Політика приватності

1. Вступ

Zyvora розроблена і керується компанією ShadowPing LLC («ShadowPing», «ми», «нас» або «наша»). Ця Політика приватності описує, як ми збираємо, використовуємо, зберігаємо та захищаємо інформацію при використанні вами платформи Zyvora («Платформа»).

Ця Політика охоплює дві категорії людей: (1) Абоненти — бізнеси та їх персонал, які використовують Zyvora для управління своєю діяльністю, та (2) Кінцеві клієнти — клієнти цих бізнесів, чиї дані вводяться до Платформи Абонентами.

2. Інформація, яку ми збираємо

Дані облікового запису абонента: При реєстрації ми збираємо назву вашого бізнесу, контактну інформацію, платіжні деталі та облікові дані. Це використовується для створення та ведення вашого облікового запису.

Дані про операційну діяльність бізнесу: Дані, які ви вводите для управління своїм бізнесом — включаючи профілі персоналу, каталоги послуг, розписи, записи про назначення, операції точки продажу, записи про запаси, дані про зарплату та налаштування бізнесу. Ви володієте цими даними.

Дані кінцевих клієнтів: Інформація про ваших клієнтів, яку ви вводите до Платформи — включаючи імена, контактні дані, історію назначень, записи про платежі, бали лояльності, записи про згоду та (якщо ввімкнені клінічні функції) інформацію про здоров'я. Ви є контролером даних для даних ваших клієнтів; ShadowPing діє як обробник даних від вашого імені.

Візуальні та біометричні дані: Якщо ви використовуєте функції визначення нігтів або фото до та після Zyvora, Платформа збирає та зберігає фотографії нігтів, шкіри або інших фізичних характеристик клієнтів. Ці зображення можуть бути пов'язані з особистістю клієнта на Платформі. Ви несете відповідальність за отримання належної згоди від своїх клієнтів перед збиранням такого матеріалу.

Дані аудіо та відеоспостереження: Якщо ви підключаєте камеру або систему безпеки (такі як Solink, Verkada, Eagle Eye або Spot AI), записи звуку та відео ваших приміщень — включаючи записи кінцевих клієнтів, які відвідують ваш салон — можуть бути захоплені та оброблені через цю інтеграцію. ShadowPing не зберігає напрямки записи камери; вони обробляються та зберігаються третім постачальником камери відповідно до їхніх умов. Ви несете відповідальність за дотримання всіх застосовних законів про запис та розміщення необхідних повідомлень у ваших приміщеннях.

Дані комунікацій: SMS, RCS, електронна пошта та голосові комунікації, відправлені через Платформу (через Twilio та Azure Communication Services). Вміст повідомлення, статус доставки та часові мітки зберігаються для управління вхідною поштою та відповідності.

Платіжні дані: Платіжні операції, оброблені через інтегровані платіжні процесори (Square, Stripe тощо). Прості номери карт ніколи не зберігаються ShadowPing — лише посилання на токенізацію, надані платіжним процесором.

Дані про використання та аналітику: Дані журналу, закономірності використання функцій, звіти про помилки та метрики продуктивності. Ці дані використовуються для покращення Платформи та не поділяються з третіми сторонами в рекламних цілях.

Дані пристрою та обладнання: IP-адреси, тип браузера/додатку, ідентифікатори пристрою та дані сеансу, зібрані при доступі до Платформи. Якщо ви використовуєте інтегроване обладнання (iPads, зчитувачі карт, сканери штрих-кодів, принтери чеків), ідентифікатори пристроїв та дані взаємодії з обладнанням можуть бути зібрані.

Клінічні дані (якщо застосовується): Якщо ви використовуєте клінічні функції Zyvora (примітки SOAP, форми з позначкою HIPAA), захищена медична інформація (PHI) зберігається з посиленими засобами безпеки та суворим реєструванням доступу. Угода про партнерство (BAA) вимагається для використання клінічних функцій.

3. Як ми використовуємо вашу інформацію

Ми використовуємо зібрану інформацію для:

• Надання, експлуатації та покращення Платформи Zyvora та її функцій
• Обробки та управління вашою передплатою, виставленням рахунків та платежами
• Відправління операційних повідомлень (рахунки, сповіщення облікового запису, повідомлення про помилку платежу)
• Включення функцій Платформи на основі AI (розклади, розумний помічник, оцінка ризиків, примітки з коучингом)
• Надання підтримки клієнтів та відповіді на ваші запитання
• Моніторинг безпеки Платформи, виявлення шахрайства та забезпечення цілісності системи
• Дотримання юридичних зобов'язань

Ми не використовуємо ваші дані або дані ваших клієнтів для реклами, маркетингу третіми сторонами або будь-якої мети, не пов'язаної з наданням Платформи.

