Informativa sulla Privacy

1. Introduzione

Zyvora è sviluppato e gestito da ShadowPing LLC («ShadowPing», «noi», «nostro» o «nostra»). Questa Informativa sulla Privacy descrive come raccogliamo, utilizziamo, conserviamo e proteggiamo le informazioni quando utilizzi la piattaforma Zyvora (la «Piattaforma»).

Questa Informativa copre due categorie di persone: (1) Abbonati — aziende e il loro personale che utilizzano Zyvora per gestire le loro operazioni, e (2) Clienti Finali — i clienti di tali aziende i cui dati vengono inseriti nella Piattaforma dagli Abbonati.

2. Informazioni che Raccogliamo

Dati dell'Account dell'Abbonato: Quando ti registri, raccogliamo il nome della tua azienda, le informazioni di contatto, i dettagli di fatturazione e le credenziali dell'account. Questi dati vengono utilizzati per creare e mantenere il tuo account.

Dati Operativi dell'Azienda: Dati che inserisci per gestire la tua azienda — inclusi profili del personale, cataloghi di servizi, orari, registri degli appuntamenti, transazioni di punto vendita, registri di inventario, dati di buste paga e impostazioni aziendali. Possiedi questi dati.

Dati dei Clienti Finali: Informazioni sui tuoi clienti che inserisci nella Piattaforma — inclusi nomi, dettagli di contatto, cronologia degli appuntamenti, registri di pagamento, punti fedeltà, registri di consenso e (se le funzionalità cliniche sono abilitate) informazioni relative alla salute. Sei il responsabile del trattamento dei dati dei tuoi clienti; ShadowPing agisce come processore dei dati per tuo conto.

Dati Visivi e Biometrici Correlati: Se utilizzi le funzionalità di identificazione unghie o foto prima/dopo di Zyvora, la Piattaforma raccoglie e archivia fotografie delle unghie, della pelle o di altre caratteristiche fisiche dei clienti. Queste immagini possono essere associate all'identità di un cliente nella Piattaforma. Sei responsabile di ottenere il consenso appropriato dai tuoi clienti prima di raccogliere tali immagini.

Dati di Sorveglianza Audio e Video: Se colleghi un sistema di telecamere o integrazione di sicurezza (come Solink, Verkada, Eagle Eye o Spot AI), registrazioni audio e video dei tuoi locali commerciali — incluse registrazioni di clienti finali che visitano il tuo salone — possono essere catturate ed elaborate attraverso tale integrazione. ShadowPing non archivia direttamente i filmati delle telecamere; vengono elaborati e archiviati dal provider della telecamera di terze parti secondo i loro stessi termini. Sei responsabile del rispetto di tutte le leggi applicabili sul consenso alla registrazione e dell'affissione dei relativi avvisi nei tuoi locali.

Dati delle Comunicazioni: Comunicazioni SMS, RCS, email e vocali inviate attraverso la Piattaforma (tramite Twilio e Azure Communication Services). Il contenuto dei messaggi, lo stato di consegna e i timestamp vengono archiviati per la gestione della posta in arrivo e la conformità.

Dati di Pagamento: Transazioni di pagamento elaborate attraverso processori di pagamento integrati (Square, Stripe, ecc.). I numeri di carta grezzi non vengono mai archiviati da ShadowPing — solo riferimenti tokenizzati forniti dal processore di pagamento.

Dati di Utilizzo e Analitici: Dati di log, modelli di utilizzo delle funzionalità, rapporti di errore e metriche di prestazione. Questi dati vengono utilizzati per migliorare la Piattaforma e non vengono condivisi con terzi a scopi pubblicitari.

Dati di Dispositivi e Hardware: Indirizzi IP, tipo di browser/app, identificatori di dispositivo e dati di sessione raccolti quando accedi alla Piattaforma. Se utilizzi hardware integrato (iPad, lettori di carte, scanner di codici a barre, stampanti di ricevute), gli identificatori di dispositivo e i dati di interazione hardware possono essere raccolti.

