Kebijakan Privasi

1. Pengantar

Zyvora dikembangkan dan dioperasikan oleh ShadowPing LLC ("ShadowPing", "kami", "kami", atau "milik kami"). Kebijakan Privasi ini menjelaskan bagaimana kami mengumpulkan, menggunakan, menyimpan, dan melindungi informasi ketika Anda menggunakan platform Zyvora ("Platform").

Kebijakan ini mencakup dua kategori orang: (1) Pelanggan — bisnis dan staf mereka yang menggunakan Zyvora untuk menjalankan operasi mereka, dan (2) Pelanggan Akhir — klien bisnis tersebut yang datanya dimasukkan ke dalam Platform oleh Pelanggan.

2. Informasi yang Kami Kumpulkan

Data Akun Pelanggan: Ketika Anda mendaftar, kami mengumpulkan nama bisnis, informasi kontak, detail penagihan, dan kredensial akun Anda. Ini digunakan untuk membuat dan memelihara akun Anda.

Data Operasional Bisnis: Data yang Anda masukkan untuk menjalankan bisnis Anda — termasuk profil staf, katalog layanan, jadwal, catatan janji temu, transaksi poin penjualan, catatan inventaris, data gaji, dan pengaturan bisnis. Anda memiliki data ini.

Data Pelanggan Akhir: Informasi tentang klien Anda yang Anda masukkan ke dalam Platform — termasuk nama, detail kontak, riwayat janji temu, catatan pembayaran, poin loyalitas, catatan persetujuan, dan (jika fitur klinis diaktifkan) informasi terkait kesehatan. Anda adalah pengontrol data untuk data pelanggan Anda; ShadowPing bertindak sebagai pemroses data atas nama Anda.

Data Visual & Serupa Biometrik: Jika Anda menggunakan fitur identifikasi kuku atau foto sebelum/sesudah Zyvora, Platform mengumpulkan dan menyimpan fotografi kuku, kulit, atau karakteristik fisik lainnya pelanggan. Gambar-gambar ini dapat dikaitkan dengan identitas pelanggan di Platform. Anda bertanggung jawab untuk memperoleh persetujuan yang sesuai dari pelanggan Anda sebelum mengumpulkan citra seperti itu.

Data Pengawasan Audio & Video: Jika Anda menghubungkan integrasi kamera atau sistem keamanan (seperti Solink, Verkada, Eagle Eye, atau Spot AI), rekaman audio dan video tempat bisnis Anda — termasuk rekaman pelanggan akhir yang mengunjungi salon Anda — dapat ditangkap dan diproses melalui integrasi tersebut. ShadowPing tidak langsung menyimpan rekaman kamera; rekaman tersebut diproses dan disimpan oleh penyedia kamera pihak ketiga sesuai dengan persyaratan mereka sendiri. Anda bertanggung jawab untuk mematuhi semua undang-undang persetujuan perekaman yang berlaku dan memasang pemberitahuan yang diperlukan di tempat Anda.

Data Komunikasi: Komunikasi SMS, RCS, email, dan suara yang dikirim melalui Platform (melalui Twilio dan Azure Communication Services). Konten pesan, status pengiriman, dan stempel waktu disimpan untuk manajemen kotak masuk dan kepatuhan.

Data Pembayaran: Transaksi pembayaran yang diproses melalui pemroses pembayaran terintegrasi (Square, Stripe, dll.). Nomor kartu mentah tidak pernah disimpan oleh ShadowPing — hanya referensi yang ditokenkan yang disediakan oleh pemroses pembayaran.

Data Penggunaan & Analitik: Data log, pola penggunaan fitur, laporan kesalahan, dan metrik kinerja. Data ini digunakan untuk meningkatkan Platform dan tidak dibagikan dengan pihak ketiga untuk iklan.

Data Perangkat & Perangkat Keras: Alamat IP, jenis browser/aplikasi, pengenal perangkat, dan data sesi yang dikumpulkan ketika Anda mengakses Platform. Jika Anda menggunakan perangkat keras terintegrasi (iPad, pembaca kartu, pemindai barcode, printer tanda terima), pengenal perangkat dan data interaksi perangkat keras dapat dikumpulkan.

