Integritetspolicy

1. Introduktion

Zyvora är utvecklat och drivet av ShadowPing LLC ("ShadowPing", "vi", "oss" eller "vår"). Den här integritetspolicyn beskriver hur vi samlar in, använder, lagrar och skyddar information när du använder Zyvora-plattformen ("Plattformen").

Den här policyn gäller två kategorier av personer: (1) Prenumeranter — företag och deras personal som använder Zyvora för att driva sin verksamhet, och (2) Slutkunder — dessa företags klienter vars data registreras i plattformen av prenumeranter.

2. Information vi samlar in

Data för prenumerantkonto: När du registrerar dig samlar vi in ditt företagsnamn, kontaktinformation, faktureringsdetaljer och kontouppgifter. Detta används för att skapa och underhålla ditt konto.

Affärsoperativ data: Data du registrerar för att driva din verksamhet — inklusive personalprofiler, servicekatalog, scheman, bokningshistorik, försäljningstransaktioner, lagerregistrering, lönedata och affärsinställningar. Du äger denna data.

Data för slutkunder: Information om dina klienter som du registrerar i plattformen — inklusive namn, kontaktuppgifter, bokningshistorik, betalningshistorik, lojalitetspoäng, samtyckesuppgifter och (om kliniska funktioner är aktiverade) hälsorelaterad information. Du är dataansvarig för dina kunders data; ShadowPing fungerar som databehandlare för din räkning.

Visuell och biometrisk-angränsande data: Om du använder Zyvoras funktioner för naglaridentifiering eller före/efter-foton lagrar plattformen fotografier av kundernas naglar, hud eller andra fysiska egenskaper. Dessa bilder kan kopplas till en kunds identitet i plattformen. Du är ansvarig för att få lämpligt samtycke från dina kunder innan du samlar in sådan bilder.

Ljud- och videoövervakning: Om du ansluter en kamera eller säkerhetssystemintegration (till exempel Solink, Verkada, Eagle Eye eller Spot AI) kan ljud- och videoupptagningar av dina affärslokaler — inklusive upptagningar av slutkunder som besöker din salong — fångas in och behandlas genom denna integration. ShadowPing lagrar inte kamerafiler direkt; de behandlas och lagras av tredjepartsleverantören enligt deras egna villkor. Du är ansvarig för att följa alla tillämpliga inspelningssamtyckelagar och att sätta upp erforderliga meddelanden på dina lokaler.

Kommunikationsdata: SMS-, RCS-, e-post- och röstkommunikation som skickas genom plattformen (via Twilio och Azure Communication Services). Meddelandeinnehål, leveransstatus och tidsstämplar lagras för inboxhantering och regelefterlevnad.

Betalningsdata: Betalningstransaktioner som behandlas genom integrerade betalningsprocessorer (Square, Stripe, osv.). Råa kortnummer lagras aldrig av ShadowPing — endast tokeniserade referenser från betalningsprocessorn.

Användnings- och analysdata: Loggdata, funktionsanvändningsmönster, felrapporter och prestandamätvärden. Denna data används för att förbättra plattformen och delas inte med tredje part för reklam.

Enhet och hårdvarudata: IP-adresser, webbläsare/app-typ, enhetsidentifierare och sessionsdata samlade in när du får åtkomst till plattformen. Om du använder integrerad hårdvara (iPads, kortläsare, streckkodsskannrar, kvittoskrivare) kan enhetsidentifierare och interaktionsdata för hårdvara samlas in.

Klinisk data (om tillämpligt): Om du använder Zyvoras kliniska funktioner (SOAP-anteckningar, HIPAA-märkta formulär) lagras skyddad hälsoinformation (PHI) med förbättrade säkerhetskontroller och streng åtkomstloggning. Ett affärssamtyckesamtal (BAA) krävs för användning av kliniska funktioner.

3. Hur vi använder din information

Vi använder den information vi samlar in för att:

• Tillhandahålla, driva och förbättra Zyvora-plattformen och dess funktioner
• Bearbeta och hantera din prenumeration, fakturering och betalningar
• Skicka transaktionella meddelanden (fakturor, kontoaviseringar, meddelandena om betalningsfel)
• Aktivera AI-drivna funktioner på plattformen (schemaläggning, smart assistent, riskvärdering, coachningsanteckningar)
• Tillhandahålla kundsupport och svara på dina frågor
• Övervaka plattformens säkerhet, detektera bedrägeri och säkerställa systemets integritet
• Följa juridiska skyldigheter

Vi använder inte din data eller dina kunders data för reklam, tredje parts-marknadsföring eller något syfte som inte är relaterat till att tillhandahålla plattformen.

