Политика конфиденциальности

1. Введение

Zyvora разработана и управляется компанией ShadowPing LLC («ShadowPing», «мы», «нас» или «наше»). Данная политика конфиденциальности описывает, как мы собираем, используем, храним и защищаем информацию при использовании платформы Zyvora («Платформа»).

Данная политика охватывает две категории людей: (1) Подписчики — компании и их сотрудники, которые используют Zyvora для управления своей деятельностью, и (2) Конечные клиенты — клиенты этих компаний, данные которых вводятся в платформу подписчиками.

2. Информация, которую мы собираем

Данные учетной записи подписчика: При регистрации мы собираем название вашей компании, контактную информацию, данные для выставления счетов и учетные данные. Они используются для создания и поддержки вашей учетной записи.

Данные бизнес-операций: Данные, которые вы вводите для управления своим бизнесом, включая профили сотрудников, каталоги услуг, расписания, записи о встречах, транзакции в точке продажи, записи об инвентаре, данные о заработной плате и параметры бизнеса. Вы владеете этими данными.

Данные конечного клиента: Информация о ваших клиентах, которую вы вводите в платформу, включая имена, контактные данные, историю встреч, записи платежей, баллы лояльности, записи о согласии и (если клинические функции включены) информацию, связанную со здоровьем. Вы являетесь контролером данных для данных ваших клиентов; ShadowPing выступает в качестве обработчика данных от вашего имени.

Визуальные и биометрические данные: Если вы используете функции идентификации ногтей или фотографии до и после в Zyvora, платформа собирает и хранит фотографии ногтей, кожи или других физических характеристик клиентов. Эти изображения могут быть связаны с идентификацией клиента в платформе. Вы несете ответственность за получение надлежащего согласия ваших клиентов перед сбором такого изображения.

Данные аудио- и видеонаблюдения: Если вы подключаете камеру или интеграцию системы безопасности (например, Solink, Verkada, Eagle Eye или Spot AI), аудио- и видеозаписи вашего бизнеса — включая записи конечных клиентов, посещающих ваш салон — могут быть захвачены и обработаны через эту интеграцию. ShadowPing не хранит видеозаписи напрямую; они обрабатываются и хранятся третьим лицом — поставщиком камеры согласно их условиям. Вы несете ответственность за соблюдение всех применимых законов о согласии на запись и размещение необходимых уведомлений в вашем помещении.

Данные коммуникаций: SMS, RCS, электронные письма и голосовые коммуникации, отправленные через платформу (через Twilio и Azure Communication Services). Содержание сообщений, статус доставки и временные метки хранятся для управления почтовым ящиком и соответствия требованиям.

Данные платежей: Платежные транзакции, обработанные через интегрированные процессоры платежей (Square, Stripe и т. д.). Номера карт никогда не хранятся ShadowPing — хранятся только токенизированные ссылки, предоставленные процессором платежей.

Данные об использовании и аналитике: Логи, шаблоны использования функций, отчеты об ошибках и показатели производительности. Эти данные используются для улучшения платформы и не передаются третьим лицам в целях рекламы.

Данные устройства и оборудования: IP-адреса, тип браузера/приложения, идентификаторы устройств и данные сеанса, собираемые при доступе к платформе. Если вы используете интегрированное оборудование (iPad, считыватели карт, сканеры штрих-кодов, принтеры чеков), идентификаторы устройств и данные о взаимодействии с оборудованием могут быть собраны.

Клинические данные (если применимо): Если вы используете клинические функции Zyvora (примечания SOAP, формы, помеченные как HIPAA), защищенная медицинская информация (PHI) хранится с усиленными элементами управления безопасностью и строгим логированием доступа. Соглашение о бизнес-партнере (BAA) требуется для использования клинических функций.

3. Как мы используем вашу информацию

Мы используем собранную информацию для:

• Предоставления, эксплуатации и улучшения платформы Zyvora и ее функций
• Обработки и управления вашей подпиской, выставления счетов и платежей
• Отправки транзакционных коммуникаций (счета, уведомления об учетной записи, уведомления об ошибках платежа)
• Включения функций, работающих на базе ИИ, на платформе (планирование, умный помощник, оценка рисков, примечания к коучингу)
• Предоставления поддержки клиентов и ответов на ваши запросы
• Мониторинга безопасности платформы, выявления мошенничества и обеспечения целостности системы
• Соответствия юридическим обязательствам

Мы не используем ваши данные или данные ваших клиентов в целях рекламы, маркетинга третьих сторон или для любых целей, не связанных с предоставлением платформы.

