سياسة الخصوصية

1. المتحكم في البيانات

الكيان المسؤول عن معالجة بياناتك الشخصية («المتحكم في البيانات» بموجب GDPR، أو «معالج المعلومات الشخصية» بموجب PIPL) هو:

• الكيان: CoinKirin.com
• جهة اتصال الخصوصية العامة: Privacy@coinkirin.com
• مسؤول حماية البيانات (DPO): dpo@coinkirin.com
• الممثل في الاتحاد الأوروبي (GDPR م. 27): نحن بصدد تعيين ممثل في الاتحاد الأوروبي. حتى يتم تعيين واحد، يُرجى التواصل معنا على privacy@coinkirin.com.
• ممثل PIPL في الصين: لم يُعيَّن بعد. يمكن للمستخدمين الصينيين التواصل مع privacy@coinkirin.com مع سطر الموضوع «PIPL Request».

2. فئات البيانات الشخصية التي نجمعها

نجمع الحد الأدنى من البيانات اللازمة لتشغيل الخدمة. على وجه التحديد، نعالج الفئات التالية من البيانات الشخصية:

بيانات الحساب

عنوان البريد الإلكتروني، كلمة المرور (تُخزَّن فقط بصيغة bcrypt hash بعامل تكلفة 12 — لا نرى أبدًا ولا نخزِّن النص الصريح)، سر TOTP للمصادقة الثنائية (مشفَّر بـ AES-GCM أثناء التخزين)، اسم العرض، طابع وقت إنشاء الحساب.

تفضيلات المستخدم

اللغة، السمة، المنطقة، تفضيلات الإشعارات، تفضيل العملة.

البيانات المالية (المُدخلة من المستخدم)

ممتلكات المحفظة، مدخلات قائمة المراقبة، قواعد تنبيهات الأسعار. يتم إدخال هذه البيانات طوعًا منك ولا تُرسل أبدًا إلى وسطاء أو بورصات خارجية — تُستخدم فقط لتشغيل الميزات التي تطلبها.

بيانات الجهاز والتقنية

عنوان IP (مقطوع إلى /24 قبل الاستخدام في التحليلات)، سلسلة User-Agent، بصمة الجهاز / معرِّف جهاز الرمز المميز المحدَّث، دقة الشاشة واللغة (اختيارية، من جانب العميل فقط).

بيانات الاستخدام

الصفحات المعروضة، الميزات المستخدمة، استعلامات البحث، أحداث النقر، Core Web Vitals (LCP، CLS، INP)، وتقارير الأخطاء المجهولة الهوية.

ملفات تعريف الارتباط والتقنيات المماثلة

ملفات تعريف ارتباط ضرورية للغاية (الجلسة، CSRF، اللغة)، ملفات تفضيلات (السمة)، و — بموافقتك الصريحة فقط — ملفات تحليلات. راجع سياسة ملفات تعريف الارتباط للحصول على القائمة الكاملة.

نحن لا نجمع عمدًا بيانات من فئة خاصة (العِرق، الدين، الصحة، التوجه الجنسي، الآراء السياسية، البيانات البيومترية أو الجينية). يُرجى عدم تقديم مثل هذه البيانات إلينا.

3. كيف نجمع بياناتك

نحصل على البيانات الشخصية بالطرق التالية:

مباشرة منك

عند تسجيل حساب، أو تعديل ملفك الشخصي، أو إدخال ممتلكات المحفظة، أو تقديم طلب دعم، أو التفاعل مع الخدمة بأي طريقة أخرى.

تلقائيًا

عبر ملفات تعريف الارتباط وسجلات الخادم وتحليلات الاستخدام عند زيارتك للخدمة.

من أطراف ثالثة

تزوِّدنا Cloudflare بمعلومات تقريبية عن الدولة مستمدَّة من عنوان IP الخاص بك لأغراض الأمان والتوطين. نحن لا نشتري بيانات شخصية من وسطاء البيانات.

