سياسة الخصوصية

١. مقدّمة ومُتحكِّم البيانات

منصة SaudiSmart AI (يُشار إليها في هذه الوثيقة بـ «المنصة» أو «نحن») هي منصة سعوديّة لإنشاء وكلاء ذكاء اصطناعي ودردشات ذكيّة للأعمال، يُشغِّلها ممارس عمل حر مُسجَّل لدى وزارة الموارد البشرية والتنمية الاجتماعية بوثيقة عمل حر رقم FL-869754941، عبر النطاق ai.saudismart.co.

تُوضِّح هذه السياسة كيف نَجمع بياناتك الشخصيّة ونعالجها ونحميها، وحقوقك بموجب نظام حماية البيانات الشخصيّة (PDPL) ولائحته التنفيذيّة في المملكة العربية السعودية، وما يَتَّصل به من أنظمة مثل نظام التجارة الإلكترونيّة، ونظام مكافحة جرائم المعلوماتية، ونظام العمل الحر.

بإنشائك حساباً أو استخدامك للمنصّة فأنت تُقرّ بأنّك قرأتَ هذه السياسة و الشروط والأحكام و سياسة الاسترداد، وفَهِمتَها ووافقتَ عليها. إن لم توافق، يُرجى عدم استخدام المنصّة.

٢. تعريفات

• صاحب البيانات: الشخص الطبيعيّ الذي تتعلّق به البيانات الشخصيّة (أنت، أو موظّفك، أو عميل بوتك).
• البيانات الشخصيّة: أيّ بيانات — مهما كان مصدرها أو شكلها — تجعل التعرّف على الشخص ممكناً.
• المُتحكِّم: SaudiSmart AI بصفتها الجهة التي تُحدِّد غرض ووسيلة معالجة البيانات الشخصيّة لمستخدمي المنصة.
• المُعالِج: الطرف الثالث الذي يُعالج البيانات نيابةً عن المُتحكِّم وبأمرٍ منه (مُقدِّمو الخدمات في القسم ٦).
• المُحتوى المرفوع: الوثائق وقواعد المعرفة وإعدادات الوكلاء التي ترفعها أنت إلى المنصة لتدريب بوتك.
• محادثات النهاية: الرسائل المتبادَلة بين بوتك وعملائك (الزوار) عبر الوكلاء التي تُنشئها.

٣. البيانات التي نجمعها

٣.١ بيانات الحساب

• الاسم الكامل، البريد الإلكترونيّ، رقم الجوال (اختياريّ).
• اسم الشركة ونوع نشاطها (لتخصيص خطّة الاشتراك).
• كلمة المرور مُجزَّأة بـ bcrypt (cost factor 12) — لا نَحفظها بنصٍّ صريح ولا نَستطيع استرجاعها.
• صورة الملفّ الشخصيّ (اختياريّة).
• مُعرِّفات حسابات الدخول الموحَّد (Google / Apple) عند اختيارك هذا الأسلوب — نحفظ المعرّف الفريد والبريد والاسم فقط.

٣.٢ بيانات الأمان والجلسات

• رموز التحقّق لمرة واحدة (Email OTP) لتفعيل الحساب وإعادة تعيين كلمة المرور والتحقّق الثنائيّ — تنتهي صلاحيّتها خلال 10 دقائق.
• جلسات NextAuth (مُعرِّف الجلسة، تاريخ الانتهاء).
• سجلّات الدخول والأمان: عنوان IP، نوع المتصفّح والنظام، توقيت الطلب — لمنع الاحتيال وإرسال تنبيهات الدخول من جهازٍ جديد.
• حالة تفعيل التحقّق الثنائيّ وآخر تاريخ استخدامه.