4. Поділ даних та треті сторони

Ми не продаємо ваші дані. Ми ділимося даними лише за необхідності для експлуатації Платформи:

• Платіжні процесори: Square, Stripe, PayPal, Global Payments, TSYS, Chase — для обробки операцій клієнтів. Ваші облікові дані процесора зберігаються в Azure Key Vault, ніколи в базі даних.
• SDK платіжного обладнання: SDK Stripe Terminal та Square Terminal використовуються для платежів з карткою, присутніми в особі. Ці SDK обробляють дані карти безпосередньо на пристрої та передають їх відповідному платіжному процесору.
• Постачальники комунікацій: Twilio (SMS, MMS, RCS, голос) та Azure Communication Services (електронна пошта) — для доставки повідомлень, відправлених через Платформу.
• AI постачальники: Запити до служб AI (включаючи Anthropic Claude, Google Gemini, Groq та OpenAI, маршрутизовані через рівень AI proxy ShadowPing) обмежені тим, що необхідно для генерації запитаного результату. Для клінічних функцій та функцій, охоплених HIPAA, ShadowPing використовує Azure OpenAI Service — окрему службу, розміщену на Microsoft, яка керується Угодою про партнерські асоціації (BAA) з Microsoft — замість потребительського API OpenAI. Дані, відправлені постачальникам AI, не зберігаються цими постачальниками для навчання моделей згідно з нашими корпоративними угодами.
• Хмарна інфраструктура: Microsoft Azure — Платформа розташована на Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Дані зберігаються в безпечних, контрольованих середовищах Azure.
• Доставка зображень: Imgix використовується для обслуговування фотографій клієнтів (включаючи зображення до та після та фотографії профілю). Зображення, що зберігаються в Azure Blob Storage, доставляються через CDN Imgix для оптимізованого відображення.
• Оповіщення push: Apple Push Notification Service (APNs) та Google Firebase Cloud Messaging (FCM) використовуються для доставки оповіщень push на мобільні пристрої. Токени пристроїв та вміст повідомлень передаються цим постачальникам для доставки.
• Інтеграція камер та системи безпеки: Якщо ви увімкнете інтеграцію камери або системи безпеки (Solink, Verkada, Eagle Eye, Spot AI), імена клієнтів, імена персоналу, метадані операцій, позначки часу, дані подій та звук, захоплені там, де апаратне забезпечення камери його підтримує з Платформи, можуть бути передані постачальнику камери для включення пов'язування подій та функцій перегляду відеозаписів на базі AI. Ці постачальники обробляють та зберігають відеозаписи та звукозаписи за своєю власною політикою конфіденційності. Облікові дані API для інтеграцій камер зберігаються в Azure Key Vault і остаточно видаляються при відключенні інтеграції або припиненні вашого облікового запису.
• SDK обладнання: Star Micronics (SDK принтера чеків) та Zebra (SDK сканера штрих-кодів) використовуються для інтеграцій обладнання. Завдання друку можуть містити дані клієнтів та операцій; дані сканування штрих-кодів (включаючи номери подарункових карток та штрих-коди клієнтів) обробляються локально цими SDK.
• Фінансові інтеграції: Plaid може використовуватися для пов'язування банківських рахунків для цілей примирення. QuickBooks, Xero та аналогічні інтеграції бухгалтерського обліку отримують дані про фінансові операції відповідно до вашої конфігурації.
• Інтеграції платіжної відомості: Якщо ви підключите інтеграцію платіжної відомості (наприклад, Gusto, ADP або Paychex), особисту інформацію персоналу, включаючи імена, години роботи, компенсацію та дані про податки, передаються постачальнику платіжної відомості для обробки платіжної відомості від вашого імені.
• Інтеграції репутації та маркетингу: Якщо ви підключите інструменти управління репутацією (наприклад, Birdeye або Podium) або платформи маркетингу (наприклад, Google, Meta, Mailchimp або TikTok Business), дані клієнтів, релевантні для цих інтеграцій (наприклад, контактні дані та запити на рецензії), діляться з відповідним постачальником відповідно до вашої конфігурації.
• Інтеграції закупівель: Якщо ви підключите інтеграції закупівель або постачальників (наприклад, SalonInteractive або Shopify), дані про запаси та замовлення діляться з цими постачальниками відповідно до вашої конфігурації.
• Юридичні вимоги: Ми можемо розкрити дані, якщо це вимагається законом, постановою суду або для захисту прав, майна або безпеки ShadowPing, наших користувачів або інших осіб.

5. Зберігання та безпека даних

Всі дані Платформи зберігаються на інфраструктурі Microsoft Azure з засобами безпеки корпоративного класу. Ми впроваджуємо такі заходи безпеки:

• Багаторівнева безпека на рівні рядків усіх таблиць бази даних — ваші дані ізольовані від інших користувачів
• Azure Key Vault для всіх конфіденційних облікових даних (ключі процесора платежу, маркери API, маркери OAuth)
• Шифрування AES-256 для даних у спокої та TLS 1.2+ для даних у передачі
• Незмінний журнал аудиту, що тільки додає, для всіх доступів до даних та модифікацій
• Контроль доступу на основі ролей з 250+ детальними дозволами
• Доступ до маркерів SAS з терміном дії 15 хвилин для доступу до файлів/мультимедіа
• Автоматизований моніторинг безпеки, виявлення аномалій та обмеження швидкості

Прості дані платіжної карти ніколи не зберігаються на наших серверах. Облікові дані процесора зберігаються виключно в Azure Key Vault.