4. Совместное использование данных и третьи лица

Мы не продаем ваши данные. Мы передаем данные только в необходимой степени для работы платформы:

• Процессоры платежей: Square, Stripe, PayPal, Global Payments, TSYS, Chase — для обработки транзакций клиентов. Учетные данные вашего процессора хранятся в Azure Key Vault, никогда не в базе данных.
• SDK оборудования для платежей: SDK Stripe Terminal и Square Terminal используются для платежей с картой в очной форме. Эти SDK обрабатывают данные карты непосредственно на устройстве оборудования и передают его соответствующему процессору платежей.
• Поставщики коммуникаций: Twilio (SMS, MMS, RCS, голос) и Azure Communication Services (электронная почта) — для доставки сообщений, отправленных через платформу.
• Провайдеры ИИ: Запросы к сервисам ИИ (включая Anthropic Claude, Google Gemini, Groq и OpenAI, маршрутизируемые через уровень AI proxy ShadowPing) ограничены тем, что необходимо для создания запрашиваемого результата. Для клинических функций и функций в области HIPAA ShadowPing использует Azure OpenAI Service — отдельный сервис, размещённый на серверах Microsoft и управляемый в соответствии с соглашением Business Associate Agreement (BAA) с Microsoft — вместо потребительского API OpenAI. Данные, отправляемые провайдерам ИИ, не сохраняются этими провайдерами для обучения моделей в соответствии с нашими корпоративными соглашениями.
• Облачная инфраструктура: Microsoft Azure — платформа размещена на Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Данные хранятся в безопасных, контролируемых окружениях Azure.
• Доставка изображений: Imgix используется для доставки фотографий клиентов (включая фотографии до и после и фотографии профилей). Изображения, хранящиеся в Azure Blob Storage, доставляются через CDN Imgix для оптимального отображения.
• Отправка уведомлений: Apple Push Notification Service (APNs) и Google Firebase Cloud Messaging (FCM) используются для доставки отправления уведомлений на мобильные устройства. Токены устройств и содержание уведомлений передаются этим поставщикам для доставки.
• Интеграции камер и систем безопасности: Если вы включите интеграцию камеры или системы безопасности (Solink, Verkada, Eagle Eye, Spot AI), имена клиентов, имена сотрудников, метаданные транзакций, временные метки, данные событий и аудио, захватываемые там, где оборудование камеры это поддерживает с платформы, могут быть передана провайдеру камеры для включения связывания событий и функций AI-powered видеоконтроля. Эти провайдеры обрабатывают и сохраняют видео- и аудиозаписи в соответствии с их собственной политикой конфиденциальности. Учётные данные API для интеграций камер сохраняются в Azure Key Vault и удаляются окончательно при отключении интеграции или прекращении вашей учётной записи.
• SDK оборудования: Star Micronics (SDK принтера чеков) и Zebra (SDK сканера штрих-кодов) используются для интеграции оборудования. Задания на печать могут содержать данные клиентов и транзакций; данные сканирования штрих-кодов (включая номера подарочных карт и штрих-коды клиентов) обрабатываются локально этими SDK.
• Финансовые интеграции: Plaid может использоваться для связи банковских счетов в целях выверки. QuickBooks, Xero и аналогичные интеграции бухгалтерского учета получают данные финансовых транзакций согласно вашей конфигурации.
• Интеграции заработной платы: Если вы подключаете интеграцию заработной платы (такую как Gusto, ADP или Paychex), личная информация сотрудников, включая имена, часы работы, компенсацию и налоговые данные, передается поставщику заработной платы для обработки заработной платы от вашего имени.
• Интеграции репутации и маркетинга: Если вы подключаете инструменты управления репутацией (такие как Birdeye или Podium) или маркетинговые платформы (такие как Google, Meta, Mailchimp или TikTok Business), данные клиентов, релевантные для этих интеграций (такие как контактные данные и запросы на отзывы), передаются соответствующему поставщику согласно вашей конфигурации.
• Интеграции закупок: Если вы подключаете интеграции закупок или поставщиков (такие как SalonInteractive или Shopify), данные об инвентаре и заказах передаются этим поставщикам согласно вашей конфигурации.
• Требования закона: Мы можем раскрыть данные, если это требуется законом, постановлением суда или для защиты прав, собственности или безопасности ShadowPing, наших пользователей или других лиц.

5. Хранение и безопасность данных

Все данные платформы хранятся на инфраструктуре Microsoft Azure с элементами управления безопасностью корпоративного уровня. Мы внедряем следующие меры безопасности:

• Безопасность на уровне строк с несколькими арендаторами для всех таблиц базы данных — ваши данные изолированы от других арендаторов
• Azure Key Vault для всех конфиденциальных учетных данных (ключи процессора платежей, токены API, токены OAuth)
• AES-256 шифрование для данных в состоянии покоя и TLS 1.2+ для данных в пути
• Неизменяемый журнал аудита, доступный только для добавления, для всех доступов и модификаций данных
• Управление доступом на основе ролей с 250+ детальными разрешениями
• Доступ к токену SAS с сроком действия 15 минут для доступа к файлам/медиа
• Автоматизированный мониторинг безопасности, обнаружение аномалий и ограничение скорости

На наших серверах никогда не хранятся необработанные данные платежных карт. Учетные данные процессора хранятся исключительно в Azure Key Vault.

