تخطَّ إلى المحتوى الرئيسي
Mustafeed
تجريبية
English

سياسة الخصوصية

آخر تحديث: 17 أبريل 2026 — الإصدار 4.0

توضّح هذه السياسة كيف يجمع مستفيد ويستخدم ويحمي بياناتك الشخصية وفق نظام حماية البيانات الشخصية السعودي (PDPL) ولائحته التنفيذية، وبما يتماشى مع معايير المكتب الوطني لإدارة البيانات (NDMO) والضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA).

1. مراقب البيانات ومسؤول حماية البيانات

مستفيد هي مراقب البيانات عن المعلومات الشخصية التي تُعالَج عبر المنصة. تمّ تعيين مسؤول حماية بيانات (DPO) للإشراف على الالتزام بنظام PDPL.

  • عنوان التواصل للخصوصية: privacy@mustafeed.com.sa
  • مسؤول حماية البيانات (DPO): dpo@mustafeed.com.sa
  • العنوان: الرياض، المملكة العربية السعودية

2. نطاق هذه السياسة

تسري هذه السياسة على جميع زوار ومستخدمي منصة مستفيد (mustafeed.com.sa) وتطبيقاتها المساعدة. لا تشمل هذه السياسة ممارسات البنوك أو مواقع الأطراف الثالثة التي نرتبط بها — يُرجى مراجعة سياسات تلك الجهات مباشرة.

3. فئات البيانات التي نجمعها

  • بيانات تعريفية: الاسم، البريد الإلكتروني، رقم الهاتف، كلمة المرور (مخزّنة مُشفَّرة بـ bcrypt).
  • بيانات ديموغرافية: الجنسية، نطاق الراتب، المدينة، العمر، الجنس، الحالة الاجتماعية، تفضيلات نمط الحياة.
  • بيانات الإنفاق: فئات الإنفاق الشهري التي تُدخلها طوعياً في الحاسبة (لا تُجمع من مصارفك أو بنوكك).
  • بيانات الحساب والاستخدام: البطاقات المحفوظة، التحسينات، نتائج الاختبار، تفاعلات الحاسبة، محادثات مع المساعد الذكي، ضغطات الإحالة.
  • بيانات تقنية: عنوان IP، نوع المتصفح، نظام التشغيل، معرّفات الجهاز، الصفحات المُزارة، أوقات الزيارة، سجلات التدقيق.
  • بيانات الاشتراك والدفع: حالة الاشتراك، معرّف المعاملة. أرقام البطاقات الكاملة تُعالَج من قِبل Moyasar أو بوابة دفع مرخّصة — لا تُخزَّن لدينا.
  • بيانات الموافقات: تاريخ قبولك للشروط، إصدار الشروط، موافقات التسويق والذكاء الاصطناعي.

ما لا نجمعه:

لا نجمع الفئات الحساسة من البيانات الشخصية (البيانات الصحية، البيومترية، الوراثية، المعتقدات الدينية، الآراء السياسية) ولا بيانات القاصرين. لا نتصل ببنوكك مباشرة ولا نستورد كشوف حساباتك — جميع بيانات الإنفاق تُدخلها أنت يدوياً.

4. الأساس القانوني للمعالجة (المادة 6 من نظام PDPL ولائحته التنفيذية)

  • تنفيذ العقد: إدارة حسابك، تقديم خدمات الحاسبة والتوصيات، معالجة اشتراكاتك.
  • الموافقة: الرسائل التسويقية، كوكيز التحليلات، التخصيص بالذكاء الاصطناعي — يمكنك سحب الموافقة متى شئت.
  • المصلحة المشروعة: الأمان ومنع الاحتيال، تحسين المنتج، إحصاءات السوق المُجمَّعة، كشف إساءة الإحالة.
  • الالتزام القانوني: الاستجابة للطلبات المشروعة من الجهات المختصة (هيئة البيانات والذكاء الاصطناعي — SDAIA، البنك المركزي السعودي — SAMA، المحاكم).

