سیاست حریم خصوصی

تاریخ تاثیرگذاری: ۲۱ فوریه ۲۰۲۶

۱. مقدمه

Zyvora توسط ShadowPing LLC («ShadowPing»، «ما»، «ما» یا «ما») توسعه و اداره می‌شود. این سیاست حریم خصوصی نحوه جمع‌آوری، استفاده، ذخیره‌سازی و حفاظت از اطلاعات هنگام استفاده از پلتفرم Zyvora («پلتفرم») را شرح می‌دهد.

این سیاست دو دسته از افراد را پوشش می‌دهد: (۱) مشترکین – کسب‌وکارها و کارکنان آنها که از Zyvora برای اداره عملیات خود استفاده می‌کنند، و (۲) مشتریان نهایی – مشتریان آن کسب‌وکارها که داده‌های آنها توسط مشترکین وارد پلتفرم می‌شود.

۲. اطلاعاتی که جمع می‌کنیم

داده‌های حساب مشترک: هنگام ثبت‌نام، ما نام تجاری، اطلاعات تماس، جزئیات صورت‌حساب و اعتبارات حساب شما را جمع می‌کنیم. این برای ایجاد و نگهداری حساب شما استفاده می‌شود.

داده‌های عملیاتی کسب‌وکار: داده‌هایی که برای اداره کسب‌وکار خود وارد می‌کنید – از جمله پروفیل‌های کارکنان، کاتالوگ سرویس‌ها، برنامه‌ها، سوابق قرارملاقات، تراکنش‌های فروش نقد، سوابق موجودی، داده‌های دستمزد و تنظیمات کسب‌وکار. این داده‌ها مال شما هستند.

داده مشتری نهایی: اطلاعات درباره مشتریان شما که شما در پلتفرم وارد می‌کنید – از جمله نام‌ها، جزئیات تماس، تاریخچه قرارملاقات، سوابق پرداخت، امتیازات وفاداری، سوابق رضایت و (اگر ویژگی‌های بالینی فعال باشند) اطلاعات مرتبط با سلامت. شما کنترل‌کننده داده‌های مشتریان خود هستید؛ ShadowPing به عنوان پردازش‌کننده داده برای شما عمل می‌کند.

داده‌های بصری و نزدیک به بیومتریک: اگر از ویژگی‌های شناسایی ناخن یا عکس قبل/بعد Zyvora استفاده کنید، پلتفرم عکس‌های ناخن، پوست یا سایر ویژگی‌های فیزیکی مشتریان را جمع‌آوری و ذخیره می‌کند. این تصاویر ممکن است با هویت مشتری در پلتفرم مرتبط باشند. شما مسئول اخذ رضایت مناسب از مشتریان خود قبل از جمع‌آوری چنین تصاویری هستید.

داده‌های نظارت صوتی و تصویری: اگر دوربین یا انجام‌کننده سیستم امنیتی (مانند Solink، Verkada، Eagle Eye یا Spot AI) را متصل کنید، ضبط‌های صوتی و تصویری محل کسب‌وکار شما – از جمله ضبط‌های مشتریان نهایی که از سالن شما بازدید می‌کنند – ممکن است ضبط و پردازش شوند. ShadowPing نه به طور مستقیم فیلم دوربین را ذخیره می‌کند؛ این‌ها توسط ارائه‌دهنده دوربین شخص ثالث تحت شرایط خود پردازش و ذخیره می‌شوند. شما مسئول رعایت تمام قوانین رضایت ضبط مرتبط و درج اطلاعات لازم در محل خود هستید.

داده‌های ارتباطات: ارتباطات SMS، RCS، ایمیل و صوتی ارسال‌شده از طریق پلتفرم (از طریق Twilio و Azure Communication Services). محتوای پیام، وضعیت تحویل و مهرزمان برای مدیریت صندوق دریافت و انطباق ذخیره می‌شود.

داده‌های پرداخت: تراکنش‌های پرداختی که از طریق پردازش‌کنندگان پرداخت یکپارچه (Square، Stripe و غیره) پردازش می‌شوند. شماره‌های کارت خام هرگز توسط ShadowPing ذخیره نمی‌شود – فقط ارجاعات توکن شده ارائه‌شده توسط پردازش‌کننده پرداخت.

