CarFai

⚠ هذه ترجمة مُولَّدة بواسطة الذكاء الاصطناعي ومتاحة لأغراض إعلامية فقط. النسخة الإنجليزية الرسمية هي المعتمدة عند وجود أي اختلاف.

ملحق معالجة البيانات (DPA) من CarFai — للأعمال (B2B)

تاريخ السريان: تاريخ توقيع هذا الملحق من قبل الطرفين، أو تاريخ القبول في حال تم قبوله إلكترونيًا عبر لوحة تحكم المسؤول في CarFai.

1. الأطراف

يُبرم ملحق معالجة البيانات هذا ("الملحق") بين:

  • العميل ("أنت" أو "المتحكم") — الكيان المحدد في اتفاقية اشتراك CarFai.
  • CarFaiCarFai ("نحن" أو "المعالج")، وعنوانها متاح عند الطلب عبر [email protected].

2. النطاق والتطبيق

ينطبق هذا الملحق إلى الحد الذي تقوم فيه CarFai بمعالجة البيانات الشخصية (كما هي معرفة بموجب قوانين حماية البيانات المعمول بها) نيابة عن العميل فيما يتعلق بخدمة CarFai ("الخدمة"). وهو يكمل شروط خدمة CarFai ويُعد جزءًا لا يتجزأ منها.

في حالة وجود تعارض بين هذا الملحق وشروط الخدمة، فإن هذا الملحق هو الذي يسود فيما يتعلق بمعالجة البيانات الشخصية.

3. التعريفات

  • "قوانين حماية البيانات" — GDPR (لائحة الاتحاد الأوروبي 2016/679)، و GDPR في المملكة المتحدة، والقانون الفيدرالي السويسري لحماية البيانات (FADP)، وقوانين الخصوصية المعمول بها في الولايات المتحدة (CCPA/CPRA, VCDPA, CTDPA, إلخ)، وقانون حماية البيانات الشخصية في الإمارات العربية المتحدة (PDPL)، وأي قانون آخر للخصوصية أو حماية البيانات ينطبق على معالجة البيانات الشخصية بموجب هذا الملحق.
  • "البيانات الشخصية"، "المتحكم"، "المعالج"، "المعالجة"، "صاحب البيانات" — كما هي معرفة في GDPR أو المصطلح المكافئ في قوانين حماية البيانات المعمول بها.
  • "المعالج الفرعي" — أي طرف ثالث تتعاقد معه CarFai لمعالجة البيانات الشخصية.

4. أدوار الأطراف

  • العميل هو المتحكم في البيانات الشخصية التي يتم تحميلها إلى الخدمة.
  • CarFai هي المعالج، وتعمل بناءً على تعليمات العميل الموثقة (والتي تشمل استخدام الخدمة وفقًا لشروط الخدمة).
  • يلتزم كل طرف بالالتزامات المطبقة عليه بموجب قوانين حماية البيانات.

5. تفاصيل المعالجة

البندالوصف
موضوع المعالجةتوفير خدمة CarFai (إدارة المركبات والمستندات، استشارات AI Advisor، تكامل OBD2، ميزات المركبات المتعددة/الأساطيل)
المدةمدة الاشتراك، بالإضافة إلى 30 يومًا بعد الإنهاء لحذف البيانات
طبيعة وغرض المعالجةكما هو موضح في شروط الخدمة: استضافة وعرض ومعالجة ونقل وتحليل البيانات التي يقوم العميل بتحميلها أو إنشائها داخل الخدمة
فئات أصحاب البياناتالمستخدمون المصرح لهم من قبل العميل (الموظفون، السائقون، المقاولون، مشغلو الأساطيل، أعضاء الأسطول)
فئات البيانات الشخصيةمعلومات الحساب، بيانات المركبات والمستندات، سجل محادثات الذكاء الاصطناعي، بيانات OBD2، سجلات الاستخدام (انظر سياسة الخصوصية §1 للحصول على قائمة مفصلة)
الفئات الخاصةغير متوقع. يوافق العميل على عدم تحميل بيانات من الفئات الخاصة (بيانات صحية، بيومترية، إلخ) دون إخطار CarFai كتابيًا

6. التزامات CarFai كمعالج

تلتزم CarFai بما يلي:

  1. معالجة البيانات الشخصية فقط بناءً على تعليمات العميل الموثقة، بما في ذلك التعليمات الضمنية في استخدام العميل للخدمة وفقًا لشروط الخدمة. ستقوم CarFai بإبلاغ العميل إذا اعتقدت أن تعليمات ما تنتهك قوانين حماية البيانات.