5. مدة الاحتفاظ

  • بيانات الحساب: طوال فترة نشاط الحساب + 12 شهراً بعد الحذف (لأغراض قانونية/محاسبية).
  • بيانات الإنفاق والحسابات: حتى تُحدّثها أو تحذفها أنت، أو لمدة أقصاها 36 شهراً من آخر استخدام.
  • محادثات المساعد الذكي: 12 شهراً لأغراض تحسين الخدمة، ثم تُجهَّل.
  • سجلات الدفع والفوترة: 10 سنوات وفقاً لنظام الفوترة الإلكترونية ونظام ضريبة القيمة المضافة السعوديين.
  • سجلات الأمان والتدقيق: 24 شهراً.
  • سجلات الموافقات: طوال فترة الحساب + 24 شهراً بعد الإنهاء.

6. مزوّدو خدمات الطرف الثالث (المعالجون الفرعيون)

نستعين بالمعالجين الفرعيين التالين بموجب اتفاقيات معالجة بيانات (DPAs) صارمة:

المزوّدالغرضالموقع
Neon / Supabaseاستضافة قاعدة البياناتالاتحاد الأوروبي / الولايات المتحدة
Vercelاستضافة التطبيقعالمي (CDN)
Anthropicمعالجة مساعد الذكاء الاصطناعيالولايات المتحدة
Resendإرسال البريد الإلكتروني (التحقق، الإشعارات)الاتحاد الأوروبي / الولايات المتحدة
Moyasarمعالجة المدفوعاتالمملكة العربية السعودية
Upstash Redisالتخزين المؤقت وحد المعدّلالاتحاد الأوروبي / الولايات المتحدة
PostHogتحليلات المنتج (بموافقة)الاتحاد الأوروبي / الولايات المتحدة
Google Analytics 4تحليلات الويب (بموافقة)الولايات المتحدة

قد تتغيّر هذه القائمة. سننشر التحديثات هنا ونُخطرك بالتغييرات الجوهرية.

المعلومات الائتمانية (سمة):

حالياً لا نشارك بياناتك مع الشركة السعودية للمعلومات الائتمانية (سمة) ولا مع أي مكتب معلومات ائتمانية آخر، ولا نحصل على تقارير ائتمانية عنك. إذا تغيّر ذلك مستقبلاً (كإضافة خاصية مقارنة تمويلية)، فسنطلب موافقتك الصريحة المسبقة ونُحدّث هذه السياسة.

7. توطين البيانات والنقل عبر الحدود

بشكل افتراضي، نسعى إلى حفظ البيانات الشخصية داخل المملكة العربية السعودية. باستثناء المعالجين الفرعيين المذكورين في القسم 6، لا تُنقل بياناتك خارج المملكة. عند توفّر بدائل داخل المملكة بجودة وسعر مناسبين، سنقوم بالترحيل إليها.

قد تتم معالجة بعض بياناتك خارج المملكة من قِبل المعالجين الفرعيين المذكورين (مثل Anthropic، Vercel، Neon). نعتمد على الضمانات التالية وفقاً للمادة 29 من نظام PDPL ولائحته التنفيذية:

  • الموافقة الصريحة (حيث ينطبق).
  • اتفاقيات معالجة بيانات مع شروط حماية متكافئة.
  • ضرورة المعالجة لأداء الخدمة.
  • المصالح الحيوية أو المصلحة العامة عند الاقتضاء.
  • تقييم المخاطر الدوري للنقل عبر الحدود.

8. حقوقك بموجب نظام PDPL

  • الحق في الإبلاغ عن معالجة بياناتك.
  • الحق في الوصول والحصول على نسخة.
  • الحق في التصحيح والاستكمال.
  • الحق في الإتلاف (الحق في النسيان).
  • الحق في نقل البيانات إلى مراقب آخر.
  • الحق في الاعتراض على معالجة معيّنة، بما فيها القرار الآلي.
  • الحق في تقييد المعالجة.
  • الحق في سحب الموافقة (دون أن يُؤثّر على مشروعية المعالجة السابقة).
  • الحق في تقديم شكوى إلى هيئة البيانات والذكاء الاصطناعي (SDAIA) عبر sdaia.gov.sa.

