سياسة الخصوصية Privacy Policy
آخر تحديث: 10 يونيو 2026 Last updated: 10 June 20261. مقدمة1. Introduction
فهيم (Faheem)، المتاح على www.enkiz.org، هو منصة برمجية كخدمة (SaaS) تقدّم مساعداً ذكياً (روبوت محادثة) يعتمد على الذكاء الاصطناعي وتقنية الاسترجاع المعزز بالتوليد (RAG). تتيح المنصة للشركات ربط قاعدة معرفتها الخاصة وحساب واتساب للأعمال (WhatsApp Business) عبر التسجيل المُضمَّن من Meta (Embedded Signup) للرد آلياً على عملائها. توضّح هذه السياسة البيانات التي نجمعها وكيف نستخدمها ونحميها. Faheem, available at www.enkiz.org, is a Software-as-a-Service (SaaS) platform providing an AI chatbot powered by Retrieval-Augmented Generation (RAG). It lets businesses connect their own knowledge base and their WhatsApp Business account — via Meta Embedded Signup — to automatically respond to their customers. This policy explains what data we collect and how we use and protect it.
2. الأطراف المعنية2. Roles
تتعامل خدمتنا مع نوعين من المستخدمين: الشركات (المزوّدون) التي تشترك في فهيم وتربط قنواتها، والمستخدمون النهائيون الذين يتحادثون مع روبوت الشركة عبر واتساب أو قنوات أخرى. بالنسبة لرسائل المستخدمين النهائيين، تعمل الشركة المشتركة بصفتها المتحكم في البيانات، ويعمل فهيم بصفته معالجاً للبيانات نيابةً عنها. Our service involves two types of users: businesses (providers) who subscribe to Faheem and connect their channels, and end-users who chat with a business's bot via WhatsApp or other channels. For end-user messages, the subscribing business acts as the data controller and Faheem acts as a data processor on its behalf.
3. البيانات التي نجمعها3. Data We Collect
- معلومات الحساب: اسم الشركة، البريد الإلكتروني، كلمة المرور (مُجزّأة/مشفّرة)، وبيانات الاشتراك والفوترة.Account information: business name, email address, password (hashed), and subscription/billing details.
- المستندات وقاعدة المعرفة: الملفات والنصوص والصور التي يرفعها المزوّد لتدريب المساعد (تُحوَّل إلى مقاطع وتمثيلات رقمية للبحث).Uploaded documents / knowledge base: files, text and images a provider uploads to power the assistant (converted into chunks and vector embeddings for search).
- رسائل المحادثة: الرسائل الواردة من المستخدمين النهائيين عبر واتساب وقنوات أخرى، والردود التي يولّدها المساعد، وسجلّ المحادثة.Chat messages: inbound messages from end-users via WhatsApp and other channels, the replies generated by the assistant, and conversation history.
- بيانات واتساب/Meta: رقم هاتف المستخدم النهائي ومحتوى رسائله، إضافةً إلى رموز الوصول ومعرّفات حساب واتساب للأعمال (WABA) ومعرّفات أرقام الهاتف الناتجة عن التسجيل المُضمَّن من Meta.WhatsApp / Meta data: the end-user's phone number and message content, plus access tokens, WhatsApp Business Account (WABA) IDs and phone-number IDs obtained through Meta Embedded Signup.
- البيانات التقنية: عنوان IP وبيانات الجلسة وسجلات الاستخدام لأغراض الأمان وتشغيل الخدمة.Technical data: IP address, session data and usage logs for security and service operation.
4. كيف نستخدم بيانات واتساب / Meta4. How We Use WhatsApp / Meta Data
نستخدم بيانات واتساب فقط لتقديم خدمة روبوت المحادثة، وتحديداً: استقبال الرسائل الواردة من عملاء الشركة، ومعالجتها لتوليد ردٍّ مناسب، وإرسال الرد عبر واجهة برمجة تطبيقات WhatsApp Cloud من Meta. لا نبيع بيانات واتساب ولا نستخدمها للإعلانات ولا نشاركها مع أطراف ثالثة غير ضرورية لتقديم الخدمة. We use WhatsApp data solely to provide the chatbot service, specifically: receiving inbound messages from a business's customers, processing them to generate an appropriate reply, and sending the reply via Meta's WhatsApp Cloud API. We do not sell WhatsApp data, do not use it for advertising, and do not share it with third parties beyond those necessary to deliver the service.
