الثقة والامتثال

مركز الثقة في KPILoop

آخر تحديث: ١٩ مايو ٢٠٢٦

نتعامل مع بيانات مؤشرات الأداء بنفس الطريقة التي يتعامل بها عملاؤنا مع مراجعاتهم الداخلية — بهدوء وانضباط وخلف أبواب مُؤمَّنة. تشرح هذه الصفحة بدقة أين تُحفظ هذه البيانات، ومن يتعامل معها، وما هي خطوات الامتثال التي نقوم بها مع نموّنا.

للاطلاع على التزاماتنا الأوسع بشأن الخصوصية، يُرجى مراجعة سياسة الخصوصية. وللتفاصيل الخاصة بلائحة GDPR، راجع إشعار GDPR الخاص بنا.

١. حالة الامتثال الحالية

نحن في مرحلة ما قبل الإطلاق ونتقدم نحو الحصول على الشهادات الرسمية وفق خطة مرحلية. هذا موقفنا الحالي دون مواربة:

  • نظام حماية البيانات الشخصية (PDPL — السعودية)قيد التنفيذ

    نعمل على مواءمة معالجة البيانات والاستجابة للحوادث ومسارات طلبات أصحاب البيانات مع نظام حماية البيانات الشخصية السعودي، مع استهداف الجاهزية الداخلية في الربع الثالث من ٢٠٢٦.

  • اللائحة الأوروبية GDPRجاهز

    إشعارات المعالجة، وتحديد الأساس القانوني، ومسارات حقوق أصحاب البيانات معتمدة. راجع إشعار GDPR للتفاصيل الكاملة.

  • SOC 2 Type Iعلى خارطة الطريق

    تحديد نطاق التدقيق جارٍ، مع استهداف تقرير Type I خلال ٦–٩ أشهر بعد استقرار الإيرادات. سيتبعه SOC 2 Type II بعد إغلاق نافذة Type I.

  • ISO 27001ما بعد الإيرادات

    ضمن مرحلة لاحقة بعد Type II. لسنا حاصلين عليه اليوم ولن ندّعي خلاف ذلك.

  • PCI DSSخارج النطاق (SAQ A)

    تتم معالجة بيانات البطاقات بالكامل عبر Moyasar. لا تطّلع KPILoop على بيانات حاملي البطاقات ولا تخزّنها، مما يُبقينا ضمن نطاق PCI SAQ A فقط.

٢. الجدول الزمني للشهادات

هذا هو الجدول الزمني المعلن الذي نعمل وفقه. ننشر التواريخ كي نُحاسَب عليها، لا لأن كل محطة مضمونة — وسنُحدِّث هذه الصفحة إذا تغيّر النطاق أو التسلسل.

  1. جاهزية نظام حماية البيانات الشخصية (السعودية)ديسمبر ٢٠٢٦

    اكتمال المواءمة الداخلية مع PDPL: معالجة البيانات، والاستجابة للحوادث، ومسارات طلبات أصحاب البيانات في الإنتاج. تعيين مسؤول حماية البيانات (DPO) وإيداع التسجيل لدى سدايا حيثما يلزم.

  2. اتفاقية معالجة البيانات GDPR والشروط التعاقدية القياسيةالربع الأول ٢٠٢٧

    نشر اتفاقية معالجة البيانات (DPA) والشروط التعاقدية القياسية (SCCs) لعملاء الاتحاد الأوروبي. توثيق تقييم أثر النقل لاستضافة nam5.

  3. انطلاق SOC 2 Type Iالربع الثاني ٢٠٢٧

    تحديد نطاق التدقيق مع شركة محاسبة قانونية معتمدة عبر Sprinto أو Secureframe. تطبيق الضوابط عبر معايير خدمات الثقة: الأمن والتوافر والسرية.

  4. تقرير SOC 2 Type Iالربع الثالث ٢٠٢٧

    إصدار تقرير Type I وإتاحته بموجب اتفاقية عدم إفصاح للعملاء المؤهلين والعملاء المحتملين.