6. Данные конечных клиентов и ваши обязанности

Как подписчик вы являетесь контролером данных для личной информации ваших клиентов, хранящейся на Платформе. ShadowPing обрабатывает эти данные в качестве обработчика от вашего имени исключительно для предоставления услуг Платформы.

Вы отвечаете за:

• Получение любых требуемых по закону согласий от ваших клиентов перед сбором их данных, включая согласие на фотографии, биометрическую близкую визуальную информацию и любые данные, собираемые через подключенные интеграции
• Информирование ваших клиентов о том, если на вашем месте нахождения используется аудио- или видеозапись через любую подключенную камеру интеграции, и размещение любых требуемых по закону уведомлений о записи
• Ответ на запросы ваших клиентов о своих правах на данные (доступ, исправление, удаление)
• Соответствие применимому законодательству о защите данных в вашей юрисдикции, включая GDPR, CCPA и любые другие применимые нормативные акты

Zyvora предоставляет инструменты для поддержки соответствия GDPR, включая экспорт данных клиентов, рабочие процессы права на стирание с журналами аудита и отслеживание согласия по салонам с версионированием юридического текста.

7. GDPR и международные передачи данных

Если вы находитесь в Европейской экономической зоне (ЕЭЗ), Соединенном Королевстве или другой юрисдикции с законодательством о защите данных, вы можете иметь определенные права в отношении ваших личных данных. Они могут включать право на доступ, исправление, стирание, ограничение обработки или портирование ваших данных, а также право возражать против определенной обработки.

Передача данных вне ЕЭЗ осуществляется в соответствии с надлежащими гарантиями, включая Типовые договорные условия, где это применимо. Пожалуйста, свяжитесь с нами по адресу privacy@zyvora.app, если у вас есть вопросы о международных передачах данных.

8. CCPA (жители Калифорнии)

Если вы являетесь жителем Калифорнии, у вас есть права в соответствии с Законом о конфиденциальности потребителей Калифорнии (CCPA), включая право знать, какую личную информацию мы собираем, право удалить вашу личную информацию и право отказаться от продажи вашей личной информации.

ShadowPing не продает личную информацию. Для осуществления своих прав в соответствии с CCPA свяжитесь с нами по адресу privacy@zyvora.app.

9. Хранение данных

Мы храним данные подписчика в течение всего периода действия вашей подписки. После отмены доступ к данным осуществляется в режиме только для чтения в течение 90 дней, затем архивируется в холодное хранилище. Архивные данные хранятся минимум 7 лет в целях юридического и нормативного соответствия, если только вы не запросите более раннее удаление.

Данные конечных клиентов хранятся в соответствии с настраиваемой политикой хранения в Платформе (по умолчанию 7-летнее хранение документов клиентов). Клинические данные подлежат требованиям об удержании медицинских записей в вашей юрисдикции.

Метаданные интеграции камеры — включая записи VideoBookmark, метаданные событий и истекающие ссылки доступа, связанные с интеграциями камер, такие как Solink — сохраняются, пока интеграция активна, и в течение 90 дней после отключения или отмены учётной записи, после чего они окончательно удаляются. Фактические видеозаписи не сохраняются ShadowPing; они остаются у провайдера камеры третьей стороны в соответствии с их собственной политикой хранения. Учётные данные интеграции камеры, сохранённые в Azure Key Vault, уничтожаются при отключении интеграции или прекращении вашей учётной записи.

Данные журнала аудита сохраняются в течение 12 месяцев в активном хранилище и архивируются в долгосрочное хранилище после этого.

10. Файлы cookie и отслеживание

Веб-приложение Zyvora использует сеансовые файлы cookie и локальное хранилище для аутентификации и состояния приложения. Мы не используем сторонние рекламные файлы cookie или пиксели отслеживания.

Маркетинговый веб-сайт Zyvora (zyvora.app) может использовать инструменты аналитики для понимания поведения посетителей. Через эту аналитику не собирается никакая личная информация.

11. Конфиденциальность детей

Платформа предназначена для использования в бизнесе и не ориентирована на лиц моложе 18 лет. Мы не сознательно собираем личную информацию у несовершеннолетних. Если подписчик собирает информацию о несовершеннолетних (например, для услуг молодежи), подписчик несет ответственность за получение надлежащего согласия родителей.

12. Изменения в этой Политике

Мы можем время от времени обновлять эту Политику конфиденциальности. Мы уведомим вас о существенных изменениях по электронной почте или в Платформе. Дата вступления в силу в верхней части этой страницы отражает, когда была опубликована текущая версия.

13. Свяжитесь с нами

По вопросам, связанным с конфиденциальностью, запросам от субъектов данных или для запроса соглашения об сотрудничестве (BAA) для использования клинических функций, пожалуйста, свяжитесь с нами:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app