Polityka Prywatności

1. Wstęp

Zyvora jest opracowywana i obsługiwana przez ShadowPing LLC („ShadowPing”, „my”, „nas” lub „nasze”). Niniejsza Polityka Prywatności opisuje, jak zbieramy, wykorzystujemy, przechowujemy i chronimy informacje, gdy używasz platformy Zyvora („Platforma”).

Niniejsza Polityka obejmuje dwie kategorie osób: (1) Subskrybenci — firmy i ich pracownicy korzystający z Zyvora do prowadzenia swoich operacji oraz (2) Klienci Końcowi — klienci tych firm, których dane są wprowadzane do Platformy przez Subskrybentów.

2. Informacje, które zbieramy

Dane konta subskrybenta: Podczas rejestracji zbieramy nazwę Twojej firmy, informacje kontaktowe, szczegóły rozliczeniowe i poświadczenia konta. Służy to do utworzenia i utrzymania Twojego konta.

Dane operacyjne biznesu: Dane wprowadzane w celu prowadzenia Twojej działalności — w tym profile pracowników, katalogi usług, harmonogramy, rekordy wizyt, transakcje w punktach sprzedaży, zapisy inwentarza, dane wynagrodzeń i ustawienia biznesu. Posiadasz te dane.

Dane klienta końcowego: Informacje o Twoich klientach wprowadzane do Platformy — w tym imiona i nazwiska, szczegóły kontaktowe, historię wizyt, rekordy płatności, punkty lojalnościowe, rekordy zgody oraz (jeśli funkcje kliniczne są włączone) informacje dotyczące zdrowia. Jesteś administratorem danych dla danych Twoich klientów; ShadowPing pełni funkcję procesora danych w Twoim imieniu.

Dane wizualne i biometryczne: Jeśli używasz funkcji identyfikacji paznokci lub zdjęć przed/po Zyvora, Platforma zbiera i przechowuje fotografie paznokci, skóry lub innych cech fizycznych klientów. Obrazy te mogą być powiązane z tożsamością klienta na Platformie. Jesteś odpowiedzialny za uzyskanie odpowiedniej zgody od swoich klientów przed zebraniem takich zdjęć.

Dane nadzoru audio i wideo: Jeśli podłączysz kamerę lub integrację systemu bezpieczeństwa (takiego jak Solink, Verkada, Eagle Eye lub Spot AI), nagrania audio i wideo Twoich pomieszczeń biznesowych — w tym nagrania klientów końcowych odwiedzających Twój salon — mogą być przechwytywane i przetwarzane przez tę integrację. ShadowPing nie przechowuje bezpośrednio materiału z kamer; jest on przetwarzany i przechowywany przez dostawcę kamery trzeciej strony zgodnie z ich warunkami. Jesteś odpowiedzialny za zgodność ze wszystkimi obowiązującymi prawami dotyczącymi nagrywania i wyświetlania wymaganych powiadomień w Twoim lokalu.

Dane komunikacji: SMS, RCS, e-mail i komunikacja głosowa wysłane przez Platformę (za pośrednictwem Twilio i Azure Communication Services). Zawartość wiadomości, status dostarczenia i znaczniki czasu są przechowywane w celu zarządzania skrzynką odbiorczą i zgodności.

Dane płatności: Transakcje płatności przetwarzane przez zintegrowanych procesorów płatności (Square, Stripe itp.). Surowe numery kart nigdy nie są przechowywane przez ShadowPing — przechowywane są tylko tokenizowane odwołania dostarczone przez procesora płatności.

Dane dotyczące użytkowania i analityki: Dane dziennika, wzorce użycia funkcji, raporty błędów i metryki wydajności. Dane te służą do ulepszania Platformy i nie są udostępniane stronom trzecim w celach reklamowych.

Dane urządzenia i sprzętu: Adresy IP, typ przeglądarki/aplikacji, identyfikatory urządzenia i dane sesji zbierane podczas uzyskiwania dostępu do Platformy. Jeśli używasz zintegrowanego sprzętu (iPady, czytniki kart, skanery kodów kreskowych, drukarki paragonów), mogą być zbierane identyfikatory urządzenia i dane interakcji sprzętu.

Dane kliniczne (jeśli dotyczy): Jeśli używasz funkcji klinicznych Zyvora (notatki SOAP, formularze oznaczone jako HIPAA), chronione informacje zdrowotne (PHI) są przechowywane z wzmocnionymi kontrolami bezpieczeństwa i ścisłym rejestrowaniem dostępu. Umowa Business Associate Agreement (BAA) jest wymagana do korzystania z funkcji klinicznych.

