MarketLegion

1. 개요

MarketLegion은 NoMareX Holdings LLC (미국 유한책임회사, 이하 "당사")가 운영하는 AI 기반 암호화폐 인텔리전스 플랫폼입니다. 본 개인정보처리방침("방침")은 당사가 MarketLegion 서비스(이하 "서비스") 이용 과정에서 수집·처리·보관하는 개인정보의 범위, 방법, 그리고 사용자의 권리를 설명합니다.

본 서비스는 현재 초대 전용(Invite-Only) 유료 웹/PWA 베타로 제공되며, 향후 App Store(iOS) 및 Google Play(Android)를 통한 모바일 앱으로 출시될 예정입니다.

본 서비스는 투자자문·매매 추천·수익 보장을 제공하지 않습니다. 모든 신호 정보는 참고용이며, 투자 결정은 전적으로 사용자 본인의 책임입니다.

2. 수집하는 정보

2.1 직접 수집 정보

데이터 항목	수집 시점	목적
이메일 주소	계정 생성 / 초대 코드 인증	계정 식별, 초대 토큰 바인딩, 알림 전송
초대 코드 / 무료 코드	온보딩 입력 시	접근 권한 검증 (sha256 해시로만 저장)
결제 정보	Stripe / Apple IAP / Google Play Billing 결제 시	구독 처리. 카드번호 등 민감 정보는 각 결제 플랫폼이 처리.
동의 기록 (Consent Log)	온보딩 필수 체크박스 동의 시	법적 증거 목적 — 삭제 절대 금지

2.2 자동 수집 정보

데이터 항목	수집 방법	목적
기기 Push Token	FCM / APNs 등록 시	알림 전달 (Track 1/2/3)
알림 설정값	사용자 설정 저장 시	daily_cap, cooldown_minutes, selected_symbols 저장
Entitlement 상태	결제 / 초대 / 무료 코드 처리 시	접근 권한 관리
앱 사용 로그 (이벤트 기반)	보안/권한/이상 이벤트 발생 시	8개 클래스만 기록. 일반 피드 조회 로그는 수집하지 않음.
IP 주소	보안 이벤트 발생 시만	기본 미저장. /24 마스킹 범위만 기록.
세션/JWT 토큰	로그인 시	인증 목적. RS256, AT 15분, RT HttpOnly Cookie 30일.

2.3 수집하지 않는 정보

지갑 주소, 온체인 자산 보유 현황, 수탁(custody) 데이터
GPS 정밀 위치 정보
카메라, 마이크, 사진 앨범, 연락처
매매 내역, 브로커리지 데이터
일반 API 피드 읽기·조회 요청 로그
광고 추적 데이터, 소셜 미디어 계정 데이터
카드번호, CVV 등 결제 민감 정보

3. 정보 이용 목적

목적	처리 근거	상세
서비스 제공	계약 이행	계정 인증, 신호 알림 전달, Entitlement 관리
결제 처리	계약 이행	Stripe / Apple IAP / Google Play Billing을 통한 구독 및 무료 코드 관리
보안 및 사기 방지	정당한 이익	Brute-force 감지, 토큰 검증, 이벤트 기반 감사 로그
법적 의무 이행	법적 의무	Consent Log 영구 보존, CCPA/GDPR 요청 처리
서비스 개선	정당한 이익	이벤트 기반 선별 로그 분석 (8개 클래스만)

4. 제3자 공유

당사는 사용자 개인정보를 광고 목적으로 판매하거나 제3자에게 제공하지 않습니다.

서비스 제공자	역할	공유 데이터
Stripe	결제 처리 (PWA)	이메일, 구독 정보
Apple (App Store)	결제 처리 (iOS)	Apple ID, 구독 정보
Google (Google Play)	결제 처리 (Android)	Google 계정, 구독 정보
GCP	인프라	서비스 운영 데이터
Cloudflare / Cloud Armor	보안, WAF, CDN	요청 IP (/24 마스킹)
CryptoQuant	On-chain 데이터 API	없음 (API 조회만)
CryptoPanic	뉴스 데이터 API	없음 (API 조회만)

5. 데이터 보존

데이터 항목	보존 기간	비고
Consent Log	영구 보존	삭제 절대 금지. 법적 증거 목적.
계정 및 Entitlement 데이터	계정 활성 기간 + 삭제 요청 후 30일	GDPR/CCPA 삭제 SLA 준수
이벤트 기반 감사 로그	기본 30일 / 보안 사고 시 최대 90일	8개 클래스만
Push Token	구독 만료 또는 앱 삭제 시까지	만료 시 즉시 폐기
IP 마스크 (/24)	보안 이벤트 로그와 동일	전체 IP 미저장
결제 기록	결제 플랫폼 정책 준수	당사 직접 보관 없음

