Gizlilik Politikası

1. Giriş

Zyvora, ShadowPing LLC tarafından geliştirilmiş ve işletilmektedir ("ShadowPing", "biz", "bizim"). Bu Gizlilik Politikası, Zyvora platformunu ("Platform") kullanırken bilgileri nasıl topladığımızı, kullandığımızı, sakladığımızı ve koruduğumuzu açıklar.

Bu Politika iki kategoride kişiyi kapsar: (1) Abone Olunanlar — İşletmelerini çalıştırmak için Zyvora'yı kullanan işletmeler ve bunların personeli ve (2) Son Müşteriler — Zyvora tarafından verileri Platform'a giren bu işletmelerin müşterileri.

2. Topladığımız Bilgiler

Abone Hesap Verileri: Kaydolduğunuzda, işletme adınız, iletişim bilgileriniz, faturalandırma detaylarınız ve hesap kimlik bilgilerinizi topluyoruz. Bu, hesabınızı oluşturmak ve sürdürmek için kullanılır.

İşletme Operasyonel Verileri: İşletmenizi yönetmek için girdiğiniz veriler — personel profillerini, hizmet kataloglarını, zamanlamaları, randevu kayıtlarını, satış noktası işlemlerini, envanter kayıtlarını, bordro verilerini ve iş ayarlarını içerir. Bu veriler sizin malınızdır.

Son Müşteri Verileri: Müşterileriniz hakkında Platform'a girdiğiniz bilgiler — adlar, iletişim detayları, randevu geçmişi, ödeme kayıtları, sadakat puanları, onay kayıtları ve (klinik özellikler etkinse) sağlıkla ilgili bilgiler. Müşterilerinizin verileri için veri denetleyicisisiniz; ShadowPing, sizin adınıza bir veri işleyici olarak hareket eder.

Görsel ve Biyometrik Türü Veriler: Zyvora'nın tırnak tanımlama veya öncesi/sonrası fotoğraf özelliklerini kullanırsanız, Platform müşterilerin tırnakları, cildleri veya diğer fiziksel özelliklerinin fotoğraflarını toplar ve depolar. Bu görüntüler Platform'da müşterinin kimliğiyle ilişkilendirilebilir. Bu tür görüntüleri toplamadan önce müşterilerinizden uygun onay almaktan siz sorumlusunuz.

Ses ve Video İzleme Verileri: Bir kamera veya güvenlik sistemi entegrasyonu (Solink, Verkada, Eagle Eye veya Spot AI gibi) bağlarsanız, işletme alanınızın ses ve video kayıtları — salonunuzu ziyaret eden son müşterilerin kayıtları da dahil olmak üzere — bu entegrasyon aracılığıyla yakalanabilir ve işlenebilir. ShadowPing kamera görüntüsünü doğrudan saklamaz; üçüncü taraf kamera sağlayıcısı tarafından kendi şartları altında işlenir ve depolanır. Uygulanabilir tüm kayıt onayı yasalarına uygun olmak ve işletme alanlarınızda gerekli uyarıları göstermekten siz sorumlusunuz.

İletişim Verileri: Platform aracılığıyla gönderilen SMS, RCS, e-posta ve ses iletişimleri (Twilio ve Azure Communication Services aracılığıyla). İleti içeriği, teslim durumu ve zaman damgaları gelen kutusu yönetimi ve uyum için depolanır.

Ödeme Verileri: Entegre ödeme işlemcileri (Square, Stripe vb.) aracılığıyla işlenen ödeme işlemleri. Ham kart numaraları asla ShadowPing tarafından depolanmaz — yalnızca ödeme işlemcisi tarafından sağlanan jetonlaştırılmış referanslar.

Kullanım ve Analitik Verileri: Günlük veriler, özellik kullanım desenleri, hata raporları ve performans ölçümleri. Bu veriler Platform'u geliştirmek için kullanılır ve üçüncü taraflarla reklam amaçlı paylaşılmaz.

Cihaz ve Donanım Verileri: Platform'a erişirken toplanan IP adresleri, tarayıcı/uygulama türü, cihaz tanımlayıcıları ve oturum verileri. Entegre donanım (iPad'ler, kart okuyucuları, barkod tarayıcıları, makbuz yazıcıları) kullanırsanız, cihaz tanımlayıcıları ve donanım etkileşim verileri toplanabilir.

