الخصوصية
تُرجم هذا المستند لتيسير الاطّلاع عليه. النسخة الإنجليزية هي النسخة الملزمة قانونًا.
العرض العلني لوضعية الخصوصية لدى Syncanix. ما الذي نعالجه، ولماذا نعالجه، وكم من الوقت نحتفظ به، وأي الحقوق تنطبق عليه. أرقام الاحتفاظ حسب الفئة محدّدة بدقّة؛ والتزامات اللائحة العامة لحماية البيانات لكل Article مذكورة صراحةً.
الأدوار
تعمل Syncanix بصفة معالِج للبيانات بالنسبة لبيانات محتوى العميل التي تتدفق عبر المنتج (محادثات الدردشة، ومحتوى المستندات، وتضمينات الاسترجاع، وحمولات استدعاءات الأدوات)، وبصفة مراقِب للبيانات بالنسبة لبيانات حساب لوحة التحكم (البريد الإلكتروني للمشغّل، والدور، وحالة المصادقة متعددة العوامل، وسجلات تدقيق إجراءات المشغّل). ويظهر هذا التقسيم في اتفاقية معالجة البيانات (DPA) وفي جدول الاحتفاظ حسب نوع البيانات أدناه.
الإعدادات الافتراضية للخصوصية حسب التصميم
- إقامة البيانات في الاتحاد الأوروبي لكل ما يُخزَّن. يعمل الإنتاج في الاتحاد الأوروبي (فرانكفورت)، وتبقى جميع بيانات العملاء المخزَّنة هناك ما لم تختر صراحةً منطقة أخرى. يعالج مزوِّد نموذج الذكاء الاصطناعي رسائل المحادثة والسياق المسترجَع معالجةً عابرة لتوليد كل رد — انظر «لا تدريب على بياناتك» أدناه.
- لا تدريب للنماذج الأساسية على بيانات العملاء. لا تُستخدم مُدخلاتك وردودك مطلقًا لتدريب نماذج الذكاء الاصطناعي: بموجب شروط واجهة برمجة التطبيقات لدى Anthropic وOpenAI، يُستثنى تدفق واجهة البرمجة من التدريب، ونحن بصدد إتمام اتفاقيات عدم الاحتفاظ بالبيانات (Zero Data Retention، ZDR) مع كلا المزوّدين. تُنفَّذ تضمينات الاسترجاع وإعادة الترتيب على Amazon Bedrock في الاتحاد الأوروبي (eu-central-1)؛ ولا تُدرّب AWS نماذجها على محتوى العملاء.
- إعدادات افتراضية مضبوطة على التقليل. احتفاظ افتراضي مدته 30-day بمحتوى الدردشة؛ والاشتراك الصريح (وليس إلغاء الاشتراك) للتحليلات بين العملاء؛ وإلغاء الاشتراك افتراضيًا لاختبارات A/B الخاصة بالـ Prompts على أساس كل عميل على حدة.
الاحتفاظ (حسب الفئة)
تُطبَّق فترات الاحتفاظ الافتراضية تلقائيًا حسب الفئة. يمكن للعملاء طلب فترة احتفاظ أقصر في أي وقت (عناصر التحكم الذاتية في لوحة التحكم على خارطة الطريق)؛ ويمكن لعملاء Enterprise تمديد الاحتفاظ للالتزامات القانونية أو التنظيمية.
| الفئة | الاحتفاظ بالمحادثات | الاحتفاظ بسجل التدقيق |
|---|---|---|
| Dev (مجاني) | 7 أيام | 30 يومًا |
| Starter | 30 يومًا | 90 يومًا |
| Growth | 90 يومًا | سنة واحدة |
| Scale | سنة واحدة | سنتان |
| Enterprise | قابل للتهيئة من قِبل العميل (الافتراضي 90 days) | قابل للتهيئة من قِبل الع�ميل (الافتراضي 2 years) |
حقوق اللائحة العامة لحماية البيانات
تُحترَم كل حقوق اللائحة العامة لحماية البيانات من البداية إلى النهاية، مع تطبيقات محددة لكل Article:
- Article 15 (الوصول). يمكن للمستخدمين النهائيين عرض سجل محادثاتهم في أداة الدردشة. تمر طلبات المسؤولين للحصول على السجل الكامل لمستخدم واحد عبر عملية استقبال طلبات DSAR الموثقة، مع تسليم تصدير JSON قابل للقراءة الآلية خلال اتفاقية مستوى الخدمة البالغة 30 يومًا.
