سياسة الخصوصية

1. مقدمة

تم تطوير Zyvora وتشغيله بواسطة ShadowPing LLC ("ShadowPing"، "نحن"، "لنا"). توضح سياسة الخصوصية هذه كيفية جمع ومعالجة وتخزين وحماية المعلومات عند استخدام منصة Zyvora ("المنصة").

تغطي هذه السياسة فئتين من الأشخاص: (1) المشتركون — الشركات وموظفوهم الذين يستخدمون Zyvora لتشغيل عملياتهم، و(2) العملاء النهائيون — عملاء تلك الشركات التي يتم إدخال بيانات ملكهم في المنصة بواسطة المشتركين.

2. المعلومات التي نجمعها

بيانات حساب المشترك: عند التسجيل، نجمع اسم عملك، معلومات الاتصال، بيانات الفواتير، وبيانات اعتماد الحساب. يستخدم هذا لإنشاء والحفاظ على حسابك.

بيانات العمليات التجارية: البيانات التي تدخلها لتشغيل عملك — بما في ذلك ملفات الموظفين، فهارس الخدمات، الجداول الزمنية، سجلات المواعيد، معاملات نقاط البيع، سجلات المخزون، بيانات الرواتب، وإعدادات العمل. أنت تمتلك هذه البيانات.

بيانات العملاء النهائيين: معلومات حول عملائك التي تدخلها في المنصة — بما في ذلك الأسماء، تفاصيل الاتصال، سجل المواعيد، سجلات الدفع، نقاط الولاء، سجلات الموافقة، و(إذا تم تفعيل ميزات سريرية) معلومات صحية. أنت مراقب البيانات لبيانات عملائك؛ ShadowPing تعمل كمعالج بيانات نيابة عنك.

البيانات البصرية والحيوية المتشابهة: إذا استخدمت ميزات تحديد الأظافر أو ميزات صور قبل/بعد في Zyvora، تجمع المنصة وتخزن صور أظافر العملاء والجلد أو خصائص جسدية أخرى. قد تكون هذه الصور مرتبطة بهوية العميل في المنصة. أنت مسؤول عن الحصول على موافقة مناسبة من عملائك قبل جمع هذه الصور.

بيانات الصوت والفيديو المراقبة: إذا قمت بتوصيل كاميرا أو تكامل نظام أمان (مثل Solink أو Verkada أو Eagle Eye أو Spot AI)، قد يتم التقاط تسجيلات صوتية وفيديوية لموقع عملك — بما في ذلك تسجيلات العملاء النهائيين الذين يزورون صالونك — ومعالجتها من خلال هذا التكامل. لا تخزن ShadowPing مقاطع الفيديو الكاميرا مباشرة؛ يتم معالجتها وتخزينها بواسطة مزود الكاميرا الخارجي وفقاً لشروطهم. أنت مسؤول عن الامتثال لجميع قوانين الموافقة على التسجيل المعمول بها ونشر الإشعارات المطلوبة في موقعك.

بيانات الاتصالات: رسائل SMS و RCS والبريد الإلكتروني والاتصالات الصوتية المرسلة عبر المنصة (عبر Twilio و Azure Communication Services). يتم تخزين محتوى الرسالة وحالة الإسليم والطوابع الزمنية لإدارة صندوق الوارد والامتثال.

بيانات الدفع: معاملات الدفع المعالجة من خلال معالجات الدفع المدمجة (Square و Stripe وما إلى ذلك). لا يتم تخزين أرقام البطاقات الخام بواسطة ShadowPing — فقط المراجع المميزة المقدمة من معالج الدفع.

بيانات الاستخدام والتحليلات: بيانات السجل وأنماط استخدام الميزات وتقارير الأخطاء ومقاييس الأداء. يتم استخدام هذه البيانات لتحسين المنصة وليس تشاركها مع أطراف ثالثة للإعلانات.

بيانات الأجهزة والأجهزة: عناوين IP ونوع المتصفح/التطبيق ومعرفات الأجهزة وبيانات الجلسة المجمعة عند الوصول إلى المنصة. إذا استخدمت أجهزة مدمجة (iPads وقارئات البطاقات وماسحات الأكواد الشريطية وطابعات الإيصالات)، قد يتم جمع معرفات الأجهزة وبيانات تفاعل الأجهزة.

البيانات السريرية (إن انطبقت): إذا استخدمت ميزات Zyvora السريرية (ملاحظات SOAP وعوامل موسومة بـ HIPAA)، يتم تخزين المعلومات الصحية المحمية (PHI) باستخدام عناصر تحكم أمان محسنة وتسجيل وصول صارم. يتطلب اتفاق شريك الأعمال (BAA) لاستخدام الميزات السريرية.

