Acira AI Logo
قیمت‌گذاریویژگی‌هادرباره مامقایسه
ورود

الحاقیه پردازش داده

ضمیمه پردازش داده‌ها

آخرین بروزرسانی: ۱۹ مارس ۲۰۲۶

این ضمیمه پردازش داده‌ها («DPA») بخشی از شرایط و ضوابط («موافقت‌نامه») میان Acira AI LLC («پردازشگر»، «ما») و کاربر خدمات («کنترل‌کننده»، «شما») را تشکیل می‌دهد و موافقت‌نامه را در خصوص پردازش داده‌های شخصی تکمیل می‌کند.

این DPA زمانی اعمال می‌شود که از خدمات برای ایجاد، میزبانی و انتشار وب‌سایت‌هایی استفاده کنید که داده‌های شخصی افراد مقیم در منطقه اقتصادی اروپا («EEA»)، پادشاهی متحده («UK»)، یا سوئیس را جمع‌آوری یا پردازش می‌کنند، یا هر جا که قوانین حفاظت از داده‌های قابل اجرا آن را الزامی کنند.

این ضمیمه پردازش داده ممکن است برای راحتی شما به زبان‌های دیگر ترجمه شود. در صورت هرگونه تعارض یا ناسازگاری بین نسخه انگلیسی و هر نسخه ترجمه شده، نسخه انگلیسی ارجحیت دارد.

فهرست مطالب

  1. تعاریف
  2. دامنه و نقش‌ها
  3. جزئیات پردازش داده
  4. تعهدات پردازشگر
  5. تعهدات کنترل‌کننده
  6. زیرپردازشگرها
  7. انتقال بین‌المللی داده
  8. حقوق موضوع داده
  9. امنیت داده
  10. اعلان نقض داده
  11. ممیزی‌ها و تأیید انطباق
  12. نگهداری و حذف داده
  13. مدت و فسخ
  14. محدودیت مسئولیت
  15. تماس با ما

1. تعاریف

«قانون حفاظت از داده‌های قابل اجرا» به معنای تمام قوانین و مقررات قابل اجرا برای پردازش داده‌های شخصی تحت این DPA است، از جمله (در صورت اعمال) مقررات عمومی حفاظت از داده (EU) 2016/679 («GDPR»)، UK GDPR، قانون فدرال سوئیس در مورد حفاظت از داده‌ها («FADP»)، و قانون حریم خصوصی مصرف‌کننده کالیفرنیا («CCPA»).

«کنترل‌کننده» به معنای شخص حقیقی یا حقوقی است که اهداف و ابزار پردازش داده‌های شخصی را تعیین می‌کند — در این زمینه، شما، کاربر خدماتی که یک وب‌سایت از طریق پلتفرم اداره می‌کند.

«موضوع داده» به معنای شخص حقیقی شناسایی‌شده یا قابل شناسایی است که داده‌های شخصی او پردازش می‌شود.

«داده‌های شخصی» به معنای هر اطلاعاتی است که مربوط به موضوع داده بوده و از طریق خدمات پردازش می‌شود.

«پردازش» به معنای هر عملیاتی است که بر روی داده‌های شخصی انجام می‌شود، از جمله جمع‌آوری، ثبت، سازماندهی، ساختاردهی، ذخیره‌سازی، تطبیق، بازیابی، مشاوره، استفاده، افشا، انتشار، محدودسازی، پاک کردن، یا انهدام.

«پردازشگر» به معنای شخص حقیقی یا حقوقی است که داده‌های شخصی را از طرف کنترل‌کننده پردازش می‌کند — در این زمینه، Acira AI LLC.

«زیرپردازشگر» به معنای هر شخص ثالثی است که توسط پردازشگر برای پردازش داده‌های شخصی از طرف کنترل‌کننده استخدام می‌شود.

«بندهای قراردادی استاندارد» یا «SCCs» به معنای بندهای قراردادی استاندارد برای انتقال داده‌های شخصی به پردازشگرهای مستقر در کشورهای ثالث است، که توسط کمیسیون اروپا اتخاذ شده‌اند.

2. دامنه و نقش‌ها

2.1 رابطه پردازش

هنگامی که از خدمات برای ایجاد و اداره وب‌سایتی استفاده می‌کنید که داده‌های شخصی از بازدیدکنندگان وب‌سایت شما جمع‌آوری می‌کند (از طریق فرم‌ها، حساب‌های کاربری، تعاملات چت‌بات، نظرات، بررسی‌ها، یا سایر ویژگی‌های تعاملی)، شما به عنوان کنترل‌کننده و ما به عنوان پردازشگر آن داده‌های شخصی بازدیدکنندگان عمل می‌کنیم.

2.2 نقش ما به عنوان کنترل‌کننده

ما به‌عنوان کنترل‌کننده مستقل برای داده‌های شخصی که برای اهداف خود جمع‌آوری می‌کنیم عمل می‌کنیم، از جمله: اطلاعات حساب شما، داده‌های صورت‌حساب، تحلیل‌های استفاده، ویژگی‌های عمومی وب‌سایت استخراج‌شده از محتوای وب‌سایت شما (مانند صنعت یا نوع کسب‌وکار)، و داده‌های عملیاتی پلتفرم. پردازش این داده‌ها تحت سیاست حفظ حریم خصوصی ما انجام می‌شود و خارج از محدوده این DPA است.

