Política de Privacidad

1. Introducción

Zyvora es desarrollada y operada por ShadowPing LLC («ShadowPing», «nosotros», «nos» u «nuestro»). Esta Política de Privacidad describe cómo recopilamos, utilizamos, almacenamos y protegemos la información cuando utilizas la plataforma Zyvora (la «Plataforma»).

Esta Política cubre dos categorías de personas: (1) Suscriptores — negocios y su personal que utilizan Zyvora para ejecutar sus operaciones, y (2) Clientes Finales — los clientes de esos negocios cuyos datos son ingresados en la Plataforma por los Suscriptores.

2. Información que Recopilamos

Datos de Cuenta del Suscriptor: Cuando te registras, recopilamos tu nombre empresarial, información de contacto, detalles de facturación y credenciales de cuenta. Esto se utiliza para crear y mantener tu cuenta.

Datos Operacionales del Negocio: Datos que ingresas para operar tu negocio — incluyendo perfiles de personal, catálogos de servicios, horarios, registros de citas, transacciones de punto de venta, registros de inventario, datos de nómina y configuración empresarial. Eres propietario de estos datos.

Datos de Clientes Finales: Información sobre tus clientes que ingresas en la Plataforma — incluyendo nombres, detalles de contacto, historial de citas, registros de pagos, puntos de lealtad, registros de consentimiento, e (si las características clínicas están habilitadas) información relacionada con la salud. Eres el controlador de datos de los datos de tus clientes; ShadowPing actúa como procesador de datos en tu nombre.

Datos Visuales y Biométricos Adyacentes: Si utilizas las características de identificación de uñas o fotos de antes/después de Zyvora, la Plataforma recopila y almacena fotografías de las uñas, piel u otras características físicas de los clientes. Estas imágenes pueden estar asociadas con la identidad de un cliente en la Plataforma. Eres responsable de obtener el consentimiento apropiado de tus clientes antes de recopilar tales imágenes.

Datos de Audio y Vigilancia de Video: Si conectas una cámara o integración de sistema de seguridad (como Solink, Verkada, Eagle Eye o Spot AI), las grabaciones de audio y video de tus locales comerciales — incluyendo grabaciones de clientes finales que visitan tu salón — pueden ser capturadas y procesadas a través de esa integración. ShadowPing no almacena directamente metraje de cámara; es procesado y almacenado por el proveedor de cámara tercero bajo sus propios términos. Eres responsable de cumplir con todas las leyes aplicables de consentimiento de grabación y publicar avisos requeridos en tus locales.

Datos de Comunicaciones: Comunicaciones SMS, RCS, correo electrónico y voz enviadas a través de la Plataforma (vía Twilio y Azure Communication Services). El contenido del mensaje, estado de entrega y marcas de tiempo se almacenan para la gestión de bandeja de entrada y cumplimiento.

Datos de Pagos: Transacciones de pago procesadas a través de procesadores de pagos integrados (Square, Stripe, etc.). Los números de tarjeta sin procesar nunca son almacenados por ShadowPing — solo referencias tokenizadas proporcionadas por el procesador de pagos.

Datos de Uso y Análisis: Datos de registro, patrones de uso de características, informes de errores y métricas de rendimiento. Estos datos se utilizan para mejorar la Plataforma y no se comparten con terceros para publicidad.

Datos de Dispositivo y Hardware: Direcciones IP, tipo de navegador/aplicación, identificadores de dispositivo y datos de sesión recopilados cuando accedes a la Plataforma. Si utilizas hardware integrado (iPads, lectores de tarjetas, escáneres de códigos de barras, impresoras de recibos), los identificadores de dispositivo y datos de interacción de hardware pueden ser recopilados.

Datos Clínicos (si aplica): Si utilizas características clínicas de Zyvora (notas SOAP, formularios marcados como HIPAA), la información de salud protegida (PHI) se almacena con controles de seguridad mejorados y registro de acceso estricto. Se requiere un Acuerdo de Asociado de Negocios (BAA) para el uso de características clínicas.

3. Cómo Utilizamos Tu Información

Utilizamos la información que recopilamos para:

• Proporcionar, operar y mejorar la Plataforma Zyvora y sus características
• Procesar y gestionar tu suscripción, facturación y pagos
• Enviar comunicaciones transaccionales (facturas, alertas de cuenta, avisos de falla de pago)
• Habilitar las características impulsadas por AI de la Plataforma (programación, asistente inteligente, puntuación de riesgo, notas de coaching)
• Proporcionar soporte al cliente y responder a tus consultas
• Monitorear la seguridad de la Plataforma, detectar fraude y garantizar la integridad del sistema
• Cumplir con obligaciones legales

No utilizamos tus datos ni los datos de tus clientes para publicidad, marketing de terceros o ningún propósito no relacionado con proporcionar la Plataforma.