3. كيف نستخدم بيانات ملكك

نستخدم المعلومات التي نجمعها لـ:

• توفير وتشغيل وتحسين منصة Zyvora وميزاتها
• معالجة وإدارة اشتراكك والفواتير والمدفوعات
• إرسال اتصالات عملياتية (الفواتير والتنبيهات الحسابية وإشعارات فشل الدفع)
• تفعيل ميزات منصة Zyvora المدعومة بـ AI (الجدولة والمساعد الذكي وتسجيل المخاطر وملاحظات التدريب)
• توفير دعم العملاء والرد على استفسارات ملكك
• مراقبة أمان المنصة والكشف عن الاحتيال وضمان سلامة النظام
• الامتثال للالتزامات القانونية

لا نستخدم بيانات ملكك أو بيانات عملائك للإعلانات أو التسويق من أطراف ثالثة أو أي غرض غير ذي صلة بتوفير المنصة.

4. مشاركة البيانات والأطراف الثالثة

لا نبيع بيانات ملكك. نشارك البيانات فقط حسب الحاجة لتشغيل المنصة:

• معالجات الدفع: Square و Stripe و PayPal و Global Payments و TSYS و Chase — لمعالجة معاملات العملاء. يتم تخزين بيانات معالجات ملكك في Azure Key Vault، وليس في قاعدة البيانات.
• أجهزة برمجيات معالجات الدفع: يتم استخدام Stripe Terminal و Square Terminal SDKs للمدفوعات الحالية للبطاقات. تعالج هذه البرمجيات بيانات البطاقة مباشرة على جهاز الأجهزة وتنقلها إلى معالج الدفع الخاص بهما.
• مزودي الاتصالات: Twilio (SMS و MMS و RCS والصوت) و Azure Communication Services (البريد الإلكتروني) — لتوصيل الرسائل المرسلة عبر المنصة.
• موفّري الذكاء الاصطناعي: الطلبات إلى خدمات الذكاء الاصطناعي (بما في ذلك Anthropic Claude و Google Gemini و Groq و OpenAI، الموجهة عبر طبقة وسيط AI الخاصة بـ ShadowPing) مقتصرة على ما هو ضروري لتوليد المخرجات المطلوبة. للميزات السريرية والمحددة بـ HIPAA على وجه الخصوص، تستخدم ShadowPing Azure OpenAI Service — خدمة منفصلة مستضافة من قبل Microsoft تحكمها اتفاقية Business Associate Agreement (BAA) مع Microsoft — بدلاً من API المستهلك الخاص بـ OpenAI. لا يتم تخزين البيانات المرسلة إلى موفّري الذكاء الاصطناعي من قبل هؤلاء الموفّرين لتدريب النموذج بموجب اتفاقياتنا الخاصة بالمؤسسات.
• البنية الأساسية السحابية: Microsoft Azure — المنصة مستضافة على Azure (Azure SQL و Azure Functions و Azure Blob Storage و Azure Key Vault و SignalR). يتم تخزين البيانات في بيئات Azure آمنة وخاضعة للتحكم في الوصول.
• توصيل الصور: يتم استخدام Imgix لتوصيل صور العملاء (بما في ذلك صور قبل/بعد وصور الملف الشخصي). يتم توصيل الصور المخزنة في Azure Blob Storage من خلال CDN من Imgix للعرض المحسن.
• إشعارات الدفع: يتم استخدام خدمة Apple Push Notification Service (APNs) و Google Firebase Cloud Messaging (FCM) لتوصيل إشعارات الدفع إلى الأجهزة المحمولة. يتم نقل رموز الأجهزة ومحتوى الإشعار إلى هؤلاء المزودين للتوصيل.
• تكاملات الكاميرا والأمان: إذا قمت بتفعيل تكامل الكاميرا أو نظام الأمان (Solink أو Verkada أو Eagle Eye أو Spot AI)، قد يتم نقل أسماء العملاء وأسماء الموظفين وبيانات المعاملات والطوابع الزمنية وبيانات الأحداث والصوت الملتقط حيث يدعم جهاز الكاميرا ذلك من المنصة إلى مزود الكاميرا لتفعيل ربط الأحداث وميزات مراجعة الفيديو المدعومة بالذكاء الاصطناعي. يقوم هؤلاء الموفّرون بمعالجة وتخزين تسجيلات الفيديو والصوت بموجب سياسات الخصوصية الخاصة بهم. يتم تخزين بيانات اعتماد API لتكاملات الكاميرا في Azure Key Vault ويتم حذفها بشكل دائم عند قطع التكامل أو إنهاء حسابك.
• أجهزة برمجيات الأجهزة: يتم استخدام Star Micronics (برنامج طابعة الإيصالات) و Zebra (برنامج ماسح الأكواد الشريطية) لتكاملات الأجهزة. قد تحتوي مهام الطباعة على بيانات العملاء ومعاملات؛ يتم معالجة بيانات ماسح الأكواد الشريطية (بما في ذلك أرقام بطاقات الهدايا وأكواد عملاء) محلياً من قبل هذه البرمجيات.
• التكاملات المالية: قد يتم استخدام Plaid لربط حسابات مصرفية لأغراض المصالحة. تتلقى QuickBooks و Xero والتكاملات المحاسبية المماثلة بيانات معاملات مالية حسب تكوينك.
• تكاملات الرواتب: إذا قمت بتوصيل تكامل الرواتب (مثل Gusto أو ADP أو Paychex)، يتم نقل المعلومات الشخصية للموظفين بما في ذلك الأسماء والساعات والتعويضات وبيانات الضرائب إلى مزود الرواتب لمعالجة الرواتب نيابة عنك.
• تكاملات السمعة والتسويق: إذا قمت بتوصيل أدوات إدارة السمعة (مثل Birdeye أو Podium) أو منصات التسويق (مثل Google أو Meta أو Mailchimp أو TikTok Business)، يتم مشاركة بيانات العملاء ذات الصلة بتلك التكاملات (مثل تفاصيل الاتصال وطلبات المراجعات) مع المزود المعني حسب تكوينك.
• تكاملات الشراء: إذا قمت بتوصيل تكاملات المشتريات أو الموردين (مثل SalonInteractive أو Shopify)، يتم مشاركة بيانات المخزون والطلبات مع هؤلاء المزودين حسب تكوينك.
• المتطلبات القانونية: قد نفصح عن بيانات إذا كان ذلك مطلوباً بموجب القانون أو أمر من محكمة أو لحماية حقوق أو ممتلكات أو سلامة ShadowPing أو مستخدمينا أو الآخرين.

