سياسة الخصوصية
تلتزم زمام (المُشار إليها بـ “زمام” أو “نحن”) بحماية البيانات الشخصية للمستخدمين وفقاً
لنظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/19) ولائحته التنفيذية. توضّح
هذه السياسة فئات البيانات التي تجمعها زمام، وأغراض المعالجة، والأساس النظامي، ومدد
الاحتفاظ، وحقوق صاحب البيانات وكيفية ممارستها. تنطبق هذه السياسة على جميع الزوار الذين
يستخدمون خدمة الفحص الخارجي على موقع zmam.ai.
المتحكم في البيانات
المتحكم في البيانات هو خدمة زمام، تحت الاسم التجاري “زمام” (زمام):
- الاسم التجاري: زمام (زمام)
- قناة التواصل لشؤون الخصوصية:
[email protected]
تعمل زمام حالياً كاسم تجاري في مرحلة ما قبل التسجيل بهيئة اعتبارية مستقلة. سيتم تحديث بيانات المتحكم فور إتمام التسجيل التجاري لتشمل البيانات الكاملة للجهة المسجّلة.
ما الذي نجمعه ولماذا
| نوع البيانات | الغرض | الأساس النظامي |
|---|---|---|
| بريد مُقدِّم الطلب | إرسال رابط التأكيد ثم تسليم تقرير الفحص. | تنفيذ الخدمة المطلوبة، وموافقة صريحة عبر مربع الإقرار. |
| النطاق المُدخَل | تشغيل الفحص الخارجي على النطاق المحدد. | تنفيذ الخدمة المطلوبة. |
| تجزئة (sha256) لعنوان IP | تطبيق حدود الاستخدام اليومية ومنع إساءة الاستخدام. | المصلحة المشروعة لحماية الخدمة، دون تخزين العنوان الأصلي. |
| تجزئة (sha256) لمعرّف المتصفح | كشف الأنماط الآلية المسيئة. | المصلحة المشروعة لمكافحة إساءة الاستخدام. |
| نتائج الفحص الخارجي | إعداد التقرير وتسليمه عبر البريد، وتوجيه النتائج الحساسة لاحقاً (الإصدار 0.1). | تنفيذ الخدمة المطلوبة. |
رسائل التواصل (contact_messages) | استقبال رسائل التواصل: الاسم، البريد، الموضوع الاختياري، نص الرسالة، وتجزيئات IP/المتصفح. | الرد على طلب التواصل، والمصلحة المشروعة في حماية الخدمة من الإساءة. |
ملاحظات:
- لا يُسجَّل عنوان IP الأصلي ولا معرّف المتصفح الكامل؛ تُحفظ القيم المُجزّأة فقط.
- لا تستخدم زمام أي ملفات تعريف ارتباط للتتبّع، ولا أي أدوات تتبّع طرف ثالث، ولا إعلانات، ولا بصمة جهاز.
- نستعين بأداة Cloudflare Web Analytics المجانية لقياس عدد الزيارات بشكل تجميعي فقط، دون كوكيز، ودون إرسال عنوان IP إلى أي طرف ثالث، حيث تُعالج البيانات ضمن نفس بيئة Cloudflare التي تستضيف الموقع. كما نسجّل عدّادات داخلية مجمَّعة على جانب الخادم لمتابعة أداء قُمع الفحص (طلب الفحص، التأكيد، اكتمال الفحص، إرسال البريد) ولا تحتوي هذه العدّادات على أي بيانات تعريف شخصية.
- نستخدم خط IBM Plex Sans Arabic عبر Google Fonts لتحسين عرض النص العربي. قد يتصل المتصفح بخوادم Google لتحميل الخط؛ لا يُرسَل أي محتوى أو معرّفات تتبّع، ولا نستخدم Google Analytics أو أي خدمات إعلانية. خيار استضافة الخط ذاتياً قيد التنفيذ لإزالة هذا الاتصال نهائياً.
- لا تتخذ زمام قرارات آلية بحتة ذات أثر قانوني على صاحب البيانات.
