تقييم أثر النقل
تقييم أثر نقل البيانات
آخر تحديث: 19 مارس 2026
أعدّت Acira AI LLC ("Acira AI"، "نحن"، "لنا") هذا التقييم لأثر نقل البيانات ("TIA") وفقًا لمتطلبات قرار محكمة العدل الأوروبية في قضية مفوض حماية البيانات ضد Facebook Ireland Limited وMaximillian Schrems (القضية C-311/18، "Schrems II") وتوصيات المجلس الأوروبي لحماية البيانات (توصيات هيئة حماية البيانات الأوروبية 01/2020 بشأن التدابير التكميلية).
يقيّم هذا التقييم مدى كفاية الحمايات المقدَّمة للبيانات الشخصية المنقولة من المنطقة الاقتصادية الأوروبية ("EEA") والمملكة المتحدة ("UK") وسويسرا وكندا إلى الولايات المتحدة وغيرها من الدول الثالثة في سياق تقديم خدماتنا.
قد يُترجم هذا التقييم إلى لغات أخرى لتسهيل الأمر عليك. في حالة وجود أي تعارض أو تناقض بين النسخة الإنجليزية وأي نسخة مترجمة، تسود النسخة الإنجليزية.
جدول المحتويات
- نظرة عامة على عمليات النقل
- طبيعة البيانات المنقولة
- آليات النقل
- تقييم قوانين الدولة المستقبِلة
- تقييم تدفقات البيانات حسب مزود الخدمة
- التدابير التكميلية
- تقييم المخاطر
- الخلاصة
- جدول المراجعة
- اتصل بنا
1. نظرة عامة على عمليات النقل
1.1 السياق
Acira AI منصة برمجيات كخدمة (SaaS) تُمكّن الشركات والأفراد من إنشاء مواقع إلكترونية مدعومة بالذكاء الاصطناعي وإدارتها واستضافتها. عندما ينشئ المستخدمون مواقع إلكترونية يمكن لزوار من المنطقة الاقتصادية الأوروبية أو المملكة المتحدة أو سويسرا أو كندا الوصول إليها، فإن البيانات الشخصية لهؤلاء الزوار قد تُنقل وتُعالَج في الولايات المتحدة وغيرها من المواقع التي يعمل فيها موفرو البنية التحتية لدينا.
1.2 الأطراف
- مُصدِّر البيانات: مشغّل الموقع الإلكتروني (عميلنا، بوصفه مسؤولًا عن المعالجة) وAcira AI بوصفها مسؤولًا مشتركًا لبيانات التحليلات.
- مستورِد البيانات: Acira AI LLC، المؤسَّسة في ولاية نيفادا بالولايات المتحدة، بوصفها معالجًا للبيانات (ومسؤولًا مشتركًا للتحليلات).
- المعالجون الفرعيون: مزودو خدمات الطرف الثالث المتعاقَد معهم من قِبل Acira AI (مدرجون في القسم 5).
1.3 وجهات النقل
| الوجهة | المزودون | الأساس القانوني |
|---|---|---|
| الولايات المتحدة والاتحاد الأوروبي (ستوكهولم) | AWS | البنود التعاقدية القياسية + التدابير التكميلية (الولايات المتحدة)؛ داخل المنطقة الاقتصادية الأوروبية للعمليات الآلية المواجهة للزوار للمقيمين في الاتحاد الأوروبي |
| الولايات المتحدة | Stripe, Fireworks AI, xAI | البنود التعاقدية القياسية + التدابير التكميلية |
| عالمي (مواقع الحافة) | Cloudflare | SCCs + تدابير تكميلية |
| إسرائيل | BrightData (بتوجيه المستخدم فقط) | SCCs + تدابير تكميلية |
| الاتحاد الأوروبي | Black Forest Labs، ScreenshotOne، CloudConvert | داخل المنطقة الاقتصادية الأوروبية (لا تتطلب آلية نقل) |
2. طبيعة البيانات المنقولة
2.1 فئات البيانات الشخصية
تتوقف البيانات الشخصية المنقولة على الميزات التي يُفعّلها مشغّل الموقع وعلى تفاعلات زوار الموقع. يمكن نقل الفئات التالية:
| فئة البيانات | الوصف | درجة الحساسية | الحجم |
|---|---|---|---|
| معرّفات التحليلات | تجزئة تشفيرية يومية الدوران لعنوان IP + وكيل المستخدم + التاريخ (مُزالة التعريف) | منخفضة | مرتفع (عند كل مشاهدة صفحة) |
| بيانات وصف الزائر | البلد، المنطقة، اللغة، نوع الجهاز، المتصفح، نظام التشغيل، نطاق المرجع، معاملات UTM | منخفضة | مرتفع (عند كل مشاهدة صفحة) |
| عناوين IP | تُخزَّن كبيانات وصفية مع نماذج الإرسال ومحادثات روبوت الدردشة؛ تُجزَّأ للتحليلات؛ تُستخدم مؤقتًا للتحقق من روبوتات الدردشة؛ تُخزَّن مؤقتًا لتحديد معدل الاستخدام (حتى 7 أيام) | متوسطة | متوسط |
| محتوى نماذج الإرسال | حقول النص الحر التي يُرسلها الزوار (الأسماء، البريد الإلكتروني، الرسائل، إلخ) | متغيرة (تبعًا للنموذج) | منخفض إلى متوسط |
| رسائل روبوت الدردشة | رسائل الزوار والردود التي يولّدها الذكاء الاصطناعي (بحد أقصى 2,000 حرف لكل رسالة) | منخفضة إلى متوسطة | منخفض |
| تحميل الملفات | الملفات التي يرفعها الزوار عبر نماذج الموقع (صور، مستندات) | متغيرة | منخفض |
| معرّفات الجلسة | معرّفات جلسات جانب الخادم وملفات تعريف ارتباط الجلسة جانب العميل | منخفضة | مرتفع |
| بيانات اعتماد المصادقة | كلمات المرور لمناطق الموقع المحمية (مُخزَّنة في شكل مُجزَّأ فقط) | مرتفعة (لكن مُجزَّأة) | منخفض |
2.2 فئات أصحاب البيانات
- زوار المواقع الإلكترونية المستضافة على منصة Acira AI
- المستخدمون الذين ينشئون حسابات على المواقع الإلكترونية المستضافة على المنصة
- المستخدمون الذين يُرسلون نماذج أو يتفاعلون مع روبوتات الدردشة أو يرفعون ملفات على المواقع المستضافة
2.3 البيانات غير المنقولة
- بيانات تحديد الموقع الجغرافي: تُجرى عمليات البحث عن موقع IP على حافة الشبكة من قِبل مزود البنية التحتية الخاص بنا. لا تُرسَل أي عناوين IP للزوار إلى أي خدمة خارجية لتحديد الموقع الجغرافي.