  5. تقييم منطقة الشرق الأوسطالربع الرابع ٢٠٢٧

    اتخاذ قرار بشأن نقل Firestore من nam5 إلى منطقة في الشرق الأوسط بناءً على طلب العملاء وضغط متطلبات الإقامة في PDPL. تحديد نطاق الهجرة في حال الموافقة.

  6. نافذة مراقبة SOC 2 Type IIالربع الأول ٢٠٢٨

    بدء فترة المراقبة الدنيا البالغة ستة أشهر اللازمة لتقرير Type II. لا نَدَّعي امتثال Type II خلال هذه النافذة.

  7. تقرير SOC 2 Type IIالربع الثالث ٢٠٢٨

    إصدار تقرير Type II الذي يغطي كامل نافذة المراقبة. متاح بموجب اتفاقية عدم إفصاح.

  8. جاهزية ISO 27001الربع الرابع ٢٠٢٨

    تحديد نطاق نظام إدارة أمن المعلومات (ISMS)، واكتمال تقييم المخاطر، وصياغة بيان قابلية التطبيق. جدولة تدقيق الشهادة لعام ٢٠٢٩ في حال تأكُّد الحاجة التجارية.

٣. موقع البيانات والاستضافة

تعمل KPILoop على Google Cloud عبر Firebase. قاعدة بيانات Firestore الرئيسية لدينا في منطقة nam5 متعددة المناطق (الولايات المتحدة). تعمل Cloud Functions في المنطقة نفسها. تُقدَّم الأصول الثابتة عبر Firebase Hosting من شبكة Google العالمية للتوصيل.

قمنا بدراسة نقل Firestore إلى منطقة في الشرق الأوسط لدعم العملاء الذين لديهم متطلبات صارمة بشأن موقع البيانات. هذه الهجرة محدَّدة النطاق ضمن خارطة الطريق لكنها غير مجدوَلة. على العملاء ذوي المتطلبات الصارمة التواصل معنا قبل التعاقد.

٤. المملكة العربية السعودية — التزامات نظام حماية البيانات الشخصية

KPILoop شركة سعودية تخدم عملاء سعوديين. نتعامل مع نظام حماية البيانات الشخصية (PDPL) بوصفه التزاماً من الدرجة الأولى لا أمراً ثانوياً. فيما يلي موقفنا الحالي بدقة ومجالات العمل التي نعلم أنها تنتظرنا:

  • الأساس القانوني والإشعار

    نجمع البيانات الشخصية استناداً إلى تنفيذ العقد (تشغيل حساب مؤشرات الأداء)، والمصلحة المشروعة (الأمن، ومكافحة الاحتيال، وتحسين الخدمة)، والموافقة الصريحة (ملفات الارتباط التحليلية، والتسويق). تُنشر إشعارات الخصوصية بالعربية والإنجليزية قبل التسجيل، لا بعد الانتهاء منه.

  • حقوق أصحاب البيانات بالعربية

    ندعم طلبات الوصول والتصحيح والحذف والاعتراض كاملةً بالعربية. تتعامل واجهة طلبات أصحاب البيانات داخل المنتج وكذلك بريد privacy@kpiloop.com مع الطلب باللغة التي وردت بها. لا نطلب من المتحدثين بالعربية التحول إلى الإنجليزية لممارسة حقوقهم.

  • الإفصاح عن النقل عبر الحدود

    قاعدة بياناتنا الرئيسية واستدلال الذكاء الاصطناعي لدينا في الولايات المتحدة (Firestore nam5 وVertex AI us-central1). يُعدّ هذا نقلاً عبر الحدود وفق PDPL ونُفصح عنه صراحةً. على العملاء ذوي القيود الصارمة بموقع البيانات تقييم ذلك قبل التعاقد — راجع القسم ٣.

  • الإشعار بالاختراق

    نلتزم بإشعار العملاء المتضررين خلال ٧٢ ساعة من تأكيد أي اختراق للبيانات الشخصية يُشكِّل خطراً جوهرياً على الأفراد، مع إشعار موازٍ لهيئة سدايا حيثما يستوجب ذلك نظام PDPL.