٣.٣ بيانات الاشتراك والدفع

• نوع الخطّة، تاريخ التفعيل، تاريخ التجديد، حالة الاشتراك (نشِط/مُلغى/مُنتهي).
• لا نُخزِّن أرقام البطاقات الكاملة ولا CVV. تُعالَج البطاقات داخل بيئة بوّابة دفعٍ مُرخَّصةمن البنك المركزيّ السعوديّ (ساما) ومُعتمَدة بمعيار PCI DSS.
• نحتفظ من بوّابة الدفع فقط بـ: مُعرِّف الفاتورة، آخر 4 أرقام، نوع البطاقة (Mada / Visa / MasterCard)، حالة العمليّة، المبلغ، وتاريخ الدفع.
• سجلّات Webhook لأحداث الدفع (إنشاء/نجاح/فشل/استرداد) لأغراض التسوية والمحاسبة.
• رصيد المحفظة الداخليّة وحركاتها (شحن، خصم استهلاك الرسائل، استرداد) إن كنتَ تستخدم المحفظة.

٣.٤ المُحتوى المرفوع وإعدادات الوكلاء

• الوثائق التي ترفعها (PDF، Word، نصوص، روابط مواقع للتدريب)، وقاعدة المعرفة، والأسئلة الشائعة، وكتالوج المنتجات.
• نَستخرج النصّ ونُقسِّمه إلى مقاطع (chunks) ونحوّله إلى تمثيلات رقميّة (embeddings) بطول 1024 بُعداً لتفعيل البحث الدلاليّ (RAG).
• الشخصيّة (persona)، نبرة الحوار، اللغات المسموحة، حدود المُحادثة، إعدادات الإحالة لموظَّف بشريّ.

٣.٥ محادثات النهاية مع البوت

• نصّ الرسائل بين الزائر والبوت، توقيتها، تقييم العميل (من ١ إلى ٥ نجوم) وتعليقه الاختياريّ، ومُعرّف الجلسة.
• لُغة المحادثة، عدد التوكنات المُستهلَكة (لاحتساب الفواتير).
• تنبيه مُهمّ للعميل: أنت بصفتك صاحب الوكيل تُعدّ المُتحكِّم في بيانات زوّار موقعك أمام أنظمة الخصوصية السعوديّة، ويلزمك إفصاحٌ مستقلّ في موقعك يُعلِم زوّارك أنّ المحادثة تتمّ مع بوت ذكاء اصطناعيّ ويُحفظ مُحتواها.

٣.٦ بيانات التسويق والإحالة (Affiliate)

• لو سجّلتَ في برنامج الإحالة: روابطك على الشبكات الاجتماعيّة (اختياريّ)، حجم الجمهور التقديريّ، إستراتيجيّة الترويج.
• للنقرات على روابط الإحالة: تجزئة لعنوان IP (وليس العنوان نفسه)، نوع المتصفّح، الموقع المُحيل، والمسار المُستهدَف — لقياس الأداء واحتساب العمولات.
• المحتوى الترويجيّ المُقترَح للموافقة المُسبقة، وسجلات التحويلات والمدفوعات للعمولات.

٣.٧ بيانات الفِرَق والموظفين

• دعوات الموظّفين (بريد، دور، حالة)، سجلات النشاط داخل لوحة التحكم لأغراض الحوكمة.

٣.٨ بيانات تقنيّة وتشغيليّة

• سجلّات الخوادم (Logs) للأخطاء وحالات الاستجابة لأغراض الموثوقيّة واكتشاف الأعطال.
• مقاييس الاستخدام المُجمَّعة (عدد الرسائل، الزمن الاستجابيّ، التوكنات) — هذه المقاييس مُجمَّعة وغير مرتبطة بهويّةٍ مُحدَّدة للعملاء النهائيّين.

٤. أغراض المعالجة والأساس النظاميّ

نعالج بياناتك بناءً على واحدٍ أو أكثر من الأُسس الواردة في المادة (٦) من نظام حماية البيانات الشخصيّة:

٥. ما لا نَفعله ببياناتك

• لا نبيع بياناتك الشخصيّة ولا محتوى بوتك ولا محادثات عملائك إلى أيّ طرفٍ ثالث، تحت أيّ ظرف.
• لا نُدرِّب نماذج الذكاء الاصطناعيّ العامّة على مُحتواك المرفوع ولا على محادثات عملائك. التمثيلات الرقميّة (embeddings) تُحفظ في قاعدة بياناتك المعزولة فقط.
• لا نستخدم بياناتك لأغراض إعلانيّة موجَّهة عبر المواقع.
• لا نُخزِّن كلمات المرور أو أرقام البطاقات أو CVV بنصٍّ صريح.
• لا نَدخل إلى محتواك أو محادثاتك إلا بإذنك الصريح أو عند ضرورةٍ تشغيليّةٍ مُلِحّة (تحقيق حادثة أمان أو طلب دعم فنيّ منك)، ويُسجَّل كلّ دخولٍ في سجلٍّ داخليّ مدقَّق.