- عناوين IP الخام للتحليلات: يُخزَّن فقط تجزئة تشفيرية يومية الدوران؛ لا تُحفظ عناوين IP الخام في أنظمة التحليلات.
- كلمات المرور بنص عادي: يُخزَّن ويُنقَل التجزئة المشفرة فقط.
3. آليات النقل
3.1 الآلية الأساسية: البنود التعاقدية القياسية
نعتمد على البنود التعاقدية القياسية (SCCs) الصادرة بموجب قرار التنفيذ (EU) 2021/914 للمفوضية الأوروبية، وتحديدًا:
- الوحدة الأولى (من مسؤول إلى مسؤول): لنقل بيانات التحليلات حيث تعمل Acira AI كمسؤول مشترك مع مشغّل الموقع (انظر القسم 2.3 من اتفاقية معالجة البيانات).
- الوحدة الثانية (من مسؤول إلى معالج): لنقل البيانات الشخصية للزوار من مشغّل الموقع (المسؤول) إلى Acira AI (المعالج).
- الوحدة الثالثة (من معالج إلى معالج فرعي): للنقل اللاحق من Acira AI إلى المعالجين الفرعيين لدينا.
3.2 عمليات النقل إلى المملكة المتحدة وسويسرا وكندا
- المملكة المتحدة: يُطبَّق الملحق الدولي لنقل البيانات بالمملكة المتحدة على SCCs الأوروبية.
- سويسرا: تُطبَّق SCCs مع التعديلات المطلوبة بموجب القانون الفيدرالي السويسري لحماية البيانات (FADP).
- كندا: يعتمد النقل على الحمايات التعاقدية مع كل معالج فرعي بما يفرض التزامات متوافقة مع قانون حماية المعلومات الشخصية والوثائق الإلكترونية (PIPEDA) والتشريعات الإقليمية المعمول بها لحماية الخصوصية، مقرونةً بالتدابير التقنية والتنظيمية التكميلية الموضحة في القسم 6. انظر القسم 7.4 من اتفاقية معالجة البيانات للتفاصيل.
3.3 آليات نقل المعالجين الفرعيين
| المعالج الفرعي | آلية النقل |
|---|---|
| Amazon Web Services | SCCs (اتفاقية معالجة بيانات AWS)، معتمدة ISO 27001/27017/27018 |
| Cloudflare | SCCs (اتفاقية معالجة بيانات Cloudflare)، معتمدة ISO 27001 |
| Stripe | SCCs (اتفاقية معالجة بيانات Stripe)، معتمدة PCI DSS المستوى 1 |
| Fireworks AI | SCCs (اتفاقية معالجة بيانات Fireworks AI)، SOC 2 النوع II، معتمدة ISO 27001/27701/42001 |
| xAI | SCCs (اتفاقية معالجة بيانات xAI مع SCCs الأوروبية) |
| BrightData | SCCs (اتفاقية معالجة بيانات BrightData) |
4. تقييم قوانين الدولة المستقبِلة
4.1 الولايات المتحدة
الولايات المتحدة هي الوجهة الرئيسية للبيانات المنقولة. تتعلق القوانين الأمريكية التالية بهذا التقييم:
4.1.1 قانون مراقبة الاستخبارات الأجنبية (FISA)، المادة 702
تُجيز المادة 702 من FISA للحكومة الأمريكية إلزام مزودي خدمات الاتصالات الإلكترونية بتوفير الوصول إلى اتصالات الأشخاص غير الأمريكيين الموجودين خارج الولايات المتحدة لأغراض الاستخبارات الأجنبية.
تقييم المخاطر:
- قابلية التطبيق: تسري المادة 702 من FISA على "مزودي خدمات الاتصالات الإلكترونية" وفق تعريف 50 U.S.C. § 1881(b)(4). Acira AI منصة SaaS لاستضافة المواقع الإلكترونية وليست مزوّدًا تقليديًا لخدمات الاتصالات. المعالجون الفرعيون لدينا (AWS وCloudflare) أكثر عرضةً للخضوع لتوجيهات المادة 702.
