Politica de Confidențialitate

1. Introducere

Zyvora este dezvoltată și operată de ShadowPing LLC („ShadowPing”, „noi”, „ne” sau „al nostru”). Această Politică de Confidențialitate descrie modul în care colectăm, folosim, stocăm și protejăm informațiile atunci când utilizezi platforma Zyvora („Platforma”).

Această Politică acoperă două categorii de persoane: (1) Abonații — afaceri și personalul lor care folosesc Zyvora pentru a-și gestiona operațiunile, și (2) Clienții finali — clienții acestor afaceri ai căror date sunt introduse în Platformă de către Abonați.

2. Informațiile pe care le colectăm

Date de cont de abonat: Când te înregistrezi, colectăm numele afacerii tale, informațiile de contact, detaliile de facturare și acreditările contului. Acestea sunt folosite pentru a crea și menține contul tău.

Date operaționale ale afacerii: Datele pe care le introduci pentru a-ți gestiona afacerea — inclusiv profilurile personalului, cataloagele de servicii, programele, înregistrările de programări, tranzacțiile de punct de vânzare, înregistrările de inventar, datele de salarizare și setările afacerii. Tu dețin aceste date.

Date ale clienților finali: Informații despre clienții tăi pe care le introduci în Platformă — inclusiv nume, detalii de contact, istoricul programărilor, înregistrările de plăți, puncte de loialitate, înregistrări de consimțământ și (dacă sunt activate funcții clinice) informații legate de sănătate. Tu ești controlerul de date pentru datele clienților tăi; ShadowPing acționează ca procesor de date în numele tău.

Date vizuale și asemănătoare biometrice: Dacă utilizezi funcțiile Zyvora de identificare a unghiilor sau funcțiile de fotografii înainte/după, Platforma colectează și stochează fotografii ale unghiilor, pielii sau altor caracteristici fizice ale clienților. Aceste imagini pot fi asociate cu identitatea unui client în Platformă. Tu ești responsabil pentru obținerea consimțământului corespunzător de la clienții tăi înainte de colectarea unor imagini de acest fel.

Date de audio și video supraveghere: Dacă conectezi o cameră sau o integrare de sistem de securitate (cum ar fi Solink, Verkada, Eagle Eye sau Spot AI), înregistrări audio și video ale spațiilor tale de afaceri — inclusiv înregistrări ale clienților finali care vizitează salonul tău — pot fi capturate și procesate prin acea integrare. ShadowPing nu stochează direct înregistrările de cameră; ele sunt procesate și stocate de furnizorul terț al camerei conform condițiilor proprii. Tu ești responsabil pentru conformarea cu toate legile aplicabile privind consimțământul înregistrării și postarea notificărilor necesare în spațiile tale.

Date de comunicații: Comunicări SMS, RCS, email și vocale trimise prin Platformă (prin Twilio și Azure Communication Services). Conținutul mesajelor, starea de livrare și marcajele de timp sunt stocate pentru gestionarea inboxului și conformitate.

Date de plată: Tranzacții de plată procesate prin procesatori de plăți integrati (Square, Stripe, etc.). Numerele de card brute nu sunt niciodată stocate de ShadowPing — doar referințe tokenizate furnizate de procesatorul de plăți.

Date de utilizare și analize: Date de jurnal, modele de utilizare a funcțiilor, rapoarte de erori și metrici de performanță. Aceste date sunt folosite pentru a îmbunătăți Platforma și nu sunt partajate cu terți pentru publicitate.

Date de dispozitiv și hardware: Adrese IP, tip de browser/aplicație, identificatori de dispozitiv și date de sesiune colectate atunci când accesezi Platforma. Dacă utilizezi hardware integrat (iPad-uri, cititoare de carduri, scanere de coduri de bare, imprimante de chitanță), identificatori de dispozitiv și date de interacțiune hardware pot fi colectate.

