سياسة الخصوصية

من نحن

Mesh اسم تجاري لـ مش للتصاميم والمشغولات اليدوية، مؤسسة فردية مسجَّلة لدى وزارة التجارة والصناعة القطرية بسجلّ تجاري رقم 329233.

العنوان المسجَّل: الدوحة، دولة قطر. نحن مؤسسة فردية تعمل من المنزل، ونزوّد بالعنوان الكامل عبر البريد الإلكتروني للجهات ذات المصلحة المشروعة (الجهات الحكومية، الجهات القانونية، نزاعات الشحن) — يُرجى المراسلة على studio@mesh.com.qa.

المسؤول عن الخصوصية: المُشغِّل، عبر البريد studio@mesh.com.qa أو واتساب من الرابط في /contact. كشركة صغيرة لا يُشترَط علينا حالياً تعيين مسؤول حماية بيانات بموجب اللائحة التنفيذية للقانون.

البيانات التي نجمعها

نجمع فقط البيانات اللازمة لتنفيذ طلبك أو طلب التسعير المخصّص:

• الاسم (يُجمَع عند إتمام الطلب أو طلب التسعير)
• رقم واتساب (لتأكيد الطلب والتسليم)
• البريد الإلكتروني (اختياري — فقط إذا اخترت تقديمه لإشعارات الطلب)
• ملاحظات التوصيل (مثل رقم المبنى أو وقت التسليم المفضّل)
• الملفات التي ترفعها للطلبات المخصّصة (ملفات STL، صور مرجعية، روابط متاجر)
• بيانات الحساب البنكي (IBAN) — تُجمَع فقط عند طلب استرداد على دفعة غير بطاقية، وتُستخدم فقط لمعالجة الاسترداد ثم تُحذف خلال 30 يوماً
• بيانات الدفع — يجمعها SkipCash مباشرةً على صفحة الدفع المستضافة لديهم والمعتمَدة وفق معيار PCI-DSS المستوى الأول. يعمل Mesh ضمن نطاق PCI-DSS SAQ-A ولا يتلقّى أو يعالج أو ينقل أو يخزّن بيانات حامل البطاقة (رقم البطاقة، CVV، تاريخ الانتهاء). SkipCash مرخَّص من مصرف قطر المركزي
• تحليلات تصفّح مجهولة الهوية عبر Vercel Analytics — مشاهدات الصفحات، زمن التصفّح، فئة الجهاز. عند إتمام عملية الشراء يُرسَل حدث وحيد يحتوي على مؤشّر سنة الطلب فقط (مثل "ORD-2026-***") لقياس نسبة التحويل السنوية. لا كوكيز، لا تخزين لعنوان IP، ولا كشف لمعرّف فردي للطلب
• سجلّات الخادم (مسار الطلب، رمز الحالة، معرّفات UUID داخلية مبهمة) لأغراض الأمان وتصحيح الأخطاء — يُخفي مُسجِّل البيانات تلقائياً المفاتيح الحسّاسة (الاسم، اسم العميل، واتساب، البريد، العنوان، IBAN، البطاقات، الرموز، الأسرار) قبل أيّ كتابة في السجلّ
• لا يجمع Mesh عمداً البيانات من الفئة الخاصّة (الصحّة، الدين، العِرق، الرأي السياسي، البيانات الحيوية أو الجينية) بموجب المادة 6 من القانون. إذا احتوت صورة مرجعية ترفعها على هذه البيانات يُرجى إزالتها قبل الرفع. Mesh غير موجَّه للأطفال دون 18 عاماً؛ وإذا اكتُشف جمع بيانات من قاصر دون موافقة وليّ الأمر سنحذفها

لماذا نجمعها وأساسنا القانوني

تُستخدم بيانات التواصل حصراً لتنفيذ طلبك ومتابعته. لا نستخدمها للتسويق دون موافقتك الصريحة.

تُستخدم الملفات المرفوعة فقط لإنتاج طلبك المخصّص. لا نعيد توزيعها أو بيعها أو استخدامها لأي غرض آخر.

تساعدنا التحليلات المجهولة في فهم المنتجات والصفحات الأكثر شعبية لتحسين الكتالوج. لا تُستخدم لتعقّبك.

نُعالج بياناتك على الأسس القانونية التالية بموجب المادة 4 من القانون: (أ) تنفيذ العقد — لتلبية الطلبات وطلبات التسعير التي تُنشئها؛ (ب) الالتزام القانوني — للاحتفاظ بسجلّات المعاملات 5 سنوات على الأقل وفق قانون ضريبة الدخل وقانون التجارة الإلكترونية المادة 33، والتحقّق من ترخيص الملكية الفكرية للطلبات المخصّصة؛ (ج) المصلحة المشروعة — لتأمين الموقع ومكافحة الاحتيال وإنتاج تحليلات مجهولة الهوية، مع موازنة ذلك مع توقّعات الخصوصية لديك؛ (د) الموافقة — فقط حين تختار الاشتراك في الرسائل التسويقية.