Dati Clinici (se applicabile): Se utilizzi le funzionalità cliniche di Zyvora (note SOAP, moduli contrassegnati HIPAA), le informazioni sanitarie protette (PHI) vengono archiviate con controlli di sicurezza migliorati e registrazione ristretta dell'accesso. Un Accordo di Associazione Commerciale (BAA) è necessario per l'utilizzo delle funzionalità cliniche.

3. Come Utilizziamo le Tue Informazioni

Utilizziamo le informazioni che raccogliamo per:

• Fornire, gestire e migliorare la Piattaforma Zyvora e le sue funzionalità
• Elaborare e gestire il tuo abbonamento, la fatturazione e i pagamenti
• Inviare comunicazioni transazionali (fatture, avvisi di account, avvisi di errore di pagamento)
• Abilitare le funzionalità basate su AI della Piattaforma (pianificazione, assistente intelligente, valutazione del rischio, note di coaching)
• Fornire supporto clienti e rispondere alle tue richieste
• Monitorare la sicurezza della Piattaforma, rilevare le frodi e garantire l'integrità del sistema
• Conformarsi agli obblighi legali

Non utilizziamo i tuoi dati o i dati dei tuoi clienti per la pubblicità, il marketing di terzi o qualsiasi scopo non correlato alla fornitura della Piattaforma.

4. Condivisione dei Dati e Terze Parti

Non vendiamo i tuoi dati. Condividiamo i dati solo se necessario per gestire la Piattaforma:

• Processori di Pagamento: Square, Stripe, PayPal, Global Payments, TSYS, Chase — per elaborare le transazioni dei clienti. Le credenziali del tuo processore vengono archiviate in Azure Key Vault, mai nel database.
• SDK di Hardware di Pagamento: Gli SDK di Stripe Terminal e Square Terminal vengono utilizzati per i pagamenti con carta al momento della transazione. Questi SDK elaborano i dati della carta direttamente sul dispositivo hardware e li trasmettono al rispettivo processore di pagamento.
• Provider di Comunicazione: Twilio (SMS, MMS, RCS, voce) e Azure Communication Services (email) — per consegnare i messaggi inviati attraverso la Piattaforma.
• Provider AI: Le richieste ai servizi AI (inclusi Anthropic Claude, Google Gemini, Groq e OpenAI, instradati attraverso il livello proxy AI di ShadowPing) sono limitate a ciò che è necessario per generare l'output richiesto. Per le funzionalità cliniche e con scope HIPAA specificamente, ShadowPing utilizza Azure OpenAI Service — un servizio separato ospitato da Microsoft regolato da un Business Associate Agreement (BAA) con Microsoft — piuttosto che l'API consumer di OpenAI. I dati inviati ai provider AI non vengono archiviati da questi provider per l'addestramento dei modelli secondo i nostri accordi aziendali.
• Infrastruttura Cloud: Microsoft Azure — la Piattaforma è ospitata su Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). I dati vengono archiviati in ambienti Azure sicuri e controllati.
• Distribuzione di Immagini: Imgix viene utilizzato per servire le foto dei clienti (incluse le immagini prima/dopo e le foto del profilo). Le immagini archiviate in Azure Blob Storage vengono consegnate attraverso la CDN di Imgix per una visualizzazione ottimizzata.
• Notifiche Push: Apple Push Notification Service (APNs) e Google Firebase Cloud Messaging (FCM) vengono utilizzati per consegnare le notifiche push ai dispositivi mobili. I token del dispositivo e il contenuto delle notifiche vengono trasmessi a questi provider per la consegna.
• Integrazioni Telecamere e Sicurezza: Se abiliti un'integrazione di telecamera o sistema di sicurezza (Solink, Verkada, Eagle Eye, Spot AI), i nomi dei clienti, i nomi del personale, i metadati delle transazioni, i timestamp, i dati degli eventi e l'audio acquisito dove l'hardware della telecamera lo supporta dalla Piattaforma possono essere trasmessi al provider della telecamera per abilitare il collegamento degli eventi e le funzioni di revisione video basate su AI. Questi provider elaborano e archiviano registrazioni video e audio secondo le loro proprie politiche sulla privacy. Le credenziali API per le integrazioni di telecamera sono archiviate in Azure Key Vault e vengono eliminate definitivamente quando disconnetti l'integrazione o termini il tuo account.
• SDK di Hardware: Star Micronics (SDK della stampante di ricevute) e Zebra (SDK dello scanner di codici a barre) vengono utilizzati per le integrazioni hardware. I lavori di stampa possono contenere dati di clienti e transazioni; i dati di scansione dei codici a barre (inclusi i numeri delle carte regalo e i codici a barre dei clienti) vengono elaborati localmente da questi SDK.
• Integrazioni Finanziarie: Plaid può essere utilizzato per collegare conti bancari a scopo di riconciliazione. QuickBooks, Xero e integrazioni contabili simili ricevono dati di transazioni finanziarie secondo la tua configurazione.
• Integrazioni di Buste Paga: Se colleghi un'integrazione di buste paga (come Gusto, ADP o Paychex), le informazioni personali del personale inclusi nomi, ore, compensi e dati fiscali vengono trasmessi al provider di buste paga per elaborare la busta paga per tuo conto.
• Integrazioni di Reputazione e Marketing: Se colleghi strumenti di gestione della reputazione (come Birdeye o Podium) o piattaforme di marketing (come Google, Meta, Mailchimp o TikTok Business), i dati dei clienti rilevanti per tali integrazioni (come i dettagli di contatto e le richieste di recensioni) vengono condivisi con il rispettivo provider secondo la tua configurazione.
• Integrazioni di Approvvigionamento: Se colleghi integrazioni di approvvigionamento o fornitori (come SalonInteractive o Shopify), i dati di inventario e ordini vengono condivisi con questi provider secondo la tua configurazione.
• Requisiti Legali: Possiamo divulgare i dati se richiesto dalla legge, da un'ordinanza del tribunale o per proteggere i diritti, la proprietà o la sicurezza di ShadowPing, dei nostri utenti o di altri.