Klinik Verileri (varsa): Zyvora'nın klinik özelliklerini (SOAP notları, HIPAA işaretli formlar) kullanırsanız, korunan sağlık bilgileri (PHI) geliştirilmiş güvenlik kontrolleri ve katı erişim günlüğü ile depolanır. Klinik özellik kullanımı için İş Ortağı Anlaşması (BAA) gereklidir.

3. Bilgilerinizi Nasıl Kullanırız

Topladığımız bilgileri şu amaçlarla kullanıyoruz:

• Zyvora Platform'u ve özelliklerini sağlamak, işletmek ve geliştirmek
• Aboneliğinizi, faturalandırmanızı ve ödemeleri işlemek ve yönetmek
• İşlemsel iletişimler göndermek (faturalar, hesap uyarıları, ödeme başarısızlığı bildirimleri)
• Platform'un yapay zeka destekli özelliklerini etkinleştirmek (planlama, akıllı asistan, risk puanlaması, koçluk notları)
• Müşteri desteği sağlamak ve sorularınızı yanıtlamak
• Platform güvenliğini izlemek, dolandırıcılığı tespit etmek ve sistemin bütünlüğünü sağlamak
• Yasal yükümlülükleri yerine getirmek

Verilerinizi veya müşterilerinizin verilerini reklam, üçüncü taraf pazarlaması veya Platform'u sağlamakla ilgisiz herhangi bir amaç için kullanmıyoruz.

4. Veri Paylaşımı ve Üçüncü Taraflar

Verilerinizi satmıyoruz. Verileri yalnızca Platform'u işletmek için gerektiği kadar paylaşıyoruz:

• Ödeme İşlemcileri: Square, Stripe, PayPal, Global Payments, TSYS, Chase — müşteri işlemlerini işlemek için. İşlemci kimlik bilgileriniz Azure Key Vault'ta depolanır, asla veritabanında değil.
• Ödeme Donanımı SDK'ları: Kişiye özel kartla yapılan ödemeler için Stripe Terminal ve Square Terminal SDK'ları kullanılır. Bu SDK'lar kart verilerini doğrudan donanım cihazında işler ve ilgili ödeme işlemcisine iletir.
• İletişim Sağlayıcıları: Twilio (SMS, MMS, RCS, ses) ve Azure Communication Services (e-posta) — Platform aracılığıyla gönderilen iletileri teslim etmek için.
• AI Sağlayıcıları: AI hizmetlerine yönelik istekler (Anthropic Claude, Google Gemini, Groq ve OpenAI dahil olmak üzere ShadowPing'in AI proxy katmanı üzerinden yönlendirilir) istenen çıktıyı oluşturmak için gereken şekilde sınırlandırılmıştır. Klinik ve HIPAA kapsamındaki özellikler özelinde ShadowPing, OpenAI'ın tüketici API'si yerine Azure OpenAI Service — Microsoft tarafından barındırılan ayrı bir hizmet ve Microsoft ile Business Associate Agreement (BAA) tarafından yönetilen — kullanır. AI sağlayıcılarına gönderilen veriler, kurumsal anlaşmalarımız kapsamında bu sağlayıcılar tarafından model eğitimi için depolanmaz.
• Bulut Altyapısı: Microsoft Azure — Platform, Azure'da barındırılır (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Veriler, güvenli, erişim kontrollü Azure ortamlarında depolanır.
• Görüntü Teslimi: Müşteri fotoğraflarını (öncesi/sonrası görüntüler ve profil fotoğrafları dahil) sunmak için Imgix kullanılır. Azure Blob Storage'da depolanan görüntüler, optimize edilmiş görüntüleme için Imgix'in CDN'i aracılığıyla teslim edilir.
• Anında Bildirimler: Apple Push Notification Service (APNs) ve Google Firebase Cloud Messaging (FCM), mobil cihazlara anında bildirim göndermek için kullanılır. Cihaz belirteçleri ve bildirim içeriği, teslim için bu sağlayıcılara iletilir.
• Kamera ve Güvenlik Entegrasyonları: Bir kamera veya güvenlik sistemi entegrasyonunu (Solink, Verkada, Eagle Eye, Spot AI) etkinleştirirseniz, müşteri adları, personel adları, işlem meta verileri, zaman damgaları, olay verileri ve kamera donanımı tarafından desteklenen yer kayıt edilen ses Platformdan kamera sağlayıcısına, etkinlik bağlantısını ve AI destekli video inceleme özelliklerini etkinleştirmek için iletilir. Bu sağlayıcılar video ve ses kayıtlarını kendi gizlilik politikaları altında işler ve depolar. Kamera entegrasyonları için API kimlik bilgileri Azure Key Vault'ta depolanır ve entegrasyonu kestiğinizde veya hesabınızı sonlandırdığınızda kalıcı olarak silinir.
• Donanım SDK'ları: Star Micronics (makbuz yazıcı SDK'sı) ve Zebra (barkod tarayıcı SDK'sı) donanım entegrasyonları için kullanılır. Baskı işleri müşteri ve işlem verileri içerebilir; barkod tarama verileri (hediye kartı numaraları ve müşteri barkodları dahil) bu SDK'lar tarafından yerel olarak işlenir.
• Mali Entegrasyonlar: Plaid, banka hesaplarını uzlaştırma amaçlı bağlamak için kullanılabilir. QuickBooks, Xero ve benzer muhasebe entegrasyonları, konfigürasyonunuz başına mali işlem verilerini alırlar.
• Bordro Entegrasyonları: Bir bordro entegrasyonu (Gusto, ADP veya Paychex gibi) bağlarsanız, adlar, saatler, ücretlendirme ve vergi verileri de dahil olmak üzere personel kişisel bilgileri, bordronuzu işlemek için bordro sağlayıcısına iletilir.
• İtibar ve Pazarlama Entegrasyonları: İtibar yönetimi araçları (Birdeye veya Podium gibi) veya pazarlama platformları (Google, Meta, Mailchimp veya TikTok Business gibi) bağlarsanız, bu entegrasyonlarla ilgili müşteri verileri (iletişim detayları ve inceleme istekleri gibi), yapılandırmanız başına ilgili sağlayıcıyla paylaşılır.
• Tedarik Entegrasyonları: Bir tedarik veya tedarikçi entegrasyonu (SalonInteractive veya Shopify gibi) bağlarsanız, envanter ve sipariş verileri, yapılandırmanız başına bu sağlayıcılarla paylaşılır.
• Yasal Gereklilikler: Kanun, mahkeme kararı veya ShadowPing'in, kullanıcılarımızın veya başkalarının hakları, malları veya güvenliğini korumak için verileri açıklayabiliriz.