لممارسة أي حق، استخدم نموذج طلب البيانات أدناه أو راسلنا على privacy@mustafeed.com.sa وسنردّ خلال 30 يوماً (قابلة للتمديد 30 يوماً إضافياً لطلبات معقدة). قد نطلب التحقّق من هويتك قبل التنفيذ.

فتح نموذج طلب البيانات

9. المساعد الذكي واتخاذ القرار الآلي

نستخدم نماذج ذكاء اصطناعي لتقديم توصيات وإجابات. هذه التوصيات استرشادية وليست قرارات ملزمة — لا تُرتّب أي أثر قانوني عليك. يمكنك إيقاف التخصيص بالذكاء الاصطناعي من صفحة الملف الشخصي. لا نقوم ببيع بياناتك لتدريب نماذج خارجية، ولا نُدخل بياناتك الشخصية المعرّفة في أنظمة تدريب الطرف الثالث بشكل مباشر.

10. ملفات تعريف الارتباط (كوكيز)

  • أساسية: الجلسة، الأمان، التفضيلات — لا تتطلّب موافقة.
  • تحليلات: PostHog وGA4 لفهم الاستخدام — تُفعَّل بموافقتك فقط.
  • تسويقية: لا نستخدم كوكيز تسويقية من طرف ثالث حالياً.

يمكنك تعديل موافقاتك من صفحة الملف الشخصي، أو تعطيل الكوكيز من إعدادات المتصفح (مع الإقرار بأن بعض الخدمات قد لا تعمل).

11. أمان البيانات والحوكمة

تتوافق ضوابطنا الأمنية مع الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA)، ومعايير حوكمة البيانات الصادرة عن المكتب الوطني لإدارة البيانات (NDMO). تشمل هذه الضوابط:

  • تشفير TLS 1.3 لجميع الاتصالات.
  • تشفير كلمات المرور باستخدام bcrypt (12 جولة).
  • تحكّم بالوصول بناءً على الدور (RBAC) لجميع الحسابات الإدارية.
  • تصنيف البيانات والتحكم في الوصول وتقليل البيانات وفق معايير NDMO.
  • حد معدّل الطلبات ومراقبة الاحتيال.
  • نُسخ احتياطية يومية مشفّرة مع اختبار استعادة دوري.
  • اختبارات أمنية دورية ومراجعة الاعتماديات والبرمجيات مفتوحة المصدر.
  • سجلات تدقيق للأحداث الحساسة مع الاحتفاظ بها لمدة 24 شهراً.

الإفصاح المسؤول عن الثغرات:

يمكن لباحثي الأمن التبليغ عن الثغرات المحتملة على security@mustafeed.com.sa. نلتزم بالإقرار بالبلاغ خلال 3 أيام عمل، وعدم اتخاذ أي إجراء قانوني ضدّ الأبحاث الأمنية المقدّمة بحسن نية ووفق هذه السياسة.

12. اختراق البيانات

في حالة وقوع اختراق بيانات يترتّب عليه ضرر جسيم على حقوقك وحرياتك، سنقوم بإخطار هيئة البيانات والذكاء الاصطناعي (SDAIA) خلال 72 ساعة من العلم به، وإخطارك دون تأخير غير مبرّر وفقاً للمادة 20 من نظام PDPL.

13. بيانات الأطفال

الخدمات مخصّصة لمن هم 18 عاماً فأكثر. لا نجمع عن عمد بيانات من هم دون هذا السن. إذا علمت بأن طفلاً قدّم بيانات، راسل privacy@mustafeed.com.sa وسنحذف بياناته فوراً.

14. التحديثات على السياسة

قد نحدّث هذه السياسة لعكس تغييرات في الخدمات، القانون، أو أفضل الممارسات. سنُخطرك بالتغييرات الجوهرية عبر البريد الإلكتروني أو إشعار داخل المنصة قبل 14 يوماً من سريانها، وقد نطلب إعادة الموافقة حين يقتضي نظام PDPL ذلك.

للمزيد: شروط الاستخدام