LoanIntelligence.aiLoanIntelligence.ai
العودة إلى نظرة عامة على القانون

اتفاقية معالجة البيانات (DPA)

شروط معالجة البيانات المتوافقة مع اللائحة العامة لحماية البيانات (GDPR)

آخر تحديث: November 14, 2025

عرض سريع لاتفاقية معالجة البيانات

  1. 1أنت (العميل) هو مسؤول البيانات - أنت تقرر الأغراض ووسائل المعالجة
  2. 2نحن معالج البيانات - نعمل فقط وفقاً لتعليماتك
  3. 3عدم احتفاظ الوثائق - تُحذف الوثائق فور المعالجة
  4. 4تشفير مخصص للعميل يحمي بياناتك بمفاتيحك الفريدة
  5. 5خدمات الذكاء الاصطناعي المتعاقدة مع طرف ثالث معتمدة SOC 2 تحت التزامات الأمنية للبيانات
  6. 6نحن نساعد في جميع حقوق حاملي البيانات وفق لائحة GDPR (الوصول، الحذف، النقل، إلخ)
  7. 7المقاييس العقدية القياسية (SCCs) لنقل البيانات من الاتحاد الأوروبي إلى الولايات المتحدة

غرض الاتفاقية

تتكوّن هذه الاتفاقية لمعالجة البيانات (DPA) جزءاً من شروط الخدمة وتحكم معالجة البيانات الشخصية وفقاً للائحة GDPR والقوانين الأخرى المتعلقة بحماية البيانات.

الأدوار & المسؤوليات

أنت (العميل) = مسؤول البيانات

أنت تحدد الأغراض ووسائل المعالجة

حدِّد أي وثائق قرض ستتم معالجتها ولأي غرض
اتخذ قرارات الإقراض استنادًا إلى البيانات المستخرجة
تأكد من الأساس القانوني للمعالجة بموجب المادة 6 من اللائحة العامة لحماية البيانات
احصل على الموافقات اللازمة من أصحاب البيانات (المقترضين)
قدم إشعارات الخصوصية للمقترضين
تأكد من الامتثال لقانون FCRA، وECOA، وقوانين الإقراض العادل
تعامل مع طلبات حقوق أصحاب البيانات (الوصول، الحذف، إلخ)

نحن (LoanIntelligence.ai) = معالج البيانات

نحن نُعالِج البيانات فقط وفقًا لتعليماتك

عالج البيانات الشخصية فقط وفقًا لتعليماتك (عبر مكالمات API)
لا تقرر قرارات الإقراض أو تحدد نتائج القرض
اعمل كموفر خدمة تقنية فقط لمعالجة البيانات
نفّذ تدابير أمان مناسبة لحماية بياناتك
اشترك في معالجات فرعية وفقًا لهذا اتفاق معالجة البيانات
ساعد في طلبات حقوق أصحاب البيانات وإشعارات الانتهاكات
احذف أو أعد بياناتك الشخصية عند الانتهاء

نطاق المعالجة

1

غرض المعالجة

استخراج البيانات المنظمة من وثائق القرض لتحليل دقة وجودة البيانات، وإجراء الحسابات المالية (DSCR, LTV, P&I, NOI)، وضمان جودة البيانات عبر خوارزميات مملوكة وأنظمة إشارات، ومزامنة النتائج إلى Google Sheets الخاص بك (إن كان مسموحًا).

2

أنواع البيانات الشخصية

أسماء المقترضين، العناوين، أرقام الضمان الاجتماعي، أرقام التعريف الضريبي، البيانات المالية (الدخل، الأصول، الخصوم)، معلومات العمل، بيانات الملكية، وتفاصيل معاملة القرض. هام: لا نحتفظ بالبيانات الشخصية بعد المعالجة المؤقتة (خلال كل تشغيل معالجة). جميع البيانات الدائمة مشفرة ومخزنة في بيانات التطبيق الخاصة بك Google Drive.

3

أصحاب البيانات

المقدّمين للقرض، المقترضون المشتركون، الموقعون المشتركون، مالكو الملكية، الضامنون، وأصحاب الأعمال (للقروض التجارية).