6. Дані кінцевих клієнтів та ваші обов'язки

Як Абонент, ви є контролером даних для особистої інформації ваших клієнтів, збереженої на Платформі. ShadowPing обробляє ці дані як обробник даних від вашого імені, виключно для надання послуг Платформи.

Ви несете відповідальність за:

• Отримання будь-яких юридично необхідних згод від ваших клієнтів перед збиранням їхніх даних, включаючи згоду на фотографії, біометрично подібні зображення та будь-які дані, зібрані через підключені інтеграції
• Інформування ваших клієнтів, якщо ваші приміщення підлягають аудіо- або відеозаписуванню через будь-яку підключену камеру інтеграції, та розміщення будь-яких юридично необхідних повідомлень про запис
• Реагування на запити ваших клієнтів щодо прав суб'єкта даних (доступ, виправлення, видалення)
• Дотримання застосовних законів про захист даних у вашій юрисдикції, включаючи GDPR, CCPA та будь-які інші застосовні нормативні акти

Zyvora надає інструменти для підтримки відповідності GDPR, включаючи експорт даних клієнтів, робочі процеси права на видалення з трасуванням аудиту та відстеження згоди на основі салону з контролем версій юридичного тексту.

7. GDPR та міжнародні передачі даних

Якщо ви знаходитесь у Європейській економічній зоні (ЄЕЗ), Сполученому Королівстві або іншій юрисдикції з законами про захист даних, у вас можуть бути конкретні права щодо ваших особистих даних. Це можуть включати право на доступ, виправлення, видалення, обмеження обробки або передачу ваших даних, а також право протестувати проти певної обробки.

Передачі даних за межі ЄЕЗ здійснюються на основі відповідних гарантій, включаючи Стандартні договірні пункти, де це застосовується. Будь ласка, зв'яжіться з нами за адресою privacy@zyvora.app, якщо у вас є запитання щодо міжнародних передач даних.

8. CCPA (мешканці Каліфорнії)

Якщо ви мешканець Каліфорнії, ви маєте права згідно із Законом про приватність споживачів Каліфорнії (CCPA), включаючи право знати, яку особисту інформацію ми збираємо, право видалити вашу особисту інформацію та право відмовитися від продажу вашої особистої інформації.

ShadowPing не продає особисту інформацію. Щоб реалізувати ваші права CCPA, зв'яжіться з нами за адресою privacy@zyvora.app.

9. Зберігання даних

Ми зберігаємо дані Абонента протягом всього часу, поки ваша підписка активна. Після скасування дані доступні в режимі «лише читання» протягом 90 днів, а потім архівуються у холоднішне сховище. Архівовані дані зберігаються мінімум 7 років для юридичних та нормативних цілей, якщо ви не запросите раніше видалення.

Дані кінцевого клієнта зберігаються відповідно до настроюваних політик збереження в межах Платформи (за замовчуванням 7-річне збереження для документів клієнтів). Клінічні дані підлягають вимогам збереження медичних записів у вашій юрисдикції.

Метадані інтеграції камери — включаючи записи VideoBookmark, метадані подій та URL-адреси доступу з обмеженим терміном дії, пов'язані з інтеграціями камер, такими як Solink — зберігаються, поки інтеграція активна, і протягом 90 днів після відключення або скасування облікового запису, після чого вони остаточно видаляються. Фактичні відеозаписи не зберігаються ShadowPing; вони залишаються у стороннього постачальника камер за їхньою власною політикою зберігання. Облікові дані інтеграції камери, що зберігаються в Azure Key Vault, знищуються при відключенні інтеграції або припиненні вашого облікового запису.

Дані журналу аудиту зберігаються протягом 12 місяців в активному сховищі та архівуються у довгострокове сховище.

10. Файли cookie та відстеження

Веб-додаток Zyvora використовує сеансові файли cookie та локальне зберігання для аутентифікації та стану додатка. Ми не використовуємо сторонні рекламні файли cookie або пікселі відстеження.

Сайт маркетингу Zyvora (zyvora.app) може використовувати інструменти аналітики для розуміння поведінки відвідувачів. Через цю аналітику не збирається жодна особисто ідентифікована інформація.

11. Приватність дітей

Платформа призначена для ділового використання і не спрямована на осіб у віці до 18 років. Ми не свідомо збираємо особисту інформацію від неповнолітніх. Якщо Абонент збирає інформацію про неповнолітніх (наприклад, для послуг для молоді), Абонент несе відповідальність за отримання відповідної згоди батьків.

12. Зміни до цієї політики

Ми можемо оновлювати цю Політику конфіденційності час від часу. Ми повідомимо вас про матеріальні зміни електронною поштою або в межах Платформи. «Дата вступу в силу» у верхній частині цієї сторінки відображає, коли була опублікована поточна версія.

13. Зв'яжіться з нами

Щодо запитань про конфіденційність, запитів на права суб'єкта даних або запиту на укладення угоди про діяльність як бізнес-партнер (BAA) для використання клінічних функцій, будь ласка, зв'яжіться з нами:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app