Política de Privacidade

1. Introdução

Zyvora é desenvolvida e operada pela ShadowPing LLC ("ShadowPing", "nós", "a gente" ou "nosso"). Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos informações quando você usa a plataforma Zyvora (a "Plataforma").

Esta Política abrange duas categorias de pessoas: (1) Assinantes — empresas e seus funcionários que usam Zyvora para executar suas operações, e (2) Clientes Finais — os clientes dessas empresas cujos dados são inseridos na Plataforma pelos Assinantes.

2. Informações que Coletamos

Dados de Conta do Assinante: Quando você se registra, coletamos o nome do seu negócio, informações de contato, detalhes de cobrança e credenciais da conta. Isto é usado para criar e manter sua conta.

Dados Operacionais de Negócios: Dados que você insere para operar seu negócio — incluindo perfis de pessoal, catálogos de serviços, agendas, registros de compromissos, transações no ponto de venda, registros de inventário, dados de folha de pagamento e configurações de negócios. Você é dono desses dados.

Dados de Clientes Finais: Informações sobre seus clientes que você insere na Plataforma — incluindo nomes, detalhes de contato, histórico de compromissos, registros de pagamentos, pontos de fidelidade, registros de consentimento e (se os recursos clínicos estiverem habilitados) informações relacionadas à saúde. Você é o controlador de dados dos dados dos seus clientes; ShadowPing atua como processador de dados em seu nome.

Dados Visuais e Biométricos Relacionados: Se você usar os recursos de identificação de unhas ou fotos antes/depois do Zyvora, a Plataforma coleta e armazena fotografias de unhas, pele ou outras características físicas dos clientes. Essas imagens podem estar associadas à identidade de um cliente na Plataforma. Você é responsável por obter consentimento apropriado dos seus clientes antes de coletar tal material.

Dados de Áudio e Vigilância por Vídeo: Se você conectar uma câmera ou integração de sistema de segurança (como Solink, Verkada, Eagle Eye ou Spot AI), gravações de áudio e vídeo de seus locais comerciais — incluindo gravações de clientes finais que visitam seu salão — podem ser capturadas e processadas através dessa integração. ShadowPing não armazena diretamente material de câmera; ele é processado e armazenado pelo provedor de câmera terceirizado sob seus próprios termos. Você é responsável por cumprir todas as leis de consentimento de gravação aplicáveis e publicar notificações necessárias em seus locais.

Dados de Comunicações: SMS, RCS, email e comunicações de voz enviadas através da Plataforma (via Twilio e Azure Communication Services). O conteúdo das mensagens, status de entrega e timestamps são armazenados para gerenciamento de caixa de entrada e conformidade.

Dados de Pagamento: Transações de pagamento processadas através de processadores de pagamento integrados (Square, Stripe, etc.). Números de cartão brutos nunca são armazenados por ShadowPing — apenas referências tokenizadas fornecidas pelo processador de pagamento.

Dados de Uso e Análise: Dados de registro, padrões de uso de recursos, relatórios de erro e métricas de desempenho. Estes dados são usados para melhorar a Plataforma e não são compartilhados com terceiros para publicidade.

Dados de Dispositivo e Hardware: Endereços IP, tipo de navegador/aplicativo, identificadores de dispositivo e dados de sessão coletados quando você acessa a Plataforma. Se você usar hardware integrado (iPads, leitores de cartão, scanners de código de barras, impressoras de recibo), identificadores de dispositivo e dados de interação de hardware podem ser coletados.

Dados Clínicos (se aplicável): Se você usar os recursos clínicos do Zyvora (notas SOAP, formulários sinalizados por HIPAA), informações protegidas de saúde (PHI) são armazenadas com controles de segurança aprimorados e registro de acesso rigoroso. Um Acordo de Associado Comercial (BAA) é necessário para o uso de recursos clínicos.

3. Como Usamos Suas Informações

Usamos as informações que coletamos para:

• Fornecer, operar e melhorar a Plataforma Zyvora e seus recursos
• Processar e gerenciar sua assinatura, cobrança e pagamentos
• Enviar comunicações transacionais (faturas, alertas de conta, notificações de falha de pagamento)
• Habilitar os recursos com tecnologia de IA da Plataforma (agendamento, assistente inteligente, pontuação de risco, notas de coaching)
• Fornecer suporte ao cliente e responder às suas dúvidas
• Monitorar a segurança da Plataforma, detectar fraudes e garantir a integridade do sistema
• Cumprir obrigações legais

Não usamos seus dados ou dados dos seus clientes para publicidade, marketing de terceiros ou qualquer propósito não relacionado ao fornecimento da Plataforma.

