गोपनीयता नीति

1. परिचय

Zyvora को ShadowPing LLC द्वारा विकसित और संचालित किया जाता है ("ShadowPing", "हम", "हमें", या "हमारा")। यह गोपनीयता नीति बताती है कि जब आप Zyvora प्लेटफॉर्म ("प्लेटफॉर्म") का उपयोग करते हैं तो हम जानकारी कैसे एकत्र, उपयोग, संग्रहीत और सुरक्षित करते हैं।

यह नीति दो प्रकार के लोगों को कवर करती है: (1) सदस्य — व्यवसाय और उनके कर्मचारी जो अपने संचालन चलाने के लिए Zyvora का उपयोग करते हैं, और (2) अंतिम ग्राहक — उन व्यवसायों के ग्राहक जिनका डेटा सदस्यों द्वारा प्लेटफॉर्म में दर्ज किया जाता है।

2. हम कौन सी जानकारी एकत्र करते हैं

सदस्य खाता डेटा: जब आप पंजीकृत होते हैं, तो हम आपका व्यवसाय का नाम, संपर्क जानकारी, बिलिंग विवरण और खाता क्रेडेंशियल एकत्र करते हैं। इसका उपयोग आपके खाते को बनाने और बनाए रखने के लिए किया जाता है।

व्यावसायिक संचालन डेटा: आप जो डेटा अपने व्यवसाय को संचालित करने के लिए दर्ज करते हैं — कर्मचारी प्रोफाइल, सेवा कैटलॉग, शेड्यूल, नियुक्ति रिकॉर्ड, बिक्रय-बिंदु लेनदेन, इन्वेंटरी रिकॉर्ड, पेरोल डेटा और व्यावसायिक सेटिंग्स सहित। आप इस डेटा के मालिक हैं।

अंतिम ग्राहक डेटा: आपके ग्राहकों के बारे में जानकारी जो आप प्लेटफॉर्म में दर्ज करते हैं — नाम, संपर्क विवरण, नियुक्ति इतिहास, भुगतान रिकॉर्ड, लॉयल्टी पॉइंट, सहमति रिकॉर्ड और (यदि क्लिनिकल सुविधाएं सक्षम हैं) स्वास्थ्य संबंधी जानकारी सहित। आप अपने ग्राहकों के डेटा के लिए डेटा नियंत्रक हैं; ShadowPing आपकी ओर से डेटा प्रोसेसर के रूप में कार्य करता है।

दृश्य और बायोमेट्रिक-समान डेटा: यदि आप Zyvora की नेल पहचान या पहले/बाद की फोटो सुविधाओं का उपयोग करते हैं, तो प्लेटफॉर्म ग्राहकों के नाखूनों, त्वचा या अन्य शारीरिक विशेषताओं की तस्वीरें एकत्र और संग्रहीत करता है। ये छवियां प्लेटफॉर्म में ग्राहक की पहचान से जुड़ी हो सकती हैं। ऐसी छवियों को एकत्र करने से पहले आप अपने ग्राहकों से उचित सहमति प्राप्त करने के लिए जिम्मेदार हैं।

ऑडियो और वीडियो निगरानी डेटा: यदि आप कैमरा या सुरक्षा प्रणाली एकीकरण (जैसे Solink, Verkada, Eagle Eye, या Spot AI) को कनेक्ट करते हैं, तो आपके व्यावसायिक परिसर — आपके सैलून में आने वाले अंतिम ग्राहकों की रिकॉर्डिंग सहित — की ऑडियो और वीडियो रिकॉर्डिंग उस एकीकरण के माध्यम से कैप्चर और प्रोसेस की जा सकती है। ShadowPing सीधे कैमरा फुटेज संग्रहीत नहीं करता; इसे तीसरे पक्ष के कैमरा प्रदाता द्वारा उनकी अपनी शर्तों के तहत प्रोसेस और संग्रहीत किया जाता है। आप अपने परिसर में सभी लागू रिकॉर्डिंग सहमति कानून और आवश्यक नोटिस पोस्ट करने का पालन करने के लिए जिम्मेदार हैं।