2.3 تجزیه‌وتحلیل پلتفرم

ما آنالیتیک‌های اولیه و حریم‌خصوصی-محور درباره بازدیدکنندگان وب‌سایت جمع‌آوری می‌کنیم (همان‌طور که در موافقت‌نامه توضیح داده شده). برای داده‌های تحلیلی، ما به عنوان کنترل‌کننده مشترک با شما عمل می‌کنیم. ما تحلیل‌های خود را به گونه‌ای طراحی کرده‌ایم که جمع‌آوری داده‌های شخصی را به حداقل برساند — ما آدرس‌های IP خام را ذخیره نمی‌کنیم و شناسه‌های بازدیدکنندگان روزانه چرخش می‌کنند. مسئولیت‌های هر کنترل‌کننده مشترک به شرح زیر است:

  • Acira AI (پردازشگر/کنترل‌کننده مشترک): ابزار فنی جمع‌آوری تحلیل‌ها را تعیین می‌کند، از جمله اینکه چه نقاط داده جمع‌آوری می‌شوند، نحوه محاسبه شناسه‌های بازدیدکنندگان (هش‌های چرخشی روزانه)، و نحوه تجمیع داده‌ها. ما مسئول امنیت و یکپارچگی زیرساخت تحلیلی و پاسخ به سوالات کلی درباره نحوه عملکرد تحلیل‌ها در پلتفرم هستیم.
  • شما (کنترل‌کننده/کنترل‌کننده مشترک): تعیین می‌کنید که آیا از تحلیل‌ها در وب‌سایت خود استفاده کنید (تحلیل‌ها به طور پیش‌فرض به عنوان بخشی از خدمات فعال هستند). شما مسئول افشای جمع‌آوری داده‌های تحلیلی در سیاست حریم خصوصی وب‌سایت خود و پاسخ به درخواست‌های موضوع داده از بازدیدکنندگان وب‌سایت خود در خصوص داده‌های تحلیلی آن‌ها هستید.
  • نقطه تماس برای موضوعات داده: موضوعات داده ممکن است با شما (صاحب وب‌سایت) در مورد داده‌های تحلیلی جمع‌آوری‌شده در وب‌سایت شما تماس بگیرند. اگر درخواستی از یک موضوع داده در مورد داده‌های تحلیلی دریافت کنیم، آن‌ها را به شما هدایت خواهیم کرد مگر اینکه دستور دیگری دهید. برای سوالات کلی پلتفرم، موضوعات داده می‌توانند با ما در legal@acira.ai تماس بگیرند.

2.4 ماهیت ترتیب کنترل‌کننده مشترک

مطابق ماده 26(2) GDPR، ماهیت این ترتیب کنترل‌کننده مشترک برای داده‌های تحلیلی به شرح زیر است: ما (Acira AI) ابزار فنی و نقاط داده جمع‌آوری‌شده را تعیین می‌کنیم؛ شما (اپراتور وب‌سایت) تعیین می‌کنید که آیا تحلیل‌ها در وب‌سایت شما استفاده می‌شوند. هر یک از ما مسئول تعهدات خود تحت قانون حفاظت از داده‌های قابل اجرا هستیم. شما نقطه تماس اصلی برای بازدیدکنندگان وب‌سایت خود در مورد داده‌های تحلیلی هستید. خلاصه‌ای از این ترتیب از طریق این DPA و در https://www.acira.ai/dpa در اختیار موضوعات داده قرار می‌گیرد.

2.5 تعیین ارائه‌دهنده خدمات CCPA

تا جایی که داده‌های شخصی مشمول قانون حریم خصوصی مصرف‌کننده کالیفرنیا («CCPA») را از طرف شما پردازش می‌کنیم، ما «ارائه‌دهنده خدمات» شما هستیم، همان‌طور که در Cal. Civ. Code § 1798.140(ag) تعریف شده است. ما:

  • هیچ اطلاعات شخصی که به ما ارائه می‌دهید را نمی‌فروشیم یا به اشتراک نمی‌گذاریم (همان‌طور که این اصطلاحات تحت CCPA تعریف شده‌اند)؛
  • اطلاعات شخصی را برای هیچ هدفی غیر از اهداف تجاری مشخص‌شده در این DPA و موافقت‌نامه، یا به نحوی که CCPA اجازه می‌دهد، نگهداری، استفاده، یا افشا نمی‌کنیم؛
  • اطلاعات شخصی را خارج از رابطه تجاری مستقیم بین شما و ما نگهداری، استفاده، یا افشا نمی‌کنیم؛
  • اطلاعات شخصی دریافت‌شده از شما را با اطلاعات شخصی که از یا از طرف شخص دیگری دریافت می‌کنیم یا از تعاملات خود با مصرف‌کنندگان جمع‌آوری می‌کنیم ترکیب نمی‌کنیم، مگر به نحوی که CCPA اجازه می‌دهد.

ما ممکن است ویژگی‌های تجاری عمومی و غیرشناسایی‌کننده (مانند طبقه‌بندی صنعت) را از محتوای وب‌سایت شما به‌منظور ارائه توصیه‌های محصول مرتبط استخراج کنیم، همان‌طور که در بخش 2.2 توضیح داده شده است. این استفاده محدود، فروش، اشتراک‌گذاری یا ترکیب اطلاعات شخصی در معنای CCPA محسوب نمی‌شود.

ما تأیید می‌کنیم که این محدودیت‌ها را درک کرده و رعایت خواهیم کرد.

2.6 ارزیابی نماینده FADP سوئیس

ماده 14 قانون فدرال سوئیس در مورد حفاظت از داده‌ها («FADP») از یک کنترل‌کننده خصوصی غیر سوئیسی می‌خواهد که تنها زمانی نماینده‌ای در سوئیس تعیین کند که هر چهار شرط تجمعی زیر برآورده شوند: (1) پردازش با ارائه کالاها یا خدمات به، یا نظارت بر رفتار اشخاص در سوئیس مرتبط باشد؛ (2) پردازش در مقیاس بزرگ باشد؛ (3) پردازش به طور منظم انجام شود؛ و (4) پردازش خطر بالایی برای حقوق شخصیتی یا حقوق اساسی موضوعات داده ایجاد کند.

