سياسة الخصوصية

مقدمة

نحن في Shaheen Security نقدّر خصوصية بياناتك. توضح هذه السياسة ما الذي نجمعه من بيانات، وكيف نستخدمه، ومتى نشاركه، وحقوقك بشأنه، بما يتوافق مع نظام حماية البيانات الشخصية (PDPL) الصادر بالمرسوم الملكي رقم (م/19) في المملكة العربية السعودية.

1. البيانات التي نجمعها

1.1 بيانات المشترك (الشركة)

• اسم المؤسسة التجاري ورقم السجل التجاري.
• بيانات التواصل: البريد الإلكتروني، رقم الهاتف، العنوان.
• الرقم الضريبي (إن وُجد).
• بيانات الدفع: تُعالَج عبر بوابة دفع مرخّصة (Moyasar). لا نحتفظ بأرقام البطاقات في أنظمتنا.

1.2 بيانات المستخدمين (موظفي المشترك)

• الرقم الوظيفي، الاسم، الدور الوظيفي.
• كلمة المرور (مشفّرة بخوارزمية BCrypt؛ لا نستطيع قراءتها).
• بيانات الجلسة: عنوان IP، نوع المتصفح/الجهاز، أوقات الدخول.
• بيانات الموقع الجغرافي للمركبات: خطوط الطول والعرض، السرعة، الاتجاه، الوقت (تُجمع من GPS الهاردوير أو من جوّال الموظف بحسب إعدادات المشترك).
• صور فحص المركبات ومحاضر الأحداث (يرفعها الموظف اختيارياً).

1.3 بيانات تقنية تلقائية

• سجلات الوصول للسيرفر (logs) لأغراض الأمن.
• ملفات الكوكيز التقنية الضرورية لعمل الموقع.
• بيانات الأداء المجهّلة (anonymized) لتحسين الخدمة.

لا نستخدم كوكيز تتبّع إعلاني من أطراف ثالثة.

2. لماذا نجمع هذه البيانات؟

• تقديم الخدمة: تشغيل المنصة، عرض مواقع المركبات، إنشاء التقارير، إرسال التنبيهات.
• الفوترة: إصدار الفواتير، معالجة المدفوعات، تذكيرات الدفع.
• الأمن: منع الوصول غير المصرّح به، اكتشاف الاحتيال، فحص الجلسات المشبوهة.
• الدعم الفني: الردّ على استفسارات المشترك وحل مشاكله.
• التحسين: تطوير ميزات جديدة اعتماداً على بيانات استخدام مجهّلة.
• الالتزامات القانونية: الاستجابة للطلبات الرسمية من الجهات القضائية والتنظيمية السعودية.

3. الأساس النظامي للمعالجة (PDPL)

• معالجة بيانات المشترك: تنفيذ العقد بينه وبين المزوّد.
• معالجة بيانات الموظف: بموافقة المشترك ومسؤوليته (بصفته صاحب العلاقة الوظيفية). يلتزم المشترك بإبلاغ موظفيه وأخذ موافقاتهم.
• سجلات الأمن: مصلحة مشروعة لحماية المنصة والمستخدمين.

4. مع من نشارك البيانات؟

لا نبيع بياناتك ولا نؤجّرها لأي طرف. نشاركها فقط مع:

• مزوّدي البنية التحتية:
  • Vultr (استضافة السيرفر — فرانكفورت/أمستردام).
  • Cloudflare (شبكة CDN وحماية من DDoS).
  • Resend (إرسال البريد الإلكتروني — AWS SES).
  • Moyasar (بوابة الدفع — مرخصة من البنك المركزي السعودي).
• مزوّدي GPS اختياريون: إذا اختار المشترك استخدام Wialon أو غيره لتتبّع هاردوير المركبات.
• الجهات الحكومية السعودية: عند طلب رسمي من جهة قضائية أو تنظيمية مختصة.

كل مزوّد بنية تحتية خارجي يخضع لاتفاقيات معالجة بيانات تضمن الحماية وفق المعايير الدولية والسعودية.