संचार डेटा: प्लेटफॉर्म के माध्यम से भेजे गए SMS, RCS, ईमेल और वॉयस संचार (Twilio और Azure Communication Services के माध्यम से)। संदेश सामग्री, वितरण स्थिति और टाइमस्टैम्प इनबॉक्स प्रबंधन और अनुपालन के लिए संग्रहीत हैं।

भुगतान डेटा: एकीकृत भुगतान प्रोसेसर (Square, Stripe, आदि) के माध्यम से प्रोसेस किए गए भुगतान लेनदेन। कच्चे कार्ड नंबर कभी भी ShadowPing द्वारा संग्रहीत नहीं होते — केवल भुगतान प्रोसेसर द्वारा प्रदान किए गए टोकनाइज्ड संदर्भ।

उपयोग और विश्लेषण डेटा: लॉग डेटा, सुविधा उपयोग पैटर्न, त्रुटि रिपोर्ट और प्रदर्शन मेट्रिक्स। यह डेटा प्लेटफॉर्म को बेहतर बनाने के लिए उपयोग किया जाता है और विज्ञापन के लिए तीसरे पक्षों के साथ साझा नहीं किया जाता है।

उपकरण और हार्डवेयर डेटा: IP पते, ब्राउज़र/ऐप प्रकार, डिवाइस पहचानकर्ता और सत्र डेटा जो आप प्लेटफॉर्म तक पहुंचते हैं। यदि आप एकीकृत हार्डवेयर (iPad, कार्ड रीडर, बारकोड स्कैनर, रसीद प्रिंटर) का उपयोग करते हैं, तो डिवाइस पहचानकर्ता और हार्डवेयर इंटरैक्शन डेटा एकत्र किए जा सकते हैं।

क्लिनिकल डेटा (यदि लागू हो): यदि आप Zyvora की क्लिनिकल सुविधाओं (SOAP नोट्स, HIPAA-चिह्नित फॉर्म) का उपयोग करते हैं, तो संरक्षित स्वास्थ्य जानकारी (PHI) को बढ़ी हुई सुरक्षा नियंत्रण और कड़ी पहुंच लॉगिंग के साथ संग्रहीत किया जाता है। क्लिनिकल सुविधा उपयोग के लिए एक व्यावसायिक सहयोगी समझौता (BAA) आवश्यक है।

3. हम आपकी जानकारी का उपयोग कैसे करते हैं

हम निम्नलिखित के लिए एकत्र की गई जानकारी का उपयोग करते हैं:

• Zyvora प्लेटफॉर्म और इसकी सुविधाओं को प्रदान, संचालित और सुधारना
• अपनी सदस्यता, बिलिंग और भुगतान को प्रोसेस और प्रबंधित करना
• लेनदेन संचार भेजना (चालान, खाता अलर्ट, भुगतान विफलता सूचनाएं)
• प्लेटफॉर्म की AI-संचालित सुविधाओं को सक्षम करना (शेड्यूलिंग, स्मार्ट सहायक, जोखिम स्कोरिंग, कोचिंग नोट्स)
• ग्राहक सहायता प्रदान करना और आपके प्रश्नों का उत्तर देना
• प्लेटफॉर्म सुरक्षा की निगरानी करना, धोखाधड़ी का पता लगाना और सिस्टम की अखंडता सुनिश्चित करना
• कानूनी दायित्वों का पालन करना

हम विज्ञापन, तीसरे पक्ष के विपणन या प्लेटफॉर्म प्रदान करने से संबंधित किसी भी उद्देश्य के लिए आपके डेटा या आपके ग्राहकों के डेटा का उपयोग नहीं करते हैं।

4. डेटा साझाकरण और तीसरे पक्ष

हम आपका डेटा नहीं बेचते। हम केवल प्लेटफॉर्म को संचालित करने के लिए आवश्यक डेटा साझा करते हैं:

• भुगतान प्रोसेसर: Square, Stripe, PayPal, Global Payments, TSYS, Chase — ग्राहक लेनदेन को प्रोसेस करने के लिए। आपके प्रोसेसर क्रेडेंशियल Azure Key Vault में संग्रहीत हैं, डेटाबेस में कभी नहीं।
• भुगतान हार्डवेयर SDK: Stripe Terminal और Square Terminal SDK का उपयोग व्यक्तिगत कार्ड-वर्तमान भुगतान के लिए किया जाता है। ये SDK कार्ड डेटा को सीधे हार्डवेयर डिवाइस पर प्रोसेस करते हैं और इसे संबंधित भुगतान प्रोसेसर को भेजते हैं।
• संचार प्रदाता: Twilio (SMS, MMS, RCS, वॉयस) और Azure Communication Services (ईमेल) — प्लेटफॉर्म के माध्यम से भेजे गए संदेशों को वितरित करने के लिए।
• AI प्रदाता: AI सेवाओं के अनुरोध (Anthropic Claude, Google Gemini, Groq, और OpenAI सहित, ShadowPing की AI प्रॉक्सी लेयर के माध्यम से रूट किए गए) अनुरोधित आउटपुट उत्पन्न करने के लिए आवश्यक तक सीमित हैं। विशेष रूप से नैदानिक और HIPAA-स्कोप्ड सुविधाओं के लिए, ShadowPing Azure OpenAI Service का उपयोग करता है — एक अलग Microsoft-होस्ट की गई सेवा जो Microsoft के साथ Business Associate Agreement (BAA) द्वारा संचालित है — OpenAI की उपभोक्ता API के बजाय। AI प्रदाताओं को भेजे गए डेटा को हमारे उद्यम समझौतों के तहत मॉडल प्रशिक्षण के लिए उन प्रदाताओं द्वारा संग्रहीत नहीं किया जाता है।
• क्लाउड अवसंरचना: Microsoft Azure — प्लेटफॉर्म Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR) पर होस्ट किया जाता है। डेटा सुरक्षित, पहुंच-नियंत्रित Azure वातावरण में संग्रहीत है।
• छवि वितरण: Imgix का उपयोग ग्राहक फ़ोटो (पहले/बाद की छवियों और प्रोफाइल फ़ोटो सहित) को सेवा करने के लिए किया जाता है। Azure Blob Storage में संग्रहीत छवियों को अनुकूलित प्रदर्शन के लिए Imgix के CDN के माध्यम से वितरित किया जाता है।
• पुश सूचनाएं: Apple Push Notification Service (APNs) और Google Firebase Cloud Messaging (FCM) का उपयोग मोबाइल डिवाइस को पुश सूचनाएं वितरित करने के लिए किया जाता है। डिवाइस टोकन और सूचना सामग्री वितरण के लिए इन प्रदाताओं को प्रेषित की जाती है।
• कैमरा और सुरक्षा एकीकरण: यदि आप कैमरा या सुरक्षा प्रणाली एकीकरण (Solink, Verkada, Eagle Eye, Spot AI) सक्षम करते हैं, तो ग्राहक नाम, कर्मचारी नाम, लेनदेन मेटाडेटा, समय मुहर, ईवेंट डेटा, और ऑडियो जहां कैमरा हार्डवेयर समर्थन करता है प्लेटफॉर्म से ईवेंट लिंकिंग और AI-संचालित वीडियो समीक्षा सुविधाओं को सक्षम करने के लिए कैमरा प्रदाता को प्रेषित किया जा सकता है। ये प्रदाता वीडियो और ऑडियो रिकॉर्डिंग को अपनी गोपनीयता नीतियों के तहत संसाधित और संग्रहीत करते हैं। कैमरा एकीकरण के लिए API क्रेडेंशियल Azure Key Vault में संग्रहीत हैं और जब आप एकीकरण को डिस्कनेक्ट करते हैं या अपना खाता समाप्त करते हैं तो स्थायी रूप से हटा दिए जाते हैं।
• हार्डवेयर SDK: Star Micronics (रसीद प्रिंटर SDK) और Zebra (बारकोड स्कैनर SDK) का उपयोग हार्डवेयर एकीकरण के लिए किया जाता है। प्रिंट जॉब में ग्राहक और लेनदेन डेटा हो सकते हैं; बारकोड स्कैन डेटा (उपहार कार्ड नंबर और ग्राहक बारकोड सहित) इन SDK द्वारा स्थानीय रूप से प्रोसेस किया जाता है।
• वित्तीय एकीकरण: Plaid का उपयोग सामंजस्य उद्देश्यों के लिए बैंक खातों को लिंक करने के लिए किया जा सकता है। QuickBooks, Xero और समान लेखांकन एकीकरण आपके कॉन्फ़िगरेशन के अनुसार वित्तीय लेनदेन डेटा प्राप्त करते हैं।
• पेरोल एकीकरण: यदि आप पेरोल एकीकरण (जैसे Gusto, ADP या Paychex) को कनेक्ट करते हैं, तो कर्मचारी व्यक्तिगत जानकारी जिसमें नाम, घंटे, मुआवजे और कर डेटा शामिल हैं, आपकी ओर से पेरोल को प्रोसेस करने के लिए पेरोल प्रदाता को प्रेषित किया जाता है।
• प्रतिष्ठा और विपणन एकीकरण: यदि आप प्रतिष्ठा प्रबंधन उपकरण (जैसे Birdeye या Podium) या विपणन प्लेटफॉर्म (जैसे Google, Meta, Mailchimp या TikTok Business) को कनेक्ट करते हैं, तो उन एकीकरण के लिए प्रासंगिक ग्राहक डेटा (जैसे संपर्क विवरण और समीक्षा अनुरोध) आपके कॉन्फ़िगरेशन के अनुसार संबंधित प्रदाता के साथ साझा किया जाता है।
• प्रोक्योरमेंट एकीकरण: यदि आप प्रोक्योरमेंट या आपूर्तिकर्ता एकीकरण (जैसे SalonInteractive या Shopify) को कनेक्ट करते हैं, तो इन्वेंटरी और ऑर्डर डेटा आपके कॉन्फ़िगरेशन के अनुसार उन प्रदाताओं के साथ साझा किया जाता है।
• कानूनी आवश्यकताएं: यदि कानून, अदालत के आदेश द्वारा आवश्यक है या ShadowPing, हमारे उपयोगकर्ताओं या अन्य लोगों के अधिकारों, संपत्ति या सुरक्षा की रक्षा करने के लिए, तो हम डेटा का खुलासा कर सकते हैं।