  • مسؤول حماية البيانات والتسجيل لدى سدايا

    سيتم تعيين مسؤول لحماية البيانات وإيداع التسجيل لدى سدايا حيثما يلزم ضمن محطة جاهزية PDPL في ديسمبر ٢٠٢٦ (راجع القسم ٢). حتى ذلك الحين، يُعدّ بريد privacy@kpiloop.com جهة التواصل المعتمدة لجميع شؤون PDPL.

٥. المعالجون الفرعيون

نستخدم قائمة مختصرة ومدروسة من المعالجين الفرعيين. كل واحد منهم ملزم تعاقدياً بمعالجة البيانات الشخصية وفق تعليماتنا فقط، وبالحفاظ على ضوابط أمنية مناسبة.

المعالج الفرعيالغرضموقع المعالجة
Google Cloud (Firebase)قاعدة البيانات والمصادقة والتخزين والاستضافة والوظائف بدون خادمالولايات المتحدة (nam5)
Google Cloud (Genkit / Gemini)اقتراحات مؤشرات الأداء المدعومة بالذكاء الاصطناعي ورؤى الأداء وصياغة المراجعاتالولايات المتحدة
Moyasarمعالجة المدفوعات وفوترة الاشتراكاتالمملكة العربية السعودية
Sentryرصد الأخطاء وقياس الأداءالولايات المتحدة

سنُشعر العملاء بأي تغييرات جوهرية في هذه القائمة قبل ٣٠ يوماً على الأقل من إشراك أي معالج فرعي جديد.

لتلقي إشعارات تغييرات المعالجين الفرعيين بالبريد الإلكتروني، اشترك عبر privacy@kpiloop.com — سنُضيفك إلى قائمة الإشعارات ونؤكّد الاشتراك.

٦. معالجة الذكاء الاصطناعي وإمكانية الإلغاء

تستخدم KPILoop نموذج Gemini (عبر Google Genkit) لاقتراحات مؤشرات الأداء، ورؤى الأداء، والتنبؤ بالمخاطر، وصياغة المراجعات. عند استخدام هذه الميزات، يُرسَل محتوى مؤشر الأداء أو المراجعة ذو الصلة إلى Gemini لإجراء الاستدلال.

لا نستخدم بياناتك لتدريب النماذج الأساسية. سيتوفر خيار إيقاف ميزات الذكاء الاصطناعي على مستوى المؤسسة في لوحة المسؤول؛ إذا احتجت إليه عاجلاً، تواصل معنا وسنُعطّل تدفقات الذكاء الاصطناعي على مستوى المؤسسة.

٧. الضوابط الأمنية

يشمل موقفنا الأمني الحالي ما يلي:

  • خدمة HTTPS حصراً مع HSTS وسياسة محتوى صارمة (CSP) مُفعّلة عبر Firebase Hosting.
  • مصادقة Firebase مع التحكم في الوصول حسب الدور باستخدام Custom Claims لأدوار المسؤول والمدير والموظف والتنفيذي.
  • قواعد أمان Firestore مُطبَّقة على الخادم، ومحدودة لكل مؤسسة، دون إمكانية تجاوزها من العميل.
  • تشفير البيانات أثناء التخزين والنقل عبر بنية Google Cloud.
  • رصد الأخطاء عبر Sentry مع إزالة البيانات الشخصية قبل الإرسال.
  • مراجعة الكود لجميع التغييرات؛ لا دفع مباشر إلى فروع الإنتاج.

٨. الإبلاغ والتواصل

أبلغ عن ثغرة أمنية أو مخاوف الامتثال عبر security@kpiloop.com. نستجيب للبلاغات الموثقة خلال يومَي عمل.

لطلبات الخصوصية وحقوق أصحاب البيانات، تواصل عبر privacy@kpiloop.com.

انظر أيضاً: سياسة الخصوصية · إشعار GDPR · شروط الخدمة.

    ملفات تعريف الارتباط وخصوصيتك

    نستخدم ملفات تعريف الارتباط الضرورية لتشغيل KPILoop. وبموافقتك، نستخدم أيضاً ملفات لأغراض التحليلات والتسويق وميزات الذكاء الاصطناعي الاختيارية. يمكنك تغيير اختياراتك في أي وقت.

    سياسة ملفات تعريف الارتباطسياسة الخصوصية