ما فعالیت‌های پردازش خود را در برابر این شرایط ارزیابی کرده‌ایم و تشخیص داده‌ایم که در حالی که شرایط (1) و (3) برآورده می‌شوند، شرایط باقیمانده به دلایل زیر برآورده نمی‌شوند:

  • نه در مقیاس بزرگ: ما یک پلتفرم SaaS کوچک هستیم. حجم داده‌های شخصی ساکنان سوئیس که از طریق خدمات ما پردازش می‌شود محدود است و پردازش در مقیاس بزرگ به معنای ماده 14 FADP را تشکیل نمی‌دهد.
  • نه پرخطر: داده‌های شخصی که از طرف اپراتورهای وب‌سایت پردازش می‌کنیم عمدتاً شامل شناسه‌های تحلیلی مستعار (هش‌های چرخشی روزانه)، ابرداده اولیه بازدیدکنندگان (کشور، نوع دستگاه، مرورگر)، محتوای ارسال فرم، و پیام‌های چت‌بات است. ما دسته‌های ویژه‌ای از داده‌های شخصی (ماده 5(c) FADP) پردازش نمی‌کنیم و در پروفایل‌سازی با خطر بالا برای موضوعات داده شرکت نمی‌کنیم. کمیسر فدرال حفاظت از اطلاعات و داده‌های سوئیس («FDPIC») نشان داده است که این تعهد عمدتاً متوجه پلتفرم‌های بزرگ اینترنتی و شبکه‌های اجتماعی فعال از خارج است که خدمات ما را توصیف نمی‌کند.

بر اساس این ارزیابی، به این نتیجه رسیده‌ایم که در حال حاضر ملزم به تعیین نماینده‌ای در سوئیس تحت ماده 14 FADP نیستیم. این تشخیص را به طور دوره‌ای بازبینی خواهیم کرد، از جمله در صورت تغییرات اساسی در مقیاس یا ماهیت فعالیت‌های پردازش ما که بر ساکنان سوئیس تأثیر می‌گذارد.

3. جزئیات پردازش داده

3.1 موضوع و مدت

پردازش داده‌های شخصی تحت این DPA به منظور ارائه خدمات شرح‌داده‌شده در موافقت‌نامه انجام می‌شود و برای مدت موافقت‌نامه ادامه خواهد یافت.

3.2 ماهیت و هدف پردازش

ما داده‌های شخصی را برای موارد زیر پردازش می‌کنیم:

  • میزبانی و ارائه محتوای وب‌سایت شما
  • ذخیره و مدیریت داده‌های ارسال‌شده از طریق فرم‌ها و ویژگی‌های تعاملی وب‌سایت شما
  • حفظ حساب‌های کاربری و جلسات برای مناطق محافظت‌شده وب‌سایت شما
  • ارائه ارتباطات ایمیلی از طرف شما
  • ارسال ایمیل‌های دریافت‌شده در آدرس‌های ایمیل دامنه سفارشی شما
  • تأمین انرژی مکالمات چت‌بات هوش مصنوعی با بازدیدکنندگان وب‌سایت شما
  • تولید توضیحات و ابرداده‌های مبتنی بر هوش مصنوعی برای فایل‌های آپلودشده
  • تبدیل فایل‌های آپلودشده به فرمت‌های بهینه‌شده برای وب
  • ارائه تجزیه‌وتحلیل بازدیدکننده
  • استخراج ویژگی‌های عمومی وب‌سایت (مانند صنعت یا نوع کسب‌وکار) برای ارائه توصیه‌های مرتبط پلتفرم
  • شناسایی و پیشگیری از هرزنامه و سوءاستفاده (از جمله چالش‌های ربات اثبات کار)
  • اعمال تعدیل محتوا در فایل‌های آپلودشده
  • بررسی محتوای وب‌سایت در هنگام انتشار برای انطباق با سیاست‌های محتوای پلتفرم
  • مدیریت ترجیحات انصراف از ایمیل برای دریافت‌کنندگان ایمیل وب‌سایت شما
  • تسهیل ارتباطات کانال بلادرنگ در وب‌سایت شما از طریق اتصالات WebSocket (پیام‌ها موقتی هستند و ذخیره نمی‌شوند)
  • نگهداری گزارش‌های خطا و تشخیصی برای قابلیت اطمینان پلتفرم و عیب‌یابی (ممکن است شامل آدرس‌های IP و ابرداده درخواست باشد؛ تا سی (30) روز نگهداری می‌شود)

3.3 انواع داده‌های شخصی

انواع داده‌های شخصی پردازش‌شده بستگی به آنچه از طریق وب‌سایت خود جمع‌آوری می‌کنید دارد و ممکن است شامل موارد زیر باشد:

  • نام‌ها و اطلاعات تماس
  • آدرس‌های ایمیل
  • پیام‌ها و ارسال‌های فرم
  • فایل‌های آپلودشده توسط بازدیدکنندگان وب‌سایت (مانند تصاویر و اسناد)
  • محتوای مکالمات چت‌بات (پیام‌های بازدیدکننده و پاسخ‌های هوش مصنوعی)
  • اطلاعات اعتباری حساب کاربری (ذخیره‌شده به صورت هش)
  • داده‌های جلسه
  • آدرس‌های IP (در تحلیل‌ها ذخیره نمی‌شوند — فقط یک هش چرخشی روزانه ذخیره می‌شود؛ به عنوان ابرداده در کنار ارسال‌های فرم و مکالمات چت‌بات ذخیره می‌شود؛ به طور موقت برای تأیید چالش ربات استفاده شده و هش می‌شود؛ به طور موقت برای محدودسازی نرخ تا هفت (7) روز ذخیره می‌شود و به طور خودکار پاک می‌شود)
  • اطلاعات مرورگر و دستگاه
  • داده‌های موقعیت مکانی (سطح کشور و منطقه، استخراج‌شده از IP)
  • سوابق انصراف از ایمیل (به صورت هش‌های رمزنگاری آدرس‌های ایمیل دریافت‌کنندگان ذخیره می‌شود؛ به صورت خام ذخیره نمی‌شود)
  • نتایج طبقه‌بندی هرزنامه (اینکه آیا یک ارسال به عنوان هرزنامه تشخیص داده شده است)
  • داده‌های گزارش خطا و تشخیصی (آدرس‌های IP، مسیرهای درخواست، و جزئیات خطا؛ تا سی (30) روز نگهداری شده و به طور خودکار پاک می‌شوند)

