Privacy Policy

1. Panimula

Ang Zyvora ay ginawa at pinagpapatakbo ng ShadowPing LLC ("ShadowPing", "kami", "amin", o "aming"). Ang Privacy Policy na ito ay naglalarawan kung paano kami kumukuha, gumagamit, nagsisimbang, at pinoprotektahan ang impormasyon kapag ginagamit mo ang Zyvora platform (ang "Platform").

Ang policy na ito ay sumasaklaw sa dalawang kategorya ng mga tao: (1) Mga Subscriber — mga negosyo at ang kanilang staff na gumagamit ng Zyvora upang patakbuhin ang kanilang operasyon, at (2) Mga End Customer — ang mga kliyente ng mga negosyong iyon na ang data ay inilagay sa Platform ng mga Subscriber.

2. Impormasyon na Aming Kinokolekta

Subscriber Account Data: Kapag nagrehistro ka, kami ay kumukuha ng iyong pangalan ng negosyo, contact information, billing details, at account credentials. Ito ay ginagamit upang lumikha at mapanatili ang iyong account.

Business Operational Data: Data na iyong inilagay upang patakbuhin ang iyong negosyo — kabilang ang mga staff profile, service catalogs, schedule, appointment records, point-of-sale transactions, inventory records, payroll data, at business settings. Ikaw ang nagmamari ng data na ito.

End Customer Data: Impormasyon tungkol sa iyong mga kliyente na iyong inilagay sa Platform — kabilang ang mga pangalan, contact details, appointment history, payment records, loyalty points, consent records, at (kung enabled ang clinical features) health-related information. Ikaw ang data controller para sa data ng iyong mga customer; kumikilos ang ShadowPing bilang data processor sa iyong ngalan.

Visual & Biometric-Adjacent Data: Kung gumagamit ka ng Zyvora's nail identification o before/after photo features, ang Platform ay kumukuha at nagsisimbang mga larawan ng mga kuko, balat, o ibang physical characteristics ng mga customer. Ang mga imaheng ito ay maaaring iugnay sa identity ng customer sa Platform. Ikaw ang responsable sa pagkuha ng angkop na consent mula sa iyong mga customer bago kumukuha ng ganitong uri ng mga larawan.

Audio & Video Surveillance Data: Kung kumokonekta ka ng camera o security system integration (tulad ng Solink, Verkada, Eagle Eye, o Spot AI), ang audio at video recordings ng iyong business premises — kasama ang mga recordings ng mga end customer na bumibisita sa iyong salon — ay maaaring makuha at iproseso sa pamamagitan ng integration na iyon. Ang ShadowPing ay hindi direktang nagsisimbang ng camera footage; ito ay ipinoproseso at nasisimbang ng third-party camera provider sa ilalim ng kanilang sariling mga tuntunin. Ikaw ay responsable sa pagsunod sa lahat ng applicable recording consent laws at paglalagay ng kinakailangang mga abiso sa iyong premises.

Communications Data: SMS, RCS, email, at voice communications na ipinapadala sa pamamagitan ng Platform (via Twilio at Azure Communication Services). Ang message content, delivery status, at timestamps ay nasisimbang para sa inbox management at compliance.

Payment Data: Mga payment transactions na ipinoproseso sa pamamagitan ng integrated payment processors (Square, Stripe, atbp.). Ang raw card numbers ay hindi kailanman nasisimbang ng ShadowPing — lamang ang tokenized references na ibinibigay ng payment processor.

Usage & Analytics Data: Log data, feature usage patterns, error reports, at performance metrics. Ang data na ito ay ginagamit upang mapabuti ang Platform at hindi ibinahagi sa third parties para sa advertising.

Device & Hardware Data: IP addresses, browser/app type, device identifiers, at session data na kinokolekta kapag nag-access ka sa Platform. Kung gumagamit ka ng integrated hardware (iPads, card readers, barcode scanners, receipt printers), ang device identifiers at hardware interaction data ay maaaring maging kinokolekta.