مدّة الاحتفاظ بالبيانات

نحتفظ بالبيانات الشخصية بالقدر اللازم لكلّ غرض:

• سجلّات الطلبات (الاسم، رقم واتساب، عنوان التسليم، بنود الطلب) — 5 سنوات على الأقل من تاريخ الطلب وفق قانون ضريبة الدخل وقانون التجارة الإلكترونية المادة 33
• طلبات التسعير وما يُرفع معها من ملفات — 24 شهراً من تاريخ الطلب ثم تُحذف ما لم تكن مرتبطة بطلب نشط أو محلّ نزاع
• ملفات STL والصور المرجعية للطلبات المخصّصة — تُحفظ طوال مدّة الإنتاج بالإضافة إلى 90 يوماً لدعم الضمان، ثم تُحذف نهائياً
• تفاصيل الحساب البنكي (IBAN) المقدَّمة لاسترداد — تُحذف خلال 30 يوماً من إتمام الاسترداد
• سجلّات الأمان على الخادم — 30 يوماً ثم تُحذف
• التحليلات المجهولة — 90 يوماً لدى Vercel ثم تُحذف تلقائياً
• سلّة التسوّق — تعيش فقط في متصفّحك؛ مسح بيانات الموقع يحذفها فوراً

مع من نشارك بياناتك

نستخدم مزوّدي الخدمة التالين (كلٌّ منهم معالِج بيانات يعمل بالنيابة عنّا بموجب اتفاقية معالجة بيانات مكتوبة تُلزمهم بمعالجة البيانات وفق تعليماتنا فقط مع تطبيق إجراءات أمان مناسبة):

• Vercel Inc. (الولايات المتحدة، الاتحاد الأوروبي) — استضافة الموقع وتشغيل التحليلات المجهولة
• Supabase Inc. (الاتحاد الأوروبي، eu-central-1) — تخزين قاعدة البيانات والملفات المرفوعة
• SkipCash (قطر) — معالجة المدفوعات الإلكترونية. بيانات البطاقة وApple Pay وGoogle Pay لا تصل إلى خوادمنا أبداً — تُدخلها مباشرة على صفحة الدفع المستضافة لدى SkipCash. أمّا تفاصيل التواصل (الاسم، رقم واتساب، البريد) فنُرسلها إلى واجهة SkipCash من جانب الخادم لإنشاء جلسة الدفع، وفق اتفاقية التجار لديهم
• Resend Inc. (الولايات المتحدة) — إرسال البريد المعاملاتي (تأكيدات الطلبات، إشعارات المالك)
• Sentry / Functional Software Inc. (الولايات المتحدة، الاتحاد الأوروبي) — رصد أخطاء التطبيق لإصلاحها
• Upstash Inc. (الولايات المتحدة) — بنية تحديد المعدّل. يُرسَل فقط عنوان IP الخاص بك واسم نقطة النهاية، ويُحفظ خلال نافذة تحديد المعدّل (24 ساعة كحدّ أقصى)
• Anthropic PBC (الولايات المتحدة) — استخراج بيانات الإيصالات بمساعدة الذكاء الاصطناعي ضمن أدوات إدارة المُشغِّل فقط. يرفع المُشغِّل إيصالات تجارية ويُعيد النموذج بيانات مهيكَلة. لا تستخدم تدفّقات العملاء هذا المعالِج

حقوقك بموجب القانون

بموجب المادة 11 من قانون حماية البيانات الشخصية القطري يمكنك أن تطلب منا:

لممارسة أيّ من هذه الحقوق، راسلنا على studio@mesh.com.qa. الحدّ الأقصى للرد بموجب القانون 30 يوماً، ونسعى للرد على معظم الطلبات خلال أيام قليلة. (شكاوى خدمة العملاء العامة — المختلفة عن طلبات الحقوق القانونية — تتبع التزام الإقرار خلال يومَي عمل والرد خلال 7 أيام في القسم 12 من شروط الخدمة.)

