# سياسة الخصوصية — Dealix **آخر تحديث:** 2026-04-23 **يسري من:** 2026-04-23 **متوافق مع:** نظام حماية البيانات الشخصية السعودي (PDPL) + GDPR --- ## ملخص تنفيذي (TL;DR) - **من نحن:** Dealix — منصة إدارة مبيعات سعودية - **ماذا نجمع:** بيانات تشغيل المنصة + بيانات العملاء اللي تدخلها - **لماذا:** لتقديم الخدمة، تحسينها، والامتثال للأنظمة - **مع من نشارك:** Subprocessors محددون (STC Cloud، Moyasar، PostHog، Sentry) — لا غيرهم - **حقوقك:** الوصول، التصحيح، الحذف، النقل، الاعتراض — مُعرّفة بوضوح أدناه - **مدة الاحتفاظ:** تشغيلي 30 يوم بعد الإلغاء، ثم حذف نهائي - **التواصل:** privacy@dealix.sa (Data Protection Officer) --- ## 1. الأطراف **المتحكم (Controller):** - شركة Dealix للتقنية - [العنوان — يُملأ عند التأسيس] - السجل التجاري: [رقم] - الرياض، المملكة العربية السعودية **مسؤول حماية البيانات (DPO):** - سامي العسيري (مؤقتاً) - privacy@dealix.sa **نحن نعالج البيانات كـ:** - **Controller:** لبيانات حسابك الشخصي كمستخدم Dealix - **Processor:** لبيانات عملائك (الـ leads) اللي تدخلها في المنصة — أنت الـ controller لها --- ## 2. البيانات التي نجمعها ### 2.1 بيانات الحساب (أنت كمستخدم) - الاسم الكامل - البريد الإلكتروني - رقم الجوال - اسم الشركة + المنصب - كلمة المرور (مشفّرة bcrypt cost 12) - عنوان IP + معلومات المتصفح (للأمان) ### 2.2 بيانات الدفع (عبر Moyasar فقط) - **لا نُخزّن** بيانات البطاقات. يُعالجها Moyasar (PCI DSS Level 1). - نحتفظ بـ: رقم الفاتورة، المبلغ، تاريخ الدفع، آخر 4 أرقام من البطاقة (للإيصالات). ### 2.3 بيانات الاستخدام (تلقائية) - صفحات زرتها، الوقت المستغرق، النقرات - Device fingerprint (للأمان) - **Analytics tool:** PostHog EU (anonymized + cookieless) ### 2.4 بيانات عملائك (Leads) - كل ما تدخله في الـ pipeline: اسم الـ lead، الشركة، الاتصال، الملاحظات - **نحن Processor لهذه البيانات** — أنت المتحكم - **نحن لا:** - نطّلع عليها (إلا بطلب دعم منك) - نبيعها - نستخدمها لتدريب أي AI --- ## 3. كيف نستخدم البيانات | الغرض | الأساس القانوني | مثال | |------|---------------|------| | تقديم الخدمة | تنفيذ العقد | عرض pipeline، إرسال تنبيهات | | الفوترة | تنفيذ العقد | إرسال الفواتير، معالجة الدفع | | الأمان | المصلحة المشروعة | كشف اختراق، منع الاحتيال | | الدعم الفني | تنفيذ العقد | الرد على تذاكر الدعم | | التسويق | الموافقة الصريحة | نشرة بريدية (unsubscribe متاح) | | التحليلات | المصلحة المشروعة | تحسين UX (PostHog anonymized) | | الامتثال | الالتزام القانوني | حفظ الفواتير 10 سنوات (Zakat) | **ما لا نفعله:** - لا نبيع بياناتك لأي طرف ثالث — **أبداً** - لا ندرّب AI على بياناتك - لا نستخدم بياناتك لـ profiling تسويقي خارج Dealix --- ## 4. مع من نشارك البيانات (Subprocessors) | Subprocessor | الدور | الموقع | DPA | |-------------|------|-------|-----| | STC Cloud | استضافة | الرياض، السعودية | موقّع | | Moyasar | معالجة الدفع | الرياض، السعودية | موقّع | | PostHog EU | Analytics (anonymized) | فرانكفورت، ألمانيا | موقّع | | Sentry | Error tracking (scrubbed) | سان فرانسيسكو، USA | موقّع (SCCs) | | Resend | Email delivery | دبلن، أيرلندا | موقّع (SCCs) | **قبل إضافة أي Subprocessor جديد:** نُشعر العملاء قبل 30 يوم. **Data transfers خارج السعودية:** - محصورة بـ PostHog (EU — Adequacy decision)، Sentry (SCCs)، Resend (EU) - لا ننقل Saudi citizen data خارج السعودية بدون موافقة صريحة --- ## 5. حقوقك ### 5.1 الحقوق الأساسية (PDPL + GDPR) | الحق | كيف تمارسه | موعد الرد | |------|----------|----------| | **الوصول** — ماذا لديكم عني؟ | dashboard → Settings → Export | فوري | | **التصحيح** | dashboard → Settings → Edit | فوري | | **الحذف** | privacy@dealix.sa | ≤ 30 يوم | | **النقل** (Portability) | dashboard → Export (CSV/JSON) | فوري | | **الاعتراض** على المعالجة | privacy@dealix.sa | ≤ 30 يوم | | **تقييد المعالجة** | privacy@dealix.sa | ≤ 30 يوم | | **سحب الموافقة** | dashboard → Settings → Privacy | فوري | ### 5.2 حق الشكوى لك الحق في تقديم شكوى إلى: - **الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)** - الموقع: sdaia.gov.sa - البريد: privacy@sdaia.gov.sa --- ## 6. مدة الاحتفاظ | نوع البيانات | مدة الاحتفاظ | |------------|-------------| | بيانات الحساب النشط | طالما الحساب موجود | | بعد إلغاء الحساب (تشغيلي) | 30 يوم ثم حذف نهائي | | الفواتير (التزام قانوني) | 10 سنوات (Zakat KSA) | | Audit logs | 12 شهر | | Support tickets | 24 شهر | | Marketing lists | حتى unsubscribe | | Backups | 90 يوم rolling | **بعد انتهاء المدة:** حذف نهائي غير قابل للاسترداد + شهادة SHA-256 hash. --- ## 7. أمان البيانات التدابير المطبّقة: - **التشفير:** AES-256 at rest + TLS 1.3 in transit - **المصادقة:** MFA إلزامي للـ admins - **الصلاحيات:** RBAC + principle of least privilege - **المراقبة:** 24/7 SOC monitoring - **النسخ الاحتياطي:** يومي، مشفّر، geo-replicated - **اختبارات الاختراق:** ربع سنوية عبر طرف ثالث - **تدريب الموظفين:** سنوي — security awareness **تفاصيل كاملة:** `security_faq.md` --- ## 8. حوادث البيانات إذا حدث اختراق يمس بياناتك: - إشعارك خلال **24 ساعة** من الاكتشاف - إشعار SDAIA خلال **72 ساعة** (حسب PDPL) - تقرير مفصّل خلال **7 أيام** - خطة علاج + تعويض (إن انطبق) --- ## 9. ملفات تعريف الارتباط (Cookies) ### ضرورية (لا تحتاج موافقة) - `session_id` — للمصادقة (HttpOnly + Secure) - `csrf_token` — حماية من CSRF - `lang` — تفضيل اللغة ### اختيارية (تتطلب موافقة) - `posthog_*` — analytics (anonymized — opt-in فقط) **لا نستخدم:** - إعلانات خارجية - Third-party trackers - Social media pixels إدارة الـ cookies: dealix.sa/cookie-preferences --- ## 10. الأطفال Dealix خدمة B2B — غير مُعدّة لأطفال تحت 18 سنة. لا نجمع بيانات قاصرين عمداً. إن اكتشفنا، نحذفها فوراً. --- ## 11. النقل الدولي للبيانات البيانات الأساسية **تبقى في السعودية** (STC Cloud الرياض). الاستثناءات المحدودة: - Analytics (PostHog EU — Germany, GDPR adequacy) - Error tracking (Sentry US — SCCs مُوقّعة) - Email (Resend EU — GDPR adequacy) كل نقل: anonymized أو scrubbed من PII حسب الإمكان. --- ## 12. التحديثات على هذه السياسة - تغييرات جوهرية: إشعار قبل 30 يوم عبر البريد - تغييرات تحريرية: تحديث الصفحة فقط - الإصدارات السابقة: dealix.sa/privacy/archive --- ## 13. التواصل **مسؤول حماية البيانات (DPO):** - privacy@dealix.sa - موعد الرد: ≤ 48 ساعة **العنوان البريدي:** Dealix للتقنية [العنوان] الرياض، المملكة العربية السعودية **الشكاوى للجهات التنظيمية:** - SDAIA: sdaia.gov.sa/privacy - Data Protection Authority في بلدك (للمقيمين خارج السعودية) --- ## 14. القانون المطبّق - **السعودية:** نظام حماية البيانات الشخصية (PDPL) 2023 - **الاتحاد الأوروبي:** GDPR 2016/679 - **المحاكم المختصة:** محاكم الرياض (ما لم ينص عقد EU على خلاف) --- *هذه الوثيقة نسخة صادقة ومُلزمة. لأي تضارب مع ترجمات أخرى، النسخة العربية هي المعتمدة.* **الإصدار:** 1.0 | **التاريخ:** 2026-04-23