5. डेटा भंडारण और सुरक्षा

सभी प्लेटफॉर्म डेटा एंटरप्राइज-ग्रेड सुरक्षा नियंत्रण के साथ Microsoft Azure अवसंरचना पर संग्रहीत है। हम निम्नलिखित सुरक्षा उपाय लागू करते हैं:

• सभी डेटाबेस तालिकाओं पर बहु-किरायेदार पंक्ति-स्तरीय सुरक्षा — आपका डेटा अन्य किरायेदारों से अलग है
• सभी संवेदनशील क्रेडेंशियल (भुगतान प्रोसेसर कुंजी, API टोकन, OAuth टोकन) के लिए Azure Key Vault
• डेटा के लिए AES-256 एन्क्रिप्शन आराम पर और डेटा के लिए TLS 1.2+ संक्रमण में
• सभी डेटा पहुंच और संशोधन के लिए अपरिवर्तनीय, केवल-अनुलग्न ऑडिट लॉग
• 250+ दानेदार अनुमतियों के साथ भूमिका-आधारित पहुंच नियंत्रण
• फाइल/मीडिया पहुंच के लिए 15-मिनट की समाप्ति के साथ SAS टोकन पहुंच
• स्वचालित सुरक्षा निगरानी, विसंगति पहचान और दर सीमा

कच्चे भुगतान कार्ड डेटा कभी भी हमारे सर्वर पर संग्रहीत नहीं होते। प्रोसेसर क्रेडेंशियल विशेष रूप से Azure Key Vault में संग्रहीत हैं।