Data Klinis (jika berlaku): Jika Anda menggunakan fitur klinis Zyvora (catatan SOAP, formulir bertanda HIPAA), informasi kesehatan yang dilindungi (PHI) disimpan dengan kontrol keamanan yang ditingkatkan dan pencatatan akses yang ketat. Perjanjian Asosiasi Bisnis (BAA) diperlukan untuk penggunaan fitur klinis.

3. Cara Kami Menggunakan Informasi Anda

Kami menggunakan informasi yang kami kumpulkan untuk:

• Menyediakan, mengoperasikan, dan meningkatkan Platform Zyvora dan fitur-fiturnya
• Memproses dan mengelola langganan, penagihan, dan pembayaran Anda
• Mengirim komunikasi transaksional (faktur, peringatan akun, pemberitahuan kegagalan pembayaran)
• Mengaktifkan fitur bertenaga AI dari Platform (penjadwalan, asisten pintar, penilaian risiko, catatan pelatihan)
• Memberikan dukungan pelanggan dan menanggapi pertanyaan Anda
• Memantau keamanan Platform, mendeteksi penipuan, dan memastikan integritas sistem
• Mematuhi kewajiban hukum

Kami tidak menggunakan data Anda atau data pelanggan Anda untuk iklan, pemasaran pihak ketiga, atau tujuan apa pun yang tidak terkait dengan penyediaan Platform.

4. Berbagi Data & Pihak Ketiga

Kami tidak menjual data Anda. Kami hanya membagikan data sesuai kebutuhan untuk mengoperasikan Platform:

• Pemroses Pembayaran: Square, Stripe, PayPal, Global Payments, TSYS, Chase — untuk memproses transaksi pelanggan. Kredensial pemroses Anda disimpan di Azure Key Vault, tidak pernah di database.
• SDK Perangkat Keras Pembayaran: SDK Stripe Terminal dan Square Terminal digunakan untuk pembayaran kartu hadir secara langsung. SDK ini memproses data kartu langsung pada perangkat perangkat keras dan mentransmisikannya ke pemroses pembayaran masing-masing.
• Penyedia Komunikasi: Twilio (SMS, MMS, RCS, suara) dan Azure Communication Services (email) — untuk mengirimkan pesan yang dikirim melalui Platform.
• Penyedia AI: Permintaan ke layanan AI (termasuk Anthropic Claude, Google Gemini, Groq, dan OpenAI, yang dirutekan melalui lapisan proxy AI ShadowPing) dibatasi pada apa yang diperlukan untuk menghasilkan output yang diminta. Untuk fitur klinis dan bersertifikat HIPAA khususnya, ShadowPing menggunakan Azure OpenAI Service — layanan terpisah yang dihost Microsoft yang diatur oleh Business Associate Agreement (BAA) dengan Microsoft — bukan API konsumen OpenAI. Data yang dikirim ke penyedia AI tidak disimpan oleh penyedia tersebut untuk pelatihan model di bawah perjanjian enterprise kami.
• Infrastruktur Cloud: Microsoft Azure — Platform dihosting di Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Data disimpan di lingkungan Azure yang aman dan dikendalikan akses.
• Pengiriman Gambar: Imgix digunakan untuk menayangkan foto pelanggan (termasuk gambar sebelum/sesudah dan foto profil). Gambar yang disimpan di Azure Blob Storage disampaikan melalui CDN Imgix untuk tampilan yang dioptimalkan.
• Notifikasi Push: Apple Push Notification Service (APNs) dan Google Firebase Cloud Messaging (FCM) digunakan untuk mengirimkan notifikasi push ke perangkat mobile. Token perangkat dan konten notifikasi ditransmisikan ke penyedia ini untuk pengiriman.
• Integrasi Kamera & Keamanan: Jika Anda mengaktifkan integrasi kamera atau sistem keamanan (Solink, Verkada, Eagle Eye, Spot AI), nama pelanggan, nama staf, metadata transaksi, stempel waktu, data acara, dan audio yang ditangkap di mana perangkat keras kamera mendukungnya dari Platform dapat ditransmisikan ke penyedia kamera untuk mengaktifkan fitur penelusuran acara dan tinjauan video bertenaga AI. Penyedia ini memproses dan menyimpan rekaman video dan audio di bawah kebijakan privasi mereka sendiri. Kredensial API untuk integrasi kamera disimpan di Azure Key Vault dan dihapus secara permanen ketika Anda memutuskan integrasi atau membatalkan akun Anda.
• SDK Perangkat Keras: Star Micronics (SDK printer tanda terima) dan Zebra (SDK pemindai barcode) digunakan untuk integrasi perangkat keras. Pekerjaan cetak mungkin berisi data pelanggan dan transaksi; data pemindaian barcode (termasuk nomor kartu hadiah dan barcode pelanggan) diproses secara lokal oleh SDK ini.
• Integrasi Keuangan: Plaid dapat digunakan untuk menghubungkan rekening bank untuk tujuan rekonsiliasi. QuickBooks, Xero, dan integrasi akuntansi serupa menerima data transaksi keuangan sesuai konfigurasi Anda.
• Integrasi Penggajian: Jika Anda menghubungkan integrasi penggajian (seperti Gusto, ADP, atau Paychex), informasi pribadi staf termasuk nama, jam, kompensasi, dan data pajak ditransmisikan ke penyedia penggajian untuk memproses penggajian atas nama Anda.
• Integrasi Reputasi & Pemasaran: Jika Anda menghubungkan alat manajemen reputasi (seperti Birdeye atau Podium) atau platform pemasaran (seperti Google, Meta, Mailchimp, atau TikTok Business), data pelanggan yang relevan dengan integrasi tersebut (seperti detail kontak dan permintaan ulasan) dibagikan dengan penyedia masing-masing sesuai konfigurasi Anda.
• Integrasi Pengadaan: Jika Anda menghubungkan integrasi pengadaan atau pemasok (seperti SalonInteractive atau Shopify), data inventaris dan pesanan dibagikan dengan penyedia tersebut sesuai konfigurasi Anda.
• Persyaratan Hukum: Kami dapat mengungkapkan data jika diwajibkan oleh hukum, perintah pengadilan, atau untuk melindungi hak, properti, atau keselamatan ShadowPing, pengguna kami, atau orang lain.