Date clinice (dacă este cazul): Dacă utilizezi funcțiile clinice Zyvora (note SOAP, formulare marcate HIPAA), informații protejate de sănătate (PHI) sunt stocate cu controale de securitate îmbunătățite și jurnal strict de acces. Un Acord de asociat în afaceri (BAA) este necesar pentru utilizarea funcțiilor clinice.

3. Cum folosim informațiile tale

Folosim informațiile pe care le colectăm pentru:

• Furniza, opera și îmbunătăți Platforma Zyvora și funcțiile sale
• Procesa și gestiona abonamentul, facturarea și plățile tale
• Trimite comunicări tranzacționale (facturi, alerte de cont, notificări de eșec de plată)
• Activa funcțiile alimentate de AI ale Platformei (planificare, asistent inteligent, evaluare a riscurilor, note de coaching)
• Furniza asistență pentru clienți și răspunde la întrebările tale
• Monitoriza securitatea Platformei, detecta frauda și asigura integritatea sistemului
• Respecta obligațiile legale

Nu folosim datele tale sau datele clienților tăi pentru publicitate, marketing pentru terți sau orice scop neînrudit cu furnizarea Platformei.

4. Partajarea datelor și terți

Nu vindem datele tale. Partajăm datele doar în măsura necesară pentru a opera Platforma:

• Procesatori de plăți: Square, Stripe, PayPal, Global Payments, TSYS, Chase — pentru a procesa tranzacții cu clienții. Acreditările procesorului tău sunt stocate în Azure Key Vault, niciodată în baza de date.
• SDK-uri hardware de plată: SDK-uri Stripe Terminal și Square Terminal sunt folosite pentru plăți prezente pe card in-person. Aceste SDK-uri procesează datele cardului direct pe dispozitivul hardware și le transmit procesorului de plăți respectiv.
• Furnizori de comunicații: Twilio (SMS, MMS, RCS, voce) și Azure Communication Services (email) — pentru a livra mesaje trimise prin Platformă.
• Furnizori de IA: Cererile către serviciile de IA (inclusiv Anthropic Claude, Google Gemini, Groq și OpenAI, direcționate prin stratul proxy de IA al ShadowPing) sunt limitate la ceea ce este necesar pentru a genera rezultatul solicitat. Pentru caracteristicile clinice și cu sfera HIPAA, ShadowPing folosește Azure OpenAI Service — un serviciu separat găzduit de Microsoft reglementat de o Acord de Asociat în Afaceri (BAA) cu Microsoft — mai degrabă decât API-ul consumator al OpenAI. Datele trimise furnizorilor de IA nu sunt stocate de acești furnizori pentru antrenarea modelelor conform acordurilor noastre de întreprindere.
• Infrastructură cloud: Microsoft Azure — Platforma este găzduită pe Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Datele sunt stocate în medii Azure securizate, controlate din punct de vedere al accesului.
• Livrare de imagini: Imgix este folosit pentru a servi fotografiile clienților (inclusiv imagini înainte/după și fotografii de profil). Imaginile stocate în Azure Blob Storage sunt livrate prin CDN-ul Imgix pentru afișare optimizată.
• Notificări push: Apple Push Notification Service (APNs) și Google Firebase Cloud Messaging (FCM) sunt folosite pentru a livra notificări push dispozitivelor mobile. Token-urile de dispozitiv și conținutul notificărilor sunt transmise acestor furnizori pentru livrare.
• Integrări cameră și sistem de securitate: Dacă activați o integrare de cameră sau sistem de securitate (Solink, Verkada, Eagle Eye, Spot AI), nume de clienți, nume de personal, metadate de tranzacție, timpuri, date de eveniment și audio capturate acolo unde hardware-ul camerei o suportă de pe Platformă pot fi transmise furnizorului de cameră pentru a activa caracteristicile de legare a evenimentelor și revizuire video alimentată de IA. Acreditările API pentru integrări de camere sunt stocate în Azure Key Vault și sunt șterse permanent atunci când deconectați integrarea sau vă terminați contul.
• SDK-uri hardware: SDK-ul de imprimantă de chitanță Star Micronics și SDK-ul de scaner de coduri de bare Zebra sunt folosite pentru integrări hardware. Lucrările de imprimare pot conține date despre clienți și tranzacții; datele scanate din codurile de bare (inclusiv numere de carduri-cadou și coduri de bare ai clienților) sunt procesate local de aceste SDK-uri.
• Integrări financiare: Plaid poate fi folosit pentru a lega conturi bancare pentru scopuri de reconciliere. Integrări QuickBooks, Xero și similare de contabilitate primesc date de tranzacții financiare conform configurației tale.
• Integrări de salarizare: Dacă conectezi o integrare de salarizare (cum ar fi Gusto, ADP sau Paychex), informații personale ale personalului inclusiv nume, ore, compensație și date de impozite sunt transmise furnizorului de salarizare pentru a procesa salarizarea în numele tău.
• Integrări de reputație și marketing: Dacă conectezi instrumente de gestionare a reputației (cum ar fi Birdeye sau Podium) sau platforme de marketing (cum ar fi Google, Meta, Mailchimp sau TikTok Business), datele clienților relevante pentru acele integrări (cum ar fi detalii de contact și solicitări de recenzii) sunt partajate cu furnizorul respectiv conform configurației tale.
• Integrări de achiziții: Dacă conectezi integrări de achiziții sau furnizori (cum ar fi SalonInteractive sau Shopify), datele de inventar și comenzi sunt partajate cu acei furnizori conform configurației tale.
• Cerințe legale: Putem dezvălui date dacă este necesar conform legii, ordinelor judecătorești sau pentru a proteja drepturile, proprietatea sau siguranța ShadowPing, utilizatorilor noștri sau altora.