داده‌های استفاده و تجزیه و تحلیل: داده‌های گزارش، الگوهای استفاده از ویژگی، گزارش‌های خطا و معیارهای کارایی. این داده‌ها برای بهبود پلتفرم استفاده می‌شود و با شخص ثالث برای تبلیغات اشتراک‌گذاری نمی‌شود.

داده‌های دستگاه و سخت‌افزار: آدرس‌های IP، نوع مرورگر/برنامه، شناسه‌های دستگاه و داده‌های جلسه جمع‌آوری‌شده هنگام دسترسی به پلتفرم. اگر از سخت‌افزار یکپارچه (iPad‌ها، خوان‌های کارت، اسکن‌های خط‌الموازی، چاپ‌گرهای رسید) استفاده کنید، شناسه‌های دستگاه و داده‌های تعامل سخت‌افزار ممکن است جمع‌آوری شوند.

داده‌های بالینی (در صورت انطباق): اگر از ویژگی‌های بالینی Zyvora (یادداشت‌های SOAP، فرم‌های علامت‌گذاری شده HIPAA) استفاده کنید، اطلاعات سلامت محافظت‌شده (PHI) با کنترل‌های امنیتی بهبود‌یافته و گزارش دسترسی دقیق ذخیره می‌شود. برای استفاده از ویژگی‌های بالینی، توافق‌نامه شریک تجاری (BAA) مورد نیاز است.

۳. نحوه استفاده از اطلاعات شما

ما از اطلاعات جمع‌آوری‌شده برای:

ارائه، اداره و بهبود پلتفرم Zyvora و ویژگی‌های آن
پردازش و مدیریت اشتراک، صورت‌حساب و پرداخت‌های شما
ارسال ارتباطات معاملاتی (فاکتورها، هشدارهای حساب، اطلاع‌های عدم موفقیت پرداخت)
فعال‌کردن ویژگی‌های تجهیز‌شده با هوش مصنوعی در پلتفرم (برنامه‌ریزی، دستیار هوشمند، نمره‌گذاری ریسک، یادداشت‌های آموزشی)
ارائه پشتیبانی مشتری و پاسخ‌گویی به درخواست‌های شما
نظارت بر امنیت پلتفرم، تشخیص تقلب و تضمین یکپارچگی سیستم
رعایت تعهدات قانونی

ما داده‌های شما یا مشتریان شما را برای تبلیغات، بازاریابی طرف ثالث یا هر منظور دیگری غیر مرتبط با ارائه پلتفرم استفاده نمی‌کنیم.

۴. اشتراک داده و شخص ثالث

ما داده‌های خود را نمی‌فروشیم. ما داده‌ها را فقط در صورت لزوم برای اداره پلتفرم اشتراک می‌گذاریم:

پردازش‌کنندگان پرداخت: Square، Stripe، PayPal، Global Payments، TSYS، Chase – برای پردازش تراکنش‌های مشتری. اعتبارات پردازش‌کننده شما در Azure Key Vault ذخیره می‌شود، هرگز در پایگاه داده نیست.
SDK‌های سخت‌افزار پرداخت: SDK‌های Stripe Terminal و Square Terminal برای پرداخت‌های کارت در حالت حضوری استفاده می‌شود. این SDK‌ها داده‌های کارت را مستقیماً روی دستگاه سخت‌افزار پردازش می‌کند و آن را به پردازش‌کننده پرداخت مرتبط منتقل می‌کند.
ارائه‌دهندگان ارتباطات: Twilio (SMS، MMS، RCS، صوت) و Azure Communication Services (ایمیل) – برای تحویل پیام‌های ارسال‌شده از طریق پلتفرم.
تامین‌کنندگان هوش مصنوعی: درخواست‌های ارسالی به سرویس‌های هوش مصنوعی (از جمله Anthropic Claude، Google Gemini، Groq، و OpenAI، که از طریق لایه پروکسی AI سایت ShadowPing هدایت می‌شوند) محدود به آنچه برای تولید خروجی درخواستی لازم است. برای ویژگی‌های بالینی و دارای محدوده HIPAA به طور خاص، ShadowPing از Azure OpenAI Service استفاده می‌کند — یک سرویس جداگانه میزبان‌شده توسط Microsoft که توسط Business Associate Agreement (BAA) با Microsoft حاکم است — به جای API مصرف‌کننده OpenAI. داده‌های ارسال‌شده به تامین‌کنندگان هوش مصنوعی تحت توافق‌های سطح شرکتی ما توسط آن تامین‌کنندگان برای آموزش مدل ذخیره نمی‌شوند.
زیرساخت ابری: Microsoft Azure – پلتفرم روی Azure میزبانی می‌شود (Azure SQL، Azure Functions، Azure Blob Storage، Azure Key Vault، SignalR). داده‌ها در محیط‌های Azure ایمن و تحت کنترل دسترسی ذخیره می‌شوند.
تحویل تصویر: Imgix برای ارائه عکس‌های مشتری (از جمله تصاویر قبل/بعد و عکس‌های پروفایل) استفاده می‌شود. تصاویر ذخیره‌شده در Azure Blob Storage از طریق CDN Imgix برای نمایش بهینه‌شده منتقل می‌شود.
اطلاع‌رسانی فشاری: Apple Push Notification Service (APNs) و Google Firebase Cloud Messaging (FCM) برای تحویل اطلاع‌رسانی‌های فشاری به دستگاه‌های موبایل استفاده می‌شود. نشانه‌های دستگاه و محتوای اطلاع‌رسانی به این ارائه‌دهندگان برای تحویل منتقل می‌شود.
ادغام دوربین و سیستم‌های امنیتی: اگر ادغام دوربین یا سیستم امنیتی را فعال کنید (Solink، Verkada، Eagle Eye، Spot AI)، نام‌های مشتریان، نام‌های کارکنان، متادیتای تراکنش، مهرزمان‌ها، داده‌های رویداد، و صدایی که در جایی که سخت‌افزار دوربین از آن پشتیبانی می‌کند ثبت شده است از Platform ممکن است به تامین‌کننده دوربین منتقل شود تا ادغام رویداد و ویژگی‌های بررسی ویدیو با قدرت هوش مصنوعی را فعال کند. این تامین‌کنندگان ویدیو و ضبط صوتی را تحت سیاست‌های حریم خصوصی خود پردازش و ذخیره می‌کنند. اعتبار API برای ادغام دوربین در Azure Key Vault ذخیره شده و هنگام قطع ادغام یا خاتمه حساب کاربری شما به طور دائم حذف می‌شوند.
SDK‌های سخت‌افزار: Star Micronics (SDK چاپ‌گر رسید) و Zebra (SDK اسکن خط‌الموازی) برای انجام‌کننده‌های سخت‌افزار استفاده می‌شود. کارهای چاپ ممکن است حاوی داده‌های مشتری و تراکنش باشند؛ داده‌های اسکن خط‌الموازی (از جمله شماره کارت هدیه و خط‌الموازی‌های مشتری) به‌طور محلی توسط این SDK‌ها پردازش می‌شود.
انجام‌کننده‌های مالی: Plaid ممکن است برای پیوند حساب‌های بانکی برای اهداف آشتی استفاده شود. QuickBooks، Xero و انجام‌کننده‌های حسابداری مشابه داده‌های تراکنش مالی را طبق پیکربندی شما دریافت می‌کنند.
انجام‌کننده‌های دستمزد: اگر انجام‌کننده دستمزد را متصل کنید (مانند Gusto، ADP یا Paychex)، اطلاعات شخصی کارکنان از جمله نام‌ها، ساعات، جبران و داده‌های مالیات بر درآمد به ارائه‌دهنده دستمزد منتقل می‌شود تا دستمزد شما را پردازش کند.
انجام‌کننده‌های سمعه و بازاریابی: اگر ابزارهای مدیریت شهرت (مانند Birdeye یا Podium) یا پلتفرم‌های بازاریابی (مانند Google، Meta، Mailchimp یا TikTok Business) را متصل کنید، داده‌های مشتری مرتبط با آن انجام‌کننده‌ها (مانند جزئیات تماس و درخواست‌های بررسی) با ارائه‌دهنده مرتبط طبق پیکربندی شما اشتراک می‌گذاری می‌شود.
انجام‌کننده‌های خریداری: اگر انجام‌کننده خریداری یا تأمین‌کننده را متصل کنید (مانند SalonInteractive یا Shopify)، داده‌های موجودی و سفارش با آن ارائه‌دهندگان طبق پیکربندی شما اشتراک می‌گذاری می‌شود.
الزامات قانونی: ما ممکن است داده‌ها را افشا کنیم اگر از سوی قانون، حکم دادگاه یا برای حفاظت از حقوق، اموال یا ایمنی ShadowPing، کاربران خود یا دیگران الزام داشته باشیم.