Clinical Data (kung applicable): Kung gumagamit ka ng Zyvora's clinical features (SOAP notes, HIPAA-flagged forms), ang protected health information (PHI) ay nasisimbang may enhanced security controls at strict access logging. Isang Business Associate Agreement (BAA) ay kinakailangan para sa clinical feature use.

3. Paano Kami Gumagamit ng Iyong Impormasyon

Kami ay gumagamit ng impormasyon na aming kinokolekta upang:

• Magbigay, magoperate, at mapabuti ang Zyvora Platform at ang mga feature nito
• Iproseso at pamahalaan ang iyong subscription, billing, at payments
• Magpadala ng transactional communications (invoices, account alerts, payment failure notices)
• Gawing posible ang AI-powered features ng Platform (scheduling, smart assistant, risk scoring, coaching notes)
• Magbigay ng customer support at sumagot sa iyong mga katanungan
• Subaybayan ang Platform security, tuklasin ang fraud, at masiguro ang integrity ng system
• Sumunod sa legal obligations

Hindi kami gumagamit ng iyong data o ang data ng iyong mga customer para sa advertising, third-party marketing, o anumang layuning hindi nauugnay sa pagbibigay ng Platform.

4. Data Sharing & Third Parties

Hindi kami nagbebenta ng iyong data. Kami ay nagbabahagi ng data lamang kung kinakailangan upang magoperate ang Platform:

• Payment Processors: Square, Stripe, PayPal, Global Payments, TSYS, Chase — upang iproseso ang mga customer transactions. Ang iyong processor credentials ay nasisimbang sa Azure Key Vault, hindi sa database.
• Payment Hardware SDKs: Ang Stripe Terminal at Square Terminal SDKs ay ginagamit para sa in-person card-present payments. Ang mga SDKs na ito ay direktang nagpoproseso ng card data sa hardware device at ipinapadala ito sa respective payment processor.
• Communication Providers: Twilio (SMS, MMS, RCS, voice) at Azure Communication Services (email) — upang ihatid ang mga mensahe na ipinapadala sa pamamagitan ng Platform.
• AI Providers: Ang mga kahilingan sa AI services (kasama ang Anthropic Claude, Google Gemini, Groq, at OpenAI, na dirediretso sa pamamagitan ng ShadowPing's AI proxy layer) ay limitado sa kung ano ang kailangan upang makabuo ng hinihiling na output. Para sa clinical at HIPAA-scoped features, partikular, ang ShadowPing ay gumagamit ng Azure OpenAI Service — isang hiwalay na Microsoft-hosted service na pinamamahalaan ng Business Associate Agreement (BAA) kasama ang Microsoft — sa halip na sa OpenAI's consumer API. Ang data na ipinapadala sa AI providers ay hindi iniimbak ng mga ito para sa model training sa ilalim ng aming enterprise agreements.
• Cloud Infrastructure: Microsoft Azure — ang Platform ay naka-host sa Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Ang data ay nasisimbang sa secure, access-controlled Azure environments.
• Image Delivery: Ang Imgix ay ginagamit upang maghatid ng mga larawan ng customer (kabilang ang before/after images at profile photos). Ang mga larawan na nasisimbang sa Azure Blob Storage ay ibinibigay sa pamamagitan ng Imgix's CDN para sa optimized display.
• Push Notifications: Ang Apple Push Notification Service (APNs) at Google Firebase Cloud Messaging (FCM) ay ginagamit upang ihatid ang push notifications sa mobile devices. Ang device tokens at notification content ay ipinapadala sa mga providers na ito para sa delivery.
• Camera & Security Integrations: Kung pinagana mo ang camera o security system integration (Solink, Verkada, Eagle Eye, Spot AI), ang customer names, staff names, transaction metadata, timestamps, event data, at audio na kinuha kung saan sinusuportahan ng camera hardware mula sa Platform ay maaaring maipadala sa camera provider upang makapagana ng event linking at AI-powered video review features. Ang mga provider na ito ay nagpoproseso at nag-iimbak ng video at audio recordings sa ilalim ng kanilang sariling privacy policies. Ang API credentials para sa camera integrations ay iniimbak sa Azure Key Vault at ay permanenteng tinatanggal kapag nag-disconnect ka ng integration o nagterminate ng iyong account.
• Hardware SDKs: Ang Star Micronics (receipt printer SDK) at Zebra (barcode scanner SDK) ay ginagamit para sa hardware integrations. Ang mga print job ay maaaring maglaman ng customer at transaction data; ang barcode scan data (kasama ang gift card numbers at customer barcodes) ay ipinoproseso ng local ng mga SDKs na ito.
• Financial Integrations: Ang Plaid ay maaaring gamitin upang ilink ang mga bank accounts para sa reconciliation purposes. Ang QuickBooks, Xero, at katulad na accounting integrations ay nakakatanggap ng financial transaction data ayon sa iyong configuration.
• Payroll Integrations: Kung kumokonekta ka ng payroll integration (tulad ng Gusto, ADP, o Paychex), ang personal information ng staff kasama ang mga pangalan, oras, compensation, at tax data ay ipinapadala sa payroll provider upang iproseso ang payroll sa iyong ngalan.
• Reputation & Marketing Integrations: Kung kumokonekta ka ng reputation management tools (tulad ng Birdeye o Podium) o marketing platforms (tulad ng Google, Meta, Mailchimp, o TikTok Business), ang customer data na nauugnay sa mga integrations na iyon (tulad ng contact details at review requests) ay ibinabahagi sa respective provider ayon sa iyong configuration.
• Procurement Integrations: Kung kumokonekta ka ng procurement o supplier integrations (tulad ng SalonInteractive o Shopify), ang inventory at order data ay ibinabahagi sa mga providers na iyon ayon sa iyong configuration.
• Legal Requirements: Kami ay maaaring mag-disclose ng data kung kinakailangan ng batas, court order, o upang protektahan ang mga karapatan, property, o kaligtasan ng ShadowPing, ng aming mga user, o ng iba.