تعليمات المعالجة

الأنشطة المسموح بها

استخراج النص من وثائق القرض (OCR)
تصنيف الوثائق حسب النوع (فواتير الأجور، كشف حساب بنكي، إقرارات ضريبية، إلخ)
استخراج حقول البيانات المنظمة (الأسماء، المبالغ، التواريخ، العناوين)
إجراء حسابات مالية والتحقق منها
ضمان دقة وجودة البيانات من خلال الخوارزميات الملكية وأنظمة الإشارة
تصدير النتائج إلى Google Sheets الخاص بك (إذا تم التوثيق)
تخزين مؤقت للنتائج (مشفرة، معزولة للعملاء) لتحسين التكاليف

الأنشطة المحظورة

استخدام البيانات الشخصية لأغراضنا الخاصة
مشاركة البيانات الشخصية مع أطراف ثالثة (باستثناء المعالجات المصرح بها)
استخدام البيانات الشخصية لتدريب الذكاء الاصطناعي أو التحليلات
الاحتفاظ بالبيانات الشخصية بعد انتهاء المعالجة (صفر احتفاظ)
معالجة البيانات الشخصية خارج نطاق تعليماتك

المعالجون الفرعيون

أطراف ثالثة نستخدمها لتقديم الخدمة

1

خدمات الذكاء الاصطناعي الخارجية

الغرض: معالجة الوثائق (OCR، التصنيف، الاستخراج)

الموقع: الولايات المتحدة

آليات الحماية: معتمد SOC 2 النوع I والنوع II، اتفاقيات حماية بيانات موجودة، البيانات مشفرة أثناء النقل، محظور عقدياً استخدام بياناتك للتدريب

2

شركة Google LLC

الغرض: OAuth المصادقة، Drive API، Sheets API

الموقع: الولايات المتحدة الأمريكية (اختيارك)

آليات الحماية: معتمد SOC 2 النوع II، ISO 27001، بنود عقدية قياسية (SCCs)

3

شركة Stripe.

الغرض: معالجة الدفع (البريد الإلكتروني، معرف العميل فقط - لا بطاقات ائتمان)

الموقع: الولايات المتحدة

آليات الحماية: معتمد مستوى PCI-DSS 1 ومتوافق مع GDPR

4

مزود بنية تحتية سحابية

الغرض: الاستضافة والحوسبة

الموقع: الولايات المتحدة

آليات الحماية: مراكز بيانات معتمدة SOC 2 النوع الثاني

نستخدم خوارزميات وأنظمة إشارة مملوكة معًا مع خدمات AI طرف ثالث معتمدة SOC 2. جميع المعالجات الفرعية تعمل بموجب التزامات حماية بيانات تعاقدية.

التغييرات على المعالجات الفرعية

سنخطركم قبل 30 أيام من أي تغييرات على المعالجات الفرعية. يمكنكم الاعتراض على أسس حماية بيانات معقولة خلال 14 أيام.

مساعدة حقوق الأفراد المعنيين

كيف نساعدك على الوفاء بمتطلبات GDPR

1

الحق في الوصول (المادة 15)

نحن نوفر تصدير البيانات بتنسيق JSON خلال 30 أيام من طلبكم.

2

الحق في التصحيح (المادة 16)

نقوم بتحديث البيانات غير الدقيقة بناءً على طلبكم.

3

الحق في الحذف / الحق في النسيان (المادة 17)

نقوم بحذف جميع البيانات الشخصية خلال 24 ساعة من طلبكم.

4

الحق في تقييد المعالجة (المادة 18)

نوقف المعالجة بناءً على طلبكم.

5

الحق في قابلية نقل البيانات (المادة 20)

نحن نوفر البيانات بتنسيق JSON منظم قابل للقراءة الآلية.

6

الحق في الاعتراض (المادة 21)

نسمح بالانسحاب من المعالجة غير الضرورية.