مدد الاحتفاظ بالبيانات
| الفئة | المدة المستهدفة |
|---|---|
طلبات الفحص (scan_requests) | 90 يوماً من تاريخ الإنشاء. |
نتائج الفحص (scan_results) | 90 يوماً من تاريخ اكتمال الفحص. |
سجل البريد الصادر (report_emails) | 90 يوماً من تاريخ الإرسال. |
رسائل التواصل (contact_messages) | 180 يوماً من تاريخ الاستلام. |
سجل الأحداث (audit_logs) | 365 يوماً من تاريخ الحدث. |
| حدود الاستخدام اليومية | 32 يوماً من نهاية النافذة الزمنية للحد. |
| روابط تأكيد البريد | 7 أيام بعد التأكيد أو انتهاء الصلاحية (24 ساعة). |
نعمل على أتمتة الحذف الكامل لجميع الفئات وفق هذه المدد. حالياً تُحذف تلقائياً الطلبات
غير المُؤكَّدة (pending_verification) خلال 24 ساعة من انتهاء صلاحية رابط التأكيد،
وتُدار بقية فئات الحذف وفق إجراء تشغيلي داخلي يدوي حتى اكتمال مهمة الحذف المجدول
المخطّط لها للإصدار 0.1.
نقل البيانات خارج المملكة
تعتمد زمام على مزودي بنية تحتية خارج المملكة العربية السعودية لتشغيل الموقع وإرسال البريد:
- Cloudflare, Inc. (الولايات المتحدة): استضافة الموقع، تنفيذ الدوال البرمجية، وقاعدة
البيانات (Cloudflare D1). تم اختيار منطقة
weur(أوروبا الغربية) لتخزين البيانات نظراً لعدم توفّر منطقة الشرق الأوسط حالياً ضمن خيارات Cloudflare D1. اتفاقية معالجة البيانات (DPA) . - Resend (Resend, Inc.) (الولايات المتحدة): إرسال رسائل البريد الإلكتروني التأكيدية وتقارير الفحص. اتفاقية معالجة البيانات (DPA) .
يجري النقل وفقاً لضوابط النقل الخارجي للبيانات الشخصية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)، وعبر بنود تعاقدية لحماية البيانات مع كل مزوّد.
حقوقك وكيفية ممارستها
تكفل زمام لصاحب البيانات الحقوق المنصوص عليها في نظام حماية البيانات الشخصية، وتشمل:
- الحق في العلم بأسس وأغراض جمع البيانات.
- الحق في الوصول إلى بياناتك الشخصية المحفوظة لدينا.
- الحق في طلب تصحيح أو تحديث أو استكمال البيانات.
- الحق في طلب إتلاف بياناتك متى انتفت الحاجة إليها.
- الحق في تقديم شكوى للهيئة السعودية للبيانات والذكاء الاصطناعي.
كيفية تقديم الطلب (DSAR):
- أرسل بريداً إلكترونياً إلى
[email protected]. - يجب أن يكون البريد صادراً من العنوان البريدي ذاته الذي استخدمته عند تقديم طلب الفحص، ليتسنّى لنا التحقق من هويتك دون طلب وثائق إضافية.
- اذكر في الطلب نوع الحق الذي ترغب في ممارسته والنطاق المعني (إن وُجد).
- سنرد على طلبك خلال 30 يوماً من تاريخ استلامه، ما لم يستلزم الطلب تمديداً مبرراً.
إذا كنت غير قادر على إثبات هويتك عبر البريد الأصلي (مثلاً، فقدان الوصول)، يُرجى مراسلتنا لنتفق على وسيلة تحقق بديلة بالحد الأدنى من البيانات اللازمة.
إشعار الانتهاكات
في حال وقوع انتهاك يؤثر على بياناتك الشخصية، تلتزم زمام بإشعار الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) خلال 72 ساعة من علمنا بالحادثة، وفقاً للمادة (24) من اللائحة التنفيذية لنظام حماية البيانات الشخصية. كما سنُبلغ صاحب البيانات المتأثر متى استلزم الحادث ذلك.
الإصدار 0.0.1 — تاريخ آخر تحديث: 2026-05-26