3. Jak wykorzystujemy Twoje informacje

Wykorzystujemy zbierane przez nas informacje do:

• Świadczenia, obsługi i ulepszania Platformy Zyvora i jej funkcji
• Przetwarzania i zarządzania Twoją subskrypcją, rozliczeniami i płatności
• Wysyłania komunikacji transakcyjnej (faktury, alerty konta, powiadomienia o niepowodzeniu płatności)
• Włączenia funkcji opartych na AI na Platformie (planowanie, inteligentny asystent, ocena ryzyka, notatki treningowe)
• Świadczenia wsparcia dla klientów i odpowiadania na Twoje pytania
• Monitorowania bezpieczeństwa Platformy, wykrywania oszustw i zapewnienia integralności systemu
• Zgodności z zobowiązaniami prawnymi

Nie wykorzystujemy Twoich danych ani danych Twoich klientów do reklamy, marketingu zewnętrznego ani żadnego innego celu niezwiązanego ze świadczeniem Platformy.

4. Udostępnianie danych i strony trzecie

Nie sprzedajemy Twoich danych. Dzielimy dane tylko w niezbędnym zakresie do obsługi Platformy:

• Procesory płatności: Square, Stripe, PayPal, Global Payments, TSYS, Chase — w celu przetwarzania transakcji klientów. Poświadczenia Twojego procesora są przechowywane w Azure Key Vault, nigdy w bazie danych.
• Zestawy SDK sprzętu do płatności: Zestawy SDK Stripe Terminal i Square Terminal są używane do płatności kartą na terenie. Te zestawy SDK przetwarzają dane karty bezpośrednio na urządzeniu sprzętowym i przesyłają je do odpowiedniego procesora płatności.
• Dostawcy komunikacji: Twilio (SMS, MMS, RCS, głos) i Azure Communication Services (e-mail) — do dostarczania wiadomości wysyłanych przez Platformę.
• Dostawcy AI: Żądania kierowane do usług AI (w tym Anthropic Claude, Google Gemini, Groq i OpenAI, routing przez warstwie proxy AI ShadowPing) są ograniczone do tego, co jest potrzebne do wygenerowania żądanego wyniku. W przypadku funkcji klinicznych i objętych zakresem HIPAA, ShadowPing używa Azure OpenAI Service — oddzielnej usługi hostowanej przez Microsoft, której rządzi Business Associate Agreement (BAA) z Microsoft — zamiast interfejsu API konsumenckich OpenAI. Dane wysyłane do dostawców AI nie są przechowywane przez tych dostawców do szkolenia modeli zgodnie z naszymi umowami dla przedsiębiorstw.
• Infrastruktura chmurowa: Microsoft Azure — Platforma jest hostowana na platformie Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Dane są przechowywane w bezpiecznych, kontrolowanych dostępem środowiskach Azure.
• Dostarczanie obrazów: Imgix jest używany do serwowania zdjęć klientów (w tym obrazów przed/po i zdjęć profilowych). Obrazy przechowywane w Azure Blob Storage są dostarczane przez sieć CDN Imgix w celu zoptymalizowanego wyświetlania.
• Powiadomienia push: Apple Push Notification Service (APNs) i Google Firebase Cloud Messaging (FCM) są używane do dostarczania powiadomień push na urządzenia mobilne. Tokeny urządzenia i zawartość powiadomienia są przesyłane do tych dostawców w celu dostarczenia.
• Integracje kamer i systemów bezpieczeństwa: Jeśli włączysz integrację kamery lub systemu bezpieczeństwa (Solink, Verkada, Eagle Eye, Spot AI), nazwy klientów, nazwy pracowników, metadane transakcji, znaczniki czasu, dane zdarzeń i audio przechwycone tam, gdzie sprzęt kamery to obsługuje z Platformy mogą być przesyłane do dostawcy kamery w celu włączenia łączenia zdarzeń i funkcji przeglądu wideo wspieranego sztuczną inteligencją. Dostawcy ci przetwarzają i przechowują nagrania wideo i audio zgodnie z własnymi politykami prywatności. Poświadczenia API dla integracji kamer są przechowywane w Azure Key Vault i są trwale usuwane po rozłączeniu integracji lub rozwiązaniu umowy.
• Zestawy SDK sprzętu: Star Micronics (SDK drukarki paragonów) i Zebra (SDK skanera kodów kreskowych) są używane do integracji sprzętu. Zadania drukowania mogą zawierać dane klientów i transakcji; dane skanowania kodów kreskowych (w tym numery kart upominkowych i kody kreskowe klientów) są przetwarzane lokalnie przez te zestawy SDK.
• Integracje finansowe: Plaid może być używany do łączenia kont bankowych w celu uzgadniania. QuickBooks, Xero i podobne integracje księgowe otrzymują dane transakcji finansowych zgodnie z Twoją konfiguracją.
• Integracje list płac: Jeśli podłączysz integrację listy płac (taką jak Gusto, ADP lub Paychex), informacje osobiste pracowników, w tym imiona i nazwiska, godziny, wynagrodzenie i dane podatkowe, są przesyłane dostawcy listy płac w celu przetworzenia listy płac w Twoim imieniu.
• Integracje reputacji i marketingu: Jeśli podłączysz narzędzia zarządzania reputacją (takie jak Birdeye lub Podium) lub platformy marketingowe (takie jak Google, Meta, Mailchimp lub TikTok Business), dane klientów istotne dla tych integracji (takie jak szczegóły kontaktowe i prośby o recenzje) są udostępniane odpowiedniemu dostawcy zgodnie z Twoją konfiguracją.
• Integracje zamówień: Jeśli podłączysz integracje zamówień lub dostawców (takie jak SalonInteractive lub Shopify), dane inwentarza i zamówień są udostępniane dostawcom zgodnie z Twoją konfiguracją.
• Wymogi prawne: Możemy ujawnić dane, jeśli jest to wymagane przez prawo, nakaz sądu lub w celu ochrony praw, mienia lub bezpieczeństwa ShadowPing, naszych użytkowników lub innych osób.