- نطاق البيانات المعرَّضة للخطر: تتكوّن البيانات الشخصية التي نعالجها في الأساس من تحليلات زوار المواقع (مُزالة التعريف) ونماذج الإرسال ورسائل روبوت الدردشة. ومن غير المرجح أن تكون هذه البيانات ذات أهمية للاستخبارات الأجنبية.
- الاحتمالية الفعلية: لم نتلقَّ قط أي توجيه بموجب المادة 702 من FISA، ونُقدّر الاحتمالية الفعلية لتلقّيه بأنها منخفضة جدًا نظرًا لطبيعة خدماتنا والبيانات التي نعالجها.
4.1.2 المرسوم التنفيذي 12333
يُفوّض المرسوم التنفيذي 12333 أجهزة الاستخبارات الأمريكية بتنفيذ عمليات مراقبة تشمل الجمع الشامل لاستخبارات الإشارات. ويسري على البيانات أثناء النقل ولا يُلزم الشركات الخاصة بالتعاون.
تقييم المخاطر:
- التخفيف: جميع البيانات المنقولة مُشفَّرة باستخدام TLS. لن يُفضي اعتراض البيانات المشفرة أثناء النقل بصورة جماعية إلى الحصول على بيانات شخصية بنص عادي.
- الاحتمالية الفعلية: منخفضة. إن طبيعة البيانات المعالَجة عبر خدماتنا لا تُشكّل هدفًا نموذجيًا لاستخبارات الإشارات.
4.1.3 المرسوم التنفيذي 14086 وإطار الخصوصية للبيانات بين الاتحاد الأوروبي والولايات المتحدة
أرسى المرسوم التنفيذي 14086 (أكتوبر 2022) ضمانات إضافية لأنشطة استخبارات الإشارات، تشمل:
- اشتراطات الضرورة والتناسب في جمع المعلومات الاستخباراتية
- آلية تظلم من درجتين (مسؤول حماية الحريات المدنية + محكمة مراجعة حماية البيانات) المتاحة للأفراد من الاتحاد الأوروبي والمملكة المتحدة وسويسرا
- قيود على الجمع الشامل
اعتمدت المفوضية الأوروبية قرار الكفاية لإطار الخصوصية للبيانات بين الاتحاد الأوروبي والولايات المتحدة (DPF) في 10 يوليو 2023. وعلى الرغم من أن Acira AI غير مُسجَّلة حاليًا ذاتيًا بموجب DPF، فإن الحمايات المنصوص عليها في المرسوم التنفيذي 14086 تُطبَّق على نطاق واسع على جميع عمليات نقل البيانات إلى الولايات المتحدة وتعود بالفائدة على جميع أصحاب البيانات بصرف النظر عن آلية النقل المستخدمة.
4.1.4 قانون CLOUD
يُجيز قانون توضيح الاستخدام القانوني للبيانات في الخارج (CLOUD) للجهات الأمريكية المختصة بإنفاذ القانون إلزام المزودين المقيمين في الولايات المتحدة بتقديم البيانات بصرف النظر عن مكان تخزينها، وذلك استنادًا إلى مذكرة تفتيش أو قرار قضائي ساري.
تقييم المخاطر:
- الضمانات: يستلزم قانون CLOUD إجراءً قانونيًا صحيحًا (مذكرة تفتيش أو أمر استدعاء أو قرار قضائي). ولا يُجيز الوصول الجماعي دون مذكرة تفتيش.
- أحكام المجاملة: يتضمّن قانون CLOUD إطارًا للمجاملة يُتيح للمزودين الطعن في الأوامر التي قد تتعارض مع القانون الأجنبي.
- الاحتمالية الفعلية: منخفضة لبيانات زوار المواقع. ويُرجَّح أن تستهدف طلبات إنفاذ القانون حسابات بعينها يُشتبه في تورطها في نشاط إجرامي، لا تحليلات الزوار أو نماذج الإرسال.
4.2 إسرائيل (BrightData)
يتخذ BrightData من إسرائيل مقرًا له. وقد حصلت إسرائيل على قرار كفاية من المفوضية الأوروبية (2011/61/EU)، مما يعني أن عمليات النقل إلى إسرائيل تُعامَل على غرار عمليات النقل داخل المنطقة الاقتصادية الأوروبية. غير أن BrightData تعالج البيانات أيضًا في مواقع عالمية أخرى. نُشير إلى أن:
- تتم معالجة BrightData فقط بتوجيه المستخدم (أثناء إنشاء الموقع لاستيراد المحتوى) أو أثناء تتبع SERP المجدوَل.
- لا تُرسَل أي بيانات شخصية لزوار الموقع إلى BrightData.
4.3 كندا (عمليات النقل من كندا إلى الولايات المتحدة)
قد تُنقل البيانات الشخصية لزوار المواقع الموجودين في كندا إلى الولايات المتحدة للمعالجة. تتعلق القوانين الكندية التالية بهذا التقييم:
4.3.1 قانون حماية المعلومات الشخصية والوثائق الإلكترونية (PIPEDA)
يحكم PIPEDA جمع المعلومات الشخصية واستخدامها والإفصاح عنها من قِبل منظمات القطاع الخاص في سياق الأنشطة التجارية. يستوجب المبدأ 4.1.3 من PIPEDA أن تعتمد المنظمات على وسائل تعاقدية أو غيرها لضمان مستوى مماثل من الحماية عند نقل المعلومات الشخصية إلى أطراف ثالثة للمعالجة، بما في ذلك عمليات النقل خارج كندا.