5. Penyimpanan Data & Keamanan

Semua data Platform disimpan di infrastruktur Microsoft Azure dengan kontrol keamanan tingkat perusahaan. Kami menerapkan langkah-langkah keamanan berikut:

• Keamanan tingkat baris multi-penyewa di semua tabel database — data Anda terisolasi dari penyewa lain
• Azure Key Vault untuk semua kredensial sensitif (kunci pemroses pembayaran, token API, token OAuth)
• Enkripsi AES-256 untuk data saat istirahat dan TLS 1.2+ untuk data dalam transit
• Log audit yang tidak dapat diubah dan hanya dapat ditambahkan untuk semua akses data dan modifikasi
• Kontrol akses berbasis peran dengan 250+ izin granular
• Akses token SAS dengan kedaluwarsa 15 menit untuk akses file/media
• Pemantauan keamanan otomatis, deteksi anomali, dan pembatasan kecepatan

Data kartu pembayaran mentah tidak pernah disimpan di server kami. Kredensial pemroses disimpan secara eksklusif di Azure Key Vault.

6. Data Pelanggan Akhir & Tanggung Jawab Anda

Sebagai Subscriber, Anda adalah pengontrol data untuk informasi pribadi klien Anda yang disimpan di Platform. ShadowPing memproses data ini sebagai pemroses data atas nama Anda, hanya untuk menyediakan layanan Platform.

Anda bertanggung jawab untuk:

• Memperoleh persetujuan yang diperlukan secara hukum dari pelanggan Anda sebelum mengumpulkan data mereka, termasuk persetujuan untuk foto, citra yang mirip biometrik, dan data apa pun yang dikumpulkan melalui integrasi terhubung
• Menginformasikan pelanggan Anda jika lokasi bisnis Anda tunduk pada perekaman audio atau video melalui integrasi kamera yang terhubung, dan memasang pemberitahuan perekaman yang diperlukan secara hukum
• Merespons permintaan hak subjek data pelanggan Anda (akses, koreksi, penghapusan)
• Mematuhi undang-undang perlindungan data yang berlaku di yurisdiksi Anda, termasuk GDPR, CCPA, dan peraturan lain yang berlaku

Zyvora menyediakan alat untuk mendukung kepatuhan GDPR, termasuk ekspor data pelanggan, alur kerja hak untuk dihapus dengan jejak audit, dan pelacakan persetujuan per-salon dengan pembuatan versi teks hukum.

