Dasar Privasi

1. Pengenalan

Zyvora dikembangkan dan dikendalikan oleh ShadowPing LLC ("ShadowPing", "kami", "kami", atau "milik kami"). Dasar Privasi ini menerangkan cara kami mengumpul, menggunakan, menyimpan, dan melindungi maklumat apabila anda menggunakan platform Zyvora ("Platform").

Dasar ini meliputi dua kategori orang: (1) Pelanggan - perniagaan dan kakitangan mereka yang menggunakan Zyvora untuk menjalankan operasi mereka, dan (2) Pelanggan Akhir - pelanggan perniagaan tersebut yang datanya dimasukkan ke dalam Platform oleh Pelanggan.

2. Maklumat Yang Kami Kumpul

Data Akaun Pelanggan: Apabila anda mendaftar, kami mengumpul nama perniagaan, maklumat hubungan, butiran pengebilan, dan bukti kelayakan akaun anda. Ini digunakan untuk membuat dan mengekalkan akaun anda.

Data Operasi Perniagaan: Data yang anda masukkan untuk menjalankan perniagaan anda — termasuk profil kakitangan, katalog perkhidmatan, jadual, rekod janji temu, transaksi tempat jualan, rekod inventori, data gaji, dan tetapan perniagaan. Anda memiliki data ini.

Data Pelanggan Akhir: Maklumat tentang pelanggan anda yang anda masukkan ke dalam Platform — termasuk nama, butiran hubungan, sejarah janji temu, rekod pembayaran, poin kesetiaan, rekod persetujuan, dan (jika ciri klinikal didayakan) maklumat berkaitan kesihatan. Anda ialah pengawal data untuk data pelanggan anda; ShadowPing bertindak sebagai pemproses data bagi pihak anda.

Data Visual & Biometrik-Berdekatan: Jika anda menggunakan ciri pengenalan kuku atau foto sebelum/selepas Zyvora, Platform mengumpul dan menyimpan gambar kuku, kulit, atau ciri fizikal pelanggan yang lain. Imej ini mungkin dikaitkan dengan identiti pelanggan dalam Platform. Anda bertanggungjawab untuk mendapatkan persetujuan yang sesuai daripada pelanggan anda sebelum mengumpul imej sedemikian.

Data Pengawasan Audio & Video: Jika anda menyambungkan integrasi kamera atau sistem keselamatan (seperti Solink, Verkada, Eagle Eye, atau Spot AI), rakaman audio dan video premis perniagaan anda — termasuk rakaman pelanggan akhir yang melawat salon anda — mungkin ditangkap dan diproses melalui integrasi itu. ShadowPing tidak secara langsung menyimpan rakaman kamera; ia diproses dan disimpan oleh pembekal kamera pihak ketiga di bawah syarat mereka sendiri. Anda bertanggungjawab untuk mematuhi semua undang-undang persetujuan rakaman yang berkenaan dan memaparkan notis yang diperlukan di premis anda.

Data Komunikasi: Komunikasi SMS, RCS, e-mel, dan suara yang dihantar melalui Platform (melalui Twilio dan Azure Communication Services). Kandungan mesej, status penghantaran, dan cap masa disimpan untuk pengurusan peti masuk dan kepatuhan.

Data Pembayaran: Transaksi pembayaran yang diproses melalui pemproses pembayaran bersepadu (Square, Stripe, dll.). Nombor kad mentah tidak pernah disimpan oleh ShadowPing — hanya rujukan tersandi yang disediakan oleh pemproses pembayaran.

Data Penggunaan & Analitik: Data log, corak penggunaan ciri, laporan ralat, dan metrik prestasi. Data ini digunakan untuk meningkatkan Platform dan tidak dikongsi dengan pihak ketiga untuk iklan.

Data Peranti & Perkakasan: Alamat IP, jenis pelayar/aplikasi, pengecam peranti, dan data sesi yang dikumpul apabila anda mengakses Platform. Jika anda menggunakan perkakasan bersepadu (iPad, pembaca kad, pengimbas kod bar, pencetak resit), pengecam peranti dan data interaksi perkakasan mungkin dikumpul.

