سياسة الخصوصية

تلتزم زمام (المُشار إليها بـ “زمام” أو “نحن”) بحماية البيانات الشخصية للمستخدمين وفقاً لنظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/19) ولائحته التنفيذية. توضّح هذه السياسة فئات البيانات التي تجمعها زمام، وأغراض المعالجة، والأساس النظامي، ومدد الاحتفاظ، وحقوق صاحب البيانات وكيفية ممارستها. تنطبق هذه السياسة على جميع الزوار الذين يستخدمون خدمة الفحص الخارجي على موقع zmam.ai.

المتحكم في البيانات

المتحكم في البيانات هو خدمة زمام، تحت الاسم التجاري “زمام” (zmam.ai):

الاسم التجاري: زمام (zmam.ai)
قناة التواصل لشؤون الخصوصية: privacy@zmam.ai

تعمل زمام حالياً كاسم تجاري في مرحلة ما قبل التسجيل بهيئة اعتبارية مستقلة. سيتم تحديث بيانات المتحكم فور إتمام التسجيل التجاري لتشمل البيانات الكاملة للجهة المسجّلة.

ما الذي نجمعه ولماذا

نوع البيانات	الغرض	الأساس النظامي
بريد مُقدِّم الطلب	إرسال رابط التأكيد ثم تسليم تقرير الفحص.	تنفيذ الخدمة المطلوبة، وموافقة صريحة عبر مربع الإقرار.
النطاق المُدخَل	تشغيل الفحص الخارجي على النطاق المحدد.	تنفيذ الخدمة المطلوبة.
تجزئة (sha256) لعنوان IP	تطبيق حدود الاستخدام اليومية ومنع إساءة الاستخدام.	المصلحة المشروعة لحماية الخدمة، دون تخزين العنوان الأصلي.
تجزئة (sha256) لمعرّف المتصفح	كشف الأنماط الآلية المسيئة.	المصلحة المشروعة لمكافحة إساءة الاستخدام.
نتائج الفحص الخارجي	إعداد التقرير وتسليمه عبر البريد، وتوجيه النتائج الحساسة لاحقاً (الإصدار 0.1).	تنفيذ الخدمة المطلوبة.

ملاحظات:

لا يُسجَّل عنوان IP الأصلي ولا معرّف المتصفح الكامل؛ تُحفظ القيم المُجزّأة فقط.
لا تستخدم زمام أي أدوات تتبّع أو إعلانات أو ملفات تعريف ارتباط لأغراض تحليلية.
لا تتخذ زمام قرارات آلية بحتة ذات أثر قانوني على صاحب البيانات.

مدد الاحتفاظ بالبيانات

الفئة	المدة
طلبات الفحص (`scan_requests`)	90 يوماً من تاريخ الإنشاء.
نتائج الفحص (`scan_results`)	90 يوماً من تاريخ اكتمال الفحص.
سجل البريد الصادر (`report_emails`)	90 يوماً من تاريخ الإرسال.
سجل الأحداث (`audit_logs`)	365 يوماً من تاريخ الحدث.
حدود الاستخدام اليومية	32 يوماً من نهاية النافذة الزمنية للحد.
روابط تأكيد البريد	7 أيام بعد التأكيد أو انتهاء الصلاحية (24 ساعة).

تُحذف البيانات بعد انقضاء هذه المدد بشكل دوري. الطلبات غير المُؤكَّدة (pending_verification) يتم حذفها خلال 24 ساعة من انتهاء صلاحية رابط التأكيد.

نقل البيانات خارج المملكة

تعتمد زمام على مزودي بنية تحتية خارج المملكة العربية السعودية لتشغيل الموقع وإرسال البريد:

Cloudflare, Inc. (الولايات المتحدة): استضافة الموقع، تنفيذ الدوال البرمجية، وقاعدة البيانات (Cloudflare D1). تم اختيار منطقة weur (أوروبا الغربية) لتخزين البيانات نظراً لعدم توفّر منطقة الشرق الأوسط حالياً ضمن خيارات Cloudflare D1. اتفاقية معالجة البيانات (DPA).
Resend (Resend, Inc.) (الولايات المتحدة): إرسال رسائل البريد الإلكتروني التأكيدية وتقارير الفحص. اتفاقية معالجة البيانات (DPA).

يجري النقل وفقاً لضوابط النقل الخارجي للبيانات الشخصية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)، وعبر بنود تعاقدية لحماية البيانات مع كل مزوّد.

حقوقك وكيفية ممارستها

تكفل زمام لصاحب البيانات الحقوق المنصوص عليها في نظام حماية البيانات الشخصية، وتشمل:

الحق في العلم بأسس وأغراض جمع البيانات.
الحق في الوصول إلى بياناتك الشخصية المحفوظة لدينا.
الحق في طلب تصحيح أو تحديث أو استكمال البيانات.
الحق في طلب إتلاف بياناتك متى انتفت الحاجة إليها.
الحق في تقديم شكوى للهيئة السعودية للبيانات والذكاء الاصطناعي.

كيفية تقديم الطلب (DSAR):

أرسل بريداً إلكترونياً إلى privacy@zmam.ai.
يجب أن يكون البريد صادراً من العنوان البريدي ذاته الذي استخدمته عند تقديم طلب الفحص، ليتسنّى لنا التحقق من هويتك دون طلب وثائق إضافية.
اذكر في الطلب نوع الحق الذي ترغب في ممارسته والنطاق المعني (إن وُجد).
سنرد على طلبك خلال 30 يوماً من تاريخ استلامه، ما لم يستلزم الطلب تمديداً مبرراً.

إذا كنت غير قادر على إثبات هويتك عبر البريد الأصلي (مثلاً، فقدان الوصول)، يُرجى مراسلتنا لنتفق على وسيلة تحقق بديلة بالحد الأدنى من البيانات اللازمة.

إشعار الانتهاكات

في حال وقوع انتهاك يؤثر على بياناتك الشخصية، تلتزم زمام بإشعار الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) خلال 72 ساعة من علمنا بالحادثة، وفقاً للمادة (24) من اللائحة التنفيذية لنظام حماية البيانات الشخصية. كما سنُبلغ صاحب البيانات المتأثر متى استلزم الحادث ذلك.

الإصدار 0.0.1 — تاريخ آخر تحديث: 2026-05-26