3.4 دسته‌بندی موضوعات داده

  • بازدیدکنندگان وب‌سایت شما
  • کاربرانی که حساب‌هایی در وب‌سایت شما ایجاد می‌کنند
  • کاربرانی که فرم‌ها را ارسال می‌کنند یا با چت‌بات‌ها در وب‌سایت شما تعامل دارند
  • کاربرانی که نظرات، بررسی‌ها، یا سایر مشارکت‌ها را در وب‌سایت شما ارسال می‌کنند

4. تعهدات پردازشگر

ما:

  1. داده‌های شخصی را فقط بر اساس دستورالعمل‌های مستند شما پردازش می‌کنیم، مگر اینکه قانون قابل اجرا آن را الزامی کند (در این صورت قبل از پردازش، الزام قانونی را به شما اطلاع می‌دهیم، مگر اینکه قانون آن را منع کند)؛
  2. اطمینان حاصل می‌کنیم که افراد مجاز به پردازش داده‌های شخصی به محرمانگی متعهد شده‌اند یا تحت تعهد قانونی مناسب محرمانگی هستند؛
  3. اقدامات امنیتی فنی و سازمانی مناسب را همان‌طور که در بخش 9 توضیح داده شده اجرا می‌کنیم؛
  4. شرایط استفاده از زیرپردازشگرها را همان‌طور که در بخش 6 مقرر شده رعایت می‌کنیم؛
  5. با توجه به ماهیت پردازش، در پاسخ به درخواست‌های موضوعات داده که حقوق خود را تحت قانون حفاظت از داده‌های قابل اجرا اعمال می‌کنند، به شما کمک می‌کنیم؛
  6. در اطمینان از انطباق با تعهدات شما تحت مواد 32-36 GDPR (امنیت، اعلان نقض، ارزیابی‌های تأثیر حفاظت از داده، و مشاوره قبلی) با توجه به ماهیت پردازش و اطلاعات موجود برای ما کمک می‌کنیم. جایی که استفاده شما از خدمات شامل پردازش پرخطری باشد که ممکن است نیاز به ارزیابی تأثیر حفاظت از داده (DPIA) داشته باشد، اطلاعاتی درباره فعالیت‌های پردازش، اقدامات فنی و سازمانی، و زیرپردازشگران برای حمایت از ارزیابی شما ارائه خواهیم داد؛
  7. در انجام تعهدات شما تحت ماده 22 GDPR (تصمیم‌گیری فردی خودکار) با ارائه اطلاعات درباره هر پردازش خودکار انجام‌شده از طرف شما، از جمله تعدیل محتوا، شناسایی هرزنامه، و حفاظت از ربات، و با تسهیل بررسی انسانی تصمیمات خودکار در صورت درخواست، کمک می‌کنیم؛
  8. در صورتی که به نظر ما دستورالعملی از شما قانون حفاظت از داده‌های قابل اجرا را نقض می‌کند، به شما اطلاع می‌دهیم؛
  9. به انتخاب شما، تمام داده‌های شخصی را پس از پایان ارائه خدمات حذف یا بازگردانیم، و نسخه‌های موجود را حذف کنیم مگر اینکه قانون قابل اجرا ذخیره‌سازی را الزامی کند؛
  10. تمام اطلاعات لازم برای اثبات انطباق با تعهدات مقرر در این DPA را در اختیار شما قرار می‌دهیم و در تأیید انطباق همان‌طور که در بخش 11 توضیح داده شده مشارکت می‌کنیم.

5. تعهدات کنترل‌کننده

شما:

  1. اطمینان حاصل می‌کنید که جمع‌آوری و پردازش داده‌های شخصی از طریق وب‌سایت شما با تمام قوانین حفاظت از داده‌های قابل اجرا انطباق دارد؛
  2. اعلانات حریم خصوصی مناسبی را به بازدیدکنندگان وب‌سایت خود ارائه می‌دهید که شیوه‌های جمع‌آوری داده شما را توصیف می‌کند، از جمله افشای تحلیل‌های سطح پلتفرم، تعاملات چت‌بات مبتنی بر هوش مصنوعی، شناسایی هرزنامه، و حفاظت از ربات؛
  3. تمام رضایت‌های لازم را کسب می‌کنید یا پایه قانونی دیگری برای پردازش داده‌های شخصی از طریق وب‌سایت خود ایجاد می‌کنید؛
  4. اطمینان حاصل می‌کنید که دستورالعمل‌های شما به ما در مورد پردازش داده‌های شخصی با قوانین حفاظت از داده‌های قابل اجرا انطباق دارد؛
  5. مسئول دقت، کیفیت، و قانونی بودن داده‌های شخصی ارائه‌شده به ما از طریق وب‌سایت شما هستید.

با استفاده از خدمات، به ما دستور می‌دهید که فعالیت‌های پردازش زیر را از طرف شما به عنوان بخشی از عملیات استاندارد پلتفرم انجام دهیم: تعدیل محتوای فایل‌های آپلودشده، بررسی سیاست محتوای محتوای وب‌سایت منتشرشده، شناسایی هرزنامه در ارسال‌های فرم، حفاظت از ربات از طریق چالش‌های اثبات کار، و تعاملات چت‌بات مبتنی بر هوش مصنوعی با بازدیدکنندگان وب‌سایت شما. این فعالیت‌ها دستورالعمل‌های مستند تحت ماده 28(3)(a) GDPR هستند.

6. زیرپردازشگرها

6.1 زیرپردازشگرهای مجاز

شما مجوز کلی می‌دهید که ما زیرپردازشگرهایی را برای کمک در ارائه خدمات استخدام کنیم. زیرپردازشگران فعلی ما در زیر و در https://www.acira.ai/dpa فهرست شده‌اند.