Data Klinikal (jika berkenaan): Jika anda menggunakan ciri klinikal Zyvora (nota SOAP, borang berbendera HIPAA), maklumat kesihatan yang dilindungi (PHI) disimpan dengan kawalan keselamatan yang ditingkatkan dan pembalakan akses yang ketat. Perjanjian Rakan Perniagaan (BAA) diperlukan untuk penggunaan ciri klinikal.

3. Cara Kami Menggunakan Maklumat Anda

Kami menggunakan maklumat yang kami kumpul untuk:

• Menyediakan, mengendalikan, dan meningkatkan Platform Zyvora dan cirinya
• Memproses dan menguruskan langganan, pengebilan, dan pembayaran anda
• Menghantar komunikasi transaksi (invois, amaran akaun, notis kegagalan pembayaran)
• Mengaktifkan ciri bertenaga AI Platform (penjadualan, pembantu pintar, penilaian risiko, nota bimbingan)
• Memberikan sokongan pelanggan dan membalas pertanyaan anda
• Memantau keselamatan Platform, mengesan penipuan, dan memastikan integriti sistem
• Mematuhi kewajipan undang-undang

Kami tidak menggunakan data anda atau data pelanggan anda untuk iklan, pemasaran pihak ketiga, atau tujuan apa pun yang tidak berkaitan dengan penyediaan Platform.

4. Perkongsian Data & Pihak Ketiga

Kami tidak menjual data anda. Kami hanya berkongsi data sejauh yang perlu untuk menjalankan Platform:

• Pemproses Pembayaran: Square, Stripe, PayPal, Global Payments, TSYS, Chase — untuk memproses transaksi pelanggan. Bukti kelayakan pemproses anda disimpan dalam Azure Key Vault, tidak pernah dalam pangkalan data.
• SDK Perkakasan Pembayaran: SDK Stripe Terminal dan Square Terminal digunakan untuk pembayaran kad hadir secara peribadi. SDK ini memproses data kad terus pada peranti perkakasan dan menghantarnya kepada pemproses pembayaran masing-masing.
• Pembekal Komunikasi: Twilio (SMS, MMS, RCS, suara) dan Azure Communication Services (e-mel) — untuk menghantar mesej yang dihantar melalui Platform.
• Penyedia AI: Permintaan ke layanan AI (termasuk Anthropic Claude, Google Gemini, Groq, dan OpenAI, dirutekan melalui lapisan proxy AI ShadowPing) dibatasi hanya pada apa yang diperlukan untuk menghasilkan output yang diminta. Untuk fitur klinis dan yang memiliki cakupan HIPAA khususnya, ShadowPing menggunakan Azure OpenAI Service — layanan terpisah yang dihosting oleh Microsoft dan diatur oleh Business Associate Agreement (BAA) dengan Microsoft — daripada API konsumen OpenAI. Data yang dikirim ke penyedia AI tidak disimpan oleh penyedia tersebut untuk pelatihan model di bawah perjanjian perusahaan kami.
• Infrastruktur Awan: Microsoft Azure — Platform dihoskan pada Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Data disimpan dalam persekitaran Azure yang selamat dan dikawal akses.
• Penghantaran Imej: Imgix digunakan untuk menyajikan foto pelanggan (termasuk imej sebelum/selepas dan foto profil). Imej yang disimpan dalam Azure Blob Storage dihantar melalui CDN Imgix untuk paparan yang dioptimumkan.
• Notifikasi Tolak: Apple Push Notification Service (APNs) dan Google Firebase Cloud Messaging (FCM) digunakan untuk menghantar notifikasi tolak kepada peranti mudah alih. Token peranti dan kandungan notifikasi dihantar kepada pembekal ini untuk penghantaran.
• Integrasi Kamera & Keamanan: Jika Anda mengaktifkan integrasi kamera atau sistem keamanan (Solink, Verkada, Eagle Eye, Spot AI), nama pelanggan, nama staf, metadata transaksi, stempel waktu, data acara, dan audio yang ditangkap di mana perangkat keras kamera mendukungnya dari Platform dapat dikirimkan ke penyedia kamera untuk mengaktifkan fitur penghubung acara dan tinjauan video bertenaga AI. Penyedia ini memproses dan menyimpan rekaman video dan audio di bawah kebijakan privasi mereka sendiri. Kredensial API untuk integrasi kamera disimpan di Azure Key Vault dan dihapus secara permanen ketika Anda memutuskan integrasi atau menghentikan akun Anda.
• SDK Perkakasan: Star Micronics (SDK pencetak resit) dan Zebra (SDK pengimbas kod bar) digunakan untuk integrasi perkakasan. Pekerjaan cetak mungkin mengandungi data pelanggan dan urus niaga; data imbasan kod bar (termasuk nombor kad hadiah dan kod bar pelanggan) diproses secara tempatan oleh SDK ini.
• Integrasi Kewangan: Plaid mungkin digunakan untuk menghubungkan akaun bank untuk tujuan penyelarasan. QuickBooks, Xero, dan integrasi perakaunan serupa menerima data urus niaga kewangan mengikut konfigurasi anda.
• Integrasi Gaji: Jika anda menyambungkan integrasi gaji (seperti Gusto, ADP, atau Paychex), maklumat peribadi kakitangan termasuk nama, jam, pampasan, dan data cukai dihantar kepada pembekal gaji untuk memproses gaji bagi pihak anda.
• Integrasi Reputasi & Pemasaran: Jika anda menyambungkan alat pengurusan reputasi (seperti Birdeye atau Podium) atau platform pemasaran (seperti Google, Meta, Mailchimp, atau TikTok Business), data pelanggan yang berkaitan dengan integrasi tersebut (seperti butiran hubungan dan permintaan ulasan) dikongsi dengan pembekal masing-masing mengikut konfigurasi anda.
• Integrasi Perolehan: Jika anda menyambungkan integrasi perolehan atau pembekal (seperti SalonInteractive atau Shopify), data inventori dan pesanan dikongsi dengan pembekal tersebut mengikut konfigurasi anda.
• Keperluan Undang-undang: Kami mungkin mendedahkan data jika diperlukan oleh undang-undang, perintah mahkamah, atau untuk melindungi hak, harta benda, atau keselamatan ShadowPing, pengguna kami, atau orang lain.