۵. ذخیره‌سازی و امنیت داده

تمام داده‌های پلتفرم در زیرساخت Microsoft Azure با کنترل‌های امنیتی سطح سازمانی ذخیره می‌شود. ما اقدامات امنیتی زیر را پیاده‌سازی می‌کنیم:

امنیت سطح ردیف چند برنامه کننده در تمام جداول پایگاه داده – داده‌های شما از برنامه کنندگان دیگر ایزوله هستند
Azure Key Vault برای تمام اعتبارات حساس (کلیدهای پردازش‌کننده پرداخت، نشانه‌های API، نشانه‌های OAuth)
رمزگذاری AES-256 برای داده در حالت استراحت و TLS 1.2+ برای داده درحال عبور
گزارش دسترسی افزایش‌پذیر و تنها برای تمام دسترسی و تغییرات داده
کنترل دسترسی مبتنی بر نقش با ۲۵۰+ اجازه دانه‌ای
دسترسی نشانه SAS با انقضای ۱۵ دقیقه‌ای برای دسترسی پرونده/رسانه
نظارت امنیتی خودکار، تشخیص ناهنجاری و محدودیت نرخ

داده‌های کارت پرداخت خام هرگز روی سرورهای ما ذخیره نمی‌شود. اعتبارات پردازش‌کننده به‌طور انحصاری در Azure Key Vault ذخیره می‌شود.

6. داده‌های مشتری نهایی و مسئولیت‌های شما

به عنوان مشترک، شما کنترل‌کننده داده برای اطلاعات شخصی مشتریان خود است که در پلتفرم ذخیره شده است. ShadowPing این داده‌ها را به عنوان پردازشگر داده به نام شما پردازش می‌کند، فقط برای ارائه خدمات پلتفرم.

شما مسئول موارد زیر هستید:

کسب هر گونه رضایت‌های قانونی مورد نیاز از مشتریان خود قبل از جمع‌آوری داده‌های آن‌ها، شامل رضایت برای عکس‌ها، تصاویر بیومتریک‌مانند، و هرگونه داده جمع‌آوری‌شده از طریق ادغام‌های متصل
اطلاع دادن به مشتریان خود در مورد اینکه فضای کسب و کار شما مشمول ضبط صدا یا ویدئو از طریق هر‌گونه ادغام دوربین متصل است، و نصب هر‌گونه اطلاعیه ضبط مورد نیاز قانون
پاسخ دادن به درخواست‌های حقوق موضوعی داده مشتریان خود (دسترسی، تصحیح، حذف)
پیروی از قوانین محافظت داده‌های قابل اجرا در صلاحیت خود، شامل GDPR، CCPA، و هرگونه مقررات دیگر قابل اجرا

Zyvora ابزارهایی را برای حمایت از انطباق GDPR فراهم می‌کند، از جمله صادرات داده‌های مشتری، گردش‌کارهای حق پاک‌سازی با مسیرهای حسابرسی، و ردیابی رضایت‌ها به صورت پروژه با نسخه‌بندی متن قانونی.

7. GDPR و انتقال داده‌های بین‌المللی

اگر شما در منطقه اقتصادی اروپا (EEA)، بریتانیا، یا صلاحیت دیگری با قوانین حفاظت داده‌ها قرار دارید، ممکن است دارای حقوق خاصی در مورد داده‌های شخصی خود باشید. اینها ممکن است شامل حق دسترسی، اصلاح، حذف، محدود کردن پردازش، یا جابجایی داده‌های خود باشد و حق مخالفت با پردازش معین.

انتقال داده‌ها خارج از EEA تحت حفاظت‌های مناسب انجام می‌شود، شامل بند‌های قراردادی استاندارد در جایی که قابل اجرا باشد. لطفاً برای سؤالات مربوط به انتقال داده‌های بین‌المللی با ما تماس بگیرید در privacy@zyvora.app.

8. CCPA (ساکنان کالیفرنیا)

اگر ساکن کالیفرنیا هستید، شما دارای حقوقی تحت قانون حریم خصوصی مصرف‌کننده کالیفرنیا (CCPA) هستید، شامل حق دانستن اطلاعات شخصی ما را جمع‌آوری می‌کنند، حق حذف اطلاعات شخصی خود، و حق اعتراض به فروش اطلاعات شخصی شما.