٦. مُعالِجو البيانات (الأطراف الفرعيّة)

لتقديم الخدمة نَستعين بمُعالِجين فرعيّين موثوقين، وكلٌّ منهم مُلزَم باتفاقيّة معالجة بيانات (DPA) أو شروط خدمة معتمدة:

تُحدَّث قائمة المُعالِجين على هذه الصفحة. أيّ تغييرٍ جوهريّ يُعلَن قبل سريانه.

٧. نقل البيانات خارج المملكة

قد تَتمّ معالجة بعض بياناتك التشغيليّة خارج المملكة العربية السعودية لدى المُعالِجين المذكورين أعلاه. يَحدث هذا النقل وفق أحكام المادة (٢٩) من نظام حماية البيانات الشخصيّة، وضمن الضمانات التالية:

• التشفير في النقل (TLS 1.2+) وفي التخزين (AES-256 على الـbackups).
• اتفاقيّات تعاقديّة تُلزم المُعالِج بمعايير حماية مكافئة لمعايير PDPL.
• تقليل البيانات قدر الإمكان: لا نُرسل لـ DeepSeek سوى نصّ المحادثة مع مُحتوى المعرفة، ولا نُرسل بيانات الحساب الشخصيّة.
• البيانات الماليّة الحساسّة (تفاصيل البطاقات الكاملة) لا تُغادر بيئة بوّابة الدفع داخل المملكة.

٨. الاحتفاظ بالبيانات وحذفها

الحذف اليدويّ فقط: الحساب وبياناته لا تُحذف تلقائيّاً مهما طالت فترة عدم النشاط. يَحدث الحذف الكامل والنهائيّ فقط عندما تَطلبه أنت من إعدادات الحساب → حذف الحساب، وبعدها لا يمكن استرجاع البيانات. السجلّات المُلزَمة نظاماً (الفواتير، سجلّات الأمان) قد تَبقى للمدد المنصوص عليها أعلاه ثمّ تُجهَّل (anonymized) بحيث لا يمكن ربطها بهويّةٍ مُحدَّدة.

٩. حقوقك على بياناتك

نَحترم حقوقك المنصوص عليها في نظام حماية البيانات الشخصيّة، ووفّرنا لك أدواتٍ في لوحة التحكم لممارسة هذه الحقوق بنفسك دون الحاجة للتواصل معنا:

• تحميل بياناتك: من الإعدادات → بياناتي → تحميل بياناتي، تَحصل على نسخةٍ كاملةٍ من بياناتك بصيغة JSON (يُغطّي حقّ الوصول والحصول على نسخة ونقل البيانات).
• تعديل بياناتك: من الإعدادات → الملف الشخصيّ، تَقدر تُعدِّل اسمك وبريدك ورقم جوالك وصورتك مباشرةً (يُغطّي حقّ التصحيح).
• حذف حسابك: من الإعدادات → الحساب → حذف الحساب، تُحذف جميع بياناتك نهائيّاً ولا يُمكن استرجاعها (يُغطّي حقّ الإتلاف وسحب الموافقة).
• حقّ العلم: هذه السياسة تُوضِّح بالكامل ما نَجمعه ولماذا.

في حالاتٍ استثنائيّة لا تُغطّيها أدوات لوحة التحكم، يمكنك التواصل معنا على [email protected] مع كتابة «خصوصية» في عنوان الإيميل، ونتعامل مع طلبك وفق الإجراءات المعتمدة لدى المنصّة وبما يَتَوافق مع المتطلّبات النظاميّة.