5. Stocarea și securitatea datelor

Toate datele Platformei sunt stocate pe infrastructura Microsoft Azure cu controale de securitate la nivel de întreprindere. Implementăm următoarele măsuri de securitate:

• Securitate la nivel de rând multi-tenant pe toate tabelele bazei de date — datele tale sunt izolate de alți chiriaș
• Azure Key Vault pentru toate acreditările sensibile (chei procesator de plăți, token-uri API, token-uri OAuth)
• Criptare AES-256 pentru datele în repaus și TLS 1.2+ pentru datele în tranzit
• Jurnal de audit imutabil, doar anexare pentru toate accesurile și modificările de date
• Control acces pe bază de rol cu 250+ permisiuni granulare
• Acces cu token SAS cu expirare de 15 minute pentru acces la fișiere/media
• Monitorizare automată de securitate, detectare de anomalii și limitare de rată

Nici un fel de date brute de card de plată nu sunt niciodată stocate pe serverele noastre. Acreditările procesorului sunt stocate exclusiv în Azure Key Vault.

6. Date la Clienți Finali și Responsabilitățile Tale

Ca Abonat, ești controlorul de date pentru informațiile personale ale clienților tăi stocate pe Platformă. ShadowPing procesează aceste date ca processor de date în numele tău, doar pentru a furniza serviciile Platformei.

Ești responsabil pentru:

• Obținerea oricăror consimțăminte legal necesare de la clienții tăi înainte de a colecta datele lor, inclusiv consimțământul pentru fotografii, imagini cu caracter biometric și orice date colectate prin integrări conectate
• Informarea clienților tăi dacă spațiul tău de afaceri este supus înregistrării audio sau video prin orice integrare de cameră conectată și afișarea oricăror anotimpuri legal necesare de înregistrare
• Răspunderea la cererile de drepturi ale subiecților de date ai clienților tăi (acces, corectare, ștergere)
• Conformitatea cu legile aplicabile de protecție a datelor în jurisdicția ta, inclusiv GDPR, CCPA și orice alte reglementări aplicabile

Zyvora oferă instrumente pentru a sprijini conformitatea GDPR, inclusiv exportul de date ale clienților, fluxuri de drept la ștergere cu piste de audit și urmărirea consimțământului per salon cu versiunile textelor legale.