5. Przechowywanie i bezpieczeństwo danych

Wszystkie dane Platformy są przechowywane w infrastrukturze Microsoft Azure z kontrolami bezpieczeństwa na poziomie przedsiębiorstwa. Wdrażamy następujące środki bezpieczeństwa:

• Bezpieczeństwo na poziomie wierszy wielodostępnych we wszystkich tabelach baz danych — Twoje dane są odizolowane od innych dzierżawców
• Azure Key Vault dla wszystkich poufnych poświadczeń (klucze procesora płatności, tokeny API, tokeny OAuth)
• Szyfrowanie AES-256 dla danych w spoczynku i TLS 1.2+ dla danych w transporcie
• Niezmienny dziennik audytu tylko do dołączania dla wszystkich dostępów i modyfikacji danych
• Kontrola dostępu oparta na rolach z ponad 250 uprawnieniami szczegółowymi
• Dostęp do tokenu SAS z 15-minutowym czasem ważności dla dostępu do plików/mediów
• Automatyczne monitorowanie bezpieczeństwa, wykrywanie anomalii i ograniczanie szybkości

Nigdy nie przechowujemy surowych danych kart płatniczych na naszych serwerach. Poświadczenia procesora są przechowywane wyłącznie w Azure Key Vault.

6. Dane klientów końcowych i Twoje obowiązki

Jako Abonent jesteś administratorem danych dla informacji osobistych klientów przechowywanych na Platformie. ShadowPing przetwarza te dane jako procesor danych w Twoim imieniu, wyłącznie w celu świadczenia usług Platformy.

Jesteś odpowiedzialny za:

• Uzyskanie wszelkich wymaganych prawem zgód od swoich klientów przed zbieraniem ich danych, w tym zgody na fotografie, obrazy zbliżone do biometryczne i wszelkie dane zbierane za pośrednictwem połączonych integracji
• Poinformowanie swoich klientów, jeśli Twoje pomieszczenia biznesowe podlegają nagrywaniu audio lub wideo za pośrednictwem jakiejkolwiek połączonej integracji kamery i zamieszczenie wszelkich wymaganych prawem zawiadomień o nagrywaniu
• Odpowiadanie na żądania praw osoby, której dane dotyczą od Twoich klientów (dostęp, sprostowanie, usunięcie)
• Zgodność z obowiązującymi przepisami o ochronie danych w Twojej jurysdykcji, w tym GDPR, CCPA i wszelkich innych obowiązujących przepisów

Zyvora udostępnia narzędzia wspierające zgodność z GDPR, w tym eksport danych klientów, przepływy pracy prawa do usunięcia z śladami audytu i śledzenie zgody na poziomie salonu z wersjonowaniem tekstu prawnego.