5. Archiviazione e Sicurezza dei Dati

Tutti i dati della Piattaforma vengono archiviati sull'infrastruttura Microsoft Azure con controlli di sicurezza di livello aziendale. Implementiamo le seguenti misure di sicurezza:

• Sicurezza a livello di riga multi-tenant su tutte le tabelle del database — i tuoi dati sono isolati da altri tenant
• Azure Key Vault per tutte le credenziali sensibili (chiavi del processore di pagamento, token API, token OAuth)
• Crittografia AES-256 per i dati a riposo e TLS 1.2+ per i dati in transito
• Registro di audit immutabile e di sola aggiunta per tutti gli accessi e le modifiche ai dati
• Controllo di accesso basato su ruoli con 250+ autorizzazioni granulari
• Accesso con token SAS con scadenza di 15 minuti per l'accesso ai file/media
• Monitoraggio della sicurezza automatizzato, rilevamento delle anomalie e limitazione della velocità

Nessun dato di carta di pagamento grezzo viene mai archiviato sui nostri server. Le credenziali del processore vengono archiviate esclusivamente in Azure Key Vault.

6. Dati dei Clienti Finali e Tue Responsabilità

In qualità di Abbonato, sei il responsabile del trattamento per le informazioni personali dei tuoi clienti archiviate sulla Piattaforma. ShadowPing elabora questi dati come responsabile del trattamento per conto tuo, esclusivamente per fornire i servizi della Piattaforma.

Sei responsabile di:

• Ottenere i consensi legalmente richiesti dai tuoi clienti prima di raccogliere i loro dati, incluso il consenso per fotografie, immagini biometriche-adiacenti e qualsiasi dato raccolto tramite integrazioni connesse
• Informare i tuoi clienti se i locali della tua attività sono soggetti a registrazione audio o video tramite qualsiasi integrazione di videocamera connessa e affiggere eventuali avvisi di registrazione legalmente richiesti
• Rispondere alle richieste di diritti dei soggetti dei dati dei tuoi clienti (accesso, correzione, cancellazione)
• Conformarsi alle leggi sulla protezione dei dati applicabili nella tua giurisdizione, inclusi GDPR, CCPA e qualsiasi altra normativa applicabile

Zyvora fornisce strumenti per supportare la conformità al GDPR, inclusa l'esportazione dei dati dei clienti, flussi di diritto all'oblio con audit trail e tracciamento del consenso per salone con controllo delle versioni del testo legale.