6. 사용자 권리

6.1 CCPA 권리 (California 거주자)

알 권리: 수집된 개인정보 범주 및 목적 확인 요청
삭제 권리: 개인정보 삭제 요청 (Consent Log 제외, 30일 내 처리)
판매 거부 권리: 당사는 개인정보를 판매하지 않으므로 해당 없음
차별 금지: 권리 행사를 이유로 한 서비스 차별 없음

6.2 GDPR 권리 (EU/EEA 거주자)

열람권 (Art. 15): 처리 중인 개인정보 사본 요청
정정권 (Art. 16): 부정확한 데이터 수정 요청
삭제권 (Art. 17): Consent Log 제외, 요청 후 30일 내 처리
처리 제한권 (Art. 18): 특정 처리 제한 요청
이의 제기권 (Art. 21): 정당한 이익 기반 처리에 이의 제기
데이터 이동권 (Art. 20): 기계 판독 가능 형식으로 데이터 수령

권리 행사 요청: policy@marketlegion.ai 로 이메일 제출. 요청 후 30일 이내 처리.

7. 보안

보안 항목	적용 내용
전송 암호화	TLS (HTTPS) — 모든 통신
저장 암호화	at-rest 암호화 (GCP Cloud SQL)
인증	RS256 JWT. AT 15분. RT HttpOnly Cookie 30일. Redis 블래리스트.
비밀번호	bcrypt cost=12. 해시만 저장.
Brute-force 방지	IP 5회 실패 → 15분 잠금
CORS 정책	Wildcard CORS 금지. Approved origin allowlist만 허용.
보안 헤더	HSTS 포함 6종 적용
감사 로그	이벤트 기반 8개 클래스 선별 기록

8. 쿠키 및 추적

쿠키 유형	목적	만료
인증 쿠키 (HttpOnly, SameSite=Strict)	Refresh Token 저장	30일
보안 쿠키	CSRF 방지, 세션 무결성	세션 종료 시

당사는 광고 추적 쿠키, 제3자 마케팅 쿠키를 사용하지 않습니다.

9. 아동 개인정보 보호

MarketLegion은 만 18세 미만 사용자를 대상으로 하지 않습니다. 18세 미만 자녀의 정보가 수집되었다고 판단되는 경우 policy@marketlegion.ai로 연락 주시기 바랍니다.

10. 국제 데이터 이전

당사는 미국(Houston, TX)에서 운영되며 GCP 인프라를 사용합니다. EU/EEA 사용자의 데이터는 GDPR 표준계약조항(SCC) 등 적절한 보호 조치를 통해 이전됩니다.

11. 방침 변경

중요한 변경 사항은 서비스 내 공지 또는 이메일을 통해 사전 통지합니다. 변경된 방침은 게시 후 30일이 경과한 시점부터 효력이 발생합니다.

12. 문의 및 연락처

문의 유형	연락처
일반 지원	support@marketlegion.ai
개인정보 관련 요청	policy@marketlegion.ai
회사명	NoMareX Holdings LLC
주소	17350 State Hwy 249, Ste 220, Houston, TX 77064
서비스 도메인	marketlegion.ai

1. Overview

MarketLegion is an AI-powered multi-asset signal intelligence platform — covering cryptocurrency, equities, futures, FX, and ETFs — operated by NoMareX Holdings LLC, a U.S. limited liability company ("we," "us," or "our"). This Privacy Policy ("Policy") describes how we collect, use, and store personal information when you use the MarketLegion service ("Service").

The Service is currently accessible through an invite-only web/PWA beta and is planned for future mobile availability through the Apple App Store and Google Play. The PWA channel will remain active in parallel after mobile app launch.

The Service does not provide investment advice, trading recommendations, or profit guarantees. All signal information is for informational purposes only. All investment decisions are solely the user's own responsibility.

2. Information We Collect

2.1 Information You Provide Directly

Data Item	When Collected	Purpose
Email address	Account creation / invite code verification	Account identification, invite token binding, notification delivery
Invite / Complimentary code	During onboarding	Access entitlement verification (stored as sha256 hash only)
Payment information	Stripe / Apple IAP / Google Play Billing checkout	Subscription processing. We do not store raw card data.
Consent log	Mandatory onboarding checkbox	Legal evidence — deletion strictly prohibited

2.2 Information Collected Automatically

Data Item	How Collected	Purpose
Device Push Token	FCM / APNs registration	Notification delivery (Track 1/2/3)
Notification settings	User settings save	daily_cap, cooldown_minutes, selected_symbols
Entitlement status	Payment / invite / comp code processing	Access control
App usage logs (event-based)	Security / entitlement / anomaly events	8 event-log classes only. General read logs NOT collected.
IP address (masked)	Security events only	Not stored by default. /24 subnet mask only.
Session / JWT tokens	Login	Authentication. RS256, AT 15min, RT HttpOnly Cookie 30 days.

