, 환불 소요 기간을 표시
- 비실물/SaaS는 제공 시점, 이용 기간, 권한 부여 방식, 청약철회 제한 사유와 환불 기준을 결제 전 표시
- 정기결제는 결제 주기, 다음 결제일, 해지 방법, 무료체험 유료전환/증액 동의 로그를 별도 점검
- PG사별 일반결제/정기결제/간편결제/앱 심사 조건 차이를 계약 담당자에게 확인
- 결제 요청 전 서버에 주문번호, 최종 금액, 상품 구성을 저장하고 승인 전 PG 응답값과 대조
- 심사 URL에
dev,staging,test, 상품명TEST, 결제금액0원같은 반려 요소가 없는지 확인 - 앱 심사는 앱 내 결제 경로, 사업자정보, 약관, 상품/가격을 캡처 또는 APK로 제출할 수 있게 준비
- 환금성 상품, 플랫폼, 인허가 업종은 PG 담당자에게 추가 서류와 카드사별 제한을 먼저 확인
PG 심사 제출 패키지 체크리스트
- 운영 도메인 심사 URL과 심사용 계정 준비
- 상품 상세 URL, 주문서 URL, 결제 버튼/결제창 캡처 준비
- 이용약관, 개인정보 처리방침, 배송·교환·반품·환불 정책 URL 준비
- 사업자정보가 보이는 푸터/결제 페이지/앱 화면 캡처 준비
- 사업자등록증, 입금계좌 사본, 법인 서류, 통신판매업 신고증, 구매안전서비스 확인증(해당 시) 준비
- 정기결제, 앱스토어 미등록, 고위험 업종, 서브도메인 심사 등 예외 사유 설명 메모 준비
OAuth provider 도입 체크리스트
- Google, GitHub, Microsoft, Apple 등 provider별 공식 약관 정본 URL과 확인일을 저장
- OAuth client ID, platform, dev/staging/production project를 분리해 기록
- 요청 scope가 실제 기능에 필요한 최소 범위인지 확인
- provider 로그인으로 수집하는 식별자, 이메일, 이름, 프로필 이미지, access/refresh token 저장 여부를 개인정보 처리방침에 반영
- Google sensitive/restricted scope처럼 추가 verification이 필요한 scope가 있는지 확인
- OAuth consent screen의 앱 이름, 홈페이지, 개인정보 처리방침 URL, 서비스 약관 URL, support email이 실제 서비스와 일치
- authorized domain, redirect URI, JavaScript origin이 소유·관리 가능한 도메인인지 확인
- client secret과 refresh token 저장 위치, 암호화, 접근권한, 회전/폐기 절차를 점검
- 사용자 설정 화면에 provider 연동 해제와 데이터 삭제 요청 경로를 제공
- provider 정책 변경 알림을 받을 project contact 또는 owner가 최신인지 확인
약관 개정 시 체크리스트
- 변경 사유/범위 확정(정책/개발/CS 합의)
- 법무/개인정보 담당자 검토
- 기존 버전 덮어쓰기 금지(새 버전 발행)
- changeSummary 작성(변경 내용 + 영향)
- 재동의 필요 여부 판단 및 상태 전환 확인
- 개정 공지/안내 발송(공지 링크/발송 로그 보관)
- 재동의 수집/미동의자 처리 정책 확인
연간 정기 점검 체크리스트
- 실제 서비스 플로우와 약관 문구가 일치하는지 점검(가입/결제/환불/철회)
- 제3자 제공/위탁 업체 목록 최신화
- (해당 시) 국외 서비스 서브프로세서/리전/약관 변경 감시 및 변경 이력 보관 여부 점검
- (해당 시) OAuth provider 약관 정본, OAuth 정책, scope inventory, consent screen, 연동 해제 흐름을 재검증
- (글로벌 출시 시) 국가별 consumer law, privacy transfer, automatic renewal, refund carveout 재점검
- 마케팅 수신 동의 철회 경로가 정상 동작하는지 테스트
- 마케팅 수신 동의 2년마다 정기 확인(시행령 제62조의3) 운영 여부 점검
- 동의 로그 보관기간/접근권한/파기 정책 점검
- 약관 링크/푸터/설정 화면 노출 상태 점검