7

الحقوق المتعلقة باتخاذ القرار الآلي (المادة 22)

نحن نوفر شفافية حول منطق معالجة الذكاء الاصطناعي ونضمن جودة البيانات.

عملية الطلب

إذا تلقينا طلباً من صاحب البيانات، نعيده إليك خلال 2 يوم عمل. أنت مسؤول عن الرد على صاحب البيانات (خلال 30 أيام وفقاً للGDPR). نساعد بتوفير تصدير البيانات المطلوبة، الحذف، أو التصحيحات خلال 7 يوم عمل من طلبك.

فوائد عدم الاحتفاظ

بسبب بنية عدم الاحتفاظ لدينا: (1) لا يتم الاحتفاظ بالبيانات الشخصية في وثائق القروض (معالجة مؤقتة)، (2) تُخزّن البيانات المستخرجة فقط في YOUR Google Drive (مشفرة)، (3) يمكن تلبية طلبات صاحب البيانات عبر حذف حسابك (يؤدي إلى حذف جميع أنظمتنا خلال 24 ساعة) أو عبر حذفك يدوياً للبيانات من Google Drive الخاص بك

إجراءات الأمان

كيف نحمي بياناتك

التشفير

تشفير HTTPS/TLS 1.3 لجميع طلبات API واتصالات الطرف الثالث
تشفير مخصص للعميل: لكل عميل مفاتيح تشفير فريدة AES-256-GCM
دوران المفتاح التلقائي: تُدوّر مفاتيح التخزين بعد كل عملية معالجة
ذاكرة التخزين المؤقت للذكاء الاصطناعي المشفرة: جميع مدخلات التخزين المؤقت مشفرة بمفاتيح معزولة للعميل
OAuth الرموز مشفرة أثناء الراحة (AES-256-GCM)
تشفير قاعدة البيانات أثناء الراحة لبيانات الحساب

ضوابط الوصول

مبدأ أقل امتياز: الموظفون لديهم الحد الأدنى من الوصول اللازم لدورهم
تحكم الوصول المستند إلى الدور (RBAC) مع أدوار المشرف والمطور والدعم
المصادقة متعددة العوامل (2FA) مطلوبة لجميع الوصول الإداري
سجلات التدقيق: جميع الوصول الإداري مسجَّل ومراقب

هندسة عدم الاحتفاظ

يتم معالجة الوثائق في الذاكرة أثناء كل عملية معالجة، ثم حذفها على الفور
وثائق القروض غير محفوظة على بنيتنا التحتية
يُخزَّن نتائج المعالجة فقط في YOUR Google Drive (مشفرة بمفاتيحك)

View Full Security Policy

إشعار خرق البيانات

1

الاستجابة الفورية (ضمن 1 ساعة)

احتواء الاختراق، تقييم النطاق والأثر، بدء التحقيق.

2

إخطار المشرف (ضمن 72 ساعات)

نبلغك عبر البريد الإلكتروني بالبيانات الأولية (طبيعة الاختراق، البيانات المتأثرة، الأثر المقدر).

3

التقرير الكامل (ضمن 7 أيام)

التقرير التفصيلي للحادثة يتضمن الوصف، الأشخاص/السجلات المتأثرين، العواقب، إجراءات التصحيح، والتوصيات.

نساعدك في

إبلاغ الجهات الرقابية ضمن 72 ساعة (المادة 33 من GDPR)
إبلاغ الأشخاص المتأثرين بالاختراق (المادة 34 من GDPR)
إجراء التحقيق الجنائي
تنفيذ إجراءات التصحيح

حالة الاختراق

اعتبارًا من November 14, 2025‎: لا اختراقات لبيانات شخصية، لا حوادث وصول غير مصرح بها، لا انتهاكات مفاتيح تشفير. تُقلل معمارية عدم الاحتفاظ من التعرض (الوثائق موجودة فقط خلال عملية المعالجة)، ويعزل تشفير مخصص للعميل العملاء (اختراق واحد لا يؤثر على الآخرين)، ويحد دوران مفاتيح التلقائي من التأثير (المفتاح المخترق صالح لعملية معالجة واحدة فقط).