- Article 16 (التصحيح). تُلبَّى طلبات التصحيح عبر عملية استقبال طلبات DSAR الموثقة، ضمن مهل الاستجابة نفسها.
- Article 17 (المحو). يمتد المحو إلى الرسائل والتضمينات (embeddings) والفهارس المتجهة، ويُنجَز خلال اتفاقية مستوى الخدمة البالغة 30 يومًا.
- Article 20 (قابلية النقل). يُسلَّم التصدير بصيغة JSON قابلة للقراءة الآلية لنقل البيانات إلى مزوّد آخر؛ وتتوفر نسخ قابلة للقراءة البشرية عند الطلب.
- Article 22 (اتخاذ القرارات الآلي). تبقى Syncanix خارج هذا النطاق حسب التصميم — لا قرارات آلية بحتة ذات أثر قانوني أو جوهري. ولكل استدعاء أداة عالي التأثير مفتاح ت�دخّل بشري (human-in-the-loop) وبوابات مصادقة معزّزة (step-up).
- Article 25 (الخصوصية حسب التصميم). الإعدادات الافتراضية: احتفاظ لمدة 30 يومًا، إقامة جميع البيانات المخزَّنة في الاتحاد الأوروبي، لا تدريب على بيانات العملاء.
- Article 32 (الأمن). AES-256 في حالة السكون؛ TLS 1.3 أثناء النقل؛ وصول بأقل امتياز؛ وجمع كامل لأدلة SOC 2 قيد التنفيذ.
- Article 33 / 34 (الإخطار بالاختراق). يُخطَر العملاء خلال 24 hours من تأكيد وقوع اختراق للبيانات الشخصية. وتبقى التزامات إخطار المستخدمين النهائيين على عاتق العميل (المراقِب).
التعامل مع المعلومات الشخصية (PII)
تُعامَل المعلومات الشخصية (PII) باعتبارها بيانات حرجة، لا على أساس أفضل جهد ممكن. وتقوم طبقتا الاكتشاف والاستيعاب بتمييز حقول المعلومات الشخصية وقت الاستخراج:
- على مستوى الحقل (الكتالوج). أثناء الاكتشاف، يميّز نموذج اللغة الكبير الخاص بالإثراء الحقول التي يُرجَّح أن تحتوي على معلومات شخصية (email، phone، SSN، credit card، IP). ويؤكّد المشغّلون أو يرفضون. ويقوم العارض بالتنقيح استنادًا إلى نطاق العارض
pii:read. - النص الحر (رسائل الدردشة). تُجرى عملية تنقيح على الرسالة النهائية لنموذج اللغة الكبير قبل التخزين. وتُحفَظ الرموز (
[email],[phone]) بحيث تُقرأ الدردشة بشكل طبيعي دون تسريب القيم الخام. - طبقة التخزين. تُنقَّح المعلومات الشخصية عند الاستيعاب — ولا تصل القيمة الخام إلى القرص مطلقًا. والمراجعون الذين لا يملكون نطاق
pii:readيرون العرض المنقّح.
خصوصية الكود المصدري
تعمل أداة سطر أوامر الاكتشاف على جانب العميل لدى Syncanix داخل بيئة العميل نفسه. ولا يغادر شبكة العميل سوى بيانات تعريف الكتالوج المنظَّمة — ولا تُرفَع ملفات المصدر مطلقًا. ويُعالَج نص المعالج لكل endpoint (≤2 KB) المرسَل إلى Anthropic ثم يُتلَف بموجب عقد عدم الاحتفاظ بالبيانات (Zero Data Retention) الخاص بها.
لا تفهرس Syncanix الكود المصدري على جانب الخادم مطلقًا. الاكتشاف مدفوع بالأحداث وعديم الحالة؛ ويبقى محتوى مستودع العميل داخل مستودع العميل.
BYOK (أحضِر مفتاحك الخاص، bring-your-own-key). يمكن لعملاء Enterprise تقديم مفاتيحهم الخاصة من Anthropic أو OpenAI أو Bedrock؛ ولا يرى مزوّد نموذج اللغة الكبير Syncanix كوسيط مطلقًا. .syncanixignore يستبعد المسارات من الاكتشاف بشكل افتراضي ( (*.env, secrets/**, fixtures/**, __tests__/**, vendored/**, node_modules/**).