6.2 فهرست زیرپردازشگران فعلی

زیرپردازشگر هدف مکان
Amazon Web Services (AWS) زیرساخت ابری، محاسبات، ذخیره‌سازی، پایگاه داده، تحویل ایمیل، ثبت دامنه، نظارت بر محتوا، تشخیص زبان و استنتاج هوش مصنوعی (که می‌تواند هم مدل‌های شخص اول و هم شخص ثالث را اجرا کند؛ تمام پردازش‌ها بدون توجه به منشأ مدل روی زیرساخت AWS باقی می‌مانند). برای اپراتورهای وب‌سایت مقیم اتحادیه اروپا، عملیات خودکار رو به بازدیدکننده (اعلان‌های ارسال محتوا و تحویل ایمیل تراکنشی) در اتحادیه اروپا (استکهلم) پردازش می‌شوند. ایالات متحده و اتحادیه اروپا (استکهلم)
Cloudflare میزبانی لبه، CDN، DNS، SSL، تحویل وب‌سایت، ذخیره‌سازی دائمی، تجزیه‌وتحلیل، حفاظت از ربات، شناسایی هرزنامه مبتنی بر هوش مصنوعی، و استنتاج چت‌بات هوش مصنوعی (که مدل‌های شخص ثالث را در زیرساخت Cloudflare اجرا می‌کند؛ توسعه‌دهندگان مدل داده‌های کاربر را دریافت نمی‌کنند). برای اپراتورهای وب‌سایت مقیم EU، ذخیره‌سازی دائمی از نظر قضایی به اتحادیه اروپا محدود شده است. جهانی (با ذخیره‌سازی تحت صلاحیت EU برای حساب‌های EU)
Stripe پردازش پرداخت، مدیریت اشتراک، صورت‌حساب ایالات متحده
Fireworks AI تولید متن هوش مصنوعی، هوش مصنوعی مکالمه‌ای، ایجاد محتوا ایالات متحده
xAI تولید تصویر هوش مصنوعی ایالات متحده
BrightData جمع‌آوری داده‌های وب عمومی (برای کمک به کاربر در حین ایجاد وب‌سایت)، ردیابی کلمات کلیدی SERP (برای پلان‌های قابل اعمال) اسرائیل / جهانی
Black Forest Labs تولید تصویر هوش مصنوعی اتحادیه اروپا (آلمان)
ScreenshotOne گرفتن اسکرین‌شات از وب‌سایت اتحادیه اروپا
CloudConvert تبدیل فرمت فایل اتحادیه اروپا (آلمان)

6.3 تغییرات در زیرپردازشگرها

ما شما را از هر تغییر مورد نظری در فهرست زیرپردازشگران برای خدماتی که در حال حاضر استفاده می‌کنید با به‌روزرسانی فهرست زیرپردازشگران در https://www.acira.ai/dpa حداقل چهارده (14) روز قبل از شروع پردازش داده‌های شخصی توسط زیرپردازشگر جدید مطلع خواهیم کرد. هنگامی که ویژگی‌ها یا خدمات جدیدی معرفی می‌کنیم که شامل زیرپردازشگرهای اضافی می‌شود، آن زیرپردازشگرها در زمانی که ویژگی یا سرویس در دسترس قرار می‌گیرد افشا خواهند شد؛ استفاده شما از ویژگی یا سرویس جدید به منزله پذیرش زیرپردازشگرهای افشاشده آن است. مسئولیت شما است که به طور دوره‌ای فهرست زیرپردازشگران را برای تغییرات بررسی کنید. اگر اعتراض منطقی به پردازش داده‌ها توسط زیرپردازشگر جدید برای خدمات موجود دارید، می‌توانید ظرف چهارده (14) روز از انتشار تغییر به صورت کتبی به ما اطلاع دهید. ما با حسن نیت با شما همکاری خواهیم کرد تا نگرانی‌های شما را برطرف کنیم. اگر نتوانیم اعتراض را به رضایت منطقی شما حل کنیم، می‌توانید موافقت‌نامه را با ارائه اطلاعیه کتبی فسخ کنید.

6.4 تعهدات زیرپردازشگر

ما با هر زیرپردازشگر قراردادهای کتبی منعقد خواهیم کرد که تعهدات حفاظت از داده‌ها نه کمتر از آنچه در این DPA مقرر شده را اعمال می‌کند. ما برای اعمال و ترک‌فعل‌های زیرپردازشگران خود به همان اندازه‌ای که اگر خدمات را مستقیماً ارائه می‌دادیم مسئول می‌بودیم، مسئول هستیم.

7. انتقال بین‌المللی داده

7.1 مکانیسم‌های انتقال

خدمات عمدتاً در ایالات متحده میزبانی می‌شوند. داده‌های شخصی پردازش‌شده از طریق خدمات ممکن است به ایالات متحده و سایر کشورهایی که زیرپردازشگران ما در آن‌ها فعالیت می‌کنند منتقل و در آن‌ها پردازش شوند. ارائه‌دهندگان استنتاج هوش مصنوعی (Fireworks AI و xAI) داده‌ها را در ایالات متحده پردازش می‌کنند. BrightData ممکن است داده‌ها را در اسرائیل و سایر مکان‌ها در سراسر جهان پردازش کند. Cloudflare داده‌ها را در مکان‌های لبه در سراسر جهان پردازش می‌کند.

