سياسة الخصوصية

1. المتحكم في البيانات

المتحكم هو Foundster Corporate Services FZCO، IFZA Business Park – DDP، مبنى A1، واحة دبي للسيليكون، الإمارات العربية المتحدة. رقم الترخيص 41494 الصادر عن سلطة المناطق الاقتصادية المتكاملة في دبي (DIEZ). للتواصل: support@foundster.com.

2. فئات البيانات التي نعالجها

• بيانات التعريف والاتصال: الاسم، البريد الإلكتروني، الهاتف، الجنسية، بلد الإقامة.
• بيانات الإدماج وKYC: صورة جواز السفر، الهوية الإماراتية، إثبات العنوان، نماذج التوقيع، بيانات المالك المستفيد — مطلوبة بموجب قواعد AML/KYC الإماراتية.
• بيانات الحساب والاستخدام: بيانات تسجيل الدخول (مشفرة)، بيانات الجهاز والمتصفح، عنوان IP، الصفحات المُزارة، الإجراءات في CompanyCockpit.
• بيانات الدفع: تعالجها Stripe؛ لا تخزن Foundster أرقام البطاقات الكاملة.
• بيانات Affiliate/التتبع: معرّفات النقر، ملفات تعريف الإسناد، أحداث التحويل.
• المحتوى الطوعي: المعلومات المقدمة في محادثات Foundster AI أو البريد أو نماذج الاتصال.

3. الأغراض والأسس القانونية

• تقديم الخدمات — تنفيذ العقد.
• الامتثال للالتزامات القانونية (AML/CFT، الضريبة، السجل التجاري) — التزام قانوني.
• تحسين المنصة ومنع الاحتيال والأمن — مصلحة مشروعة.
• الاتصالات المعاملاتية و(عند الموافقة) التسويقية — الموافقة.
• تشغيل برنامج الشركاء — تنفيذ العقد ومصلحة مشروعة في الإسناد العادل.

3أ. أداة فحص الضرائب (foundster.com/tax-check)

فحص الضرائب أداة مجانية ومجهولة الهوية تنتج تحليلاً شخصيًا لإعادة التوطين الضريبي في الإمارات. تدفق البيانات يختلف عن باقي الخدمات:

• إجابات النموذج: تُعالج في الذاكرة لتشغيل محرك القواعد والراوي الذكي. لا تُخزن في قاعدة البيانات. الأساس القانوني: GDPR م.6(1)(ب) / PDPL م.5(2) — تنفيذ الخدمة المطلوبة.
• الملاحظات النصية الاختيارية: تُفلتر ضد هجمات حقن الموجهات، تُرسل إلى Google Gemini AI (بلجيكا/الاتحاد الأوروبي) لمدة إنشاء التقرير، ثم تُتلف مع باقي بيانات النموذج.
• التقرير المُنتج: يُحفظ تحت رمز موقع بـ HMAC لمدة أقصاها 30 دقيقة حتى تفتحه ببريدك الإلكتروني. يُحذف خلال 60 دقيقة بعد الفتح أو انتهاء الصلاحية.
• البريد الإلكتروني والاسم (فقط بعد تقديم النموذج صراحةً): يُخزنان لتوصيل التقرير و — إذا حددت موافقة التسويق الاختيارية — لتحديثات Foundster العرضية. الأساس القانوني: الموافقة (م.6(1)(أ) GDPR / PDPL م.4(1)).
• Hash مجهول للـ IP: يُحفظ hash بـ SHA-256 لـ 24 ساعة في الذاكرة لتطبيق حد المعدل (3 فحوصات لكل IP يوميًا). الـ IP الخام لا يُخزن أبدًا.
• متابعة تسويقية: فقط بموافقتك. أقصى 3 رسائل متابعة. إلغاء الاشتراك بنقرة واحدة.
• حق الحذف: اكتب إلى support@foundster.com — نحذف Lead الـ Tax Check خلال 30 يومًا.

4. ملفات تعريف الارتباط والتخزين المحلي والتتبع

نستخدم ملفات تعريف ارتباط ضرورية للمصادقة وتفضيل اللغة وإسناد الشركاء وجلسة معالج الطلب. هذه الملفات معفاة من اشتراط الموافقة (الفقرة 30 من ديباجة GDPR والمادة 5(3) الجملة الثانية من توجيه ePrivacy) لأن الموقع لا يعمل بدونها.