5. نقل البيانات خارج المملكة

يُخزَّن السيرفر الرئيسي لـ Shaheen Security في أوروبا (فرانكفورت) حالياً، وتُوجَّه بعض الخدمات المساعدة عبر خوادم خارج المملكة (Cloudflare، AWS SES). نعمل على نقل التخزين الأساسي داخل المملكة بما يتوافق مع متطلبات PDPL فور توفر البنية المناسبة. أي نقل للبيانات خارج المملكة يتم:

• بموافقة المشترك عند التسجيل.
• وفق ضمانات حماية ملائمة (TLS 1.3، تشفير في حالة التخزين).
• للأغراض التشغيلية الضرورية فقط.

6. حقوقك بموجب PDPL

يحق لك بوصفك صاحب البيانات الشخصية ممارسة الحقوق التالية:

• الوصول: طلب نسخة من بياناتك المحفوظة لدينا.
• التصحيح: طلب تصحيح أي بيانات غير دقيقة.
• الحذف: طلب حذف بياناتك عند انتهاء العلاقة التعاقدية أو سحب الموافقة.
• الاعتراض: الاعتراض على معالجة بياناتك لأغراض معيّنة.
• نقل البيانات: طلب بياناتك بصيغة منظَّمة يمكن قراءتها آلياً.
• الشكوى: تقديم شكوى إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) إذا لم تُعالَج مخاوفك.

لممارسة أي من هذه الحقوق، أرسل طلباً إلى [email protected]. نردّ خلال 30 يوماً كحد أقصى.

7. مدة الاحتفاظ

• بيانات الحساب النشط: تُحفظ طوال فترة الاشتراك.
• بعد إنهاء الحساب: تُؤرشَف 90 يوماً ثم تُحذف نهائياً.
• الفواتير والسجلات المالية: تُحفظ 10 سنوات امتثالاً لأنظمة الزكاة والضريبة السعودية.
• سجلات الأمن (logs): تُحفظ 180 يوماً ثم تُحذف.
• بيانات تتبّع المركبات التاريخية: تُحفظ 12 شهراً بشكل افتراضي (قابل للتعديل حسب خطة الاشتراك).

8. الإجراءات الأمنية

• تشفير نقل البيانات (TLS 1.3) بين كل الأطراف.
• كلمات المرور محفوظة بهاشينغ BCrypt مع salt فريد لكل كلمة.
• جلسات مشفّرة محفوظة بصيغة hash (SHA-256) في قاعدة بيانات محمية.
• جدار حماية يقيّد الوصول إلى السيرفر على شبكة Cloudflare فقط.
• مراقبة محاولات الدخول الفاشل (fail2ban + Account Lockout).
• تحقّق ثنائي (2FA) إلزامي لحسابات الإدارة.
• نسخ احتياطية يومية مشفّرة.
• تحديثات أمنية تلقائية للنظام.

9. الأطفال

المنصة موجّهة للاستخدام التجاري من قِبَل شركات مرخّصة وموظفيها البالغين. لا تُجمَع بيانات قاصرين بشكل متعمَّد. إذا اكتشفنا وجود بيانات لمن هم أقل من 18 عاماً، تُحذَف فوراً.

10. حوادث خرق البيانات

في حال حدوث خرق أمني يؤثر على بيانات شخصية، نلتزم بـ:

• إبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) خلال 72 ساعة من الاكتشاف.
• إبلاغ المشتركين المتأثرين فوراً عبر البريد الإلكتروني المسجّل.
• تقديم تفاصيل عن نطاق الخرق والإجراءات المتخذة.
• إعطاء توصيات عملية لتخفيف الأثر.

11. التعديلات

قد نحدّث هذه السياسة استجابةً لتغيّرات في الخدمة أو الأنظمة. أي تعديل جوهري يُعلَن قبل 14 يوماً من سريانه عبر إشعار في لوحة التحكم وعبر البريد الإلكتروني.

12. التواصل

• الخصوصية وطلبات البيانات: [email protected]
• الاستفسارات العامة: [email protected]
• مسؤول حماية البيانات (DPO): متاح عند الطلب عبر البريد أعلاه.