ShadowPing اطلاعات شخصی را نمی‌فروشد. برای اعمال حقوق CCPA خود، با ما تماس بگیرید در privacy@zyvora.app.

9. حفظ داده‌ها

ما داده‌های مشترک را تا زمانی که اشتراک شما فعال است نگه‌داری می‌کنیم. پس از لغو، داده‌ها به صورت فقط خواندنی برای 90 روز قابل دسترسی هستند، سپس در ذخیره‌سازی سرد بایگانی می‌شوند. داده‌های بایگانی شده برای حداقل 7 سال برای اهداف قانونی و انطباق نگه‌داری می‌شوند مگر اینکه حذف زودتر را درخواست کنید.

داده‌های مشتری نهایی بر اساس سیاست‌های حفظ قابل پیکربندی در پلتفرم نگه‌داری می‌شوند (حفظ سند مشتری 7 سالی به صورت پیش‌فرض). داده‌های بالینی مشمول الزامات ثبت پزشکی در صلاحیت شما است.

متادیتای ادغام دوربین — از جمله رکوردهای VideoBookmark، متادیتای رویداد، و URL‌های دسترسی منقضی‌شونده مرتبط با ادغام‌های دوربین مانند Solink — تا زمانی که ادغام فعال است و برای 90 روز پس از قطع یا لغو حساب کاربری، پس از آن به طور دائم حذف می‌شوند، حفظ می‌شود. فیلم‌برداری واقعی توسط ShadowPing ذخیره نمی‌شود؛ تحت سیاست‌های نگهداری خود تامین‌کننده دوربین شخص ثالث باقی می‌ماند. اعتبار ادغام دوربین ذخیره‌شده در Azure Key Vault هنگام قطع ادغام یا خاتمه حساب کاربری نابود می‌شود.

داده‌های گزارش حسابرسی برای 12 ماه در ذخیره‌سازی فعال نگهداری می‌شوند و پس از آن در ذخیره‌سازی بلندمدت بایگانی می‌شوند.

10. کوکی‌ها و ردیابی

برنامه وب Zyvora از کوکی‌های جلسه و ذخیره‌سازی محلی برای احراز هویت و وضعیت برنامه استفاده می‌کند. ما از کوکی‌های تبلیغاتی شخص ثالث یا پیکسل‌های ردیابی استفاده نمی‌کنیم.

وب‌سایت بازاریابی Zyvora (zyvora.app) ممکن است از ابزارهای تجزیه و تحلیل برای درک رفتار بازدیدکننده استفاده کند. هیچ‌گونه اطلاعات قابل شناسایی شخصی از طریق این تجزیه و تحلیل جمع‌آوری نمی‌شود.

11. حریم خصوصی کودکان

پلتفرم برای استفاده تجاری در نظر گرفته شده است و برای افراد زیر 18 سال هدف نشده است. ما به‌طور شناخته‌شده اطلاعات شخصی از نوجوانان جمع‌آوری نمی‌کنیم. اگر مشترک اطلاعات در مورد نوجوانان جمع‌آوری کند (مثلاً برای خدمات جوانان)، مشترک مسئول کسب رضایت والدین مناسب است.

12. تغییرات در این سیاست

ممکن است بر این سیاست حریم خصوصی از زمان به زمان بروز‌رسانی شود. ما شما را از تغییرات مواد به وسیله ایمیل یا در پلتفرم اطلاع می‌دهیم. "تاریخ مؤثر" در بالای این صفحه نشان می‌دهد که نسخه فعلی چه زمانی منتشر شد.

13. تماس با ما

برای سؤالات مرتبط با حریم خصوصی، درخواست‌های موضوع داده، یا درخواست یک توافق‌نامه همکار تجاری (BAA) برای استفاده از ویژگی بالینی، لطفاً با ما تماس بگیرید:

ShadowPing LLC (اوهایو، ایالات متحده) — privacy@zyvora.app | support@zyvora.app

داده‌های شما، کسب‌وکار شما

Zyvora یک پلتفرم تجاری حرفه‌ای است. شما مالک داده‌های کسب‌وکار خود و داده‌های مشتریان خود هستید. ما این داده‌ها را فقط برای ارائه و بهبود پلتفرم پردازش می‌کنیم. ما هرگز داده‌های شما را به شخص ثالث نمی‌فروشیم.