6. अंतिम ग्राहक डेटा और आपकी जिम्मेदारियां

एक सदस्य के रूप में, आप अपने प्लेटफॉर्म पर संग्रहीत अपने ग्राहकों की व्यक्तिगत जानकारी के लिए डेटा नियंत्रक हैं। ShadowPing आपकी ओर से डेटा प्रोसेसर के रूप में केवल प्लेटफॉर्म सेवाएं प्रदान करने के लिए इस डेटा को संसाधित करता है।

आप जिम्मेदार हैं:

• आपके डेटा संग्रह से पहले आपके ग्राहकों से किसी भी कानूनी रूप से आवश्यक सहमति प्राप्त करना, जिसमें फोटोग्राफ, बायोमेट्रिक-आसन्न इमेजरी और कनेक्टेड इंटीग्रेशन के माध्यम से संग्रहीत किसी भी डेटा के लिए सहमति शामिल है
• यदि आपके व्यावसायिक परिसर किसी कनेक्टेड कैमरा इंटीग्रेशन के माध्यम से ऑडियो या वीडियो रिकॉर्डिंग के अधीन हैं, तो अपने ग्राहकों को सूचित करना और किसी भी कानूनी रूप से आवश्यक रिकॉर्डिंग नोटिस पोस्ट करना
• आपके ग्राहकों के डेटा विषय अधिकार अनुरोधों (पहुंच, सुधार, विलोपन) का जवाब देना
• आपके क्षेत्राधिकार में लागू डेटा सुरक्षा कानूनों का पालन करना, जिसमें GDPR, CCPA और अन्य लागू नियम शामिल हैं

Zyvora GDPR अनुपालन का समर्थन करने के लिए उपकरण प्रदान करता है, जिसमें ग्राहक डेटा निर्यात, ऑडिट ट्रेल के साथ राइट-टू-इरेज़ वर्कफ़्लो और कानूनी पाठ संस्करण के साथ प्रति-सैलून सहमति ट्रैकिंग शामिल है।

7. GDPR और अंतर्राष्ट्रीय डेटा ट्रांसफर

यदि आप यूरोपीय आर्थिक क्षेत्र (ईईए), यूनाइटेड किंगडम या डेटा सुरक्षा कानूनों वाले किसी अन्य क्षेत्राधिकार में स्थित हैं, तो आपके पास अपनी व्यक्तिगत जानकारी के संबंध में विशिष्ट अधिकार हो सकते हैं। इनमें पहुंच, सुधार, मिटाने, प्रसंस्करण को प्रतिबंधित करने या अपने डेटा को पोर्ट करने का अधिकार और कुछ प्रसंस्करण पर आपत्ति करने का अधिकार शामिल हो सकते हैं।

ईईए के बाहर डेटा ट्रांसफर उपयुक्त सुरक्षा के तहत संचालित किया जाता है, जहां लागू हो मानक संविदात्मक खंड शामिल हैं। अंतर्राष्ट्रीय डेटा ट्रांसफर के बारे में प्रश्नों के लिए कृपया privacy@zyvora.app पर हमसे संपर्क करें।

8. CCPA (कैलिफोर्निया के निवासी)

यदि आप कैलिफोर्निया के निवासी हैं, तो आपके पास कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA) के तहत अधिकार हैं, जिसमें यह जानने का अधिकार है कि हम क्या व्यक्तिगत जानकारी एकत्र करते हैं, आपकी व्यक्तिगत जानकारी को हटाने का अधिकार और आपकी व्यक्तिगत जानकारी की बिक्री से बाहर निकलने का अधिकार है।

ShadowPing व्यक्तिगत जानकारी नहीं बेचता है। अपने CCPA अधिकारों का प्रयोग करने के लिए, privacy@zyvora.app पर हमसे संपर्क करें।

9. डेटा प्रतिधारण

हम सदस्य डेटा को तब तक बनाए रखते हैं जब तक आपकी सदस्यता सक्रिय है। रद्दीकरण के बाद, डेटा 90 दिनों के लिए पढ़ने-केवल मोड में सुलभ है, फिर कोल्ड स्टोरेज में संग्रहीत है। संग्रहीत डेटा को कानूनी और अनुपालन उद्देश्यों के लिए कम से कम 7 साल तक बनाए रखा जाता है, जब तक कि आप जल्दी हटाने का अनुरोध न करें।

