سياسة الخصوصية
كيف تجمع svdy بياناتك الشخصية وتستخدمها وتشاركها وتحميها — مكتوبة وفق معيار الإفصاح في المادتين 13/14 من اللائحة العامة لحماية البيانات (GDPR) ومتسقة مع CCPA/CPRA. لغة واضحة، التزامات محددة، وروابط للآليات التشغيلية التي تقوم عليها.
1. ما الذي نجمعه
نجمع ثلاث فئات من البيانات الشخصية:
• بيانات الحساب التي تقدمها: الاسم، البريد الإلكتروني المهني، اسم المؤسسة، المنصب، الهاتف (اختياري)، جهة اتصال الفوترة. تقدمها أنت أو مسؤول مؤسستك أثناء التسجيل.
• البيانات التشغيلية الناتجة عن الاستخدام: سجلات الحضور (طوابع وقت الدخول/الخروج + إحداثيات GPS عند تفعيل تحديد النطاق الجغرافي)، الجداول، طلبات الإجازة، نماذج العمليات، الرسائل داخل التطبيق، سجلات تدقيق إجراءات المسؤولين.
• القياس التقني: عنوان IP، نوع المتصفح/الجهاز، طوابع وقت الجلسة، آثار الأخطاء (عينات). تُستخدم لمراقبة الأمان وموثوقية المنتج — لا تُستخدم أبدًا لاستهداف الإعلانات.
لا نشتري بيانات شخصية من وسطاء البيانات، ولا نُشغّل حزم SDK تحليلية تُشارك البيانات مع شبكات إعلانية خارجية، ولا نبيع المعلومات الشخصية بالمعنى المُحدد في CCPA §1798.140(t).
2. كيف نستخدم بياناتك
نُعالج البيانات الشخصية للأغراض التالية فقط:
• تقديم الخدمة — تشغيل ميزات الحضور والجداول وسير العمل التي اشتركت فيها مؤسستك. الأساس التعاقدي وفق المادة 6(1)(ب) من GDPR.
• تحسين الخدمة — إحصاءات استخدام مجمعة ومُجهلة الهوية لتحديد اختناقات الأداء وطلبات الميزات. لا يمكن إعادة ربطها بموظف فردي. مصلحة مشروعة وفق المادة 6(1)(و) من GDPR.
• الأمان ومنع الاحتيال — اكتشاف الوصول غير المصرح به، أنماط إساءة الاستخدام، والهجمات على المنصة. مصلحة مشروعة وفق المادة 6(1)(و) من GDPR، متوازنة مع خصوصيتك من خلال تقليل البيانات والاحتفاظ القصير.
• الامتثال القانوني — الاستجابة للمذكرات وأوامر المحاكم والطلبات التنظيمية المشروعة. المادة 6(1)(ج) من GDPR.
• التواصل — إعلانات الخدمة (دائمًا)، تأهيل الفترة التجريبية (خلال الفترة فقط)، تحديثات المنتج (يمكن إلغاء الاشتراك من إعدادات الإشعارات).
نحن لا نستخدم بياناتك لتدريب نماذج اللغة الكبيرة، ولا نشاركها مع شبكات الإعلانات، ولا نُثري بيانات موظفيك بمصادر خارجية.
3. كيف نحمي بياناتك
ضوابط أمان ملموسة قائمة اليوم:
• التشفير في حالة السكون: AES-256 على جميع بيانات العملاء المُخزنة (RDS / S3 / EBS).
• التشفير أثناء النقل: TLS 1.2+ على كل نقطة نهاية تواجه العميل وكل قفزة داخلية بين الخدمات.
• التحكم في الوصول: تحكم في الوصول قائم على الأدوار في طبقة التطبيق؛ AWS IAM بأقل امتياز في طبقة البنية التحتية؛ المصادقة متعددة العوامل إلزامية لكل وصول إداري للموظفين.
• سجلات التدقيق: كل إجراء إداري مُسجل مع الفاعل والطابع الزمني والهدف. الاحتفاظ 7 أيام (Free) / سنة واحدة (Starter+) / 3 سنوات (Pro+).
• الشبكة: نشر AWS متعدد المناطق في us-east-1؛ بدون نقاط نهاية قاعدة بيانات عامة؛ تقتصر مدخلات Security Groups على موازنات الأحمال.
• الأسرار: بيانات اعتماد الإنتاج في AWS Secrets Manager؛ ليست أبدًا في متغيرات البيئة أو شيفرة المصدر.
للاطلاع على بنية الأمان والجدول الزمني لـ SOC 2، يرجى زيارة /trust و /trust/soc2.
4. حقوقك
بصرف النظر عن مكان إقامتك، لديك الحقوق التالية على بياناتك الشخصية:
• حق الوصول — الحصول على نسخة مما نحتفظ به عنك. التصدير متاح في إعدادات حسابك؛ نرد على الطلبات المباشرة خلال 30 يومًا.