تقييم المخاطر:
- الحماية المماثلة: توفّر التدابير التكميلية الموضحة في القسم 6 (التشفير، وإزالة التعريف، وضوابط الوصول، والحد الأدنى من البيانات) مستوى حماية مماثلًا لما يتطلبه PIPEDA. وقد أُبرمت اتفاقيات معالجة البيانات المكتوبة مع جميع المعالجين الفرعيين.
- لا يوجد اشتراط كفاية: على خلاف اللائحة العامة لحماية البيانات (GDPR)، لا يحظر PIPEDA النقل إلى الدول التي تفتقر إلى قرار "كفاية". يجب على المنظمات ضمان حماية مماثلة عبر الوسائل التعاقدية وغيرها، وهو ما نفّذناه.
4.3.2 التشريعات الإقليمية لحماية الخصوصية
تفرض كل من قانون حماية المعلومات الشخصية في ألبرتا (PIPA)، وقانون حماية المعلومات الشخصية في كولومبيا البريطانية (PIPA)، وقانون كيبيك المتعلق بحماية المعلومات الشخصية في القطاع الخاص، متطلبات إضافية لبعض المقاطعات:
تقييم المخاطر:
- قانون كيبيك 25: يستوجب قانون الخصوصية المحدَّث في كيبيك (المعمول به منذ سبتمبر 2023) إجراء تقييم أثر الخصوصية قبل نقل المعلومات الشخصية خارج كيبيك، كما يجب أن تتحقق الجهة الناقلة من أن المعلومات ستحظى بحماية كافية. تدعم حمايتنا التعاقدية والتدابير التقنية التكميلية وطبيعة البيانات (تحليلات مُزالة التعريف في الأساس وتفاعلات زوار مواقع الشركات الصغيرة) التوصل إلى حكم بالحماية الكافية.
- ألبرتا وكولومبيا البريطانية: تشترط قوانين PIPA في ألبرتا وكولومبيا البريطانية من المنظمات ضمان حماية مماثلة للبيانات المنقولة. تستوفي ضماناتنا التعاقدية والتقنية هذا الاشتراط.
4.3.3 وصول الحكومة الأمريكية من منظور كندي
تسري مخاطر وصول الحكومة الأمريكية نفسها المقيَّمة في القسم 4.1 على عمليات النقل الكندية. إن الاحتمالية المنخفضة لوصول الحكومة (نظرًا لطبيعة البيانات وملف شركتنا)، مقرونةً بالتدابير التكميلية الواردة في القسم 6، تضمن أن تحظى البيانات الشخصية المنقولة من كندا إلى الولايات المتحدة بمستوى حماية مماثل لما يتطلبه قانون الخصوصية الكندي.
4.4 مواقع الحافة العالمية (Cloudflare)
تُشغّل Cloudflare شبكة عالمية من مواقع الحافة. تُعالَج طلبات الزوار من الاتحاد الأوروبي عادةً في أقرب نقطة تواجد لـ Cloudflare، التي ستكون في الغالب موقعًا داخل الاتحاد الأوروبي للزوار الأوروبيين.
- توجيه الطلبات وإنهاء TLS وحماية الروبوتات تجري في أقرب موقع حافة.
- بالنسبة لمشغّلي المواقع المحددين كمقيمين في الاتحاد الأوروبي، يقتصر التخزين الدائم (الذي يحتوي على نماذج الإرسال ومحادثات روبوت الدردشة وبيانات الجلسة) على الاتحاد الأوروبي من الناحية القضائية باستخدام واجهة برمجة تطبيقات الاختصاص القضائي من Cloudflare. بالنسبة لمشغّلي المواقع من خارج الاتحاد الأوروبي، يقع التخزين الدائم بالقرب من المنطقة الجغرافية للمشغّل ولكنه قد يقع خارج الاتحاد الأوروبي.
- تُعالَج بيانات التحليلات على البنية التحتية التي تديرها Cloudflare.