अंतिम ग्राहक डेटा को प्लेटफॉर्म के भीतर कॉन्फ़िगर करने योग्य प्रतिधारण नीतियों के अनुसार बनाए रखा जाता है (ग्राहक दस्तावेजों के लिए डिफॉल्ट 7 साल प्रतिधारण)। क्लिनिकल डेटा आपके क्षेत्राधिकार में स्वास्थ्य सेवा रिकॉर्ड प्रतिधारण आवश्यकताओं के अधीन है।

कैमरा एकीकरण मेटाडेटा — VideoBookmark रिकॉर्ड, ईवेंट मेटाडेटा, और Solink जैसे कैमरा एकीकरण से संबंधित समाप्ति वाले एक्सेस URL सहित — एकीकरण सक्रिय रहते समय और disconnection या खाता cancellation के बाद 90 दिनों के लिए retained हैं, जिसके बाद इसे स्थायी रूप से हटा दिया जाता है। वास्तविक वीडियो फुटेज को ShadowPing द्वारा संग्रहीत नहीं किया जाता है; यह तीसरे पक्ष के कैमरा प्रदाता के साथ उनकी अपनी retention नीतियों के तहत रहता है। Azure Key Vault में संग्रहीत कैमरा एकीकरण क्रेडेंशियल को एकीकरण के disconnection या आपके खाते के termination पर नष्ट कर दिया जाता है।

Audit log डेटा को 12 महीने के लिए सक्रिय storage में retained किया जाता है और उसके बाद दीर्घकालीन storage में संग्रहीत किया जाता है।

10. कुकीज़ और ट्रैकिंग

Zyvora वेब एप्लिकेशन प्रमाणीकरण और एप्लिकेशन स्टेट के लिए सत्र कुकीज़ और स्थानीय भंडारण का उपयोग करता है। हम तीसरे पक्ष की विज्ञापन कुकीज़ या ट्रैकिंग पिक्सल का उपयोग नहीं करते हैं।

Zyvora मार्केटिंग वेबसाइट (zyvora.app) आगंतुक व्यवहार को समझने के लिए विश्लेषण उपकरण का उपयोग कर सकती है। इन विश्लेषणों के माध्यम से कोई व्यक्तिगत रूप से पहचान योग्य जानकारी एकत्र नहीं की जाती है।

11. बच्चों की गोपनीयता

प्लेटफॉर्म व्यावसायिक उपयोग के लिए अभिप्रेत है और 18 वर्ष से कम आयु के व्यक्तियों के लिए निर्देशित नहीं है। हम जानबूझकर नाबालिगों से व्यक्तिगत जानकारी एकत्र नहीं करते हैं। यदि कोई सदस्य नाबालिगों के बारे में जानकारी एकत्र करता है (जैसे, युवा सेवाओं के लिए), तो सदस्य उपयुक्त माता-पिता की सहमति प्राप्त करने के लिए जिम्मेदार है।

12. इस नीति में परिवर्तन

हम समय-समय पर इस गोपनीयता नीति को अपडेट कर सकते हैं। हम महत्वपूर्ण परिवर्तनों की सूचना ईमेल के माध्यम से या प्लेटफॉर्म के भीतर देंगे। इस पृष्ठ के शीर्ष पर "प्रभावी तारीख" दर्शाती है कि वर्तमान संस्करण कब प्रकाशित किया गया था।

13. हमसे संपर्क करें

गोपनीयता-संबंधित प्रश्नों, डेटा विषय अनुरोधों के लिए, या क्लिनिकल विशेषताओं के उपयोग के लिए व्यावसायिक सहयोगी समझौता (BAA) का अनुरोध करने के लिए, कृपया हमसे संपर्क करें:

ShadowPing LLC (ओहियो, यूएसए) — privacy@zyvora.app | support@zyvora.app