التحويلات الدولية للبيانات (من الاتحاد الأوروبي إلى الولايات المتحدة)

المقابض العقدية القياسية (SCCs)

نعتمد على المقابض العقدية القياسية المعتمدة من قبل المفوضية الأوروبية (قرار (EU) 2021/914، الوحدة الثانية: نقل من المشرف إلى المعالج).

الإجراءات التقنية المكملة

التشفير المخصص للعميل: تُشفَّر البيانات بمفاتيح فريدة للعميل (غير معروفة لنا)
دوران المفتاح التلقائي: تُدوّر مفاتيح التخزين بعد كل عملية معالجة
عدم احتفاظ بالوثائق: الوثائق غير مخزنة على بنيتنا التحتية
ذاكرة التخزين المؤقت للذكاء الاصطناعي المشفرة: تُشفَّر مدخلات الذاكرة باستخدام مفاتيح معزولة للعميل
المنع التعاقدي: يُمنع الأطر الفرعية من الكشف عن البيانات للحكومات (إلا وفقًا للقانون)

طلبات وصول الحكومة الأمريكية

نحن خاضعون لقوانين المراقبة الأمريكية (FISA، CLOUD Act). ومع ذلك، تضمن معمارية عدم المعرفة لدينا أنه حتى لو اضطررنا إلى الكشف عن البيانات، لا يمكننا فك تشفير بياناتك بدون المفاتيح (المخزنة في YOUR Google Drive). إن عدم احتفاظ الوثائق يعني أن القليل من البيانات متاحة للكشف. سوف نبلغك بطلبات الحكومة (إلا إذا كان القانون يمنع ذلك) ونواجه الطلبات المفرطة أو غير القانونية. حتى الآن: لا توجد طلبات بيانات حكومية مستلمة (اعتبارًا من 14 نوفمبر 2025).

حذف البيانات عند الانتهاء

ضمن 24 ساعات

احذف جميع البيانات الشخصية من أنظمتنا
احذف سجلات ذاكرة التخزين المؤقت للذكاء الاصطناعي المشفرة
سحب OAuth الرمز المميز (Google Drive الوصول)
تطهير معلومات الحساب من قاعدة بيانات الإنتاج
1

ضمن 30 أيام

احذف جميع البيانات الشخصية من النسخ الاحتياطية المشفرة وألغي بيانات المحذوفة (حذف آمن).

2

شهادة الحذف

عند الطلب، نوفر شهادة حذف تؤكد تاريخ الحذف، فئات البيانات المحذوفة، وطرق الحذف الآمن المستخدمة.

حقوق التدقيق

1

حقوقك في التدقيق

يمكنك تدقيق امتثالنا لهذا DPA مرة واحدة في السنة (30 يوم إشعار مسبق). يجب أن تكون عمليات التدقيق غير مزعجة، خلال ساعات العمل، وتخضع لاتفاقية السرية. تتحمل جميع تكاليف التدقيق.

2

تقارير تدقيق الطرف الثالث

بدلاً من التدقيق المباشر، يمكنك مراجعة تقرير SOC 2 النوع الثاني (عند توفره)، تقارير تدقيق أمان الطرف الثالث، أو طلب ردود مكتوبة على الاستبيانات المعيارية.

تقييد المسؤولية

بموجب المادة 82 من اللائحة العامة لحماية البيانات، نحن مسؤولون عن الأضرار الناجمة عن المعالجة التي تنتهك التزامات اللائحة للمعالجين أو عندما نعمل خارج أو متعارض مع تعليماتك القانونية. إجمالي مسؤوليتنا محدود بالمبالغ المحددة في شروط الخدمة، باستثناء الإهمال الجسيم، السلوك المتعمد، أو المسؤولية التي لا يمكن تحديدها قانوناً.

هل تحتاج مساعدة?

تحتاج مساعدة بشأن هذا DPA?

لأسئلة متعلقة بالـ GDPR، SCC، أو DPA، راسل فريقنا القانوني على [email protected].

[email protected]

نرد خلال يوم عمل واحد.