7. GDPR & Transferuri Internaționale de Date

Dacă ești situat în Spațiul Economic European (SEE), Regatul Unit sau o altă jurisdicție cu legi de protecție a datelor, este posibil să ai drepturi specifice privind datele tale personale. Acestea pot include dreptul de acces, rectificare, ștergere, restricționare a prelucrării, portabilitate datelor și dreptul de a vă opune anumitor prelucrări.

Transferurile de date în afara SEE sunt efectuate sub garanții adecvate, inclusiv Clauze Contractuale Standard unde sunt aplicabile. Te rugăm să ne contactezi la privacy@zyvora.app dacă ai întrebări despre transferuri internaționale de date.

8. CCPA (Rezidenți California)

Dacă ești resident al Californiei, ai drepturi în baza California Consumer Privacy Act (CCPA), inclusiv dreptul de a cunoaște ce informații personale colectăm, dreptul de a șterge informațiile tale personale și dreptul de a refuza vânzarea informațiilor tale personale.

ShadowPing nu vinde informații personale. Pentru a-ți exercita drepturile CCPA, contactează-ne la privacy@zyvora.app.

9. Retenție de Date

Rețindem Datele Abonatului atât timp cât abonamentul tău este activ. După anulare, datele sunt accesibile în mod read-only pentru 90 de zile, apoi arhivate în stocare rece. Datele arhivate sunt reținute minimum 7 ani pentru scopuri legale și de conformitate, dacă nu cereri o ștergere mai devreme.

Datele clienților finali sunt reținute conform politicilor de retenție configurabile din cadrul Platformei (retenție implicită de 7 ani pentru documente ale clienților). Datele clinice sunt supuse cerințelor de retenție a dosarelor medicale în jurisdicția ta.

Metadatele de integrare a camerei — inclusiv înregistrări VideoBookmark, metadate de eveniment și URL-uri de acces cu expirare asociate integrarilor de cameră, cum ar fi Solink — sunt păstrate în timp ce integrarea este activă și timp de 90 de zile după deconectare sau anulare de cont, după care sunt șterse permanent. Filmajul video real nu este stocat de ShadowPing; rămâne cu furnizorul de cameră terță sub politicile lor proprii de retenție. Acreditările de integrare a camerei stocate în Azure Key Vault sunt distruse la deconectarea integrarilor sau la terminarea contului dvs.

Datele jurnalului de audit sunt păstrate timp de 12 luni în stocarea activă și arhivate în stocarea pe termen lung după aceea.

10. Cookie-uri și Urmărire

Aplicația web Zyvora folosește cookie-uri de sesiune și stocare locală pentru autentificare și starea aplicației. Nu folosim cookie-uri de publicitate de la terți sau pixeli de urmărire.

Site-ul de marketing Zyvora (zyvora.app) poate folosi instrumente de analitics pentru a înțelege comportamentul vizitatorilor. Nicio informație cu identificare personală nu este colectată prin aceste analitics.

11. Confidențialitatea Copiilor

Platforma este destinată utilizării în afaceri și nu este direcționată către persoane sub 18 ani. Nu colectăm în cunoștință de cauză informații personale de la minori. Dacă un Abonat colectează informații despre minori (de exemplu, pentru servicii pentru tineri), Abonatul este responsabil pentru obținerea consimțământului parental adecvat.

12. Modificări ale acestei Politici

Putem actualiza această Politică de Confidențialitate din când în când. Te vom notifica despre modificările materiale prin e-mail sau în cadrul Platformei. „Data de Intrare în Vigoare” din partea de sus a acestei pagini reflectă când a fost publicată versiunea actuală.

13. Contactează-ne

Pentru întrebări legate de confidențialitate, solicitări de drepturi ale subiecților de date sau pentru a solicita un Business Associate Agreement (BAA) pentru utilizarea funcțiilor clinice, contactează-ne:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app