4. Datadelning och tredje parter

Vi säljer inte din data. Vi delar data endast när det är nödvändigt för att driva plattformen:

• Betalningsprocessorer: Square, Stripe, PayPal, Global Payments, TSYS, Chase — för att behandla kundtransaktioner. Dina processoruppgifter lagras i Azure Key Vault, aldrig i databasen.
• Betalningshårdvaru-SDK:er: Stripe Terminal och Square Terminal SDK:er används för kortuppgiftbetalningar på plats. Dessa SDK:er behandlar kortdata direkt på hårdvaruenheten och överför det till respektive betalningsprocessor.
• Kommunikationsleverantörer: Twilio (SMS, MMS, RCS, röst) och Azure Communication Services (e-post) — för att leverera meddelanden som skickas genom plattformen.
• AI-leverantörer: Förfrågningar till AI-tjänster (inklusive Anthropic Claude, Google Gemini, Groq och OpenAI, routade genom ShadowPing:s AI-proxylager) är begränsade till vad som behövs för att generera det begärda resultatet. För kliniska och HIPAA-omfattade funktioner använder ShadowPing specifikt Azure OpenAI Service — en separat Microsoft-värdtjänst som styrs av ett Business Associate Agreement (BAA) med Microsoft — snarare än OpenAI:s konsument-API. Data som skickas till AI-leverantörer lagras inte av dessa leverantörer för modelltränig enligt våra företagsavtal.
• Molninfrastruktur: Microsoft Azure — Plattformen är värd på Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Data lagras i säkra, åtkomstkontrollerade Azure-miljöer.
• Bildleverans: Imgix används för att leverera kundfoton (inklusive före/efter-bilder och profilfoton). Bilder lagrade i Azure Blob Storage levereras genom Imgix CDN för optimerad visning.
• Push-meddelanden: Apple Push Notification Service (APNs) och Google Firebase Cloud Messaging (FCM) används för att leverera push-meddelanden till mobila enheter. Enhetstokens och meddelandeinnehål överförts till dessa leverantörer för leverans.
• Kamera- och säkerhetintegrationer: Om du aktiverar en kamera- eller säkerhetssystemintegration (Solink, Verkada, Eagle Eye, Spot AI) kan kundnamn, personalnamn, transaktionsmetadata, tidsstämplar, händelsedata och ljud som fångats där kamerahårdvaran stöder det från plattformen överföras till kameraleverantören för att möjliggöra händelselänkning och AI-drivna videogranskningsfunktioner. Dessa leverantörer bearbetar och lagrar video- och ljudinspelningar enligt sina egna integritetspolicyer. API-autentiseringsuppgifter för kameraintegrationer lagras i Azure Key Vault och raderas permanent när du kopplar från integreringen eller avslutar ditt konto.
• Hårdvaru-SDK:er: Star Micronics (kvittoskrivare SDK) och Zebra (streckkodsskanner SDK) används för hårdvaruintegrationer. Utskriftsjobb kan innehålla kund- och transaktionsdata; streckkodsskanndata (inklusive presentkortsnummer och kundstreckkoder) behandlas lokalt av dessa SDK:er.
• Finansiella integrationer: Plaid kan användas för att länka bankkonton för avstämningsändamål. QuickBooks, Xero och liknande bokföringsintegrationer får finansiell transaktionsdata enligt din konfiguration.
• Lönintegr ationer: Om du ansluter en lönintegration (till exempel Gusto, ADP eller Paychex) överförts personlig information om personal inklusive namn, timmar, ersättning och skattedata till löneleverantören för att behandla lön på dina vägnar.
• Rykte- och marknadsföringsintegrationer: Om du ansluter ryktestyrningsverktyg (till exempel Birdeye eller Podium) eller marknadsföringsplattformar (till exempel Google, Meta, Mailchimp eller TikTok Business) delas kunddata relevant för dessa integrationer (till exempel kontaktuppgifter och granskningsbegäranden) med respektive leverantör enligt din konfiguration.
• Anskaffningsintegrationer: Om du ansluter anskaffnings- eller leverantörsintegrationer (till exempel SalonInteractive eller Shopify) delas inventarie- och orderdata med dessa leverantörer enligt din konfiguration.
• Juridiska krav: Vi kan avslöja data om det krävs enligt lag, domstolsbeslut eller för att skydda rättigheterna, egendomen eller säkerheten för ShadowPing, våra användare eller andra.

5. Datalagring och säkerhet

All plattformsdata lagras på Microsoft Azure-infrastruktur med säkerhetskontroller på företagsnivå. Vi implementerar följande säkerhetsmått:

• Säkerhet på rad nivå för flera klienter på alla databastabeller — din data är isolerad från andra klienter
• Azure Key Vault för alla känsliga uppgifter (betalningsprocessornycklar, API-tokens, OAuth-tokens)
• AES-256-kryptering för data i vila och TLS 1.2+ för data under överföring
• Oförändrerlig, endast tillägg-revisionslogg för all dataåtkomst och ändringar
• Rollbaserad åtkomstkontroll med 250+ granulära behörigheter
• SAS-tokenåtkomst med 15 minuters förfallotid för fil-/mediåtkomst
• Automatisk säkerhetövervakning, avvikelsedetektering och hastighetsbegränsning

Ingen rå betalningskortdata lagras någonsin på våra servrar. Processoruppgifter lagras uteslutande i Azure Key Vault.

