سياسة الخصوصية

تشغّل «Buyka» («الخدمة»، «نحن») سوق B2B الإلكتروني على buyka.io للسلع والخدمات وفرص الاستثمار في تكنولوجيا النانو والروبوتات والطاقة الخضراء وغيرها من القطاعات المبتكرة.

تشرح هذه السياسة البيانات الشخصية التي نعالجها عن الزوار والمستخدمين المسجَّلين (المشترين والموردين والمستثمرين والمبتكرين والمسؤولين)، ولماذا نعالجها، ومع من نشاركها، وما هي حقوقكم.

• بيانات الحساب: البريد الإلكتروني، تجزئة كلمة المرور (Argon2)، اللغة، الدور.
• بيانات الشركة: الاسم القانوني، رقم VAT/TIN، البلد، وثائق KYC، معلومات المالك المستفيد (للموردين فقط).
• النشاط التجاري: طلبات RFQ، العروض، سجلات الصفقات، الرسائل، المرفقات، المراجعات، التقييمات.
• بيانات الدفع: تعالجها Stripe حصرياً — نخزن فقط البيانات الوصفية (معرّف الاشتراك، معرّف الفاتورة، آخر 4 أرقام من البطاقة).
• البيانات التقنية: IP، user-agent، ملفات الجلسة، سجلات المراجعة (محاولات الدخول، تغيير الأدوار، إجراءات النزاعات).
• استخدام الذكاء الاصطناعي: الرموز المستهلكة، السيناريو، النموذج، زمن الاستجابة، التكلفة (تُحفظ 90 يوماً).

• تنفيذ العقد — تقديم السوق، RFQ، الصفقات، المراسلة، الدعم.
• الالتزام القانوني — KYC (مكافحة غسل الأموال وتمويل الإرهاب)، الفواتير الضريبية، فحص العقوبات.
• المصلحة المشروعة — منع الاحتيال، تدقيق الأمان، تحسين المنتج.
• الموافقة — رسائل التسويق، سيناريوهات الذكاء الاصطناعي الاختيارية (قابلة للسحب في أي وقت من /dashboard/settings).

• السجلات المالية والفواتير: 7 سنوات (تنظيمي).
• سجل أمان التدقيق: 1 سنة.
• سجل التدقيق العام: 90 يوماً.
• أحداث استخدام الذكاء الاصطناعي: 90 يوماً.
• وثائق KYC: 5 سنوات بعد آخر نشاط للشركة.
• بيانات الحساب: حتى تطلب الحذف (المادة 17) — انظر §8 أدناه.

لا نبيع البيانات الشخصية مطلقاً. نشاركها فقط مع المعالجين الفرعيين الذين يساعدوننا في تشغيل المنصة بموجب اتفاقية معالجة بيانات (DPA):

• الدفع: Stripe.
• KYC: Sumsub / Veriff.
• البريد الإلكتروني: Resend / Postmark.
• الرسائل النصية: Twilio.
• الذكاء الاصطناعي: OpenAI Enterprise / Anthropic / DeepL Pro بشرط تعاقدي data_retention=0.
• البنية التحتية السحابية: AWS.
• المراقبة: Sentry (الأخطاء)، Cloudflare (CDN/WAF).

تبقى بيانات مقيمي الاتحاد الأوروبي في eu-central-1 (فرانكفورت) افتراضياً. تعتمد التحويلات عبر الحدود (مثل OpenAI USA) على البنود التعاقدية القياسية (SCC، 2021/914) وتدابيرنا التكميلية.

نستخدم الحد الأدنى من الكوكيز اللازمة للمصادقة (buyka_refresh، buyka_session) بالإضافة إلى كوكيز تحليلية اختيارية تتحكمون فيها عبر شريط الموافقة. لا توجد كوكيز إعلانية ولا أدوات تتبع من جهات خارجية.

• الوصول: GET /api/v1/compliance/export — لقطة JSON لكل ما لدينا عنكم.
• التصحيح: عدّلوا ملفكم الشخصي في لوحة التحكم.
• الحذف: DELETE /api/v1/compliance/account — حذف ناعم + تنظيف PII (يُحفظ سجل التدقيق وفقاً لـ §4).
• التقييد / الاعتراض: راسلوا privacy@buyka.io.
• قابلية نقل البيانات: نفس endpoint التصدير، JSON قابل للقراءة آلياً.
• CCPA «لا تبيعوا أو تشاركوا»: POST /api/v1/compliance/do-not-sell أو المفتاح في /dashboard/settings.
• الحق في تقديم شكوى: لدى سلطتكم المحلية المختصة بحماية البيانات.

ننفّذ TLS 1.3 أثناء النقل، وAES-256 لتخزين وثائق KYC، وArgon2id لتجزئة كلمات المرور، وضوابط OWASP Top 10، وفحوصات SAST (Semgrep) وDAST (OWASP ZAP) في CI. سياسة الكشف عن الثغرات على /security-policy.

Buyka خدمة B2B مخصصة للكيانات القانونية وممثليها. لا نجمع عن قصد بيانات أي شخص دون 16 عاماً.

نعلن عن التغييرات الجوهرية عبر البريد الإلكتروني + شريط داخل التطبيق قبل سريانها بـ 30 يوماً على الأقل. تُؤرشف الإصدارات السابقة عند الطلب.