7. GDPR e Trasferimenti Internazionali di Dati

Se sei ubicato nell'Area Economica Europea (AEE), nel Regno Unito o in un'altra giurisdizione con leggi sulla protezione dei dati, potresti avere diritti specifici riguardanti i tuoi dati personali. Questi possono includere il diritto di accedere, rettificare, cancellare, limitare il trattamento, o portabilità dei tuoi dati, e il diritto di opporsi a determinati trattamenti.

I trasferimenti di dati al di fuori dell'AEE sono condotti con appropriate salvaguardie, incluse Clausole Contrattuali Standard ove applicabili. Ti preghiamo di contattarci all'indirizzo privacy@zyvora.app se hai domande sui trasferimenti internazionali di dati.

8. CCPA (Residenti della California)

Se sei un residente della California, hai diritti secondo il California Consumer Privacy Act (CCPA), incluso il diritto di conoscere quali informazioni personali raccogliamo, il diritto di eliminare le tue informazioni personali e il diritto di rifiutare la vendita delle tue informazioni personali.

ShadowPing non vende informazioni personali. Per esercitare i tuoi diritti CCPA, contattaci all'indirizzo privacy@zyvora.app.

9. Conservazione dei Dati

Conserviamo i Dati degli Abbonati finché il tuo abbonamento è attivo. Dopo l'annullamento, i dati rimangono accessibili in modalità di sola lettura per 90 giorni, quindi archiviati nell'archiviazione fredda. I dati archiviati sono conservati per un minimo di 7 anni per scopi legali e di conformità a meno che tu non richieda una cancellazione più anticipata.

I dati dei clienti finali vengono conservati secondo le politiche di conservazione configurabili all'interno della Piattaforma (conservazione predefinita di 7 anni per i documenti dei clienti). I dati clinici sono soggetti ai requisiti di conservazione dei fascicoli sanitari nella tua giurisdizione.

I metadati dell'integrazione della telecamera — inclusi i record VideoBookmark, i metadati degli eventi e gli URL di accesso in scadenza associati alle integrazioni di telecamere come Solink — vengono conservati mentre l'integrazione è attiva e per 90 giorni dopo la disconnessione o l'annullamento dell'account, dopodiché vengono eliminati definitivamente. I veri filmati video non vengono archiviati da ShadowPing; rimangono con il provider della telecamera di terze parti secondo le loro proprie politiche di conservazione. Le credenziali di integrazione della telecamera archiviate in Azure Key Vault vengono distrutte al momento della disconnessione dell'integrazione o della risoluzione del tuo account.

I dati del registro di audit vengono conservati per 12 mesi nell'archiviazione attiva e archiviati nell'archiviazione a lungo termine successivamente.

10. Cookie e Tracciamento

L'applicazione web Zyvora utilizza cookie di sessione e archiviazione locale per l'autenticazione e lo stato dell'applicazione. Non utilizziamo cookie pubblicitari di terze parti o pixel di tracciamento.

Il sito web di marketing Zyvora (zyvora.app) potrebbe utilizzare strumenti di analisi per comprendere il comportamento dei visitatori. Nessuna informazione personale identificabile viene raccolta tramite queste analisi.

11. Privacy dei Minori

La Piattaforma è destinata all'uso aziendale e non è rivolta a individui di età inferiore a 18 anni. Non raccogliamo consapevolmente informazioni personali da minori. Se un Abbonato raccoglie informazioni su minori (ad es., per servizi giovanili), l'Abbonato è responsabile di ottenere il consenso parentale appropriato.

12. Modifiche a Questa Politica

Potremmo aggiornare questa Politica sulla Privacy di tanto in tanto. Ti notificheremo i cambiamenti significativi via email o all'interno della Piattaforma. La «Data di Entrata in Vigore» in cima a questa pagina riflette quando è stata pubblicata la versione attuale.

13. Contattaci

Per domande relative alla privacy, richieste di diritti dei soggetti dei dati o per richiedere un Accordo tra Responsabile del Trattamento e Responsabile dell'Elaborazione (BAA) per l'uso della funzione clinica, contattaci:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app