5. تقييم تدفقات البيانات حسب مزود الخدمة
5.1 Amazon Web Services (الولايات المتحدة)
| تدفق البيانات | البيانات الشخصية المعنية | الغرض |
|---|---|---|
| تخزين قاعدة البيانات | بيانات وصف نماذج الإرسال (IP، البلد، المنطقة)، سجلات محادثات روبوت الدردشة، بيانات وصف الملفات، سجلات الجلسات | التخزين الدائم لبيانات زوار الموقع |
| تخزين الملفات | الملفات المرفوعة (صور، مستندات)، لقطات النشر | تخزين الملفات |
| الاستدلال بالذكاء الاصطناعي | محتوى الملفات (لأوصاف الذكاء الاصطناعي)، محتوى البريد الإلكتروني (للكشف عن البريد العشوائي) | الأوصاف المدعومة بالذكاء الاصطناعي وتصنيف البريد العشوائي |
| الإشراف على المحتوى | الصور المرفوعة | الإشراف على المحتوى (كشف المحتوى الإباحي/الصريح) |
| تسليم البريد الإلكتروني | عناوين البريد الإلكتروني، محتوى الرسائل | تسليم البريد الإلكتروني للمعاملات وإشعارات تقديم المحتوى. بالنسبة لمشغلي المواقع المقيمين في الاتحاد الأوروبي، تتم معالجة هذه العمليات في الاتحاد الأوروبي (ستوكهولم). |
| اكتشاف اللغة | نص رسائل البريد الإلكتروني | اكتشاف اللغة |
ضمانات AWS:
- معتمدة ISO 27001 و27017 و27018
- تقارير SOC 1/2/3 متاحة
- تشفير البيانات أثناء الراحة باستخدام التشفير المعياري في الصناعة
- تشفير البيانات أثناء النقل (TLS)
- ضوابط الوصول بأدنى الامتيازات لكل مكوّن من مكوّنات النظام
- الخدمات الرئيسية مستضافة في الولايات المتحدة؛ العمليات الآلية المواجهة للزوار (إشعارات تقديم المحتوى وتسليم البريد الإلكتروني للمعاملات) لمشغلي المواقع المقيمين في الاتحاد الأوروبي تتم معالجتها في الاتحاد الأوروبي (ستوكهولم)
5.2 Cloudflare (عالمي)
| تدفق البيانات | البيانات الشخصية المعنية | الغرض |
|---|---|---|
| توجيه الحافة | عناوين IP، رؤوس HTTP، عناوين URL للطلبات | توجيه الطلبات، الحماية من DDoS، إنهاء TLS |
| استضافة المواقع | محتوى الصفحة، بيانات وصف الزائر | استضافة الموقع وتسليمه |
| التخزين الدائم | نماذج الإرسال، محادثات روبوت الدردشة، بيانات الجلسة، بيانات جدول المستخدم | التخزين الحالة لكل موقع |
| التحليلات | تجزئة الزائر مُزالة التعريف، البلد، الجهاز، المتصفح، المرجع، UTM | تحليلات الزوار الصديقة للخصوصية |
| الاستدلال بالذكاء الاصطناعي | رسائل روبوت الدردشة، ملخصات حقول النماذج | ردود روبوت الدردشة بالذكاء الاصطناعي، كشف البريد العشوائي |
| تخزين الأصول | أصول الموقع (صور، ملفات) | تخزين الأصول الثابتة وتسليم CDN |
ضمانات Cloudflare:
- معتمدة ISO 27001 وSOC 2 النوع II
- TLS 1.2+ لجميع الاتصالات
- اتفاقية معالجة بيانات Cloudflare مع SCCs متاحة
- تعني المعالجة على الحافة أن بيانات زوار الاتحاد الأوروبي تُعالج عادةً في مواقع الحافة التابعة للاتحاد الأوروبي لأغراض معالجة الطلبات
- بالنسبة لمشغلي المواقع المعرّفين كمقيمين في الاتحاد الأوروبي، يتم تقييد التخزين الدائم (الذي يحتوي على نماذج الإرسال ومحادثات الشات بوت وبيانات الجلسة وبيانات جداول المستخدمين) قضائياً في الاتحاد الأوروبي باستخدام واجهة برمجة تطبيقات الولاية القضائية من Cloudflare، مما يضمن تخزين هذه البيانات ومعالجتها حصرياً داخل مراكز بيانات الاتحاد الأوروبي. يتم توجيه مكالمات واجهة برمجة التطبيقات الخلفية من الحافة (لإشعارات تقديم المحتوى وتسليم البريد الإلكتروني للمعاملات) إلى بنية AWS التحتية المقرة في الاتحاد الأوروبي.
- لا يحتفظ الاستدلال بالذكاء الاصطناعي ببيانات الإدخال لأغراض التدريب
5.3 Stripe (الولايات المتحدة)
| تدفق البيانات | البيانات الشخصية المعنية | الغرض |
|---|---|---|
| معالجة المدفوعات | بيانات الفواتير الخاصة بمشغّل الموقع (الاسم، البريد الإلكتروني، طريقة الدفع) | معالجة مدفوعات الاشتراكات والنطاقات |
ملاحظة: لا تتلقى Stripe بيانات شخصية لزوار المواقع. يُعالج Stripe فقط معلومات الفواتير الخاصة بمشغّل الموقع (عميلنا).
ضمانات Stripe:
- معتمدة PCI DSS المستوى 1
- معتمدة ISO 27001
- اتفاقية معالجة بيانات Stripe مع SCCs متاحة
5.4 مزودو الاستدلال بالذكاء الاصطناعي (الولايات المتحدة)
يُقدّم كل من Fireworks AI وxAI خدمات الاستدلال بنماذج الذكاء الاصطناعي.
| تدفق البيانات | البيانات الشخصية المعنية | الغرض |
|---|---|---|
| توليد النص (محتوى الموقع) | محتوى الموقع (ليست بيانات الزوار) | إنشاء محتوى الموقع وتحريره |
| توليد الصور | مطالبات نصية (ليست بيانات الزوار) | إنشاء الصور للمواقع |
| الذكاء الاصطناعي التحاوري (وكيل الدردشة) | اسم مستخدم المنصة، البريد الإلكتروني، تفضيل اللغة وسجل المحادثة | المساعد المدعوم بالذكاء الاصطناعي لمستخدمي المنصة (مشغّلي المواقع) |
ملاحظة: لا يتلقى هؤلاء المزودون بيانات شخصية لزوار المواقع. تستخدم ميزة روبوت الدردشة (التي تخدم زوار المواقع) Cloudflare Workers AI (المُقيَّم في القسم 5.2)، وليس هؤلاء المزودين. غير أن المساعد الذكاء الاصطناعي التحاوري للمنصة — الذي يستخدمه مشغّلو المواقع لإدارة مواقعهم — يُرسل البيانات الشخصية لمستخدمي المنصة (الاسم، عنوان البريد الإلكتروني، وسجل المحادثة) إلى هؤلاء المزودين كجزء من توليد الردود. في هذه المعالجة، تعمل Acira AI بوصفها مسؤولًا (لا معالجًا)، وأصحاب البيانات هم مستخدمو منصتنا (مشغّلو المواقع)، لا زوار مواقعهم. يُحكم هذا التدفق بسياسة الخصوصية الخاصة بنا واتفاقياتنا مع هؤلاء المزودين، لا بإطار المسؤول-المعالج في اتفاقية معالجة البيانات الخاصة ببيانات الزوار.