7. GDPR & Pengalihan Data Internasional

Jika Anda berada di Wilayah Ekonomi Eropa (EEA), Inggris Raya, atau yurisdiksi lain dengan undang-undang perlindungan data, Anda mungkin memiliki hak khusus mengenai data pribadi Anda. Ini mungkin mencakup hak untuk mengakses, merekifikasi, menghapus, membatasi pemrosesan, atau mentransfer data Anda, dan hak untuk menolak pemrosesan tertentu.

Pengalihan data di luar EEA dilakukan dengan perlindungan yang sesuai, termasuk Klausul Kontraktual Standar jika berlaku. Silakan hubungi kami di privacy@zyvora.app jika Anda memiliki pertanyaan tentang pengalihan data internasional.

8. CCPA (Penduduk California)

Jika Anda adalah penduduk California, Anda memiliki hak berdasarkan California Consumer Privacy Act (CCPA), termasuk hak untuk mengetahui informasi pribadi apa yang kami kumpulkan, hak untuk menghapus informasi pribadi Anda, dan hak untuk menolak penjualan informasi pribadi Anda.

ShadowPing tidak menjual informasi pribadi. Untuk menggunakan hak CCPA Anda, hubungi kami di privacy@zyvora.app.

9. Retensi Data

Kami menyimpan Data Subscriber selama langganan Anda aktif. Setelah pembatalan, data dapat diakses dalam mode baca saja selama 90 hari, kemudian diarsipkan ke penyimpanan dingin. Data yang diarsipkan disimpan selama minimum 7 tahun untuk tujuan hukum dan kepatuhan kecuali Anda meminta penghapusan lebih awal.

Data pelanggan akhir disimpan sesuai dengan kebijakan retensi yang dapat dikonfigurasi dalam Platform (retensi 7 tahun default untuk dokumen pelanggan). Data klinis tunduk pada persyaratan retensi catatan kesehatan di yurisdiksi Anda.

Metadata integrasi kamera — termasuk catatan VideoBookmark, metadata acara, dan URL akses yang kedaluwarsa terkait dengan integrasi kamera seperti Solink — disimpan saat integrasi aktif dan selama 90 hari setelah pemutusan atau pembatalan akun, setelah itu dihapus secara permanen. Footage video sebenarnya tidak disimpan oleh ShadowPing; tetap bersama penyedia kamera pihak ketiga di bawah kebijakan retensi mereka sendiri. Kredensial integrasi kamera yang disimpan di Azure Key Vault dihancurkan setelah pemutusan integrasi atau pemutusan akun Anda.

Data log audit disimpan selama 12 bulan dalam penyimpanan aktif dan diarsipkan ke penyimpanan jangka panjang setelahnya.

10. Cookie & Pelacakan

Aplikasi web Zyvora menggunakan cookie sesi dan penyimpanan lokal untuk autentikasi dan status aplikasi. Kami tidak menggunakan cookie iklan pihak ketiga atau piksel pelacakan.

Situs web pemasaran Zyvora (zyvora.app) dapat menggunakan alat analitik untuk memahami perilaku pengunjung. Tidak ada informasi yang dapat diidentifikasi secara pribadi yang dikumpulkan melalui analitik ini.

11. Privasi Anak-Anak

Platform ini dimaksudkan untuk penggunaan bisnis dan tidak ditujukan kepada individu di bawah 18 tahun. Kami tidak secara sengaja mengumpulkan informasi pribadi dari anak di bawah umur. Jika Subscriber mengumpulkan informasi tentang anak di bawah umur (misalnya, untuk layanan pemuda), Subscriber bertanggung jawab untuk memperoleh persetujuan orang tua yang sesuai.

12. Perubahan pada Kebijakan Ini

Kami dapat memperbarui Kebijakan Privasi ini dari waktu ke waktu. Kami akan memberi tahu Anda tentang perubahan material melalui email atau dalam Platform. "Tanggal Efektif" di bagian atas halaman ini mencerminkan kapan versi saat ini dipublikasikan.

13. Hubungi Kami

Untuk pertanyaan terkait privasi, permintaan subjek data, atau untuk meminta Business Associate Agreement (BAA) untuk penggunaan fitur klinis, silakan hubungi kami:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app