5. Veri Depolama ve Güvenlik

Tüm Platform verileri, kurumsal sınıf güvenlik kontrolleri ile Microsoft Azure altyapısında depolanır. Aşağıdaki güvenlik önlemlerini uyguluyoruz:

• Tüm veritabanı tablolarında çok kiracılı satır düzeyi güvenlik — verileriniz diğer kiracılardan izole edilir
• Tüm duyarlı kimlik bilgileri (ödeme işlemcisi anahtarları, API belirteçleri, OAuth belirteçleri) için Azure Key Vault
• Beklemedeki veriler için AES-256 şifrelemesi ve aktarımdaki veriler için TLS 1.2+
• Tüm veri erişimi ve değişiklikleri için değişmez, yalnızca ekleme denetim günlüğü
• 250'den fazla granüler izne sahip rol tabanlı erişim kontrolü
• Dosya/medya erişimi için 15 dakikalık son kullanma tarihi olan SAS belirteci erişimi
• Otomatik güvenlik izlemesi, anomali tespiti ve oran sınırlaması

Ham ödeme kartı verileri asla sunucularımızda depolanmaz. İşlemci kimlik bilgileri yalnızca Azure Key Vault'ta depolanır.

6. Son Müşteri Verileri ve Sizin Sorumluluklarınız

Abone olarak, Platformda depolanan müşterilerinizin kişisel bilgilerinin veri sorumlususunuz. ShadowPing bu verileri Platformun hizmetlerini sağlamak amacıyla veri işlemci olarak sizin adınıza işler.

Sorumlu olduğunuz konular:

• Müşterilerinizden verileri toplamadan önce fotoğraflar, biyometrik görüntüler ve bağlı entegrasyonlar aracılığıyla toplanan veriler dahil olmak üzere gerekli yasal izinleri almak
• İşletme binalarınızda bağlı kamera entegrasyonu aracılığıyla ses veya video kaydı yapılıyorsa müşterilerinizi bilgilendirmek ve gerekli kayıt uyarılarını göstermek
• Müşterilerinizin veri konu haklarına ilişkin isteklere yanıt vermek (erişim, düzeltme, silme)
• Sizin yargı alanınızda geçerli olan veri koruma kanunlarına uyum sağlamak; bunlara GDPR, CCPA ve diğer uygulanabilir düzenlemeler dahildir

Zyvora, GDPR uyumluluğunu desteklemek için müşteri veri dışa aktarımı, denetim izli silme-hakkı iş akışları ve yasal metin sürümlendirmesi ile salon başına rıza takibi gibi araçlar sağlar.