• حق التصحيح — تصحيح البيانات الشخصية غير الدقيقة. خدمة ذاتية في إعدادات الحساب أو راسلنا.
• حق المحو («حق النسيان») — حذف بياناتك عند عدم وجود سبب تجاري مشروع للاحتفاظ بها. ملاحظة: قد يحتاج صاحب العمل (المتحكم) إلى الاحتفاظ بسجلات الحضور للامتثال لقانون العمل؛ دورنا كمعالج هو اتباع تعليماته.
• حق تقييد المعالجة — إيقاف استخدامنا لبياناتك مؤقتًا أثناء حل النزاع.
• حق نقل البيانات — الحصول على بياناتك بتنسيق قابل للقراءة آليًا (CSV / JSON).
• حق الاعتراض — الانسحاب من المعالجة القائمة على المصلحة المشروعة، مثل تحليلات تحسين الخدمة.
• حق سحب الموافقة — للحضور بالتعرف على الوجه (المادة 9(2)(أ) من GDPR) وأي معالجة أخرى قائمة على الموافقة.
• حق الشكوى — إلى سلطة حماية البيانات المحلية لديك. سكان الاتحاد الأوروبي: السلطة الوطنية. سكان المملكة المتحدة: ICO. سكان كاليفورنيا: California Privacy Protection Agency.
لممارسة أي من هذه الحقوق، راسلنا على legal@svdy.com. نرد خلال 5 أيام عمل؛ الحل الكامل خلال 30 يومًا وفق المادة 12(3) من GDPR.
5. ملفات تعريف الارتباط والتقنيات المماثلة
نستخدم مجموعة دنيا من ملفات تعريف الارتباط. لا نستخدم ملفات تعريف ارتباط إعلانية لأطراف ثالثة، ولا متعقبات بكسل، ولا بصمات الأجهزة.
• ملفات تعريف الارتباط الضرورية بشكل صارم (لا يمكن إلغاء الاشتراك، لا يوجد غرض تتبع): معرف الجلسة للمصادقة، رمز CSRF للأمان.
• ملفات تعريف الارتباط الوظيفية (يمكنك تعطيلها في المتصفح): تفضيل اللغة، خيارات تخطيط لوحة التحكم.
• ملفات تعريف ارتباط التحليلات: لا توجد على النطاقات الفرعية للمستأجرين التي تواجه العميل (qutime.com / pureoa.com). svdy.com (موقع التسويق هذا) حاليًا لا يُشغّل أي SDK تحليلي. ستكون التحليلات المستقبلية بدون ملفات تعريف ارتباط (تجميع من جانب الخادم فقط) تماشيًا مع التزامنا بعدم استخدام تقنيات الإعلانات الخارجية.
ملفات تعريف الارتباط مقتصرة على النطاقات الأولية فقط (svdy.com / qutime.com / pureoa.com / id.svdy.com). لا نُضمن iframes خارجية تُحمّل ملفات تعريف ارتباط تتبع.
6. الاتصال، إشعار الخروقات، التحديثات
جهة الاتصال لحماية البيانات: legal@svdy.com — مزودة بالموظفين خلال ساعات العمل الأمريكية، الرد على الاستفسارات العامة خلال 5 أيام عمل وعلى العاجلة (الموضوع يحتوي على «urgent» أو «breach») خلال 24 ساعة.
إشعار الخرق: إذا أثر حادث أمني على بياناتك الشخصية، نُخطر جهة اتصال DPO المعينة لمؤسستك خلال 72 ساعة من العلم (المادة 33(1) من GDPR) مع النطاق والسبب المُشتبه به وخطوات المعالجة وأي إجراءات يجب اتخاذها.
المعالجون الفرعيون: نشارك البيانات فقط مع خدمات الأطراف الخارجية المُدرجة في /trust/sub-processors (AWS، Stripe، Amazon SES، Expo، Cloudflare DNS). يعمل كل منها بموجب DPA الخاص به المُشار إليه في تلك الصفحة. نُخطر العملاء قبل 30 يومًا من إضافة أو إزالة معالج فرعي.
النقل الدولي: تُخزن بيانات العملاء في AWS us-east-1 (الولايات المتحدة). يغطي SCCs الاتحاد الأوروبي (إصدار 2021) المضمنة في DPA الخاص بنا في /trust/dpa عمليات النقل من الاتحاد الأوروبي إلى الولايات المتحدة. تضيف عمليات نقل المملكة المتحدة UK Addendum إلى SCCs.
تحديثات هذه السياسة: ننشر التغييرات الجوهرية قبل 30 يومًا من سريانها مع سجل تغييرات في الأعلى. تظهر آخر تاريخ تحديث أعلاه. الإصدار الحالي يقيم دائمًا في svdy.com/privacy.
أسئلة حول كيفية تعاملنا مع بياناتك أو تريد ممارسة حقوق GDPR/CCPA (الوصول، الحذف، النقل)؟ راسلنا على legal@svdy.com — نرد خلال 5 أيام عمل.