5. Penyimpanan & Keselamatan Data

Semua data Platform disimpan pada infrastruktur Microsoft Azure dengan kawalan keselamatan peringkat perusahaan. Kami melaksanakan langkah-langkah keselamatan berikut:

• Keselamatan tahap baris berbilang-penyewa pada semua jadual pangkalan data — data anda terpencil daripada penyewa lain
• Azure Key Vault untuk semua bukti kelayakan sensitif (kunci pemproses pembayaran, token API, token OAuth)
• Penyulitan AES-256 untuk data semasa rest dan TLS 1.2+ untuk data semasa transit
• Log audit yang tidak boleh diubah dan ditambah sahaja untuk semua akses data dan pengubahsuaian
• Kawalan akses berasaskan peranan dengan 250+ kebenaran berbutir halus
• Akses token SAS dengan tamat 15 minit untuk akses fail/media
• Pemantauan keselamatan automatik, pengesanan anomali, dan had kadar

Tiada data kad pembayaran mentah yang pernah disimpan pada pelayan kami. Bukti kelayakan pemproses disimpan secara eksklusif dalam Azure Key Vault.

6. Data Pelanggan Akhir & Tanggung Jawab Anda

Sebagai Pelanggan, Anda adalah pengontrol data untuk informasi pribadi klien Anda yang tersimpan di Platform. ShadowPing memproses data ini sebagai pemroses data atas nama Anda, hanya untuk menyediakan layanan Platform.

Anda bertanggung jawab untuk:

• Memperoleh persetujuan yang diperlukan secara hukum dari pelanggan Anda sebelum mengumpulkan data mereka, termasuk persetujuan untuk fotografi, citra yang mirip dengan biometrik, dan data apa pun yang dikumpulkan melalui integrasi yang terhubung
• Menginformasikan kepada pelanggan Anda apakah lokasi bisnis Anda tunduk pada perekaman audio atau video melalui integrasi kamera yang terhubung, dan memasang pemberitahuan perekaman yang diperlukan secara hukum
• Menanggapi permintaan hak subjek data pelanggan Anda (akses, koreksi, penghapusan)
• Mematuhi undang-undang perlindungan data yang berlaku di yurisdiksi Anda, termasuk GDPR, CCPA, dan peraturan lain yang berlaku

Zyvora menyediakan alat untuk mendukung kepatuhan GDPR, termasuk ekspor data pelanggan, alur kerja hak untuk dihapus dengan jejak audit, dan pelacakan persetujuan per salon dengan versi teks hukum.