4. Compartir Datos y Terceros

No vendemos tus datos. Solo compartimos datos cuando es necesario para operar la Plataforma:

• Procesadores de Pago: Square, Stripe, PayPal, Global Payments, TSYS, Chase — para procesar transacciones de clientes. Tus credenciales de procesador se almacenan en Azure Key Vault, nunca en la base de datos.
• SDKs de Hardware de Pago: Los SDKs de Stripe Terminal y Square Terminal se utilizan para pagos con tarjeta presente en persona. Estos SDKs procesan datos de tarjeta directamente en el dispositivo de hardware y los transmiten al procesador de pagos respectivo.
• Proveedores de Comunicación: Twilio (SMS, MMS, RCS, voz) y Azure Communication Services (correo electrónico) — para entregar mensajes enviados a través de la Plataforma.
• Proveedores de IA: Las solicitudes a servicios de IA (incluyendo Anthropic Claude, Google Gemini, Groq y OpenAI, enrutadas a través de la capa proxy de IA de ShadowPing) están limitadas a lo necesario para generar el resultado solicitado. Para características clínicas y de alcance HIPAA específicamente, ShadowPing utiliza Azure OpenAI Service — un servicio separado alojado por Microsoft regido por un Acuerdo de Asociado Comercial (BAA) con Microsoft — en lugar de la API de consumidor de OpenAI. Los proveedores de IA no almacenan los datos enviados para entrenamiento de modelos según nuestros acuerdos empresariales.
• Infraestructura en la Nube: Microsoft Azure — la Plataforma se aloja en Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Los datos se almacenan en entornos seguros de Azure con control de acceso.
• Entrega de Imágenes: Imgix se utiliza para servir fotos de clientes (incluyendo imágenes de antes/después y fotos de perfil). Las imágenes almacenadas en Azure Blob Storage se entregan a través del CDN de Imgix para una visualización optimizada.
• Notificaciones Push: Apple Push Notification Service (APNs) y Google Firebase Cloud Messaging (FCM) se utilizan para entregar notificaciones push a dispositivos móviles. Los tokens de dispositivo y el contenido de notificación se transmiten a estos proveedores para su entrega.
• Integraciones de Cámara y Seguridad: Si habilita una integración de cámara o sistema de seguridad (Solink, Verkada, Eagle Eye, Spot AI), los nombres de clientes, nombres de personal, metadatos de transacciones, marcas de tiempo, datos de eventos y audio capturado donde el hardware de cámara lo admite desde la Plataforma pueden transmitirse al proveedor de cámara para habilitar funciones de vinculación de eventos y revisión de video impulsada por IA. Estos proveedores procesan y almacenan grabaciones de video y audio según sus propias políticas de privacidad. Las credenciales de API para integraciones de cámara se almacenan en Azure Key Vault y se eliminan permanentemente cuando desconecta la integración o termina su cuenta.
• SDKs de Hardware: Star Micronics (SDK de impresora de recibos) y Zebra (SDK de escáner de códigos de barras) se utilizan para integraciones de hardware. Los trabajos de impresión pueden contener datos de clientes y transacciones; los datos de escaneo de códigos de barras (incluyendo números de tarjetas de regalo y códigos de barras de clientes) se procesan localmente por estos SDKs.
• Integraciones Financieras: Plaid puede ser utilizado para vincular cuentas bancarias para propósitos de conciliación. QuickBooks, Xero e integraciones contables similares reciben datos de transacciones financieras según tu configuración.
• Integraciones de Nómina: Si conectas una integración de nómina (como Gusto, ADP o Paychex), la información personal del personal incluyendo nombres, horas, compensación y datos fiscales se transmite al proveedor de nómina para procesar la nómina en tu nombre.
• Integraciones de Reputación y Marketing: Si conectas herramientas de gestión de reputación (como Birdeye o Podium) o plataformas de marketing (como Google, Meta, Mailchimp o TikTok Business), los datos de clientes relevantes para esas integraciones (como detalles de contacto y solicitudes de reseñas) se comparten con el proveedor respectivo según tu configuración.
• Integraciones de Adquisición: Si conectas integraciones de adquisición o proveedores (como SalonInteractive o Shopify), los datos de inventario y órdenes se comparten con esos proveedores según tu configuración.
• Requisitos Legales: Podemos divulgar datos si lo requiere la ley, una orden judicial o para proteger los derechos, propiedad o seguridad de ShadowPing, nuestros usuarios u otros.

5. Almacenamiento y Seguridad de Datos

Todos los datos de la Plataforma se almacenan en la infraestructura de Microsoft Azure con controles de seguridad de nivel empresarial. Implementamos las siguientes medidas de seguridad:

• Seguridad a nivel de fila multi-inquilino en todas las tablas de base de datos — tus datos están aislados de otros inquilinos
• Azure Key Vault para todas las credenciales sensibles (claves de procesador de pagos, tokens de API, tokens de OAuth)
• Encriptación AES-256 para datos en reposo y TLS 1.2+ para datos en tránsito
• Registro de auditoría inmutable y de solo anexión para todos los accesos y modificaciones de datos
• Control de acceso basado en roles con 250+ permisos granulares
• Acceso de token de SAS con vencimiento de 15 minutos para acceso a archivos/medios
• Monitoreo de seguridad automatizado, detección de anomalías y limitación de velocidad

Nunca se almacenan datos de tarjeta de pago sin procesar en nuestros servidores. Las credenciales del procesador se almacenan exclusivamente en Azure Key Vault.