5. Data Storage & Security

Ang lahat ng Platform data ay nasisimbang sa Microsoft Azure infrastructure na may enterprise-grade security controls. Kami ay nagpapatupad ng mga sumusunod na security measures:

• Multi-tenant row-level security sa lahat ng database tables — ang iyong data ay naka-isolate mula sa ibang tenants
• Azure Key Vault para sa lahat ng sensitive credentials (payment processor keys, API tokens, OAuth tokens)
• AES-256 encryption para sa data at rest at TLS 1.2+ para sa data in transit
• Immutable, append-only audit log para sa lahat ng data access at modifications
• Role-based access control na may 250+ granular permissions
• SAS token access na may 15-minute expiry para sa file/media access
• Automated security monitoring, anomaly detection, at rate limiting

Hindi kailanman nasisimbang ang raw payment card data sa aming mga server. Ang processor credentials ay eksklusibong nasisimbang sa Azure Key Vault.

6. End Customer Data at Kalikasan

Bilang isang Subscriber, ikaw ang data controller para sa personal na impormasyon ng iyong mga kliyente na nakalagay sa Platform. Ang ShadowPing ay gumagawa ng proseso ng data na ito bilang isang data processor sa iyong ngalan, upang magbigay lamang ng mga serbisyo ng Platform.

Ikaw ay responsable para sa:

• Pagkuha ng anumang legal na kinakailangan na pahintulot mula sa iyong mga customer bago kumuha ng kanilang data, kabilang ang pahintulot para sa mga larawan, biometric-adjacent imagery, at anumang data na nakolekta sa pamamagitan ng konektadong integrations
• Pagbibigay-alam sa iyong mga customer kung ang iyong business premises ay napapailalim sa audio o video recording sa pamamagitan ng anumang konektadong camera integration, at pagpostang anumang legal na kinakailangan na recording notices
• Pagtugon sa mga data subject rights requests ng iyong mga customers (access, correction, deletion)
• Pagkakamit ng applicable data protection laws sa iyong jurisdiction, kabilang ang GDPR, CCPA, at anumang ibang applicable regulations

Ang Zyvora ay nagbibigay ng mga tool upang suportahan ang GDPR compliance, kabilang ang customer data export, right-to-erasure workflows na may audit trails, at per-salon consent tracking na may legal text versioning.

