السياسات

سياسة الخصوصية

آخر تحديث: 13 مايو 2026

هذه السياسة تشرح ما نجمعه، ولماذا، وكيف يمكنك التحكم به. مكتوبة بلغة بشرية، وقابلة للقراءة كاملة في أقل من ١٠ دقائق.

١. مَن نحن

CD4CD هي منصة تابعة لـ Dal Holding، مسجّلة في المملكة العربية السعودية. مقرّنا الرسمي في حي العليا بالرياض. نحن المتحكّمون في البيانات (Data Controller) لكل ما تشاركه معنا عبر cd4cd.com وتطبيقاتها.

٢. البيانات التي نجمعها

بيانات تقدّمها أنت

  • الحساب: الاسم، البريد الإلكتروني، كلمة المرور (مُشفّرة بـ Argon2id).
  • الروابط والـ QR: الـ URL الأصلي، الـ alias المخصص، الوسوم، التواريخ، وكلمات الحماية إن وُجدت.
  • صفحة Bio: اسم العرض، السيرة، الصور، الروابط المضافة، والثيم المختار.
  • الدفع: اسم حامل البطاقة وآخر ٤ أرقام — نخزّنها كـ token من Moyasar، لا نحتفظ برقم البطاقة كاملاً.

بيانات تُجمَع تلقائياً

  • أحداث النقر / الفحص: الوقت، نوع الجهاز (مكتب / موبايل)، نظام التشغيل، اللغة، البلد (من Cloudflare).
  • عناوين IP: مُجزّأة بـ HMAC-SHA256 لحظياً (انظر القسم ٥).
  • رؤوس المتصفح: User-Agent للكشف عن البوتات وحماية المنصة.

٣. كيف نستخدمها

  • تشغيل الخدمة: توجيهك للوجهة الصحيحة، عرض إحصائياتك، إصدار الفواتير.
  • الأمن: منع التصيّد، rate-limiting، فحص العلامات التجارية، Google Web Risk، Llama Guard 3.
  • التحسين: فهم أيّ ميزات تُستخدم لتطويرها — كلها بشكل مُجمَّع، بدون ربط بهوية شخصية.
  • التواصل: رسائل المعاملات (تأكيد التسجيل، الفاتورة)، وتنبيهات أمنية. الرسائل التسويقية اختيارية ويمكن إلغاؤها من /dashboard/settings.

٤. مع مَن نشاركها

لا نبيع بياناتك. أبداً. نشاركها فقط مع مزوّدي خدمات تشغيليين، تحت اتفاقيات معالجة بيانات (DPA):

  • Moyasar (KSA) — معالجة المدفوعات.
  • Cloudflare (Global) — CDN، WAF، Turnstile.
  • Resend (US/EU) — إرسال البريد الإلكتروني.
  • Google Web Risk — فحص الروابط الضارة (URL hash فقط، لا بيانات هوية).

في حالة طلب قانوني رسمي (أمر قضائي، طلب نيابة عامة)، نُسلّم الحدّ الأدنى المطلوب فقط، ونُبلغك إن كان القانون يسمح بذلك.

٥. عناوين IP والتجزئة (Hashing)

سياسة فريدة لا نخزّن عناوين IP خام. نُجزّئها لحظياً بـ HMAC-SHA256(ip + daily_salt)، ثم نتخلّص من الأصلي. الـ daily_salt يدور كل ٢٤ ساعة، فلا يمكن ربط نقرة اليوم بنقرة الأمس حتى لو سُرّبت قاعدة البيانات.

٦. ملفات الارتباط

  • أساسية: الجلسة (cd4cd_access, cd4cd_refresh) — لا يمكن إيقافها.
  • تفضيلات: اللغة المختارة.
  • تحليل: لا نستخدم Google Analytics ولا أيّ tracker طرف ثالث على المسار الحرج. نُسجّل النقرات في قاعدة بياناتنا فقط.

زوّار السعودية ودول الاتحاد الأوروبي يَرَون شريط الموافقة على ملفات الارتباط — بناءً على cf-ipcountry.

٧. مدة الاحتفاظ

  • أحداث النقر: ٣٠ يوم مفصّلة + ٢٤ شهر مُجمَّعة (aggregated only).
  • سجلات الأمن: ٩٠ يوم.
  • بيانات الحساب: إلى الأبد، أو حتى تطلب الحذف.
  • الفواتير: ١٠ سنوات (متطلب ضريبي ZATCA).

٨. حقوقك

طبقاً لـ PDPL السعودي و GDPR الأوروبي، لك الحق في:

  • الوصول: تنزيل كل بياناتك من /dashboard/settings → تصدير بياناتي.
  • التصحيح: تعديل بياناتك في أي وقت.
  • الحذف: حذف حسابك من نفس الصفحة. سيُحذف كل شيء خلال ٣٠ يوم.
  • الاعتراض / السحب: إلغاء الموافقة على المعالجة التسويقية.
  • النقل (Portability): تصدير بصيغة JSON قابلة للقراءة آلياً.

للاستفسار أو الشكوى، راسل [email protected]. الرد خلال ٧ أيام عمل كحد أقصى.

٩. نقل البيانات دولياً

سيرفرات الإنتاج في الرياض (السعودية) كأساس. النسخ الاحتياطية في فرانكفورت (ألمانيا) — تحت Standard Contractual Clauses (SCC) لـ GDPR.

١٠. الإجراءات الأمنية

  • تشفير الاتصال (TLS 1.3).
  • تشفير قواعد البيانات في الاستراحة (at rest, AES-256).
  • كلمات المرور بـ Argon2id (لا MD5، لا SHA1، لا bcrypt).
  • WAF عبر Cloudflare، rate-limiting على كل endpoint.
  • تدقيق أمني سنوي مستقل.
  • برنامج إفصاح مسؤول — راسل [email protected].

١١. تحديثات هذه السياسة

قد نُحدّث هذه السياسة. أيّ تغيير جوهري سيُعلَن عبر البريد الإلكتروني قبل ٣٠ يوم من سريانه. التاريخ أعلى الصفحة يعكس آخر مراجعة.

١٢. تواصل معنا

مسؤول حماية البيانات: [email protected]
العنوان البريدي: CD4CD · Dal Holding، حي العليا، الرياض، المملكة العربية السعودية.