اقامت داده‌ها در اتحادیه اروپا: برای اپراتورهای وب‌سایت که به عنوان مقیم اتحادیه اروپا شناسایی شده‌اند، اقدامات اقامت داده‌های زیر را برای به حداقل رساندن انتقال داده‌های شخصی بازدیدکنندگان به خارج از اتحادیه اروپا اعمال می‌کنیم:

  • ذخیره‌سازی: داده‌های بازدیدکننده در ذخیره‌سازی دائمی لبه — شامل ارسال فرم‌ها، مکالمات ربات چت، داده‌های جلسه و داده‌های جداول کاربران — به اتحادیه اروپا محدود شده است. این داده‌ها منحصراً در مراکز داده اتحادیه اروپا ذخیره می‌شوند.
  • پردازش خودکار رو به بازدیدکننده: عملیاتی که به صورت خودکار توسط فعالیت بازدیدکنندگان فعال می‌شوند — از جمله اعلان‌های ارسال محتوا و تحویل ایمیل تراکنشی — در اتحادیه اروپا پردازش می‌شوند و از زیرساخت آمریکا عبور نمی‌کنند.
  • دسترسی مدیریت پلتفرم: هنگامی که از طریق داشبورد پلتفرم یا رابط مکالمه‌ای به داده‌های بازدیدکنندگان وب‌سایت خود دسترسی پیدا می‌کنید (به عنوان مثال، مشاهده ارسال‌های فرم یا مدیریت سوابق کاربران)، این داده‌ها ممکن است برای انجام درخواست شما از طریق زیرساخت ما در ایالات متحده پردازش شوند. این انتقال‌ها بر اساس تقاضا هستند، توسط شما (کنترل‌کننده) آغاز می‌شوند و توسط مکانیزم‌های انتقال و اقدامات تکمیلی توصیف شده در زیر محافظت می‌شوند.
  • سایر پردازش‌های مستقر در ایالات متحده: داده‌های تحلیلی و داده‌هایی که توسط زیرساخت ابری ما در ایالات متحده برای نظارت بر محتوا و استنتاج هوش مصنوعی پردازش می‌شوند، ممکن است همچنان طبق مکانیزم‌های انتقال زیر به ایالات متحده منتقل شوند.

برای انتقال داده‌های شخصی از EEA، UK، یا سوئیس به کشورهایی که به عنوان ارائه‌دهنده سطح کافی حفاظت از داده شناخته نشده‌اند، ما بر موارد زیر تکیه می‌کنیم:

  1. بندهای قراردادی استاندارد (SCCs): ما بندهای قراردادی استاندارد کمیسیون اروپا را از طریق مرجع در این DPA وارد می‌کنیم: ماژول یک (کنترل‌کننده به کنترل‌کننده) برای داده‌های تحلیلی جایی که ما به عنوان کنترل‌کننده مشترک عمل می‌کنیم (بخش 2.3 را ببینید)، و ماژول دو (کنترل‌کننده به پردازشگر) برای تمام سایر داده‌های شخصی پردازش‌شده از طرف شما. SCCs در https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en موجود هستند.
  2. ضمیمه انتقال داده بین‌المللی UK: برای انتقال از UK، ضمیمه UK به SCCs اتحادیه اروپا اعمال می‌شود.
  3. مکانیسم‌های انتقال داده سوئیس: برای انتقال از سوئیس، SCCs با تغییرات مورد نیاز FADP سوئیس اعمال می‌شوند.

7.2 اقدامات تکمیلی

ما اقدامات تکمیلی زیر را برای حفاظت از داده‌های شخصی منتقل‌شده اجرا می‌کنیم:

  • رمزگذاری داده‌ها در حین انتقال (TLS/SSL) و در حالت استراحت
  • کنترل‌های دسترسی و مکانیسم‌های احراز هویت
  • ارزیابی‌های امنیتی منظم
  • شیوه‌های به حداقل رساندن داده (مثلاً هش‌های بازدیدکننده چرخشی روزانه به جای ذخیره‌سازی IP خام)
  • اقامت داده‌های قضایی برای اپراتورهای وب‌سایت مقیم اتحادیه اروپا (ذخیره‌سازی دائمی و پردازش خودکار مرتبط با بازدیدکنندگان محدود به اتحادیه اروپا)
  • زیرساخت محاسباتی و ایمیل مستقر در اتحادیه اروپا برای عملیات خودکار رو به بازدیدکننده (اعلان‌های ارسال محتوا و تحویل ایمیل تراکنشی پردازش شده در اتحادیه اروپا برای اپراتورهای وب‌سایت مقیم اتحادیه اروپا)

7.3 ارزیابی تأثیر انتقال

این اقدامات تکمیلی از ارزیابی ما از قوانین و شیوه‌های کشورهای مقصد برگرفته شده‌اند، با در نظر گرفتن ماهیت داده‌های منتقل‌شده، مکانیسم انتقال مورد اتکا، و تضمینات فنی و سازمانی موجود. ما ارزیابی کرده‌ایم که اقدامات تکمیلی توضیح‌داده‌شده در بالا، همراه با تعهدات در SCCs، سطح کافی حفاظت برای داده‌های شخصی منتقل‌شده را فراهم می‌کنند. ارزیابی تأثیر انتقال ما در https://www.acira.ai/tia موجود است.

7.4 انتقال داده‌های کانادایی

برای انتقال داده‌های شخصی از کانادا، ما بر تضمینات زیر تکیه می‌کنیم تا اطمینان حاصل کنیم که داده‌های شخصی منتقل‌شده خارج از کانادا سطح قابل مقایسه‌ای از حفاظت را دریافت می‌کنند همان‌طور که تحت قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی (PIPEDA) و قوانین حریم خصوصی استانی قابل اجرا (از جمله PIPA آلبرتا، PIPA بریتیش کلمبیا، و قانون کبک در مورد حفاظت از اطلاعات شخصی در بخش خصوصی) الزامی است:

  1. حفاظت‌های قراردادی: توافق‌نامه‌های پردازش داده کتبی با هر زیرپردازشگر که تعهداتی را برای حفاظت از داده‌های شخصی به استانداردی سازگار با قانون حریم خصوصی کانادا تحمیل می‌کند، از جمله الزامات برای تضمینات امنیتی مناسب، محدودیت‌های استفاده، اعلان نقض، و دسترسی موضوع داده.
  2. تضمینات فنی: همان رمزگذاری، مستعارسازی، کنترل دسترسی، و اقدامات به حداقل رساندن داده توضیح‌داده‌شده در بخش 7.2 برای انتقال داده‌های کانادایی اعمال می‌شوند.
  3. تضمینات سازمانی: بررسی دقیق زیرپردازشگر، تعهدات محرمانگی برای کارکنان، و رویه‌های مستند پاسخ به حوادث همان‌طور که در این DPA توضیح داده شده.