  2. ضمان السرية — يلتزم موظفو CarFai الذين لديهم إمكانية الوصول إلى البيانات الشخصية بالتزامات السرية.

  3. تطبيق التدابير الفنية والتنظيمية المناسبة ("TOMs") لحماية البيانات الشخصية، كما هو موضح في الجدول 2 أدناه.

  4. التعاقد مع معالجين فرعيين فقط على النحو المصرح به بموجب القسم 7.

  5. مساعدة العميل في:

    • الاستجابة لطلبات حقوق أصحاب البيانات (عبر وظيفتي "تصدير" و"حذف" داخل التطبيق؛ وللطلبات غير العادية، عبر الدعم المباشر).
    • إجراء تقييمات تأثير حماية البيانات (DPIAs) — من خلال توفير وثائق حول معالجة الخدمة.
    • التواصل مع السلطات الإشرافية.
    • الإخطار بانتهاكات البيانات الشخصية (وفقًا للقسم 8).

  6. بناءً على اختيار العميل، إعادة أو حذف البيانات الشخصية في نهاية الاتفاقية، باستثناء الحالات التي يتطلب فيها القانون الاحتفاظ بها (على سبيل المثال، سجل الاشتراك للامتثال الضريبي — يتم إخفاء هويتها بعد فترة الاحتفاظ القانونية).

  7. إتاحة المعلومات اللازمة لإثبات الامتثال لهذا الملحق، بما في ذلك تقارير التدقيق لضوابط CarFai. عندما تمتلك CarFai تقارير تدقيق من طرف ثالث مستقل (على سبيل المثال SOC 2 وISO 27001)، يجوز تقديمها بدلاً من السماح بالتدقيق في الموقع، إلا إذا كان ذلك مطلوبًا بموجب القانون.

7. المعالجون الفرعيون

7.1 يصرح العميل لـ CarFai بالتعاقد مع معالجين فرعيين. القائمة الحالية بتاريخ السريان موجودة في الجدول 1.

7.2 تخطر CarFai العميل بالتغييرات التي تطرأ على المعالجين الفرعيين قبل 30 يومًا على الأقل (عبر البريد الإلكتروني لجهة الاتصال الإدارية المسجلة أو عبر إشعار داخل التطبيق). يجوز للعميل الاعتراض لأسباب معقولة؛ إذا لم يتمكن الطرفان من حل الاعتراض، يجوز للعميل إنهاء الجزء المتأثر من الخدمة بسبب خرق مادي.

7.3 تفرض CarFai التزامات حماية بيانات على معالجيها الفرعيين لا تقل حماية عن تلك الواردة في هذا الملحق.

7.4 تظل CarFai مسؤولة أمام العميل عن أداء معالجيها الفرعيين فيما يتعلق بحماية البيانات.

8. انتهاكات البيانات الشخصية

تلتزم CarFai بما يلي:

  • إخطار العميل دون تأخير لا مبرر له (وفي أي حال في غضون 48 ساعة من علمها بحدوث انتهاك للبيانات الشخصية يؤثر على بيانات العميل الشخصية).
  • توفير المعلومات التي يطلبها العميل بشكل معقول للامتثال لالتزاماته بالإخطار عن الانتهاكات (طبيعة الانتهاك، فئات وأعداد تقريبية لأصحاب البيانات والسجلات المعنية، العواقب المحتملة، تدابير التخفيف المتخذة).
  • التعاون بحسن نية مع استجابة العميل.

9. عمليات نقل البيانات الدولية

إذا قامت CarFai بنقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية / المملكة المتحدة / سويسرا إلى بلد لا يوجد به قرار كفاية، يتفق الطرفان على ما يلي:

  • تطبق البنود التعاقدية القياسية للمفوضية الأوروبية (SCCs) (2021/914)، مع الوحدة 2 (من المتحكم إلى المعالج) والوحدة 3 (من المعالج إلى المعالج) حيثما كان ذلك مناسبًا.
  • يطبق ملحق المملكة المتحدة للبنود التعاقدية القياسية على عمليات النقل في المملكة المتحدة.
  • يطبق التقييم المكافئ للقانون الفيدرالي السويسري لحماية البيانات (FADP) على عمليات النقل السويسرية.
  • سيقوم كلا الطرفين بتنفيذ تدابير تكميلية حسب الاقتضاء (على سبيل المثال، التشفير، ضوابط الوصول وفقًا للجدول 2).