١٠. ملفّات تعريف الارتباط (Cookies)

نستخدم ملفّات تعريف ارتباطٍ ضروريّة فقط لتشغيل الخدمة:

• next-auth.session-token — لتسجيل الدخول وحفظ الجلسة (HttpOnly + Secure + SameSite=Lax).
• next-auth.csrf-token — لمنع هجمات التزوير عبر المواقع.
• __Secure-next-auth.callback-url — للعودة لمسارك الأصليّ بعد تسجيل الدخول.

لا نَستخدم ملفّات تتبّع إعلانيّ ولا Google Analytics ولا Facebook Pixel ولا أيّ أداة تتبّع عبر المواقع. تعطيل الكوكيز الضروريّة سيمنعك من تسجيل الدخول.

١١. الأمان

• تشفير كلّ الاتصالات بـ HTTPS عبر TLS 1.2+.
• تجزئة كلمات المرور بـ bcrypt فلا تُحفَظ بنصٍّ صريح ولا يُمكن استرجاعها.
• التحقّق الثنائيّ (2FA) عبر البريد الإلكترونيّ متاح، ويَحتاج إلى تفعيلٍ منك من إعدادات الحساب → الأمان.
• عزل بيانات كلّ مستخدم منطقيّاً في قاعدة البيانات بمُعرّفات لا تَسمح بتسرّب أفقيّ بين الحسابات.
• تقييد الوصول الإداريّ للخوادم بمبدأ أقلّ صلاحيّة (Least Privilege) وعبر مفاتيح SSH.
• مراقبة آليّة لمحاولات الدخول الفاشلة وحظر مؤقت لعناوين IP المشبوهة.
• نُطبِّق إجراءاتٍ تقنيّةً لاستمراريّة الأعمال وحماية البيانات وفق أفضل الممارسات. لا نَضمن استرجاع بياناتٍ فرديّةٍ بناءً على طلب المستخدم، وعلى المستخدم الاحتفاظ بنسخٍ من بياناته الحرجة.

تنبيه: لا يُمكن لأيّ نظامٍ تقنيّ ضمان الحماية المطلقة. تَتحمّل أنت مسؤوليّة الحفاظ على سريّة بيانات دخولك.

١٢. الحوادث الأمنيّة

في حال وقوع حادثةٍ أمنيّةٍ قد تُعرِّض بياناتك للخطر، نَلتزم باتّخاذ الإجراءات اللازمة وإبلاغ الجهات المختصّة والمتأثّرين وفق المتطلّبات النظاميّة المعمول بها.

١٣. الذكاء الاصطناعيّ والقرارات الآليّة

تَستخدم المنصّة الذكاء الاصطناعيّ لتوليد ردود البوت تلقائيّاً. لا تَتّخذ المنصّة قراراتٍ قانونيّةً أو ماليّةً أو طبيّةً نيابةً عنك أو عن عملائك. أنت المسؤول عن مراجعة وتأكيد أيّ قرار قبل تنفيذه. للتفاصيل راجع الشروط والأحكام.

١٤. خصوصية الأطفال

المنصّة موجَّهة للاستخدام التجاريّ والمؤسّسيّ ومُخصَّصة لمَن بلغ الثامنة عشرة. لا نَجمع عن سابق معرفةٍ بياناتٍ من الأطفال. إن علمتَ أنّ طفلاً قدَّم بياناتٍ إلينا، راسلنا فوراً على [email protected] لحذفها.

١٥. تعديلات هذه السياسة

نُراجع هذه السياسة دوريّاً ونُحدِّثها كلّما تغيّرت الخدمة. تُعلَن التعديلات داخل لوحة التحكم. استخدامك المستمرّ بعد النشر يُعدُّ قبولاً للنسخة المُحدَّثة، ويحقّ لك دائماً إنهاء الاشتراك إن لم توافق.

١٦. القانون الواجب التطبيق

تَخضع هذه السياسة لأنظمة المملكة العربية السعودية، ويَختصّ النظر في أيّ نزاعٍ يَنشأ عنها بالجهات القضائيّة السعوديّة المختصّة.

١٧. التواصل

• البريد: [email protected] — اكتب في عنوان الإيميل كلمة «خصوصية» ليصلك الردّ من القسم المختصّ.
• الموقع: ai.saudismart.co