ما تحولات در قانون حریم خصوصی کانادا، از جمله قانون پیشنهادی حفاظت از حریم خصوصی مصرف‌کننده (CPPA)، را زیر نظر داریم و مکانیسم‌های انتقال خود را در صورت لزوم به‌روز خواهیم کرد.

8. حقوق موضوع داده

8.1 کمک در درخواست‌ها

ما در پاسخ به درخواست‌های موضوعات داده که حقوق خود را تحت قانون حفاظت از داده‌های قابل اجرا اعمال می‌کنند، از جمله حقوق دسترسی، اصلاح، پاک کردن، محدودسازی، قابلیت حمل، و اعتراض، به شما کمک خواهیم کرد.

8.2 اعلان

اگر درخواستی را مستقیماً از یک موضوع داده در مورد داده‌های شخصی پردازش‌شده از طرف شما دریافت کنیم، فوری به شما اطلاع می‌دهیم و بدون دستورالعمل شما به درخواست پاسخ نمی‌دهیم، مگر اینکه قانون قابل اجرا الزامی کند.

8.3 ابزارهای پلتفرم

ما ابزارهایی را در خدمات فراهم می‌کنیم تا به شما در انجام درخواست‌های موضوع داده کمک کند، از جمله:

  • دسترسی به و مدیریت داده‌های ذخیره‌شده در پایگاه‌های داده وب‌سایت شما
  • حذف رکوردهای فردی از پایگاه‌های داده وب‌سایت شما
  • در صورت درخواست، می‌توانیم صادرات داده را در قالب ZIP ارائه دهیم تا با تعهدات قابلیت حمل داده کمک کنیم

9. امنیت داده

9.1 اقدامات امنیتی

ما اقدامات فنی و سازمانی مناسب را برای حفاظت از داده‌های شخصی در برابر پردازش غیرمجاز یا غیرقانونی و در برابر از دست دادن، تخریب، یا آسیب تصادفی اجرا و حفظ می‌کنیم. این اقدامات شامل موارد زیر است:

  • رمزگذاری: داده‌های رمزگذاری‌شده در حین انتقال از طریق TLS/SSL و در حالت استراحت با استفاده از رمزگذاری استاندارد صنعت
  • کنترل دسترسی: کنترل‌های دسترسی مبتنی بر نقش، احراز هویت چند عاملی برای مدیریت پلتفرم، سیاست‌های دسترسی با حداقل مزایا
  • امنیت زیرساخت: زیرساخت ابری مدیریت‌شده با وصله‌گذاری خودکار امنیتی، حفاظت DDoS، و فایروال برنامه وب (WAF)
  • جداسازی داده: جداسازی داده‌های هر وب‌سایت از طریق نمونه‌های ذخیره‌سازی اختصاصی
  • نظارت: نظارت امنیتی خودکار، تشخیص نفوذ، و ثبت ساختاریافته
  • امنیت اعتبارنامه: تمام کلیدهای API و اسرار در سرویس‌های مدیریت اسرار اختصاصی ذخیره می‌شوند؛ گذرواژه‌های کاربر با استفاده از الگوریتم‌های رمزنگاری قوی با نمک‌های هر کاربر هش می‌شوند
  • حفاظت از ربات: سیستم‌های چالش اثبات کار برای جلوگیری از سوءاستفاده خودکار

9.2 محرمانگی

ما اطمینان حاصل می‌کنیم که تمام کارکنان مجاز به پردازش داده‌های شخصی تحت تعهدات محرمانگی هستند.

10. اعلان نقض داده

10.1 اعلان به کنترل‌کننده

ما بدون تأخیر بی‌مورد پس از تأیید نقض داده شخصی که بر داده‌های شخصی پردازش‌شده از طرف شما تأثیر می‌گذارد، به شما اطلاع خواهیم داد. اعلان به اطلاعات تماس مرتبط با حساب شما ارسال خواهد شد.

10.2 محتوای اعلان

اعلان نقض ما تا حد موجود شامل موارد زیر خواهد بود:

  1. توضیح ماهیت نقض، از جمله دسته‌ها و تعداد تقریبی موضوعات داده و رکوردهای مربوطه؛
  2. نام و مشخصات تماس مسئول حفاظت از داده ما؛
  3. توضیح پیامدهای احتمالی نقض؛
  4. توضیح اقداماتی که برای رسیدگی به نقض و کاهش اثرات آن انجام شده یا پیشنهاد شده است.

10.3 تعهدات شما

شما مسئول اطلاع‌رسانی به مقام نظارتی مربوطه و موضوعات داده متأثر از نقض داده شخصی هستید، همان‌طور که قانون حفاظت از داده‌های قابل اجرا الزامی می‌کند. ما با شما همکاری خواهیم کرد و کمک معقولی برای کمک به شما در انجام تعهدات اعلان نقض ارائه خواهیم داد.

11. ممیزی‌ها و تأیید انطباق

11.1 مستندات انطباق

برای اثبات انطباق خود با این DPA، بر اساس درخواست کتبی معقول (حداکثر یک بار در سال) موارد زیر را در اختیار شما قرار خواهیم داد:

  1. گزارش‌های حسابرسی مرتبط شخص ثالث، گواهینامه‌ها یا خلاصه‌های ارزیابی امنیتی؛
  2. خلاصه‌ای از اقدامات امنیتی فنی و سازمانی فعلی ما؛
  3. اطلاعات مربوط به فعالیت‌های پردازش، پردازشگران فرعی و شیوه‌های حفاظت از داده‌های ما.