7. GDPR i międzynarodowe transfery danych

Jeśli znajdujesz się na terenie Europejskiego Obszaru Gospodarczego (EEA), Wielkiej Brytanii lub innej jurysdykcji posiadającej przepisy o ochronie danych, możesz mieć określone prawa dotyczące Twoich danych osobowych. Mogą one obejmować prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania lub przeniesienia Twoich danych, a także prawo sprzeciwu wobec określonego przetwarzania.

Transfery danych poza EEA są przeprowadzane w ramach odpowiednich zabezpieczeń, w tym Standardowych Klauzul Umownych, gdzie ma to zastosowanie. Skontaktuj się z nami na privacy@zyvora.app jeśli masz pytania dotyczące międzynarodowych transferów danych.

8. CCPA (Mieszkańcy Kalifornii)

Jeśli jesteś mieszkańcem Kalifornii, masz prawa na mocy California Consumer Privacy Act (CCPA), w tym prawo wiedzy o tym, jakie dane osobowe zbieramy, prawo do usunięcia swoich danych osobowych i prawo do rezygnacji ze sprzedaży swoich danych osobowych.

ShadowPing nie sprzedaje danych osobowych. Aby skorzystać z Twoich praw CCPA, skontaktuj się z nami na privacy@zyvora.app.

9. Przechowywanie danych

Przechowujemy Dane Abonenta tak długo, jak Twoja subskrypcja jest aktywna. Po anulowaniu dane są dostępne w trybie tylko do odczytu przez 90 dni, a następnie archiwizowane do chłodnego magazynu. Archiwizowane dane są przechowywane przez co najmniej 7 lat w celach prawnych i zgodności, chyba że poprosisz o wcześniejsze usunięcie.

Dane klientów końcowych są przechowywane zgodnie z konfigurowalnymi zasadami przechowywania na Platformie (domyślne 7-letnie przechowywanie dokumentów klientów). Dane kliniczne podlegają wymogom przechowywania dokumentacji medycznej w Twojej jurysdykcji.

Metadane integracji kamery — w tym rekordy VideoBookmark, metadane zdarzeń i wygasające adresy URL dostępu skojarzone z integracjami kamer, takimi jak Solink — są przechowywane podczas gdy integracja jest aktywna i przez 90 dni po rozłączeniu lub anulowaniu konta, po czym są trwale usuwane. Rzeczywiste nagrania wideo nie są przechowywane przez ShadowPing; pozostają u dostawcy kamery innej firmy zgodnie z ich własnymi politykami przechowywania. Poświadczenia integracji kamery przechowywane w Azure Key Vault są niszczone po rozłączeniu integracji lub rozwiązaniu umowy.

Dane dziennika audytu są przechowywane przez 12 miesięcy w magazynie aktywnym i archiwizowane do magazynu długoterminowego.

10. Pliki cookie i śledzenie

Aplikacja internetowa Zyvora używa plików cookie sesji i lokalnego magazynu do uwierzytelniania i stanu aplikacji. Nie używamy plików cookie reklamowych stron trzecich ani pikseli śledzących.

Strona marketingowa Zyvora (zyvora.app) może korzystać z narzędzi analitycznych do zrozumienia zachowania odwiedzających. Żadne osobowo identyfikowalne informacje nie są zbierane za pośrednictwem tych analityk.

11. Prywatność dzieci

Platforma jest przeznaczona do użytku biznesowego i nie jest skierowana do osób poniżej 18 roku życia. Nie zbieramy umyślnie danych osobowych od małoletnich. Jeśli Abonent zbiera informacje o małoletnich (np. dla usług dla młodzieży), Abonent jest odpowiedzialny za uzyskanie odpowiedniej zgody rodziców.

12. Zmiany w tej Polityce

Możemy okresowo aktualizować tę Politykę Prywatności. Powiadomimy Cię o istotnych zmianach za pośrednictwem wiadomości e-mail lub na Platformie. „Data wejścia w życie” na górze tej strony odzwierciedla, kiedy opublikowana została bieżąca wersja.

13. Skontaktuj się z nami

W przypadku pytań dotyczących prywatności, żądań osoby, której dane dotyczą, lub aby poprosić o Umowę Powiatu Biznesowego (BAA) do użytku funkcji klinicznych, skontaktuj się z nami:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app