7. GDPR ve Uluslararası Veri Transferleri

Avrupa Ekonomik Alanı (AEA), Birleşik Krallık veya veri koruma kanunlarına sahip başka bir yargı alanında iseniz, kişisel verilerinize ilişkin özel haklara sahip olabilirsiniz. Bunlara erişim, düzeltme, silme, işlemenin kısıtlanması veya verilerinizin taşınması hakları ve belirli işlemelere karşı çıkma hakkı dahildir.

AEA dışındaki veri transferleri uygun garantiler altında yapılır; bunlara Standart Sözleşme Maddeleri dahildir. Uluslararası veri transferleri hakkında sorularınız varsa lütfen privacy@zyvora.app adresinden bize ulaşın.

8. CCPA (Kaliforniya Sakinleri)

Kaliforniya sakiniyseiniz, Kaliforniya Tüketici Gizlilik Yasası (CCPA) kapsamında; toplanan kişisel bilgileri öğrenme hakkı, kişisel bilgilerinizi silme hakkı ve kişisel bilgilerinizin satışından vazgeçme hakkı dahil olmak üzere haklara sahipsiniz.

ShadowPing kişisel bilgiler satmaz. CCPA haklarınızı kullanmak için lütfen privacy@zyvora.app adresinden bize ulaşın.

9. Veri Saklama

Abone Verilerini aboneliğiniz etkin olduğu sürece saklarız. İptal ettikten sonra, veriler 90 gün boyunca salt okunur modda erişilebilir, ardından soğuk depolama alanına arşivlenir. Arşivlenen veriler, daha erken silme talep etmediğiniz sürece yasal ve uyum amaçları için en az 7 yıl saklanır.

Son müşteri verileri, Platformdaki yapılandırılabilir saklama ilkeleri başına tutulur (müşteri belgeleri için varsayılan 7 yıllık saklama). Klinik veriler, yargı alanınızda sağlık kayıtları saklama gerekliliklerine tabidir.

Kamera entegrasyonu meta verileri — VideoBookmark kayıtları, olay meta verileri ve Solink gibi kamera entegrasyonları ile ilişkili süresi dolan erişim URL'leri dahil — entegrasyon etkin iken ve kesintisizlik veya hesap iptali sonrası 90 gün boyunca korunur, bundan sonra kalıcı olarak silinir. Gerçek video görüntüleri ShadowPing tarafından depolanmaz; üçüncü taraf kamera sağlayıcısı ile kendi tutma politikaları altında kalır. Azure Key Vault'ta depolanan kamera entegrasyonu kimlik bilgileri, entegrasyonun kesintisizliği veya hesabınızın sonlandırılması sırasında imha edilir.

Denetim günlüğü verisi 12 ay boyunca etkin depolamada tutulur ve bundan sonra uzun vadeli depolamaya arşivlenir.

10. Çerezler ve İzleme

Zyvora web uygulaması, kimlik doğrulaması ve uygulama durumu için oturum çerezlerini ve yerel depolamayı kullanır. Üçüncü taraf reklam çerezleri veya izleme pikselleri kullanmıyoruz.

Zyvora pazarlama web sitesi (zyvora.app), ziyaretçi davranışını anlamak için analitik araçları kullanabilir. Kişisel olarak tanımlanabilir bilgi bu analitiğin aracılığıyla toplanmaz.

11. Çocukların Gizliliği

Platform iş kullanımına yöneliktir ve 18 yaşından küçük kişilere yönelik değildir. Reşit olmayan kişilerden kişisel bilgi topladığımızdan haberdar değiliz. Abone tarafından reşit olmayan kişiler hakkında bilgi toplanırsa (örneğin gençlik hizmetleri için), Abone uygun ebeveyn rızası almaktan sorumludur.

12. Bu Politikada Değişiklikler

Bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikler hakkında sizi e-posta yoluyla veya Platform içinde bilgilendireceğiz. Bu sayfanın üst kısmındaki "Geçerlilik Tarihi" mevcut sürümün yayınlandığı zamanı yansıtır.

13. Bize Ulaşın

Gizlilik ile ilgili sorular, veri konu istekleri veya klinik özellik kullanımı için İşletme Ortağı Sözleşmesi (BAA) talep etmek için lütfen bizimle iletişime geçin:

ShadowPing LLC (Ohio, ABD) — privacy@zyvora.app | support@zyvora.app