تتم معالجة جميع بيانات واتساب/Meta بما يتوافق مع شروط منصة Meta وسياسات واتساب للأعمال. نخزّن رموز الوصول الخاصة بـ Meta في صورة مشفّرة ونستخدمها فقط لإرسال واستقبال الرسائل نيابةً عن الشركة المالكة للحساب. All WhatsApp / Meta data is handled in accordance with the Meta Platform Terms and WhatsApp Business policies. Meta access tokens are stored encrypted and used only to send and receive messages on behalf of the account-owning business.
5. كيف نستخدم البيانات5. How We Use Your Data
- تشغيل المساعد الذكي وتوليد الإجابات من قاعدة معرفة المزوّد.Operating the AI assistant and generating answers from the provider's knowledge base.
- إدارة الحسابات والاشتراكات والفوترة.Managing accounts, subscriptions and billing.
- تأمين المنصة ومنع إساءة الاستخدام وتحسين جودة الخدمة.Securing the platform, preventing abuse, and improving service quality.
6. مزوّدو الخدمات (الأطراف الثالثة)6. Third-Party Processors
نعتمد على مزوّدي خدمات موثوقين لتشغيل المنصة، وتقتصر مشاركة البيانات معهم على ما يلزم لتقديم الخدمة: We rely on trusted service providers to operate the platform, and data is shared with them only as needed to deliver the service:
- Meta Platforms (WhatsApp Cloud API): استقبال وإرسال رسائل واتساب.Meta Platforms (WhatsApp Cloud API): receiving and sending WhatsApp messages.
- Google (Gemini): معالجة المستندات وتوليد بعض الإجابات بالذكاء الاصطناعي.Google (Gemini): document processing and AI answer generation.
- Groq: توليد الإجابات بنماذج لغوية كبيرة بزمن استجابة منخفض.Groq: low-latency large-language-model answer generation.
- Pinecone: تخزين التمثيلات الرقمية (المتجهات) للبحث الدلالي في قاعدة المعرفة.Pinecone: vector storage for semantic search over the knowledge base.
- Neo4j (AuraDB): تخزين الرسم البياني المعرفي (الكيانات والعلاقات).Neo4j (AuraDB): knowledge-graph storage (entities and relationships).
- PostgreSQL (VPS الخاص بنا): تخزين بيانات الحسابات والمحادثات والتحليلات — على خادمنا الخاص بالكامل، لا نستخدم Supabase أو أي قاعدة بيانات خارجية.PostgreSQL (our own VPS): storing account, conversation and analytics data — entirely on our own server. We do not use Supabase or any external database.
- Stripe: معالجة مدفوعات الاشتراكات.Stripe: processing subscription payments.
6.ب تحليلات إجراءات العملاء6b. Customer-Action Analytics
عندما يفعّل المزوّد أزرار "الموقع الإلكتروني" أو "زيارة المتجر"، نسجّل تحليلات طرف أول فقط: عدد مرات ظهور الزر (impression) وعدد النقرات عليه، مع نوع الإجراء والقناة والجلسة واسم نطاق الوجهة الذي أعدّه المزوّد. لا نخزّن عناوين IP، ولا معرّفات المتصفح (user-agent)، ولا الرابط الكامل للوجهة أو معاملات الاستعلام. النقر على رابط الاتجاهات لا يعني زيارة فعلية للمتجر. When a provider enables the Website or Visit Store buttons, we record first-party analytics only: how often a button was shown (an impression) and clicked, along with the action type, channel, session, and the provider-configured destination host. We do not store IP addresses, user-agents, or the full destination URL or its query parameters. A directions click is not a confirmed physical visit.
6.ج عنوان IP والموقع التقريبي6c. IP Address and Coarse Geolocation
لأغراض الأمان وتشغيل الخدمة، نجمع عنوان IP لزوار الخدمة عند تفاعلهم مع روابط التتبع. تُطبَّق الضمانات التالية: For security and service-operation purposes, we collect the IP address of users who interact with tracked links. The following safeguards apply:
- لا تخزين بالنص الصريح: عنوان IP يُخزَّن مشفّراً (Fernet/AES) تحت مفتاح منفصل. لا يرى المزوّد عنوان IP الخام أبداً. Never stored in plaintext: raw IPs are encrypted (Fernet/AES) under a separate key. Providers never see the raw IP.
- الوصول للمشرف فقط + سجل التدقيق: يمكن فك تشفير IP الخام فقط من قِبَل مشرف المنصة عبر واجهة إدارية خاصة، وكل عملية كشف تسجَّل في سجل تدقيق غير قابل للتعديل. Admin-only access + audit log: raw IP decryption is available only to a platform administrator via a protected admin interface, and every reveal is recorded in an append-only audit log.