عائلات النماذج: تستضيف هذه الجهات تحتية نماذج ذكاء اصطناعي طوّرتها أطراف ثالثة متنوعة وتُشغّلها. قد تتغير النماذج المحددة وعائلات النماذج المستخدمة بمرور الوقت. لا يتلقى مطوّرو النماذج بيانات المستخدمين ولا يمكنهم الوصول إليها — تتم جميع عمليات معالجة البيانات حصرًا داخل البنية التحتية للمعالجين الفرعيين المدرجين، بصرف النظر عن مكان تطوير النموذج أصلًا. تظل جميع عمليات معالجة استدلال الذكاء الاصطناعي على البنية التحتية للمعالجين الفرعيين المدرجين. لا تُرسَل أي بيانات مستخدمين إلى مطوّري النماذج أو إلى أي بنية تحتية خارج المعالجين الفرعيين المدرجين في هذا التقييم. قائمة حالية بعائلات النماذج المستخدمة متاحة عند الطلب بالتواصل عبر legal@acira.ai.
5.5 BrightData (إسرائيل / عالمي)
| تدفق البيانات | البيانات الشخصية المعنية | الغرض |
|---|---|---|
| جمع بيانات الويب | المحتوى المتاح للعموم على الويب (ليست بيانات الزوار) | استيراد المحتوى أثناء إنشاء الموقع (بتوجيه المستخدم) |
| تتبع SERP | الكلمات المفتاحية للبحث (ليست بيانات الزوار) | مراقبة ترتيب الكلمات المفتاحية |
ملاحظة: لا يعالج BrightData البيانات الشخصية لزوار المواقع. يعالج المحتوى المتاح للعموم على الويب بتوجيه المستخدم، ويتتبع ترتيبات محركات البحث للكلمات المفتاحية التي يحددها المستخدم.
5.6 المزودون المقيمون في الاتحاد الأوروبي (بدون نقل)
| المزود | الموقع | الغرض |
|---|---|---|
| Black Forest Labs | ألمانيا (الاتحاد الأوروبي) | توليد الصور بالذكاء الاصطناعي (نماذج Flux) |
| ScreenshotOne | الاتحاد الأوروبي | التقاط لقطات شاشة المواقع |
| CloudConvert | ألمانيا (الاتحاد الأوروبي) | تحويل صيغ الملفات |
يُعالج هؤلاء المزودون البيانات داخل الاتحاد الأوروبي ولا يُشكّلون نقلًا دوليًا. يتلقى Black Forest Labs مطالبات نصية لتوليد الصور فحسب؛ ولا تُعالَج أي بيانات شخصية.
6. التدابير التكميلية
بالإضافة إلى البنود التعاقدية القياسية، نُطبّق التدابير التكميلية التالية لضمان مستوى حماية مكافئ جوهريًا للبيانات الشخصية المنقولة:
6.1 التدابير التقنية
| التدبير | الوصف |
|---|---|
| التشفير أثناء النقل | يتم تشفير جميع البيانات المنقولة بين الزوار وشبكة الحافة وخدمات الواجهة الخلفية باستخدام TLS (الحد الأدنى TLS 1.2). يستخدم الاتصال الداخلي بين الخدمات قنوات مشفرة. |
| التشفير أثناء الراحة | جميع سجلات قواعد البيانات وتخزين الملفات والتخزين الدائم المستضاف على الحافة مشفرة أثناء الراحة باستخدام التشفير المعياري في الصناعة الذي يديره مزود البنية التحتية المعني. |
| إزالة التعريف | تستخدم تحليلات الزوار تجزئة تشفيرية يومية الدوران (IP + وكيل المستخدم + التاريخ) بدلًا من تخزين عناوين IP الخام. لا يمكن عكس هذه التجزئة وتتجدد كل 24 ساعة، مما يمنع التتبع عبر الأيام. |
| تقليل البيانات | تجمع التحليلات بيانات وصفية على المستوى الإجمالي فقط (البلد، نوع الجهاز، المتصفح). لا تُخزَّن عناوين IP الخام في التحليلات. رسائل روبوت الدردشة محدودة بـ 2,000 حرف. |
| تجزئة كلمات المرور | تُجزَّأ جميع كلمات مرور الزوار (لمناطق الموقع المحمية) باستخدام خوارزميات تشفير قوية مع ملح عشوائي لكل مستخدم قبل التخزين. لا تُخزَّن كلمات المرور بنص عادي أو تُنقَل أبدًا. |
| ضوابط الوصول | تقيّد سياسات الوصول بأدنى الامتيازات كل مكوّن من مكوّنات النظام بالموارد التي يحتاجها فحسب. تُحدّد رموز API لكل موقع الوصول إلى مواقع فردية. |
| عزل الشبكة | تتواصل خدمات الواجهة الخلفية عبر شبكات داخلية. يعمل استضافة المواقع في بيئات تنفيذ معزولة. يستخدم تنفيذ الكود المخصص حماية معزولة قائمة على WebAssembly. |
| إقامة البيانات القضائية | بالنسبة لمشغلي المواقع المعرّفين كمقيمين في الاتحاد الأوروبي، يتم تقييد التخزين الدائم الذي يحتوي على بيانات الزوار (نماذج الإرسال ومحادثات الشات بوت وبيانات الجلسة وبيانات جداول المستخدمين) قضائياً في الاتحاد الأوروبي، مما يضمن تخزين هذه البيانات ومعالجتها حصرياً داخل مراكز بيانات الاتحاد الأوروبي. تتم أيضاً معالجة العمليات الآلية المواجهة للزوار (إشعارات تقديم المحتوى وتسليم البريد الإلكتروني للمعاملات) داخل البنية التحتية المقرة في الاتحاد الأوروبي. |
| الحذف الآلي | تنتهي صلاحية بيانات الجلسة بعد 30 يومًا من عدم النشاط. تُحذف الملفات المؤقتة خلال 24 ساعة. بيانات تحدي الروبوتات مؤقتة ولا تُحفَظ. |