7. GDPR & International Data Transfers

Kung ikaw ay naroroon sa European Economic Area (EEA), United Kingdom, o ibang jurisdiction na may data protection laws, maaari kang magkaroon ng specific rights tungkol sa iyong personal data. Ang mga ito ay maaaring kasama ang right to access, rectify, erase, restrict processing of, o port ang iyong data, at ang right to object sa certain processing.

Ang data transfers sa labas ng EEA ay isinasagawa sa ilalim ng appropriate safeguards, kabilang ang Standard Contractual Clauses kung saan applicable. Mangyaring makipag-ugnayan sa amin sa privacy@zyvora.app kung mayroon kang mga tanong tungkol sa international data transfers.

8. CCPA (California Residents)

Kung ikaw ay isang California resident, mayroon kang mga rights sa ilalim ng California Consumer Privacy Act (CCPA), kabilang ang right to know kung anong personal information ang aming kinokolekta, ang right to delete ang iyong personal information, at ang right to opt out ng sale ng iyong personal information.

Ang ShadowPing ay hindi nagbebenta ng personal information. Upang gamitin ang iyong CCPA rights, makipag-ugnayan sa amin sa privacy@zyvora.app.

9. Data Retention

Ginagamit namin ang Subscriber Data hangga't ang iyong subscription ay aktibo. Pagkatapos ng cancellation, ang data ay accessible sa read-only mode para sa 90 araw, pagkatapos ay ina-archive sa cold storage. Ang archived data ay ini-retain para sa minimum na 7 taon para sa legal at compliance purposes maliban kung hinihiling mo ang mas maagang deletion.

Ang End customer data ay ini-retain bawat configurable retention policies sa loob ng Platform (default 7-year retention para sa customer documents). Ang Clinical data ay napapailalim sa healthcare record retention requirements sa iyong jurisdiction.

Ang camera integration metadata — kasama ang VideoBookmark records, event metadata, at expiring access URLs na nauugnay sa camera integrations tulad ng Solink — ay napanatili habang aktibo ang integration at sa loob ng 90 araw pagkatapos ng disconnection o account cancellation, pagkatapos nito ay permanenteng tinatanggal. Ang actual video footage ay hindi iniimbak ng ShadowPing; ito ay nananatili sa third-party camera provider sa ilalim ng kanilang sariling retention policies. Ang camera integration credentials na iniimbak sa Azure Key Vault ay sinisira kapag nag-disconnect ng integration o nagterminate ng iyong account.

Ang audit log data ay napanatili sa loob ng 12 buwan sa active storage at archived sa long-term storage pagkatapos nito.

10. Cookies & Tracking

Ang Zyvora web application ay gumagamit ng session cookies at local storage para sa authentication at application state. Hindi kami gumagamit ng third-party advertising cookies o tracking pixels.

Ang Zyvora marketing website (zyvora.app) ay maaaring gumamit ng analytics tools upang maunawaan ang visitor behavior. Walang personally identifiable information na kinokolekta sa pamamagitan ng mga analytics na ito.

11. Children's Privacy

Ang Platform ay inilaan para sa business use at hindi direktang nakatuon sa mga indibidwal na wala pang 18 taong gulang. Hindi kami nakakakuha ng personal information mula sa mga bata. Kung ang isang Subscriber ay kumukolekta ng impormasyon tungkol sa mga bata (hal., para sa youth services), ang Subscriber ay responsable para sa pagkuha ng appropriate na parental consent.

12. Changes to This Policy

Maaari naming i-update ang Privacy Policy na ito mula sa oras-panahon. Ipapaalam namin sa iyo ng material changes sa pamamagitan ng email o sa loob ng Platform. Ang 'Effective Date' sa tuktok ng pahinang ito ay sumasalamin kung kailan ang kasalukuyang bersyon ay nai-publish.

13. Contact Us

Para sa mga tanong na may kaugnayan sa privacy, data subject requests, o upang humingi ng Business Associate Agreement (BAA) para sa clinical feature use, mangyaring makipag-ugnayan sa amin:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app