5. تخزين البيانات والأمان

يتم تخزين جميع بيانات المنصة على بنية Microsoft Azure مع تحكم أمان بمستوى المؤسسة. نحن ننفذ تدابير الأمان التالية:

• أمان على مستوى الصف متعدد المستأجرين على جميع جداول قاعدة البيانات — بيانات ملكك معزولة عن المستأجرين الآخرين
• Azure Key Vault لجميع بيانات الاعتماد الحساسة (مفاتيح معالجات الدفع ورموز API ورموز OAuth)
• تشفير AES-256 للبيانات في الراحة و TLS 1.2+ للبيانات أثناء النقل
• سجل تدقيق غير قابل للتغيير والإضافة فقط لجميع الوصول والتعديلات على البيانات
• التحكم في الوصول المستند إلى الأدوار مع أكثر من 250 إذن حبيبي
• وصول رمز SAS بانتهاء الصلاحية بعد 15 دقيقة لوصول الملفات/الوسائط
• مراقبة الأمان المؤتمتة والكشف عن الشذوذ والحد من المعدل

لا يتم تخزين بيانات بطاقة الدفع الخام أبداً على خوادمنا. يتم تخزين بيانات اعتماد معالجات الدفع حصراً في Azure Key Vault.

6. بيانات العميل النهائي والمسؤوليات الخاصة بك

بصفتك مشتركاً، فأنت مراقب البيانات للمعلومات الشخصية لعملائك المخزنة في المنصة. تعالج شركة ShadowPing هذه البيانات كمعالج بيانات نيابةً عنك، فقط لتوفير خدمات المنصة.

أنت مسؤول عن:

• الحصول على أي موافقات قانونية مطلوبة من عملائك قبل جمع بيانتهم، بما في ذلك الموافقة على الصور والصور المشابهة البيومترية وأي بيانات يتم جمعها من خلال التكاملات المتصلة
• إخطار عملائك إذا كانت مقر عملك تخضع لتسجيل صوتي أو فيديو من خلال أي تكامل كاميرا متصل، ونشر أي إشعارات تسجيل مطلوبة قانوناً
• الرد على طلبات حقوق البيانات من عملائك (الوصول والتصحيح والحذف)
• الامتثال لقوانين حماية البيانات المعمول بها في اختصاصك القضائي، بما في ذلك GDPR و CCPA وأي لوائح أخرى مطبقة

توفر Zyvora أدوات لدعم امتثال GDPR، بما في ذلك تصدير بيانات العملاء وسير عمل الحق في المحو مع مسارات التدقيق وتتبع الموافقة لكل مصفف مع إصدار النصوص القانونية.