4. أغراض المعالجة والأسس القانونية

بموجب المادة 6 من GDPR، نعالج بياناتك الشخصية فقط عندما ينطبق أساس قانوني واحد على الأقل. يسرد الجدول أدناه أغراضنا والأساس القانوني المقابل:

5. الاحتفاظ بالبيانات

نحتفظ بالبيانات الشخصية فقط للمدة اللازمة لتحقيق الأغراض الموضحة أعلاه، أو وفقًا لما يتطلبه القانون. على وجه التحديد:

• بيانات الحساب: طوال مدة نشاط حسابك. بعد طلبك للحذف، يدخل حسابك في فترة سماح حذف مؤقت تبلغ 30 يومًا يمكنك خلالها استعادته؛ بعد ذلك، يُحذف نهائيًا.
• سجلات التدقيق (العامة): سنة واحدة.
• سجلات التدقيق التي تغطي الأحداث الحرجة (إجراءات المسؤول، حذف الحسابات، الحوادث الأمنية): حتى 7 سنوات، حيثما تتطلب ذلك الامتثال التنظيمي.
• تقارير أخطاء العميل: 90 يومًا (TTL تلقائي).
• بيانات التحليلات: 90 يومًا (TTL تلقائي)، وبعد ذلك يتم حذفها أو تجميعها / إخفاء هويتها بالكامل.
• رموز التحديث: 30 يومًا كحد أقصى؛ تُطهَّر الرموز المنتهية تلقائيًا.
• النسخ الاحتياطية: حتى 35 يومًا، مشفَّرة أثناء التخزين، ثم يتم تدويرها خارج النطاق.

6. كيف نشارك بياناتك

نحن لا نبيع بياناتك الشخصية. لا نُشارك بياناتك الشخصية لإعلانات سلوكية عبر السياقات كما هو محدد في CCPA/CPRA.

نعتمد على عدد محدود من المعالجين الفرعيين الموثوقين الذين يعملون وفق تعليماتنا بموجب اتفاقيات معالجة بيانات مكتوبة (DPAs) مع بنود تعاقدية قياسية (SCCs) حيثما ينطبق ذلك:

المعالجون الفرعيون النشطون

نعلن عن المعالجين الفرعيين الجدد قبل تفعيلهم بـ 30 يومًا على الأقل عبر تدوينة وهذه الصفحة. لك الحق في الاعتراض على معالج فرعي جديد بموجب المادة 28(2) من GDPR.

معالجون فرعيون مخطط لهم / مشروطون

لا يُستخدم ما يلي حاليًا، لكنها ضمن خارطة طريقنا. سنعلن عن تفعيلها قبل 30 يومًا.

• شركة Grafana Labs, Inc. (سحابة Grafana) — في حال نقل المراقبة من الاستضافة الذاتية
• Anthropic, PBC — عند إطلاق ميزات الذكاء الاصطناعي / MCP

ليسوا معالجين فرعيين

لا يعالج المزودون التالون البيانات الشخصية للمستخدمين ولذا لا يُدرَجون كمعالجين فرعيين: GitHub (استضافة الشفرة فقط)، npm / Go module proxy (التبعيات)، Let's Encrypt (شهادات TLS)، Docker Hub (توزيع الصور).

حقك في الاعتراض

يمكنك الاعتراض في أي وقت على معالج فرعي جديد بمراسلة dpo@coinkirin.com. إذا تعذّر علينا الاستجابة بشكل معقول لاعتراضك، فلك الحق في حذف حسابك بعد تصدير بياناتك.

الإفصاحات القانونية

قد نُفصح عن البيانات الشخصية عندما يتطلب ذلك القانون المعمول به أو أمر المحكمة أو أي إجراء قانوني صالح — مثلاً، استجابةً لمذكرة استدعاء أو طلب تنظيمي. حيثما يسمح القانون، سنُخطر المستخدمين المعنيين قبل الإفصاح.

عمليات نقل الأعمال

إذا شاركت CoinKirin في اندماج أو استحواذ أو بيع أصول، فقد يتم نقل بياناتك الشخصية كجزء من تلك الصفقة. سنُخطر المستخدمين ونقدِّم خيارًا ذا معنى حيثما يشترط ذلك القانون.

7. نقل البيانات عبر الحدود

قد تكون النسخ الاحتياطية والبنية التحتية للمعالجين الفرعيين أيضًا في الولايات المتحدة.

للمستخدمين في المنطقة الاقتصادية الأوروبية والمملكة المتحدة وسويسرا، تعتمد عمليات نقل البيانات الشخصية إلى الولايات المتحدة على البنود التعاقدية القياسية (SCCs) للمفوضية الأوروبية بوصفها الضمانة المناسبة بموجب المادة 46 من GDPR. يمكن طلب نسخة من SCCs عبر privacy@coinkirin.com.

لمستخدمي المملكة المتحدة، نعتمد على ملحق نقل البيانات الدولية في المملكة المتحدة لـ SCCs.