• تأكيد ما نحتفظ به من بيانات شخصية عنك
• تصحيح أي بيانات غير صحيحة
• حذف بياناتك (مع مراعاة شرط الاحتفاظ بسجلّات الضرائب لمدة 5 سنوات على الأقل أعلاه)
• سحب أي موافقة سبق منحها
• الحصول على نسخة من بياناتك بصيغة قابلة للنقل
• الاعتراض على المعالجة المستندة إلى المصلحة المشروعة، بما في ذلك أيّ تسويق
• تقييد معالجتنا لبياناتك أثناء طعنك في دقّتها أو مشروعيتها

ملفات تعريف الارتباط والتتبّع

لا نستخدم كوكيز تتبّع أو كوكيز إعلانية أو كوكيز تحليلات تابعة لأطراف ثالثة. نضع ملفَّي تعريف ارتباط وظيفيَّين:

- NEXT_LOCALE — ملف صغير يتذكّر تفضيل لغتك (en أو ar) ليُفتح الموقع بلغتك المختارة في الزيارات اللاحقة. يحتوي فقط على رمز اللغة دون أي بيانات شخصية.

- __Host-mesh-admin-session — ملف جلسة موقَّع من الخادم وغير قابل للقراءة من JavaScript، يُضبط فقط عند تسجيل مسؤول الدخول على /admin/login. ضروري للمصادقة الإدارية ولا يُضبط أبداً في الصفحات المخصّصة للعميل.

لا تضع Vercel Analytics ملفات تعريف ارتباط ولا تخزّن عنوان IP ولا تولّد معرّفات ثابتة، وبالتالي تقع خارج اشتراط الموافقة في المادة 5 من القانون والمادة 5(3) من توجيه الخصوصية الإلكترونية الأوروبي.

نقل البيانات دولياً

ننقل البيانات الشخصية خارج قطر إلى المعالِجين المذكورين في القسم 5. تحديداً: Vercel Inc. (الولايات المتحدة، الاتحاد الأوروبي)، Supabase Inc. (الاتحاد الأوروبي، eu-central-1)، Resend Inc. (الولايات المتحدة)، Sentry / Functional Software Inc. (الولايات المتحدة، الاتحاد الأوروبي)، Upstash Inc. (الولايات المتحدة)، Anthropic PBC (الولايات المتحدة). كلّ عملية نقل تخضع لاتفاقية معالجة بيانات تتضمّن البنود التعاقدية القياسية أو ضماناً تعاقدياً مكافئاً، بما يستوفي المادة 18 من القانون. يمكن طلب نسخة من الضمان ذي الصلة كتابياً عبر studio@mesh.com.qa.

الأمان

نطبّق إجراءات تقنية وتنظيمية مناسبة لحجمنا:

أثناء النقل:

• وصول HTTPS فقط مع TLS حديث
• التحقّق من توقيع webhook (مقارنة HMAC بزمن ثابت) قبل أيّ تحديث لسجلّ دفع
• قائمة سماح صارمة ضدّ SSRF لجميع روابط الجلب من المحتوى الذي يقدّمه المستخدم؛ وأي استدعاء API لجهات ثالثة مسمّاة (SkipCash، Vercel، Anthropic، Thingiverse) يتمّ من الخادم باستخدام مفاتيح API محفوظة على الخادم عبر HTTPS
• في أنظمتنا: أمان على مستوى الصف (RLS) لكل جدول قاعدة بيانات؛ جلسات إدارية موقَّعة تشفيرياً بصلاحية قصيرة؛ إخفاء مفاتيح حسّاسة في سجلّات التطبيق (الاسم، اسم العميل، واتساب، البريد، العنوان، IBAN، الرموز، الأسرار تُستبدل تلقائياً بـ <redacted> قبل أيّ كتابة)
• تشغيلياً: الوصول إلى بيانات العملاء محصور بالمُشغِّل وفق مبدأ الحاجة إلى المعرفة؛ إجراء استجابة للحوادث موثَّق بمسارات تصعيد محدَّدة؛ مراجعة دورية لسجلّات الوصول وإعدادات الأمان

تواصل

لأسئلة الخصوصية أو لممارسة حقوقك بموجب القانون، راسلنا على studio@mesh.com.qa أو عبر واتساب من الرابط في /contact.

حوادث اختراق البيانات الشخصية

في حال اكتشاف اختراق يؤثّر على بياناتك الشخصية، سنُخطر إدارة الامتثال وحماية البيانات في وزارة الاتصالات وتكنولوجيا المعلومات في قطر، والأفراد المتضرّرين، دون تأخير لا مبرَّر له — وعلى أي حال خلال 72 ساعة من علمنا بالاختراق متى أمكن. سيصف الإخطار طبيعة الاختراق وفئات البيانات المعنية والعواقب المحتملة والإجراءات المتّخذة للمعالجة والتخفيف. ينسجم هذا الالتزام مع المادة 26 من القانون واللائحة التنفيذية لسنة 2024.