7. نقل البيانات الدولية وGDPR

إذا كنت موجوداً في المنطقة الاقتصادية الأوروبية (EEA) أو المملكة المتحدة أو أي اختصاص آخر به قوانين حماية البيانات، فقد يكون لديك حقوق محددة فيما يتعلق ببياناتك الشخصية. قد تتضمن هذه الحق في الوصول والتصحيح والحذف وتقييد المعالجة أو نقل بياناتك والحق في الاعتراض على معالجة معينة.

يتم نقل البيانات خارج المنطقة الاقتصادية الأوروبية تحت ضمانات مناسبة، بما في ذلك البنود التعاقدية المعيارية حيث ينطبق ذلك. يرجى الاتصال بنا على privacy@zyvora.app إذا كان لديك أسئلة حول نقل البيانات الدولية.

8. CCPA (سكان كاليفورنيا)

إذا كنت من سكان كاليفورنيا، فإن لديك حقوقاً بموجب قانون خصوصية المستهلك في كاليفورنيا (CCPA)، بما في ذلك الحق في معرفة المعلومات الشخصية التي نجمعها والحق في حذف معلوماتك الشخصية والحق في الامتناع عن بيع معلوماتك الشخصية.

شركة ShadowPing لا تبيع المعلومات الشخصية. لممارسة حقوقك بموجب CCPA، اتصل بنا على privacy@zyvora.app.

9. الاحتفاظ بالبيانات

نحتفظ ببيانات المشترك طالما أن الاشتراك الخاص بك نشط. بعد الإلغاء، يمكن الوصول إلى البيانات في وضع القراءة فقط لمدة 90 يوماً، ثم يتم أرشفتها إلى التخزين البارد. يتم الاحتفاظ بالبيانات المؤرشفة لمدة لا تقل عن 7 سنوات لأغراض قانونية والامتثال ما لم تطلب حذفاً أبكر.

يتم الاحتفاظ ببيانات العميل النهائي وفقاً لسياسات الاحتفاظ القابلة للتكوين داخل المنصة (الاحتفاظ بمدة 7 سنوات الافتراضية لمستندات العملاء). تخضع البيانات السريرية لمتطلبات الاحتفاظ بسجلات الرعاية الصحية في اختصاصك القضائي.

يتم الاحتفاظ ببيانات وصفية لتكامل الكاميرا — بما في ذلك سجلات VideoBookmark وبيانات الأحداث وعناوين URL الوصول منتهية الصلاحية المرتبطة بتكاملات الكاميرا مثل Solink — أثناء نشاط التكامل ولمدة 90 يومًا بعد قطع الاتصال أو إلغاء الحساب، وبعد ذلك يتم حذفها بشكل دائم. لا يتم تخزين لقطات الفيديو الفعلية بواسطة ShadowPing؛ تبقى مع مزود الكاميرا الجهة الخارجية بموجب سياسات الاحتفاظ الخاصة بهم. يتم تدمير بيانات اعتماد تكامل الكاميرا المخزنة في Azure Key Vault عند قطع التكامل أو إنهاء حسابك.

يتم الاحتفاظ ببيانات سجل التدقيق لمدة 12 شهرًا في التخزين النشط ويتم أرشفتها إلى التخزين طويل الأجل بعد ذلك.

10. ملفات تعريف الارتباط والتتبع

تستخدم تطبيق Zyvora على الويب ملفات تعريف الارتباط للجلسة والتخزين المحلي للمصادقة وحالة التطبيق. نحن لا نستخدم ملفات تعريف الارتباط للإعلانات من جهات خارجية أو بكسلات التتبع.

قد يستخدم موقع التسويق Zyvora (zyvora.app) أدوات التحليلات لفهم سلوك الزائرين. لا يتم جمع أي معلومات تحديد شخصية من خلال هذه التحليلات.

11. خصوصية الأطفال

تم تصميم المنصة للاستخدام التجاري وليست موجهة للأفراد دون سن 18. لا نجمع عن قصد المعلومات الشخصية من الأطفال. إذا جمع المشترك معلومات عن الأطفال (على سبيل المثال، للخدمات الموجهة للشباب)، فإن المشترك مسؤول عن الحصول على موافقة الوالدين المناسبة.

12. التغييرات على هذه السياسة

قد نقوم بتحديث سياسة الخصوصية هذه من وقت لآخر. سنخطرك بالتغييرات الجوهرية عبر البريد الإلكتروني أو داخل المنصة. يعكس تاريخ "سارية المفعول" في أعلى هذه الصفحة وقت نشر الإصدار الحالي.

13. اتصل بنا

للأسئلة المتعلقة بالخصوصية أو طلبات البيانات أو لطلب اتفاقية شريك العمل (BAA) لاستخدام الميزات السريرية، يرجى الاتصال بنا:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app