للمستخدمين في جمهورية الصين الشعبية، سيتم نقل معلوماتك الشخصية وتخزينها ومعالجتها خارج البر الرئيسي للصين، بشكل أساسي في الولايات المتحدة. بإنشائك حسابًا واستخدامك CoinKirin، فإنك توافق صراحةً على هذا النقل العابر للحدود لمعلوماتك الشخصية كما تتطلبه المادتان 38-39 من PIPL. يمكنك سحب هذه الموافقة في أي وقت بحذف حسابك؛ علمًا بأننا لا نستطيع تقديم الخدمة دون هذا النقل.

8. حقوقك

بناءً على مكان إقامتك، تتمتع بالحقوق التالية المتعلقة ببياناتك الشخصية. نحترم هذه الحقوق لجميع المستخدمين إلى أقصى حد ممكن، بغض النظر عن الولاية القضائية.

حق الوصول / حق المعرفة

يمكنك طلب نسخة من البيانات الشخصية التي نحتفظ بها عنك. يمكن للمستخدمين المسجَّلين تصدير بياناتهم في أي وقت عبر /api/v1/auth/me/export («تصدير بياناتي» في إعدادات الملف الشخصي). (GDPR م. 15 / حق المعرفة في CCPA / PIPL م. 45.)

حق التصحيح

يمكنك تصحيح البيانات الشخصية غير الدقيقة أو الناقصة عبر صفحة ملفك الشخصي. للبيانات التي لا يمكنك تعديلها مباشرة، تواصل مع privacy@coinkirin.com. (GDPR م. 16.)

حق المحو / حق الحذف

يمكنك حذف حسابك من صفحة الملف الشخصي. يُطلق الحذف فترة حذف مؤقت تبلغ 30 يومًا، وبعدها يُمحى حسابك والبيانات الشخصية المرتبطة به نهائيًا من أنظمة الإنتاج. تنتهي صلاحية النسخ الاحتياطية التي تحتوي على بياناتك خلال 35 يومًا. (GDPR م. 17 / حق الحذف في CCPA / PIPL م. 47.)

حق تقييد المعالجة

يمكنك أن تطلب منا تقييد معالجة بياناتك الشخصية في حالات معيَّنة (مثلاً أثناء اعتراضك على دقتها). تواصل مع privacy@coinkirin.com. (GDPR م. 18.)

حق قابلية نقل البيانات

تُعيد نقطة نهاية تصدير البيانات بياناتك بصيغة JSON منظَّمة وشائعة الاستخدام وقابلة للقراءة آليًا. (GDPR م. 20 / PIPL م. 45.)

حق الاعتراض

يمكنك الاعتراض على المعالجة المبنية على المصالح المشروعة، بما في ذلك التسويق المباشر. يحتوي كل بريد إلكتروني تسويقي على رابط إلغاء اشتراك بنقرة واحدة. (GDPR م. 21.)

حق سحب الموافقة

حيثما تستند المعالجة إلى الموافقة (مثل ملفات تحليلات الاستخدام والبريد التسويقي)، يمكنك سحب الموافقة في أي وقت عبر شريط ملفات تعريف الارتباط («رفض الكل») أو عبر إلغاء الاشتراك.

الحق المتعلق بصنع القرار الآلي

نحن لا نُخضع المستخدمين لقرارات آلية حصرًا تنتج عنها آثار قانونية أو مماثلة في الأهمية.

حقوق خاصة بكاليفورنيا (CCPA/CPRA)

يحق لسكان كاليفورنيا إضافةً إلى ذلك طلب الإفصاح عن فئات المعلومات الشخصية المجمَّعة، ومصادر هذه المعلومات، والغرض التجاري لجمعها، وفئات الأطراف الثالثة التي تُشارك معها. نحن لا نبيع معلوماتك الشخصية ولم نفعل ذلك خلال الأشهر الـ 12 الماضية.

حقوق خاصة بـ PIPL

يتمتع المستخدمون في الصين بحقوق مكافئة لتلك المذكورة أعلاه، بالإضافة إلى حق نقل نسخة من معلوماتك الشخصية إلى معالج آخر، وحق تقديم شكوى إلى إدارة الفضاء السيبراني في الصين (CAC).

حق تقديم الشكوى

يمكنك تقديم شكوى إلى سلطة حماية البيانات المحلية. يمكن لمستخدمي الاتحاد الأوروبي تحديد موقع سلطتهم على https://edpb.europa.eu/about-edpb/about-edpb/members_en. سنقدِّر الفرصة لمعالجة مخاوفك مباشرةً أولاً — يُرجى مراسلة privacy@coinkirin.com.