6. Datos del Cliente Final y Sus Responsabilidades

Como Suscriptor, usted es el responsable del tratamiento de los datos personales de sus clientes almacenados en la Plataforma. ShadowPing procesa estos datos como procesador de datos en su nombre, únicamente para proporcionar los servicios de la Plataforma.

Usted es responsable de:

• Obtener los consentimientos legalmente requeridos de sus clientes antes de recopilar sus datos, incluido el consentimiento para fotografías, imágenes biométricas adyacentes y cualquier dato recopilado a través de integraciones conectadas
• Informar a sus clientes si sus locales comerciales están sujetos a grabación de audio o video a través de cualquier integración de cámara conectada, y publicar cualquier aviso de grabación legalmente requerido
• Responder a las solicitudes de derechos de los sujetos de datos de sus clientes (acceso, corrección, eliminación)
• Cumplir con las leyes aplicables de protección de datos en su jurisdicción, incluyendo GDPR, CCPA y cualquier otra regulación aplicable

Zyvora proporciona herramientas para respaldar el cumplimiento de GDPR, incluida la exportación de datos del cliente, flujos de derecho al olvido con pistas de auditoría y seguimiento de consentimiento por salón con control de versiones de textos legales.

7. GDPR y Transferencias Internacionales de Datos

Si se encuentra en el Área Económica Europea (EEA), Reino Unido u otra jurisdicción con leyes de protección de datos, es posible que tenga derechos específicos con respecto a sus datos personales. Estos pueden incluir el derecho a acceder, rectificar, eliminar, restringir el procesamiento o transferir sus datos, y el derecho a oponerme a ciertos tratamientos.

Las transferencias de datos fuera del EEA se realizan bajo salvaguardas apropiadas, incluidas las Cláusulas Contractuales Estándar cuando sea aplicable. Póngase en contacto con nosotros en privacy@zyvora.app si tiene preguntas sobre transferencias internacionales de datos.

8. CCPA (Residentes de California)

Si es residente de California, tiene derechos bajo la Ley de Privacidad del Consumidor de California (CCPA), incluido el derecho a saber qué información personal recopilamos, el derecho a eliminar su información personal y el derecho a optar por no participar en la venta de su información personal.

ShadowPing no vende información personal. Para ejercer sus derechos bajo la CCPA, póngase en contacto con nosotros en privacy@zyvora.app.

9. Retención de Datos

Retenemos los Datos del Suscriptor mientras su suscripción esté activa. Después de la cancelación, los datos son accesibles en modo de solo lectura durante 90 días, luego se archivan en almacenamiento en frío. Los datos archivados se retienen durante un mínimo de 7 años para fines legales y de cumplimiento a menos que usted solicite la eliminación más temprana.

Los datos del cliente final se retienen de acuerdo con las políticas de retención configurables dentro de la Plataforma (retención predeterminada de 7 años para documentos de clientes). Los datos clínicos están sujetos a requisitos de retención de registros de salud en su jurisdicción.

Los metadatos de integración de cámara — incluyendo registros de VideoBookmark, metadatos de eventos y URLs de acceso con vencimiento asociadas a integraciones de cámara como Solink — se retienen mientras la integración está activa y durante 90 días después de la desconexión o cancelación de cuenta, después de lo cual se eliminan permanentemente. ShadowPing no almacena la grabación de video real; permanece con el proveedor de cámara de terceros según sus propias políticas de retención. Las credenciales de integración de cámara almacenadas en Azure Key Vault se destruyen al desconectar la integración o al terminar su cuenta.

Los datos del registro de auditoría se retienen durante 12 meses en almacenamiento activo y se archivan en almacenamiento a largo plazo posteriormente.

10. Cookies y Seguimiento

La aplicación web de Zyvora utiliza cookies de sesión y almacenamiento local para autenticación y estado de la aplicación. No utilizamos cookies de publicidad de terceros ni píxeles de seguimiento.

El sitio web de marketing de Zyvora (zyvora.app) puede utilizar herramientas de análisis para comprender el comportamiento de los visitantes. No se recopila información personalmente identificable a través de estos análisis.

11. Privacidad de Menores

La Plataforma está diseñada para uso comercial y no está dirigida a personas menores de 18 años. No recopilamos información personal de menores de forma intencionada. Si un Suscriptor recopila información sobre menores (por ejemplo, para servicios para jóvenes), el Suscriptor es responsable de obtener el consentimiento parental apropiado.

12. Cambios en Esta Política

Podemos actualizar esta Política de Privacidad de vez en cuando. Le notificaremos sobre cambios materiales por correo electrónico o dentro de la Plataforma. La «Fecha Efectiva» en la parte superior de esta página refleja cuándo se publicó la versión actual.

13. Contáctenos

Para preguntas relacionadas con la privacidad, solicitudes de derechos de los sujetos de datos, o para solicitar un Acuerdo de Asociado Comercial (BAA) para el uso de funciones clínicas, póngase en contacto con nosotros:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app