10. حقوق صاحب البيانات

ستقوم CarFai، مع الأخذ في الاعتبار طبيعة المعالجة، بتقديم مساعدة معقولة للعميل في الوفاء بالتزاماته بالاستجابة لطلبات أصحاب البيانات:

  • تتضمن الخدمة وظائف الخدمة الذاتية "تصدير بياناتي" و**"حذف الحساب"** التي تتعامل مع معظم طلبات أصحاب البيانات مباشرة.
  • بالنسبة للطلبات التي تتلقاها CarFai مباشرة، ستقوم CarFai بإعادة توجيه صاحب البيانات إلى العميل (المتحكم) وإخطار العميل.
  • بالنسبة للطلبات غير العادية أو المصعدة، ستستجيب CarFai لتعليمات العميل في غضون أطر زمنية معقولة.

11. عمليات التدقيق

11.1 يجوز للعميل، بما لا يزيد عن مرة واحدة في السنة (وبالإضافة إلى ذلك استجابةً لانتهاك موثق للبيانات الشخصية)، تدقيق امتثال CarFai لهذا الملحق، مع مراعاة ما يلي:

  • إشعار خطي قبل 30 يومًا؛
  • نطاق ومدة معقولان يتم الاتفاق عليهما مسبقًا؛
  • التزامات السرية؛
  • تُجرى على نفقة العميل من قبل العميل أو مدقق خارجي متفق عليه من الطرفين؛
  • تُجرى خلال ساعات العمل وبطريقة لا تعطل عمليات CarFai.

11.2 يجوز لـ CarFai الوفاء بالتزامات التدقيق من خلال تقديم تقارير تدقيق من طرف ثالث مستقل تغطي نفس الفترة (عندما تحصل CarFai على هذه الشهادات؛ خارطة الطريق الحالية موجودة في ملحق خارطة الطريق أدناه).

ملحق خارطة الطريق — معالم البنية التحتية الأمنية (للمعلومات فقط، وليست تعاقدية)

الإضافات التالية للبنية التحتية مخطط لها ولكنها غير مطبقة حاليًا. وهي مدرجة هنا من أجل الشفافية؛ وهي ليست التزامًا تعاقديًا وقد تتغير بناءً على الأولويات التشغيلية.

المعلمالهدف
التحقق من خلفية الموظفينعندما تقوم CarFai بأول عملية توظيف لغير المؤسسين
شهادة SOC 2 Type II / ISO 27001مستقبلًا، ويتوقف على طلب العملاء
لافتة الموافقة على ملفات تعريف الارتباط لموقع التسويققبل أول تفعيل لحركة المرور من الاتحاد الأوروبي

12. المسؤولية

تنطبق أحكام المسؤولية الواردة في شروط الخدمة على هذا الملحق، مع مراعاة أي مسؤولية قانونية لا يمكن استبعادها بموجب GDPR أو تشريعات حماية البيانات المعادلة في الولاية القضائية للعميل.

13. المدة والإنهاء

يظل هذا الملحق ساري المفعول طالما أن CarFai تعالج البيانات الشخصية نيابة عن العميل. تظل الأقسام 6 (التزامات المعالج)، و8 (الإخطار بالانتهاك)، و9 (عمليات النقل)، و10 (حقوق صاحب البيانات)، و11 (عمليات التدقيق) سارية بعد الإنهاء طالما احتفظت CarFai بأي بيانات شخصية للعميل.

14. التغييرات

يجوز لـ CarFai تحديث هذا الملحق ليعكس التغييرات في القانون المعمول به أو في ممارسات المعالجة لدى CarFai. سيتم إخطار العميل بالتغييرات الجوهرية قبل 30 يومًا على الأقل. استمرار العميل في استخدام الخدمة بعد تاريخ السريان يشكل قبولاً.

15. القانون الحاكم

يخضع هذا الملحق لقوانين كيبيك، كندا إلى الحد الذي يتوافق مع قوانين حماية البيانات المعمول بها. تسود الأحكام الإلزامية لقوانين حماية البيانات على اختيار القانون حيثما تنطبق.