كيفية ممارسة هذه الحقوق

حيثما أمكن، بنينا أدوات الخدمة الذاتية في الخدمة (التصدير، الحذف، إلغاء الاشتراك). لجميع الطلبات الأخرى، راسلنا على privacy@coinkirin.com. سنرد خلال 30 يومًا (GDPR / PIPL) أو 45 يومًا (CCPA). قد نطلب منك التحقق من هويتك قبل التصرف في الطلب.

9. بيانات الأطفال

CoinKirin غير مخصصة للأفراد دون سن 18 عامًا، ولا نوجِّه الخدمة إليهم عن علم. على وجه الخصوص، لا نجمع عن علم معلومات شخصية من الأطفال دون سن 13 (COPPA في الولايات المتحدة) أو دون سن 16 (المادة 8 من GDPR في الاتحاد الأوروبي). إذا علمنا بأننا جمعنا بيانات شخصية من طفل دون موافقة والديه، فسنحذفها فورًا، ونُخطر الوالد أو الوصي حيثما كان ذلك مناسبًا. إذا كنت تعتقد أننا جمعنا بيانات من طفل، يُرجى التواصل مع privacy@coinkirin.com.

10. إجراءات الأمان

ننفِّذ تدابير تقنية وتنظيمية مناسبة لحماية بياناتك الشخصية من التلف العرضي أو غير القانوني، أو الفقدان، أو التعديل، أو الإفصاح غير المصرح به، أو الوصول، بما في ذلك:

• تشفير TLS 1.2+ لجميع البيانات أثناء النقل.
• تشفير AES-GCM أثناء التخزين لأسرار TOTP والحقول عالية الحساسية الأخرى.
• كلمات المرور مُجزَّأة باستخدام bcrypt بعامل تكلفة 12 — لا تُخزَّن أو تُنقل بنص صريح أبدًا.
• HTTPS حصرًا، HSTS مُحمَّل مسبقًا، سياسة محتوى أمان صارمة (CSP)، ورؤوس أمان حديثة.
• تحديد المعدلات، CAPTCHA Cloudflare Turnstile على نقاط النهاية الحساسة، ومصادقة ثنائية TOTP اختيارية لحسابات المستخدمين.
• تسجيل تدقيق شامل لجميع الإجراءات الإدارية.
• مبدأ أقل الامتيازات لوصول الموظفين، مع مراجعات الوصول والأذونات المبنية على الأدوار.
• فحص التبعيات المنتظم وتطبيق تصحيحات الأمان.

على الرغم من أننا نأخذ الأمان على محمل الجد، لا يوجد نظام آمن بنسبة 100%. أنت مسؤول عن الحفاظ على سرية بيانات اعتماد حسابك.

11. إخطار انتهاك البيانات

في الحالة غير المرجحة لحدوث خرق للبيانات الشخصية، سنُخطر السلطة الإشرافية المختصة دون تأخير غير مبرر، وحيثما أمكن، خلال 72 ساعة من علمنا بالخرق، وفقًا للمادة 33 من GDPR. إذا كان الخرق من المحتمل أن يؤدي إلى مخاطر عالية على حقوقك وحرياتك، فسنُخطرك مباشرةً أيضًا عبر البريد الإلكتروني والإشعارات داخل التطبيق دون تأخير غير مبرر.

12. تغييرات على هذه السياسة

قد نُحدِّث سياسة الخصوصية هذه من حين لآخر لتعكس التغييرات في ممارساتنا أو تقنيتنا أو المتطلبات القانونية أو عوامل أخرى. سيتم إخطار المستخدمين المسجَّلين بالتغييرات الجوهرية عبر البريد الإلكتروني (حيثما كان لدينا عنوان محفوظ) وعبر إشعار بارز على الخدمة قبل 14 يومًا على الأقل من سريانها. يعكس تاريخ «آخر تحديث» في أعلى هذه الصفحة النسخة الحالية دائمًا.

يتم أرشفة الإصدارات السابقة من هذه السياسة. لطلب نسخة من إصدار سابق، راسلنا على privacy@coinkirin.com.

13. كيفية الاتصال بنا

لأي استفسار يتعلق بالخصوصية أو لممارسة حقوقك، يُرجى استخدام القناة المناسبة أدناه:

• استفسارات الخصوصية العامة: Privacy@coinkirin.com
• مسؤول حماية البيانات: dpo@coinkirin.com
• طلبات CCPA كاليفورنيا: privacy@coinkirin.com — سطر الموضوع: «CCPA Request»
• طلبات PIPL الصين: privacy@coinkirin.com — سطر الموضوع: «PIPL Request»
• البريد العادي: تواصل معنا عبر البريد الإلكتروني أولاً؛ سيتم تقديم عنوان بريدي عند الطلب.