- الصيغة المُقنَّعة للمزوّدين: يرى المزوّد فقط العنوان المُقنَّع (مثل a.b.c.0/24 لـ IPv4) وبيانات جغرافية مجملة: الدولة، المنطقة، المدينة — بدون تحديد إحداثيات. Masked form for providers: providers see only a masked IP (e.g. a.b.c.0/24 for IPv4) and coarse geolocation: country, region, city — never precise coordinates.
- الاحتفاظ: بيانات النقر المشفّرة (بما فيها IP) تُحتفَظ بها حتى ~١٣ شهراً (٣٩٥ يوماً) ثم تُحذف تلقائياً. Retention: encrypted click data (including IP) is kept for up to ~13 months (395 days) then automatically deleted.
- تحليلات الطرف الأول هذه منفصلة تماماً عن أدوات التحليل الخارجية الاختيارية (Google Analytics وMicrosoft Clarity) الموصوفة أدناه — وتعمل دائماً بصرف النظر عن موافقتك على تلك الأدوات. This first-party collection is entirely separate from the optional external analytics tools (Google Analytics and Microsoft Clarity) described below — it runs regardless of your consent choice for those tools.
6.د تتبع الروابط الصادرة6d. Outbound Link Tracking
قد تحتوي ردود المساعد على روابط تُوجِّهها عبر خادمنا قبل انتقالك إلى الوجهة. وجهة الرابط مشفّرة ومخزّنة في قاعدة بياناتنا — لا تظهر في عنوان URL ذاته. تُحذف وجهات الروابط (المشفّرة) بعد ٩٠ يوماً؛ أحداث النقر تُحتفَظ بها لمدة ٣٩٥ يوماً. بعد انتهاء الصلاحية، يعيد الرابط توجيهك إلى خطأ ٤١٠ (Gone) بدلاً من الوجهة الأصلية. Bot responses may contain links that route through our server before redirecting you to the destination. The destination is encrypted and stored in our database — it never appears in the URL token itself. Encrypted destinations are erased after 90 days; click events are retained for 395 days. After expiry the link returns a 410 Gone error rather than redirecting.
6.ه Google Analytics 4 وMicrosoft Clarity (اختياريان)6e. Google Analytics 4 and Microsoft Clarity (Optional)
بموافقتك الصريحة فقط، نستخدم أداتَي تحليل خارجيتَين: Only with your explicit consent, we use two optional external analytics tools:
- Google Analytics 4 (GA4): نُرسل فقط أحداثاً مجملة (مثل بدء محادثة، استخدام ميزة) — بدون معرّفات المزوّد أو اسم المستخدم أو رقم الهاتف أو محتوى المحادثة أو عناوين URL أو معاملات الاستعلام أو عناوين IP. نُعطّل إعلانات Google وإشارات Google تماماً. تُطبَّق سياسة خصوصية Google. Google Analytics 4 (GA4): we send only aggregate events (e.g. conversation started, feature used) — never provider IDs, usernames, phone numbers, chat content, URLs, query parameters, or raw IPs. Google Ads and Google Signals are fully disabled. Google's Privacy Policy applies.
- Microsoft Clarity: تسجيل جلسات مجهول الهوية لتحسين واجهة المستخدم، مع إخفاء كامل لكل النصوص ومدخلات النماذج. لا يُطبَّق على صفحات /admin أبداً. لا نرسل أي معرّف للزائر أو الجلسة. سياسة خصوصية Microsoft سارية. Microsoft Clarity: anonymous session recording for UI improvement, with strict masking of all text and form inputs. Never active on /admin pages. No visitor or session identifiers are sent. Microsoft's Privacy Policy applies.
لا يتم تحميل أيٍّ من هذه الأدوات قبل موافقتك الصريحة. تُحفَظ إجابتك (قبول أو رفض) محلياً في متصفحك لمدة ١٨٠ يوماً. جميع بيانات التحليل الداخلية — بيانات IP والمحادثات والتحليلات — مخزّنة في قاعدة بيانات PostgreSQL على خادمنا الخاص (OVH VPS) في أوروبا — لا Supabase، لا خدمة بيانات خارجية. Neither tool is loaded until you give explicit consent. Your choice (accept or reject) is stored locally in your browser for 180 days. All internal analytics data — IP data, conversations, and analytics — is stored in a PostgreSQL database on our own server (OVH VPS) in Europe — no Supabase, no external data service.
6.و سحب الموافقة على التحليلات الاختيارية6f. Withdrawing Analytics Consent
يمكنك سحب موافقتك على GA4 وClarity في أي وقت بالنقر على زر "سحب الموافقة على التحليلات" الظاهر في أسفل الصفحة، أو من إعدادات متصفحك (حذف localStorage). سحب الموافقة يوقف جمع البيانات فوراً في الجلسة الحالية وكل الجلسات المستقبلية. تذكير: تحليلات الطرف الأول (IP والموقع) ليست مرتبطة بهذه الموافقة. You can withdraw your consent for GA4 and Clarity at any time by clicking the "Withdraw analytics consent" button at the bottom of any page, or by clearing your browser's localStorage. Withdrawal stops collection immediately for the current and all future sessions. Note: first-party analytics (IP and geolocation) are not controlled by this consent.