6.2 التدابير التنظيمية
| التدبير | الوصف |
|---|---|
| سرية الموظفين | جميع الموظفين الذين يصلون إلى البيانات الشخصية ملزمون بالتزامات السرية. |
| العناية الواجبة للمعالجين الفرعيين | يُقيَّم المعالجون الفرعيون من حيث ممارسات الأمان والامتثال لحماية البيانات قبل التعاقد معهم. أُبرمت اتفاقيات معالجة البيانات المكتوبة مع جميع المعالجين الفرعيين. |
| الاستجابة للحوادث | تضمن إجراءات الإشعار بالاختراق إبلاغ المسؤولين في غضون 72 ساعة من التأكيد باختراق البيانات الشخصية. |
| سياسات الاحتفاظ بالبيانات | فترات احتفاظ موثقة مع تطبيق آلي (الحذف القائم على TTL، وسياسات دورة الحياة). |
| مراقبة الأمان | تسجيل منظم، ومراقبة أمنية آلية، وكشف التسلل. تُحتفظ بسجلات الأخطاء والتشخيص لمدة تصل إلى 30 يومًا. |
6.3 التدابير التعاقدية
| التدبير | الوصف |
|---|---|
| البنود التعاقدية القياسية | مُدرَجة البنود التعاقدية القياسية (الوحدات الأولى والثانية والثالثة) بالإشارة في اتفاقية معالجة البيانات الخاصة بنا. |
| SCCs المعالجين الفرعيين | تفرض الاتفاقيات المكتوبة مع كل معالج فرعي التزامات حماية البيانات بما لا يقل عن تلك الواردة في اتفاقية معالجة البيانات الخاصة بنا. |
| إخطار الوصول الحكومي | نلتزم بإخطار المسؤولين بطلبات الوصول الحكومية حيثما أجاز القانون ذلك، وفق ما هو مُبيَّن في شروطنا وأحكامنا. |
| التزام الطعن | نلتزم بالطعن في طلبات الوصول الحكومية التي نرى أنها مفرطة الاتساع أو غير قانونية. |
7. تقييم المخاطر
7.1 احتمالية الوصول الحكومي
| العامل | التقييم |
|---|---|
| طبيعة البيانات | في الأساس تحليلات مُزالة التعريف، ونماذج إرسال، ورسائل روبوت دردشة من مواقع الشركات الصغيرة. هذه البيانات ذات قيمة استخباراتية منخفضة. |
| حجم البيانات | منخفض إلى متوسط. يخدم كل موقع قاعدة زواره الخاصة؛ لا تُجمَّع البيانات عبر المواقع لأغراض المراقبة. |
| ملف الشركة | Acira AI شركة SaaS صغيرة تستضيف مواقع الشركات الصغيرة. ليست مزوّدًا للاتصالات أو هدفًا بارزًا للمراقبة. |
| الطلبات السابقة | حتى تاريخ هذا التقييم، لم تتلقَّ Acira AI قط أي توجيه بموجب المادة 702 من FISA، أو رسالة أمن قومي، أو أي طلب حكومي للوصول الجماعي إلى بيانات العملاء. |
| ملف المعالجين الفرعيين | يُصدر كل من AWS وCloudflare، وهما مزوّدان كبيران للبنية التحتية، تقارير شفافية. وتُشير تقارير الشفافية الخاصة بهما إلى أن الطلبات الحكومية تستهدف حسابات بعينها، لا الوصول الجماعي إلى المحتوى المستضاف. |
الاحتمالية الإجمالية: منخفضة
7.2 الأثر في حال حدوث الوصول
| العامل | التقييم |
|---|---|
| حساسية البيانات | معظم البيانات المنقولة ذات حساسية منخفضة (تحليلات مُزالة التعريف، بيانات وصف زوار المواقع). قد تحتوي نماذج الإرسال على بيانات متوسطة الحساسية (الأسماء، عناوين البريد الإلكتروني، الرسائل) وفقًا للموقع. |
| فعالية إزالة التعريف | لا يمكن ربط بيانات التحليلات بالأفراد دون الوصول إلى مكوّنات التجزئة اليومية المتجددة (IP + وكيل المستخدم + التاريخ)، التي لا تُحفظ. |
| نطاق التعرض | أي وصول حكومي سيكون محدوداً لحسابات أو مواقع محددة، وليس للمنصة بأكملها. يحد عزل البيانات لكل موقع من خلال مثيلات تخزين مخصصة من نطاق أي اختراق محتمل. بالنسبة لمشغلي المواقع المقيمين في الاتحاد الأوروبي، يتم تقييد التخزين الدائم والمعالجة الآلية المواجهة للزوار (إشعارات تقديم المحتوى وتسليم البريد الإلكتروني للمعاملات) في الاتحاد الأوروبي، مما يحد بشكل أكبر من التعرض لوصول الحكومة الأمريكية لهذه البيانات. |
الأثر الإجمالي: منخفض إلى متوسط (وفقًا لحساسية البيانات التي يجمعها مشغّلو المواقع بصورة فردية)
7.3 تقييم المخاطر المتبقية
بالنظر إلى الاحتمالية المنخفضة للوصول الحكومي والتدابير التقنية التكميلية (التشفير، وإزالة التعريف، والحد الأدنى من البيانات) والضمانات الإضافية التي يُرسيها المرسوم التنفيذي 14086، نُقدّر أن المخاطر المتبقية على أصحاب البيانات منخفضة وأن التدابير التكميلية مقرونةً بالبنود التعاقدية القياسية (لعمليات النقل من المنطقة الاقتصادية الأوروبية والمملكة المتحدة وسويسرا) والحمايات التعاقدية (لعمليات النقل الكندية) توفّر مستوى حماية مكافئًا جوهريًا لذلك المضمون داخل المنطقة الاقتصادية الأوروبية ومماثلًا لما يتطلبه قانون الخصوصية الكندي.