قوانين الخصوصية في الولايات المتحدة
نُفِّذ المنتج وفق مجموعة فائقة من اللائحة العامة لحماية البيانات + CCPA تنطبق على أكثر من 19 قانون خصوصية ساري المفعول على مستوى الولايات (CA CCPA / CPRA, VA VCDPA, CO CPA, CT CTDPA, UT UCPA, TX TDPSA, FL FDBR, OR OCPA, MT MCDPA, IA ICDPA, TN TIPA, IN ICDPA, DE DPDPA, NH SB 255, NJ SB 332, MN MCDPA, MD MODPA). إن Syncanix لا تبيع أو تشارك المعلومات الشخصية بالمعنى المحدّد لهذه المصطلحات بموجب CCPA / CPRA؛ ويمكن لسكان كاليفورنيا ممارسة حقوقهم في إلغاء الاشتراك أو الوصول أو التصحيح أو الحذف عبر نموذج طلب صاحب البيانات →. وتُعالَج قواعد ADMT الصادرة عن CPPA (السارية اعتبارًا من 1 Jan 2026) بالنهج نفسه الخاص بـ Article 22 المذكور أعلاه.
الشرق الأوسط وشمال أفريقيا وإسرائيل
UAE Federal Decree-Law 45/2021 (PDPL) + DIFC + ADGM؛ KSA PDPL (الإنفاذ الكامل منذ 14 Sep 2024) مع إشعار بالاختراق خلال 72-hour إلى SDAIA وتعيين ممثل محلي عند بلوغ عتبات الإيرادات؛ Israel Privacy Protection Law + Amendment 13 (الساري اعتبارًا من 15 Aug 2025) مع تعيين إلزامي لـ Privacy Protection Officer وغرامات تصل إلى 5 % من الإيرادات؛ Egypt Law 151/2020؛ Qatar Law 13/2016؛ Bahrain PDPL 30/2018؛ Oman Royal Decree 6/2022؛ Jordan PDPL 24/2023. وتُفعَّل إقامة البيانات في منطقة سعودية (Riyadh) عندما يطلب ذلك عميل سعودي مدفوع.
العزل متعدد المستأجرين
تُفرَض حدود المستأجرين في كل طبقة: تحديد النطاق على مستوى التطبيق في كل استعلام، وأمن على مستوى الصف في قاعدة البيانات كدفاع متعمّق، وتحديد نطاق الوصول لكل مستأجر على مسارات نموذج اللغة الكبير والتخزين. وتختبر فحوصات اصطناعية ليلية هذه الحدود — يطلب المستخدم الاصطناعي A في المستأجر A بيانات المستخدم B؛ والنتيجة المتوقعة هي الرفض؛ وأي إخفاق يُطلِق تنبيهًا حرجًا وإيقافًا مؤقتًا للنشر.
إجراء DSAR
تُؤكَّد طلبات وصول صاحب البيانات (Articles 15 / 16 / 17 / 20 / 21) خلال 24 hours وتُلبَّى خلال 30 days، بما يتوافق مع Article 12 من اللائحة العامة لحماية البيانات. وأنواع الطلبات المدعومة هي الوصول والمحو وقابلية النقل والتصحيح والاعتراض. استخدم نموذج DSAR للخدمة الذاتية → أو راسِل عبر البريد الإلكتروني admin@syncanix.com مباشرةً — تنطبق اتفاقيات مستوى ال�خدمة نفسها في كلتا الحالتين.
ذات صلة
- قائمة المعالِجين الفرعيين → — الجهات التي تعتمد عليها Syncanix، مع الغرض وآلية النقل لكل صف.
- نظرة عامة على الأمن → — التشفير، وإدارة الهوية والوصول (IAM)، والترويسات، والاستجابة للحوادث.
- حالة الامتثال → — حالة SOC 2 / ISO 27001 / EU AI Act / GDPR / CCPA.
التواصل
- الاستفسارات حول DSAR وتصعيد اللائحة العامة لحماية البيانات واتفاقية معالجة البيانات (DPA): admin@syncanix.com.
- المشتريات واستبيانات المورّدين والاستفسارات العامة حول الثقة: admin@syncanix.com.