اتفاقية معالجة البيانات هذه (DPA) جزء من شروط الخدمة وتنطبق تلقائياً بمجرد أن تأخذ، كعميل B2B، خدمة نعالج فيها بيانات شخصية لمستخدميك النهائيين نيابة عنك (GDPR م. 28). لا تحتاج توقيعها منفصلة — قبول الشروط = قبول هذه DPA.
1. الأطراف والأدوار
المتحكّم: أنت، العميل ("العميل").
المعالج: InternalHost (مؤسسة فردية Xaviero Kajafas، KvK هولندي 90174720).
تعالج InternalHost البيانات الشخصية فقط بناءً على تعليمات العميل وبقدر ما يلزم لتقديم الخدمات المتفق عليها (استضافة، تخزين، بريد، شبكة).
2. الموضوع والمدة
- الموضوع: معالجة البيانات الشخصية في سياق خدمات البنية التحتية لتقنية المعلومات التي نقدّمها.
- طبيعة المعالجة: التخزين والنقل (داخل بنيتنا) والنسخ الاحتياطي — لا معالجة نشطة لمحتوى المستخدم النهائي من قبلنا.
- الغرض: إتاحة خدمات IT المتفق عليها.
- فئات أصحاب البيانات: حسب ما يحدّده العميل. ليس لدينا رؤية (لا ننظر في قواعد بياناتك).
- أنواع البيانات الشخصية: حسب ما يحدّده العميل. الفئات الخاصة (صحة، دين، إلخ.) مسموحة شريطة أن يتخذ العميل التدابير التقنية والتنظيمية المناسبة.
- المدة: طول سريان الاتفاقية الرئيسية، إضافة إلى فترة استرداد 14 يوماً بعد الإنهاء.
3. تدابير الأمان
تتخذ InternalHost الحد الأدنى من التدابير التقنية والتنظيمية التالية:
- التشفير أثناء النقل: TLS 1.2+ على كل النقاط العامة، WireGuard لشبكة mesh الداخلية.
- التشفير في حالة السكون: LUKS على جميع أحجام التخزين. تشفير على مستوى العميل هو مسؤولية العميل.
- التحكم بالوصول: SSH عبر مفاتيح ed25519 فقط، MFA إجباري للوصول الإداري، مبدأ الحد الأدنى من الامتيازات.
- السجلات: وصول البنية التحتية مسجّل (90 يوماً).
- النسخ الاحتياطية: لقطات مشفرة يومية لأحجام العميل، احتفاظ 7d/4w/12m (من جانبنا — نسخ التطبيق احتياطياً مسؤولية العميل).
- الأمان المادي: Qupra DC لديه وصول مزوّد بطاقم 24/7، معتمد ISO 27001 + 9001، وصول بيومتري + mantrap.
- تحديثات البرمجيات: ترقيعات الأمان خلال 7 أيام من الإصدار، الحرجة خلال 24 ساعة.
- المراقبة: CrowdSec + fail2ban على كل الخدمات المعرّضة.
نظرة عامة حالية على التدابير التقنية متاحة عند الطلب على [email protected].
4. المعالجون الفرعيون
نستخدم المعالجين الفرعيين التاليين. كلهم في الاتحاد الأوروبي. نُخطر بالتغييرات قبل 30 يوماً على الأقل، حتى يتمكن العميل من الاعتراض.
| المعالج الفرعي | الغرض | الموقع |
|---|---|---|
| Qupra Data Centers BV | Datacenter / colocation | Amsterdam, NL |
| Mollie B.V. | المدفوعات | Amsterdam, NL |
| Revolut Payments UAB | المدفوعات (بديل) | Vilnius, LT |
| Cloudflare Germany GmbH | CDN / DDoS | DE، منطقة بيانات EU |
| Hoster B.V. (OpenProvider) | تسجيل النطاقات (اختياري) | The Hague, NL |
5. النقل خارج الاتحاد الأوروبي
لا ننقل بيانات شخصية إلى دول خارج EU/EEA، إلا حيث يُمرّر Cloudflare بحكم كونه CDN عبر PoPs خارج الاتحاد في حالات DDoS. في تلك الحالة، تنطبق Standard Contractual Clauses بيننا وبين Cloudflare.
6. إجراءات اختراق البيانات
عند اختراق بيانات شخصية يؤثر على العميل، نُخطر العميل خلال 24 ساعة من الاكتشاف (عبر البريد المسجّل) بـ:
- طبيعة الاختراق
- فئات وعدد تقريبي للأفراد المتأثرين
- العواقب المحتملة
- التدابير المتخذة أو المقترحة
يقرر العميل ما إذا كان إخطار سلطة حماية البيانات مطلوباً. ندعمه حسب الحاجة.
7. الإنهاء وإعادة البيانات
بعد إنهاء الاتفاقية الرئيسية:
- للعميل 14 يوماً لتنزيل كل البيانات (عبر SSH/SFTP، أو طلب تصدير).
- بعد ذلك، تُحذف كل البيانات الشخصية بشكل دائم، إلا حيث ينطبق احتفاظ قانوني (ضريبة هولندا: بيانات الفواتير 7 سنوات).
- عند الطلب نقدّم شهادة إتلاف مكتوبة.
للعقود الخاصة (B2B كبيرة، رعاية صحية، قطاع مالي) يمكننا توقيع DPA مخصصة. راسل [email protected].