7. GDPR & Transfer Data Internasional

Jika Anda berada di Area Ekonomi Eropa (EEA), Inggris Raya, atau yurisdiksi lain dengan undang-undang perlindungan data, Anda mungkin memiliki hak khusus mengenai data pribadi Anda. Ini mungkin termasuk hak untuk mengakses, memperbaiki, menghapus, membatasi pemrosesan, atau memindahkan data Anda, dan hak untuk keberatan terhadap pemrosesan tertentu.

Transfer data di luar EEA dilakukan di bawah perlindungan yang tepat, termasuk Klausul Kontrak Standar jika dapat diterapkan. Silakan hubungi kami di privacy@zyvora.app jika Anda memiliki pertanyaan tentang transfer data internasional.

8. CCPA (Penduduk California)

Jika Anda adalah penduduk California, Anda memiliki hak di bawah California Consumer Privacy Act (CCPA), termasuk hak untuk mengetahui informasi pribadi apa yang kami kumpulkan, hak untuk menghapus informasi pribadi Anda, dan hak untuk memilih keluar dari penjualan informasi pribadi Anda.

ShadowPing tidak menjual informasi pribadi. Untuk menjalankan hak CCPA Anda, hubungi kami di privacy@zyvora.app.

9. Retensi Data

Kami menyimpan Data Pelanggan selama langganan Anda aktif. Setelah pembatalan, data dapat diakses dalam mode hanya baca selama 90 hari, kemudian diarsipkan ke penyimpanan dingin. Data yang diarsipkan disimpan selama minimal 7 tahun untuk tujuan hukum dan kepatuhan kecuali Anda meminta penghapusan lebih awal.

Data pelanggan akhir disimpan sesuai dengan kebijakan retensi yang dapat dikonfigurasi dalam Platform (retensi default 7 tahun untuk dokumen pelanggan). Data klinis tunduk pada persyaratan retensi catatan kesehatan di yurisdiksi Anda.

Metadata integrasi kamera — termasuk catatan VideoBookmark, metadata acara, dan URL akses kedaluwarsa yang terkait dengan integrasi kamera seperti Solink — dipertahankan saat integrasi aktif dan selama 90 hari setelah putus sambung atau pembatalan akun, setelah itu akan dihapus secara permanen. File video aktual tidak disimpan oleh ShadowPing; file tersebut tetap bersama penyedia kamera pihak ketiga di bawah kebijakan retensi mereka sendiri. Kredensial integrasi kamera yang disimpan di Azure Key Vault dihancurkan setelah putus sambung integrasi atau penghentian akun Anda.

Data log audit disimpan selama 12 bulan dalam penyimpanan aktif dan diarsipkan ke penyimpanan jangka panjang setelahnya.

10. Kuki & Pelacakan

Aplikasi web Zyvora menggunakan kuki sesi dan penyimpanan lokal untuk autentikasi dan status aplikasi. Kami tidak menggunakan kuki iklan pihak ketiga atau piksel pelacakan.

Situs web pemasaran Zyvora (zyvora.app) dapat menggunakan alat analitik untuk memahami perilaku pengunjung. Tidak ada informasi yang dapat diidentifikasi secara pribadi yang dikumpulkan melalui analitik ini.

11. Privasi Anak-Anak

Platform ini dirancang untuk penggunaan bisnis dan tidak ditujukan kepada individu di bawah 18 tahun. Kami tidak dengan sengaja mengumpulkan informasi pribadi dari anak di bawah umur. Jika Pelanggan mengumpulkan informasi tentang anak di bawah umur (misalnya, untuk layanan pemuda), Pelanggan bertanggung jawab untuk memperoleh persetujuan orang tua yang sesuai.

12. Perubahan pada Kebijakan Ini

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Kami akan memberi tahu Anda tentang perubahan material melalui email atau dalam Platform. Tanggal "Mulai Berlaku" di bagian atas halaman ini mencerminkan kapan versi saat ini dipublikasikan.

13. Hubungi Kami

Untuk pertanyaan terkait privasi, permintaan subjek data, atau untuk meminta Business Associate Agreement (BAA) untuk penggunaan fitur klinis, silakan hubungi kami:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app