7. الاحتفاظ بالبيانات7. Data Retention
نحتفظ ببيانات الحساب وقاعدة المعرفة طوال مدة اشتراك المزوّد. تُحفَظ سجلات المحادثة لتوفير سياق المساعدة، ويمكن للمزوّد حذفها. تُحفَظ أحداث تحليلات إجراءات العملاء وأحداث النقر على الروابط (بما فيها عنوان IP المشفّر والموقع التقريبي) لمدة أقصاها نحو ١٣ شهراً (٣٩٥ يوماً افتراضياً) ثم تُحذف تلقائياً عبر مهمة تنظيف يومية. وجهات الروابط الصادرة المشفّرة تُحذف بعد ٩٠ يوماً. جميع هذه البيانات مخزّنة في قاعدة البيانات PostgreSQL على خادمنا الخاص (OVH VPS). عند إغلاق الحساب نحذف البيانات الشخصية أو نجعلها مجهولة المصدر خلال مدة معقولة، باستثناء ما يلزم الاحتفاظ به قانونياً. We retain account and knowledge-base data for the duration of a provider's subscription. Conversation logs are kept to provide assistant context and can be deleted by the provider. Customer-action analytics events and outbound-link click events (including encrypted IP and coarse geolocation) are retained for at most ~13 months (395 days by default) then deleted automatically by a daily cleanup job. Encrypted outbound-link destinations are erased after 90 days. All this data is stored in our own PostgreSQL database (OVH VPS). When an account is closed we delete or anonymise personal data within a reasonable period, except where retention is legally required.
8. الأمان8. Security
نطبّق تشفير النقل (HTTPS/TLS)، وتشفير بيانات الاعتماد الحسّاسة (مثل رموز Meta) أثناء التخزين، وضوابط وصول وعزلاً متعدد المستأجرين بحيث تبقى بيانات كل مزوّد منفصلة. ومع ذلك، لا يمكن ضمان أمان أي نظام بنسبة 100%. We apply transport encryption (HTTPS/TLS), encryption of sensitive credentials (such as Meta tokens) at rest, access controls, and multi-tenant isolation so each provider's data stays separate. No system, however, can be guaranteed 100% secure.
9. حقوقك9. Your Rights
يحق لك الوصول إلى بياناتك الشخصية وتصحيحها أو حذفها أو تصدير نسخة منها، وكذلك سحب الموافقة على المعالجة. يمكن للمستخدمين النهائيين على واتساب التوقف عن مراسلة الروبوت في أي وقت. لممارسة هذه الحقوق راسلنا عبر البريد أدناه أو راجع الشركة المتحكمة في بياناتك. You have the right to access, correct, delete or export your personal data, and to withdraw consent to processing. WhatsApp end-users may stop messaging the bot at any time. To exercise these rights, contact us at the email below or contact the business that controls your data.
10. اشتراط العمر وخصوصية القاصرين10. Age Requirement and Children's Privacy
هذه الخدمة مخصصة للمستخدمين الذين تجاوزوا ١٨ عاماً فقط. لا توجّه فهيم خدماتها للأطفال أو المراهقين دون سن الثامنة عشرة، ولا تجمع عن قصد أي بيانات شخصية منهم. ويتوافق هذا الاشتراط مع متطلبات Microsoft Clarity التي تمنع تشغيلها على خدمات موجّهة للقاصرين. إذا اكتشفنا أن مستخدماً دون ١٨ عاماً قد قدّم بيانات، سنحذفها فوراً. This service is intended for users aged 18 and older only. Faheem does not direct its services at children or minors under 18, and does not knowingly collect personal data from them. This requirement also satisfies Microsoft Clarity's policy prohibiting its use on services directed at minors. If we discover that a user under 18 has submitted data, we will delete it promptly.
11. التغييرات على هذه السياسة11. Changes to This Policy
قد نحدّث هذه السياسة من حين لآخر، وسننشر النسخة المحدّثة على هذه الصفحة مع تعديل تاريخ "آخر تحديث". We may update this policy from time to time and will post the updated version on this page with a revised "Last updated" date.
12. التواصل معنا12. Contact Us
لأي استفسار حول الخصوصية، راسلنا على: privacy@enkiz.org For any privacy questions, contact us at: privacy@enkiz.org