4. Compartilhamento de Dados e Terceiros

Não vendemos seus dados. Compartilhamos dados apenas conforme necessário para operar a Plataforma:

• Processadores de Pagamento: Square, Stripe, PayPal, Global Payments, TSYS, Chase — para processar transações de clientes. Suas credenciais de processador são armazenadas no Azure Key Vault, nunca no banco de dados.
• SDKs de Hardware de Pagamento: Stripe Terminal e Square Terminal SDKs são usados para pagamentos em pessoa com cartão presente. Esses SDKs processam dados de cartão diretamente no dispositivo de hardware e os transmitem ao respectivo processador de pagamento.
• Provedores de Comunicação: Twilio (SMS, MMS, RCS, voz) e Azure Communication Services (email) — para entregar mensagens enviadas através da Plataforma.
• Provedores de IA: Solicitações para serviços de IA (incluindo Anthropic Claude, Google Gemini, Groq e OpenAI, roteados através da camada de proxy de IA do ShadowPing) são limitadas ao necessário para gerar a saída solicitada. Para recursos clínicos e com escopo HIPAA especificamente, ShadowPing usa Azure OpenAI Service — um serviço separado hospedado pela Microsoft e regido por um Acordo de Associado de Negócios (BAA) com a Microsoft — em vez da API de consumidor do OpenAI. Os dados enviados aos provedores de IA não são armazenados por esses provedores para treinamento de modelo conforme nossos acordos corporativos.
• Infraestrutura de Nuvem: Microsoft Azure — a Plataforma é hospedada no Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Os dados são armazenados em ambientes Azure seguros e controlados por acesso.
• Entrega de Imagens: Imgix é usado para servir fotos de clientes (incluindo imagens antes/depois e fotos de perfil). Imagens armazenadas no Azure Blob Storage são entregues através do CDN do Imgix para exibição otimizada.
• Notificações Push: Apple Push Notification Service (APNs) e Google Firebase Cloud Messaging (FCM) são usados para entregar notificações push para dispositivos móveis. Tokens de dispositivo e conteúdo de notificação são transmitidos para esses provedores para entrega.
• Integrações de Câmera e Segurança: Se você habilitar uma integração de câmera ou sistema de segurança (Solink, Verkada, Eagle Eye, Spot AI), nomes de clientes, nomes de funcionários, metadados de transação, timestamps, dados de eventos e áudio capturado onde o hardware da câmera suporta da Plataforma podem ser transmitidos ao provedor de câmera para habilitar vinculação de eventos e recursos de revisão de vídeo com IA. Esses provedores processam e armazenam gravações de vídeo e áudio conforme suas próprias políticas de privacidade. Credenciais de API para integrações de câmera são armazenadas no Azure Key Vault e são permanentemente deletadas quando você desconecta a integração ou encerra sua conta.
• SDKs de Hardware: Star Micronics (SDK de impressora de recibo) e Zebra (SDK de scanner de código de barras) são usados para integrações de hardware. Trabalhos de impressão podem conter dados de clientes e transações; dados de varredura de código de barras (incluindo números de cartão de presente e códigos de barras de clientes) são processados localmente por esses SDKs.
• Integrações Financeiras: Plaid pode ser usada para vincular contas bancárias para fins de reconciliação. QuickBooks, Xero e integrações contábeis similares recebem dados de transações financeiras conforme sua configuração.
• Integrações de Folha de Pagamento: Se você conectar uma integração de folha de pagamento (como Gusto, ADP ou Paychex), informações pessoais de pessoal incluindo nomes, horas, compensação e dados fiscais são transmitidas ao provedor de folha de pagamento para processar a folha de pagamento em seu nome.
• Integrações de Reputação e Marketing: Se você conectar ferramentas de gerenciamento de reputação (como Birdeye ou Podium) ou plataformas de marketing (como Google, Meta, Mailchimp ou TikTok Business), dados de clientes relevantes para essas integrações (como detalhes de contato e solicitações de análise) são compartilhados com o respectivo provedor conforme sua configuração.
• Integrações de Compras: Se você conectar integrações de compras ou fornecedores (como SalonInteractive ou Shopify), dados de inventário e pedidos são compartilhados com esses provedores conforme sua configuração.
• Requisitos Legais: Podemos divulgar dados se exigido por lei, ordem judicial ou para proteger os direitos, propriedade ou segurança de ShadowPing, nossos usuários ou outros.

5. Armazenamento de Dados e Segurança

Todos os dados da Plataforma são armazenados em infraestrutura do Microsoft Azure com controles de segurança de nível empresarial. Implementamos as seguintes medidas de segurança:

• Segurança em nível de linha para vários locatários em todas as tabelas de banco de dados — seus dados são isolados de outros locatários
• Azure Key Vault para todas as credenciais confidenciais (chaves de processador de pagamento, tokens de API, tokens OAuth)
• Criptografia AES-256 para dados em repouso e TLS 1.2+ para dados em trânsito
• Registro de auditoria imutável e somente para anexação para todo acesso a dados e modificações
• Controle de acesso baseado em função com 250+ permissões granulares
• Acesso a token SAS com expiração de 15 minutos para acesso a arquivo/mídia
• Monitoramento de segurança automatizado, detecção de anomalias e limitação de taxa

Nenhum dado bruto de cartão de pagamento é nunca armazenado em nossos servidores. Credenciais de processador são armazenadas exclusivamente no Azure Key Vault.