8. الخلاصة
استنادًا إلى هذا التقييم، نخلص إلى ما يلي:
تستفيد البيانات الشخصية المنقولة من المنطقة الاقتصادية الأوروبية والمملكة المتحدة وسويسرا وكندا إلى الولايات المتحدة في سياق تقديم خدماتنا من مستوى حماية مكافئ جوهريًا لذلك المضمون بموجب قانون حماية البيانات في الاتحاد الأوروبي ومن مستوى حماية مماثل لما يتطلبه قانون الخصوصية الكندي.
إن البنود التعاقدية القياسية مقرونةً بـ التدابير التقنية والتنظيمية والتعاقدية التكميلية الموضحة في القسم 6، تُعالج بصورة كافية المخاطر المحددة في هذا التقييم.
إن طبيعة البيانات (تحليلات مُزالة التعريف في الأساس وتفاعلات زوار مواقع الشركات الصغيرة) وملف مستورد البيانات (شركة SaaS صغيرة، لا مزوّد للاتصالات) يُقلّلان تقليلًا ملموسًا من خطر المراقبة الحكومية الفعلية.
توفّر الحمايات التي يُرسيها المرسوم التنفيذي 14086 وآلية التظلم المرتبطة به ضمانات إضافية تعود بالفائدة على جميع أصحاب البيانات بصرف النظر عن آلية النقل المستخدمة تحديدًا.
بالنسبة لـ عمليات النقل الكندية، تضمن الحمايات التعاقدية والتدابير التكميلية الموضحة هنا مستوى حماية مماثلًا لما يتطلبه PIPEDA والتشريعات الإقليمية الكندية المعمول بها لحماية الخصوصية، بما في ذلك قانون الخصوصية المحدَّث في كيبيك.
سنواصل رصد التطورات في قانون المراقبة الأمريكية والممارسات المتعلقة به، فضلًا عن التطورات في قانون الخصوصية الكندي (بما في ذلك قانون حماية خصوصية المستهلك المقترَح)، وسنُعيد تقييم هذا التقييم إن تغيّرت الظروف تغيّرًا جوهريًا.
يجوز المضيّ في عمليات النقل رهنًا باستمرار تطبيق البنود التعاقدية القياسية والتدابير التكميلية الموضحة هنا.
9. جدول المراجعة
ستُراجَع هذه الوثيقة وتُحدَّث:
- سنويًا كحد أدنى، أو
- عند حدوث تغييرات جوهرية على القوانين أو الأنظمة المعمول بها (بما في ذلك التغييرات على FISA وقانون CLOUD والمرسوم التنفيذي 14086 وPIPEDA أو التشريعات الإقليمية الكندية لحماية الخصوصية)،
- عند تغيير المعالجين الفرعيين أو طبيعة البيانات المنقولة،
- عند صدور أي قرار قضائي يُؤثر تأثيرًا جوهريًا على صحة البنود التعاقدية القياسية أو كفاية حماية البيانات في الولايات المتحدة.
10. اتصل بنا
إذا كانت لديك أسئلة حول تقييم أثر نقل البيانات هذا، يُرجى التواصل معنا على:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
الهاتف: 888-389-1189
البريد الإلكتروني: legal@acira.ai
خصوصيتك، أولويتنا
نحن لا نبيع بياناتك، ولا نستخدم ملفات تعريف الارتباط للتتبع — لهذا لن ترى شريط ملفات تعريف الارتباط هنا. نحن نحترم التحكم العالمي في الخصوصية، وبالنسبة لعملاء الاتحاد الأوروبي، يتم تخزين بيانات الزوار ومعالجتها حصريًا داخل الاتحاد الأوروبي.
Acira AI
ابنِ مواقع ويب جميلة بالذكاء الاصطناعي. لا حاجة للبرمجة.
صُنع بفخر في الولايات المتحدة
© 2026 Acira AI LLC. جميع الحقوق محفوظة.