سياسة الخصوصية

مقدمة

نحن في Immersa (ويُشار إليها بـ "المنصة" أو "نحن") نحترم خصوصيتك ونلتزم بحماية بياناتك الشخصية وفق نظام حماية البيانات الشخصية السعودي (PDPL) الصادر بموجب المرسوم الملكي رقم (م/19) وتاريخ 9/2/1443هـ، ولائحته التنفيذية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).

تشرح هذه السياسة أنواع البيانات التي نجمعها، وأغراض جمعها، وكيفية استخدامها وحمايتها، وحقوقك بشأنها. باستخدامك للمنصة فإنك توافق على الممارسات الموضحة أدناه.

البيانات التي نجمعها

1. بيانات الحساب

• الاسم الكامل
• البريد الإلكتروني
• كلمة المرور (مُشفَّرة بخوارزمية Argon2id — لا يمكن استرجاعها)
• رقم الهاتف (اختياري)

2. بيانات المحتوى

• صور العقارات 360° التي ترفعها
• معلومات العقار (النوع، الغرف، السعر، الموقع)
• الشعارات وبيانات العلامة التجارية

3. بيانات الاستخدام

• عنوان IP (مُشفَّر بـ SHA-256 لأغراض تحليلية فقط)
• نوع المتصفح ونظام التشغيل (User-Agent)
• إحصائيات مشاهدة الجولات (عدد المشاهدات، مدة الجلسة، المشاهد الأكثر زيارة)
• معرّفات الجلسة (Session IDs) لقياس سلوك العميل داخل الريل

4. بيانات الدفع

• لا نقوم بتخزين بيانات البطاقات الائتمانية إطلاقاً
• عمليات الدفع تتم عبر بوابات آمنة ومرخصة من البنك المركزي السعودي (ساما): HyperPay, Stripe
• نحتفظ فقط بمعرّف المعاملة (Transaction ID) لأغراض الفوترة والدعم

5. بيانات العملاء المحتملين (Leads)

عند استخدام ميزة "نموذج العميل المحتمل" في الريل التسويقي، نجمع من العميل النهائي:

• الاسم
• رقم الهاتف أو البريد الإلكتروني
• رسالة اختيارية

أغراض جمع البيانات

• تشغيل المنصة وتقديم الخدمة
• مصادقة المستخدمين وحماية حساباتهم
• معالجة المدفوعات وإصدار الفواتير الإلكترونية وفق متطلبات ZATCA
• تحسين تجربة المستخدم عبر التحليلات المجمّعة
• إرسال إشعارات تشغيلية (تأكيد البريد، استعادة كلمة المرور، تنبيهات الجولات)
• الاستجابة لطلبات الدعم الفني
• الامتثال للالتزامات القانونية والتنظيمية

الأساس القانوني للمعالجة

• تنفيذ عقد الخدمة: معالجة بياناتك ضرورية لتقديم المنصة
• الموافقة الصريحة: لإرسال إشعارات تسويقية (يمكنك إلغاؤها في أي وقت)
• المصلحة المشروعة: لتحسين الأداء ومنع الاحتيال
• الالتزام القانوني: للامتثال لنظام ZATCA ومكافحة غسل الأموال

مشاركة البيانات

لا نبيع بياناتك الشخصية لأي طرف ثالث. نشاركها فقط مع:

• مزودي الخدمة: شركات البنية التحتية (الاستضافة، البريد الإلكتروني، بوابات الدفع) بموجب اتفاقيات معالجة بيانات (DPA)
• الجهات الحكومية: عند الطلب الرسمي من السلطات المختصة فقط
• المستخدمون النهائيون: بيانات العملاء المحتملين تُرسَل لصاحب الجولة فقط

نقل البيانات خارج المملكة

قد تُخزَّن بعض البيانات على خوادم خارج المملكة العربية السعودية (مثل منطقة فرانكفورت لدى Fly.io) لأسباب تشغيلية. نضمن أن هذا النقل يتم وفق متطلبات المادة (29) من نظام PDPL، مع توفر ضمانات الحماية المناسبة.

مدة الاحتفاظ

• بيانات الحساب: طوال فترة نشاط الحساب + 2 سنة بعد الحذف
• بيانات الفواتير: 5 سنوات (التزام ZATCA)
• سجلات النشاط: 6 أشهر
• بيانات العملاء المحتملين: 12 شهراً أو حتى يحذفها صاحب الجولة
• الجولات المحذوفة (سلة المحذوفات): 30 يوماً ثم حذف نهائي

حقوقك بموجب PDPL

لديك الحق في:

• الوصول: طلب نسخة من بياناتك الشخصية
• التصحيح: تعديل بياناتك غير الدقيقة
• الحذف: طلب حذف حسابك وبياناتك (مع استثناءات قانونية)
• النقل: طلب نقل بياناتك إلى خدمة أخرى بصيغة منظمة
• الاعتراض: الاعتراض على معالجة بياناتك لأغراض تسويقية
• سحب الموافقة: سحب موافقتك في أي وقت
• تقديم شكوى: إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) عبر sdaia.gov.sa

الأمان

• تشفير كلمات المرور بخوارزمية Argon2id (أقوى معايير OWASP 2024)
• جميع الاتصالات مشفَّرة بـ TLS 1.3 (HTTPS إلزامي)
• جلسات مختصرة (15 دقيقة) مع refresh tokens قابلة للإبطال
• حماية متعددة الطبقات ضد Brute Force و DDoS
• حماية CSRF عبر نمط Double-Submit Cookie
• نسخ احتياطية يومية مشفَّرة
• مراقبة مستمرة للاختراقات عبر Sentry

ملفات تعريف الارتباط (Cookies)

نستخدم نوعين من الكوكيز:

• ضرورية (لا تتطلب موافقة): access_token, refresh_token, csrf_token — لازمة لعمل تسجيل الدخول
• تفضيلية: vista_lang — لحفظ اختيار اللغة

لا نستخدم كوكيز تتبع إعلاني من طرف ثالث.

الأطفال

المنصة موجهة للبالغين (18 سنة فأكثر). لا نجمع بيانات من الأطفال عن قصد. إذا علمنا بذلك، سنحذفها فوراً.

تحديثات السياسة

قد نحدّث هذه السياسة من وقت لآخر. التغييرات الجوهرية سنبلغك بها عبر البريد الإلكتروني قبل 30 يوماً من سريانها. آخر تحديث لهذه الوثيقة: 2026-04-17.