6. Dados de Clientes Finais e Suas Responsabilidades

Como Assinante, você é o controlador de dados das informações pessoais de seus clientes armazenadas na Plataforma. A ShadowPing processa esses dados como um processador de dados em seu nome, apenas para fornecer os serviços da Plataforma.

Você é responsável por:

• Obter consentimentos legalmente exigidos de seus clientes antes de coletar seus dados, incluindo consentimento para fotografias, imagens semelhantes a biometria e quaisquer dados coletados através de integrações conectadas
• Informar seus clientes se seus locais comerciais estão sujeitos a gravação de áudio ou vídeo através de qualquer integração de câmera conectada, e publicar qualquer aviso de gravação legalmente exigido
• Responder às solicitações de direitos de titulares de dados de seus clientes (acesso, correção, exclusão)
• Cumprir as leis de proteção de dados aplicáveis em sua jurisdição, incluindo GDPR, CCPA e quaisquer outros regulamentos aplicáveis

Zyvora fornece ferramentas para suportar conformidade com GDPR, incluindo exportação de dados de clientes, fluxos de direito ao esquecimento com trilhas de auditoria e rastreamento de consentimento por salão com controle de versão de texto legal.

7. GDPR e Transferências Internacionais de Dados

Se você está localizado na Área Econômica Europeia (EEA), Reino Unido ou outra jurisdição com leis de proteção de dados, você pode ter direitos específicos sobre seus dados pessoais. Estes podem incluir o direito de acessar, retificar, apagar, restringir o processamento de ou portar seus dados, e o direito de se opor a certos processamentos.

As transferências de dados fora da EEA são conduzidas sob salvaguardas apropriadas, incluindo Cláusulas Contratuais Padrão quando aplicável. Entre em contato conosco em privacy@zyvora.app se tiver dúvidas sobre transferências internacionais de dados.

8. CCPA (Residentes da Califórnia)

Se você é um residente da Califórnia, você tem direitos sob a Lei de Privacidade do Consumidor Californiano (CCPA), incluindo o direito de saber quais informações pessoais coletamos, o direito de excluir suas informações pessoais e o direito de se recusar à venda de suas informações pessoais.

ShadowPing não vende informações pessoais. Para exercer seus direitos CCPA, entre em contato conosco em privacy@zyvora.app.

9. Retenção de Dados

Mantemos Dados do Assinante enquanto sua assinatura estiver ativa. Após o cancelamento, os dados são acessíveis em modo somente leitura por 90 dias, depois arquivados em armazenamento frio. Os dados arquivados são retidos por um mínimo de 7 anos para fins legais e de conformidade, a menos que você solicite exclusão anterior.

Os dados de clientes finais são retidos de acordo com as políticas de retenção configuráveis dentro da Plataforma (retenção padrão de 7 anos para documentos de clientes). Os dados clínicos estão sujeitos aos requisitos de retenção de registros de saúde em sua jurisdição.

Metadados de integração de câmera — incluindo registros VideoBookmark, metadados de eventos e URLs de acesso expirando associados com integrações de câmera como Solink — são retidos enquanto a integração está ativa e por 90 dias após desconexão ou cancelamento de conta, após o qual são permanentemente deletados. O arquivo de vídeo real não é armazenado pelo ShadowPing; permanece com o provedor de câmera terceirizado conforme suas próprias políticas de retenção. Credenciais de integração de câmera armazenadas no Azure Key Vault são destruídas após desconexão da integração ou término de sua conta.

Dados de log de auditoria são retidos por 12 meses em armazenamento ativo e arquivados para armazenamento de longo prazo posteriormente.

10. Cookies e Rastreamento

O aplicativo web Zyvora usa cookies de sessão e armazenamento local para autenticação e estado da aplicação. Não usamos cookies de publicidade de terceiros ou pixels de rastreamento.

O site de marketing Zyvora (zyvora.app) pode usar ferramentas de análise para entender o comportamento do visitante. Nenhuma informação pessoalmente identificável é coletada através dessas análises.

11. Privacidade de Menores

A Plataforma é destinada ao uso comercial e não é direcionada para indivíduos com menos de 18 anos de idade. Não coletamos intencionalmente informações pessoais de menores. Se um Assinante coletar informações sobre menores (por exemplo, para serviços para jovens), o Assinante é responsável por obter consentimento parental apropriado.

12. Alterações nesta Política

Podemos atualizar esta Política de Privacidade de tempos em tempos. Notificaremos você sobre alterações materiais por email ou dentro da Plataforma. A "Data de Vigência" no topo desta página reflete quando a versão atual foi publicada.

13. Entre em Contato Conosco

Para dúvidas relacionadas à privacidade, solicitações de titulares de dados ou para solicitar um Acordo de Associado Comercial (BAA) para uso de recursos clínicos, entre em contato conosco:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app