2.3 Information We Do NOT Collect

Wallet addresses, on-chain asset holdings, or custody data
Precise GPS location
Camera, microphone, photos, or contacts
Brokerage or trading history data
General API feed / read request logs
Advertising tracking data or social media account data
Raw card numbers, CVV, or sensitive payment credentials

3. How We Use Your Information

Purpose	Legal Basis	Detail
Service delivery	Contract performance	Account auth, signal notification, entitlement management
Payment processing	Contract performance	Subscription and comp code management via Stripe / Apple IAP / Google Play Billing
Security & fraud prevention	Legitimate interest	Brute-force detection, token verification, event-based audit logs
Legal compliance	Legal obligation	Permanent consent log retention, CCPA/GDPR request processing
Service improvement	Legitimate interest	Event-based selective log analysis (8 classes only)

4. Third-Party Sharing

We do not sell or share your personal information with third parties for advertising purposes.

Service Provider	Role	Shared Data
Stripe	Payment processing (PWA)	Email, subscription info
Apple (App Store)	Payment processing (iOS)	Apple ID, subscription info
Google (Google Play)	Payment processing (Android)	Google account, subscription info
GCP	Infrastructure	Service operational data
Cloudflare / Cloud Armor	Security, WAF, CDN	Request IP (/24 masked)
CryptoQuant	On-chain data API	None (API query only)
CryptoPanic	News data API	None (API query only)

5. Data Retention

Data Item	Retention Period	Notes
Consent log	Permanent	Deletion strictly prohibited. Legal evidence.
Account & entitlement data	Active period + 30 days after deletion request	GDPR/CCPA deletion SLA
Event-based audit logs	Default 30 days / up to 90 days for incidents	8 classes only
Push tokens	Until subscription expiry or app deletion	Immediately discarded on expiry
IP mask (/24)	Same as security event logs	Full IP not stored
Payment records	Per payment platform policy	Not stored directly by us

6. Your Rights

6.1 CCPA Rights (California Residents)

Right to Know: Request disclosure of personal information categories and purposes
Right to Delete: Request deletion (except Consent Log, processed within 30 days)
Right to Opt-Out of Sale: We do not sell personal information — not applicable
Right to Non-Discrimination: No service discrimination for exercising rights

6.2 GDPR Rights (EU/EEA Residents)

Right of Access (Art. 15): Request a copy of personal data we process
Right to Rectification (Art. 16): Request correction of inaccurate data
Right to Erasure (Art. 17): Consent Log excluded, processed within 30 days
Right to Restriction (Art. 18): Request restriction of specific processing
Right to Object (Art. 21): Object to processing based on legitimate interest
Right to Data Portability (Art. 20): Receive data in machine-readable format

To exercise your rights, email: policy@marketlegion.ai. Requests processed within 30 days.

7. Security

Security Measure	Implementation
Data in transit	TLS (HTTPS) — all communications
Data at rest	Encrypted (GCP Cloud SQL)
Authentication	RS256 JWT. AT 15 min. RT HttpOnly Cookie 30 days. Redis blacklist.
Password storage	bcrypt cost=12. Hash only.
Brute-force protection	IP: 5 failures → 15-minute lockout
CORS policy	Wildcard CORS forbidden. Approved origin allowlist only.
Security headers	6 headers including HSTS
Audit logging	Event-based 8-class selective logging

8. Cookies and Tracking

Cookie Type	Purpose	Expiry
Auth cookie (HttpOnly, SameSite=Strict)	Refresh Token storage	30 days
Security cookie	CSRF protection, session integrity	Session end

We do not use advertising tracking cookies or third-party marketing cookies.

9. Children's Privacy

MarketLegion is not directed to individuals under the age of 18. We do not knowingly collect personal information from users under 18. If you believe a child's information has been collected, please contact policy@marketlegion.ai.

10. International Data Transfers

We operate from the United States (Houston, TX) and use GCP infrastructure. For EU/EEA users, we transfer data using appropriate safeguards including GDPR Standard Contractual Clauses (SCCs).

11. Changes to This Policy

Material changes will be notified via in-app notice or email at least 30 days before taking effect. Continued use of the Service after changes take effect constitutes acceptance of the updated Policy.

12. Contact Us

Inquiry Type	Contact
General support	support@marketlegion.ai
Privacy requests (CCPA/GDPR)	policy@marketlegion.ai
Legal entity	NoMareX Holdings LLC, a U.S. limited liability company
Mailing address	17350 State Hwy 249, Ste 220, Houston, TX 77064
Service domain	marketlegion.ai

동의 기록 조회, 삭제 요청, 데이터 내보내기는 앱 내 self-service로 이용 가능합니다. 이메일 요청도 가능합니다: policy@marketlegion.ai. 민감정보는 로그에 기록하지 않으며, 보존기간은 운영정책으로 관리됩니다.

Consent records, deletion requests, and data export are available via in-app self-service. You may also submit requests by email: policy@marketlegion.ai. Sensitive information is not recorded in logs. Retention periods are managed by operational policy.