الجدول 1 — المعالجون الفرعيون (بتاريخ 2026-05-20)

المعالج الفرعيالخدمة المقدمةالمنطقةرابط الخصوصية
Anthropic, PBCمعالجة الذكاء الاصطناعي (Claude)الولايات المتحدةhttps://www.anthropic.com/legal/privacy
Supabase Inc.قاعدة البيانات، المصادقة، التخزينالولايات المتحدة (منطقة us-east بتاريخ السريان)https://supabase.com/privacy
RevenueCat, Inc.حالة الاشتراكالولايات المتحدةhttps://www.revenuecat.com/privacy
Resend Inc.البريد الإلكتروني للمعاملاتالولايات المتحدةhttps://resend.com/legal/privacy-policy
Apple Inc.توزيع iOS + عمليات الشراء داخل التطبيقالولايات المتحدةhttps://www.apple.com/legal/privacy/
Google LLCتوزيع Android + فوترة Play + OAuthالولايات المتحدةhttps://policies.google.com/privacy
Microsoft Corp.OAuth (عند استخدامه)الولايات المتحدةhttps://privacy.microsoft.com

الجدول 2 — التدابير الفنية والتنظيمية (TOMs)

تطبق CarFai التدابير الفنية والتنظيمية التالية لحماية البيانات الشخصية:

التشفير

  • أثناء النقل — TLS 1.2+ لجميع الاتصالات بين العميل والخادم
  • في حالة السكون — تشفير AES-256 (يديره المزود عبر Supabase)

التحكم في الوصول

  • التحكم في الوصول القائم على الأدوار (RBAC) للمؤسسات التجارية (B2B) يتم فرضه على مستوى قاعدة البيانات عبر سياسات أمان على مستوى الصف (RLS)
  • يتم تسجيل وتدقيق وصول موظفي CarFai إلى بيئة الإنتاج
  • المصادقة متعددة العوامل مطلوبة لجميع حسابات مسؤولي CarFai

فصل البيانات

  • بنية متعددة المستأجرين مع عزل لكل مؤسسة يتم فرضه بواسطة RLS
  • يتم حظر الوصول بين المؤسسات على طبقة استعلام قاعدة البيانات

أمن الشبكة

  • جدار حماية تطبيقات الويب (WAF) عند الحافة
  • تحديد معدل الطلبات لكل مستخدم ولكل نقطة نهاية
  • التحقق من توقيع الـ Webhook لجميع الـ Webhooks الواردة (RevenueCat، إلخ)

أمن التطبيقات

  • فحص الأسرار قبل الإيداع (Gitleaks)
  • فحص ثغرات التبعيات (Dependabot, npm audit) عند كل طلب سحب (PR)
  • مراجعة أمنية يدوية وفق ضوابط OWASP Mobile وASVS ذات الصلة بالخدمة
  • دفاعات ضد حقن الأوامر في الذكاء الاصطناعي: فصل أوامر النظام عن أوامر المستخدم، ووضع علامات على المحتوى غير الموثوق به، والتحقق من المخرجات، وعزل محتوى البحث على الويب

المراقبة والاستجابة للحوادث

  • الإبلاغ عن الأعطال والأخطاء
  • تسجيل الأحداث الأمنية
  • دليل موثق للاستجابة للحوادث
  • الالتزام بالإخطار عن الانتهاكات في غضون 48 ساعة وفقًا للقسم 8

الموظفون

  • التزامات السرية على جميع الموظفين
  • تدريب سنوي على الوعي الأمني

النسخ الاحتياطي والاسترداد

  • الاسترداد إلى نقطة زمنية محددة (PITR) على قاعدة بيانات الإنتاج
  • يتم الاحتفاظ بالنسخ الاحتياطية اليومية لمدة 30 يومًا
  • إجراءات موثقة للتعافي من الكوارث

إدارة مخاطر الطرف الثالث

  • يتضمن اختيار المعالج الفرعي مراجعة لحماية البيانات
  • يلتزم المعالجون الفرعيون بالتزامات حماية بيانات لا تقل حماية عن هذا الملحق

التوقيعات

العميل: الاسم: __________________________ المنصب: __________________________ التاريخ: __________________________ التوقيع: __________________________

CarFai: الاسم: __________________________ المنصب: __________________________ التاريخ: __________________________ التوقيع: __________________________

سجل المراجعات

الإصدارالتاريخملاحظات
v12026-05-20الإصدار الأولي.