6. Slutkunddata & dina ansvar

Som prenumerant är du personuppgiftsansvarig för personuppgifterna om dina kunder som lagras i plattformen. ShadowPing behandlar dessa data som en personuppgiftsbiträde å dina vägnar, endast för att tillhandahålla plattformstjänsterna.

Du ansvarar för:

• Att få alla juridiskt nödvändiga samtycken från dina kunder innan du samlar in deras data, inklusive samtycke för fotografier, biometriska bilder och all data som samlas in genom anslutna integrationer
• Att informera dina kunder om dina affärslokaler är föremål för ljud- eller videoupptagning genom anslutna kameraintegreringar och att publicera alla juridiskt nödvändiga inspelningsmeddelanden
• Att svara på dina kunders förfrågningar om datarättigheter (åtkomst, rättelse, radering)
• Att följa gällande dataskyddslagar i din jurisdiktion, inklusive GDPR, CCPA och alla andra tillämpliga föreskrifter

Zyvora tillhandahåller verktyg för att stödja GDPR-efterlevnad, inklusive export av kunddata, arbetsflöden för rättigheten att glömmas bort med granskningsspår och samtyckesspårning per salong med juridiska textversioner.

7. GDPR & internationella dataöverföringar

Om du är belägen i Europeiska ekonomiska området (EES), Förenade kungariket eller en annan jurisdiktion med dataskyddslagar kan du ha specifika rättigheter angående dina personuppgifter. Dessa kan inkludera rätten att få tillgång till, rätta, radera, begränsa behandlingen av eller överföra dina data, samt rätten att invända mot viss behandling.

Dataöverföringar utanför EES genomförs enligt lämpliga skyddsåtgärder, inklusive standardavtalsklausuler där tillämpligt. Kontakta oss på privacy@zyvora.app om du har frågor om internationella dataöverföringar.

8. CCPA (Kalifornienbor)

Om du är bosatt i Kalifornien har du rättigheter enligt California Consumer Privacy Act (CCPA), inklusive rätten att veta vilken personlig information vi samlar in, rätten att radera din personliga information och rätten att välja bort försäljningen av din personliga information.

ShadowPing säljer inte personlig information. För att utöva dina CCPA-rättigheter, kontakta oss på privacy@zyvora.app.

9. Datalagring

Vi behåller prenumerantdata så länge din prenumeration är aktiv. Efter annullering är data tillgänglig i skrivskyddat läge i 90 dagar, sedan arkiverad till kall lagring. Arkiverad data lagras i minst 7 år för juridiska och efterlevnadsändamål om du inte begär tidigare radering.

Slutkunddata lagras enligt de konfigurerbara bevarandeprincipcerna inom plattformen (standard 7-årig lagring för kunddokument). Kliniska data är föremål för lagringskrav för sjukvårdshandlingar i din jurisdiktion.

Kameraintegrationsmetadata — inklusive VideoBookmark-poster, händelsemetadata och utgångna åtkomst-URL:er associerade med kameraintegrationer såsom Solink — behålls medan integreringen är aktiv och i 90 dagar efter frånkoppling eller kontokansellering, varefter det raderas permanent. Faktisk videomaterial lagras inte av ShadowPing; det finns kvar hos tredjeparts-kameraleverantören enligt deras egna bevarandepolicyer. Kameraintegrationsautentiseringsuppgifter lagrade i Azure Key Vault förstörs vid frånkoppling av integreringen eller uppsägning av ditt konto.

Granskningsloggdata behålls i 12 månader i aktivt lagringsutrymme och arkiveras till långsiktig lagring därefter.

10. Cookies & spårning

Zyvora-webbapplikationen använder sessionscookies och lokal lagring för autentisering och programtillstånd. Vi använder inte cookies för tredjepartsannonsering eller spårningspixlar.

Zyvora-marknadsföringswebbplatsen (zyvora.app) kan använda analysverktyg för att förstå besökarnas beteende. Ingen personligt identifierbar information samlas in genom dessa analyser.

11. Barns integritet

Plattformen är avsedd för affärsbruk och är inte riktad mot personer under 18 år. Vi samlar inte medvetet in personlig information från minderåriga. Om en prenumerant samlar in information om minderåriga (t.ex. för ungdomstjänster), är prenumeranten ansvarig för att få lämpligt föräldrars samtycke.

12. Ändringar av denna policy

Vi kan uppdatera denna integritetspolicy från tid till annan. Vi meddelar dig om väsentliga ändringar via e-post eller inom plattformen. Datumet »Gäller från« längst upp på denna sida visar när den aktuella versionen publicerades.

13. Kontakta oss

För sekretessrelaterade frågor, förfrågningar om datarättigheter eller för att begära ett avtalssamarbetsavtal (BAA) för klinisk funktionsanvändning, kontakta oss:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app