در مواردی که به ارائه‌دهندگان زیرساخت شخص ثالث (مانند AWS و Cloudflare) تکیه می‌کنیم، گواهینامه‌های امنیتی و مستندات انطباق آنها از طریق برنامه‌های اعتماد و انطباق مربوطه در دسترس است.

11.2 استعلام‌های اضافی

اگر مستندات ارائه‌شده طبق بخش 11.1 نگرانی‌های انطباق شما را به‌طور معقول برطرف نکند، می‌توانید سؤالات کتبی مشخصی درباره شیوه‌های حفاظت از داده‌های ما ارائه دهید که ما در یک بازه زمانی معقول به آنها پاسخ خواهیم داد.

12. نگهداری و حذف داده

12.1 در طول موافقت‌نامه

ما داده‌های شخصی پردازش‌شده از طرف شما را برای مدت موافقت‌نامه و مطابق با دستورالعمل‌های شما از طریق خدمات نگهداری خواهیم کرد. دوره‌های نگهداری خاص برای داده‌های بازدیدکننده عبارتند از:

  • مکالمات چت‌بات در وب‌سایت شما: سی (30) روز از آخرین تعامل در هر مکالمه نگهداری می‌شوند. مکالمات در جلسات بازدیدکنندگان در زیرساخت لبه وب‌سایت ذخیره می‌شوند و هنگامی که جلسه به دلیل عدم فعالیت منقضی شود به طور خودکار حذف می‌شوند.
  • ارسال‌های فرم و محتوای تولیدشده توسط کاربر در وب‌سایت شما: برای مدت وب‌سایت مرتبط نگهداری می‌شوند، مگر اینکه زودتر از طریق ابزارهای پلتفرم حذف کنید.
  • داده‌های جلسه برای بازدیدکنندگان وب‌سایت شما: پس از 30 روز عدم فعالیت به طور خودکار حذف می‌شوند.
  • محتوای بازدیدکننده حذف‌شده (ارسال‌های فرم، نظرات، و سایر محتوای تولیدشده توسط کاربر در وب‌سایت شما): هنگامی که محتوای بازدیدکننده را از طریق ابزارهای پلتفرم حذف می‌کنید، به حالت حذف نرم منتقل می‌شود و تا سی (30) روز برای پشتیبانی از بازیابی نگهداری می‌شود. پس از این دوره، محتوای حذف‌شده نرم به طور دائمی حذف می‌شود. می‌توانید محتوا را فوری با پاک کردن آن از صف بازیابی به طور دائمی حذف کنید.
  • سوابق انصراف از ایمیل در وب‌سایت شما: برای مدت وب‌سایت مرتبط نگهداری می‌شود، مگر اینکه دریافت‌کننده دوباره مشترک شود. سوابق انصراف با تخریب وب‌سایت حذف می‌شوند.
  • داده‌های تحلیلی: برای مدت وب‌سایت مرتبط نگهداری می‌شوند (با توجه به محدودیت‌های نگهداری مبتنی بر طرح؛ داده‌های تحلیلی طرح رایگان برای نود (90) روز نگهداری می‌شوند).

12.2 پس از فسخ

پس از فسخ موافقت‌نامه، یا بنا به درخواست شما، داده‌های شخصی پردازش‌شده از طرف شما را مطابق با شیوه‌های نگهداری داده توضیح‌داده‌شده در موافقت‌نامه (از جمله دوره رحمت هفت (7) روزه برای حذف حساب و وب‌سایت) حذف خواهیم کرد. پس از دوره رحمت، حذف دائمی و برگشت‌ناپذیر است.

12.3 استثنائات

ما ممکن است داده‌های شخصی را تا جایی که قانون قابل اجرا الزامی کند نگه داریم، یا جایی که داده‌ها ناشناس‌سازی شده و دیگر نمی‌توانند به یک موضوع داده مرتبط شوند.

13. مدت و فسخ

این DPA از تاریخ قبول موافقت‌نامه توسط شما لازم‌الاجرا می‌شود و تا زمانی که داده‌های شخصی را از طرف شما پردازش می‌کنیم ادامه دارد. تعهدات محرمانگی و حفاظت از داده مقرر در این DPA پس از فسخ موافقت‌نامه باقی می‌مانند.

14. محدودیت مسئولیت

مسئولیت هر یک از طرفین تحت این DPA مشمول محدودیت‌های مسئولیت مقرر در موافقت‌نامه است.

15. تماس با ما

برای سوالات درباره این DPA یا اعمال حقوق خود، با ما تماس بگیرید:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

تلفن: 888-389-1189
ایمیل: legal@acira.ai

حریم خصوصی شما، اولویت ما

ما داده‌های شما را نمی‌فروشیم، از کوکی‌های ردیابی استفاده نمی‌کنیم — به همین دلیل بنر کوکی اینجا نمی‌بینید. ما Global Privacy Control را رعایت می‌کنیم و برای مشتریان اتحادیه اروپا، داده‌های بازدیدکنندگان منحصراً در اتحادیه اروپا ذخیره و پردازش می‌شود.

ببینید چگونه از داده‌های شما محافظت می‌کنیم
GDPR Art 27 representationUK-GDPR Art 27 representationDSA representation
Acira AI

با هوش مصنوعی وب‌سایت‌های زیبا بسازید. بدون نیاز به کدنویسی.

با افتخار در ایالات متحده ساخته شده است

شرکت
قیمت‌گذاریویژگی‌هادرباره مامقایسهاعتماد و حریم خصوصی
حقوقی
سیاست حفظ حریم خصوصیشرایط و ضوابطاستفاده قابل قبولپردازش دادهتأثیر انتقال
پردازش دادهتأثیر انتقال

© 2026 Acira AI LLC. تمامی حقوق محفوظ است.