بموافقتك الصريحة، نحمّل أيضًا Google Analytics 4 (يديره Google Ireland Ltd. كمراقب مشترك / Google LLC) لفهم الاستخدام الإجمالي لـ foundster.com. نشغّل Analytics في Google Consent Mode v2 مع الحالة الافتراضية `denied` — لا يغادر أي طلب تحليلات متصفحك قبل أن تنقر «قبول» في بانر ملفات تعريف الارتباط. نقوم بإخفاء عنوان IP (`anonymize_ip`)، ونعطّل إشارات Google والتخصيص الإعلاني. الأساس القانوني: موافقتك (المادة 6(1)(أ) GDPR / المادة 4(1) PDPL). يمكنك سحب موافقتك في أي وقت عبر إعدادات ملفات تعريف الارتباط في التذييل أو بمسح ملفات تعريف الارتباط في متصفحك.

• `foundster_consent_v2` (ضروري، نقوم بتعيينه) — يتذكر اختيارك (`granted` / `denied`)؛ المدة 12 شهرًا.
• `_ga` (تحليلات، فقط بعد الموافقة) — يميز المستخدمين لـ Google Analytics؛ المدة 24 شهرًا.
• `_ga_<container-id>` (تحليلات، فقط بعد الموافقة) — حالة جلسة Google Analytics؛ المدة 24 شهرًا.
• التخزين المحلي — تفضيل اللغة وإسناد الشركاء (365 يومًا) ومسودة معالج الطلب. لا يقرأ أي طرف ثالث هذا التخزين.

5. المستلمون والمعالجون

• Stripe — معالجة الدفع (أيرلندا/الولايات المتحدة).
• Google Cloud / Google AI (Gemini API) — مساعد الذكاء الاصطناعي وراوي Tax Check والبنية التحتية (بلجيكا/الولايات المتحدة).
• Google Ireland Ltd. / Google LLC — Google Analytics 4 (أيرلندا/الولايات المتحدة)، فقط بعد موافقتك على التحليلات.
• Mailgun (Sinch) — توصيل البريد الإلكتروني المعاملاتي (أيرلندا/الولايات المتحدة) لتقارير Tax Check وتأكيدات الطلب.
• Replit, Inc. — الاستضافة (الولايات المتحدة).
• أدوات الدعم بموجب اتفاقيات معالجة البيانات.
• نحن لا نبيع بياناتك الشخصية.

6. عمليات النقل الدولي للبيانات

قد تتم معالجة البيانات خارج الإمارات (وخاصةً الاتحاد الأوروبي/الولايات المتحدة). نعتمد على البنود التعاقدية الموحدة أو قرارات الكفاية أو — بموجب المادة 22 من PDPL — ضمانات معادلة. تتوفر نسخة من الضمانات عند الطلب.

7. مدة الاحتفاظ

نحتفظ بالبيانات الشخصية فقط طالما كان ذلك ضروريًا للأغراض المذكورة وللامتثال لمتطلبات الاحتفاظ القانونية الإماراتية (عادةً حتى 5 سنوات بعد انتهاء العلاقة التجارية).

8. حقوقك

بموجب PDPL وGDPR (عند الانطباق)، لديك الحق في الوصول والتصحيح والمحو وتقييد المعالجة والاعتراض وسحب الموافقة وقابلية النقل. يمكنك تقديم شكوى إلى مكتب البيانات الإماراتي أو سلطتك المحلية. لممارسة أي حق: support@foundster.com.

9. الأمن

نطبق تدابير تقنية وتنظيمية مناسبة: TLS 1.3 أثناء النقل، AES-256 أثناء التخزين، الوصول حسب الدور، سجلات التدقيق ومبدأ أقل الامتيازات.

10. التغييرات على هذه السياسة

نقوم بتحديث هذه السياسة عند تغيير ممارسات المعالجة. سنبلغك بالتغييرات الجوهرية عبر البريد الإلكتروني أو إشعار داخل التطبيق.