← Back to HealthGPT home
ar/data_security_statement_v1.5.md
Terms & Conditions Privacy Policy Refund Policy Cookie & Ad Preference Policy Data Security Statement Membership Terms Suppliers & Partners Policy

Data Security Statement

# 🔐 2Zone Therapy / HealthGPT – بيان أمن البيانات v1.5

**تاريخ السريان:** 6 أغسطس 2025  
**آخر تحديث:** 27 فبراير 2026  

---

## 1. التزامنا

تم تصميم 2Zone Therapy وHealthGPT وفق بنية تعتمد على مبدأ الأمان أولاً.

نحن نحمي بيانات المستخدمين من خلال:

- تشفير قوي  
- بنية تحتية ذات وصول محدود  
- مراقبة مستمرة  
- نموذج بيانات اعتماد بدون معرفة (Zero-Knowledge)  
- ضوابط وصول داخلية صارمة  

يتم التعامل مع بيانات الصحة والبيانات المُنشأة بواسطة الذكاء الاصطناعي كمعلومات شخصية حساسة ويتم إدارتها وفقاً لذلك.

---

## 2. الاستضافة والبنية التحتية

- يتم استضافة خوادم الإنتاج في مراكز بيانات آمنة داخل الاتحاد الأوروبي (EU).
- تعمل الخوادم خلف جدران حماية مُعززة وطبقات وصول مقيدة.
- يقتصر الوصول الإداري على الموظفين المخولين فقط.
- يتم الاحتفاظ بنسخ احتياطية مشفرة ومتكررة.
- يتم إجراء اختبارات استعادة دورية لضمان سلامة البيانات.

يتم فصل بيئات التطوير والإنتاج بشكل كامل.

---

## 3. معايير التشفير

### 3.1 البيانات في وضع التخزين
- يتم تشفير قواعد البيانات والملفات المخزنة باستخدام **AES-256** أو معايير مكافئة.
- يتم تخزين ملفات الإعداد الحساسة خارج الدلائل العامة على الويب.

### 3.2 البيانات أثناء النقل
- يتم فرض HTTPS/TLS 1.3 عبر جميع النطاقات.
- يتم تفعيل رؤوس HSTS حيثما كان ذلك مدعوماً.
- يتم تشفير اتصالات API مع مزودي الخدمات الخارجيين.

---

## 4. أمان بيانات الاعتماد

نعتمد نموذج **Zero-Knowledge** لبيانات الاعتماد:

- لا يتم تخزين عبارات المرور السرية بنص صريح.
- يتم تجزئة عبارات المرور باستخدام **Argon2 أو bcrypt**.
- يتم تطبيق الحماية من هجمات القوة الغاشمة وتحديد معدل المحاولات.
- يتم إنشاء رموز الجلسات بشكل آمن وتدويرها بانتظام.

يتطلب الوصول الإداري:

- المصادقة متعددة العوامل (MFA)  
- مراقبة عنوان IP  
- تسجيل النشاط  

---

## 5. التحكم في الوصول وتسجيل العمليات

نطبق نموذج **أقل قدر من الامتيازات (Least Privilege)**:

- أذونات قائمة على الأدوار  
- امتيازات محدودة لقاعدة البيانات  
- خدمات داخلية مجزأة  

يتم تسجيل العمليات الحساسة، بما في ذلك:

- تفعيل الحساب  
- حذف البيانات  
- إنشاء البروتوكول  
- تعديلات رصيد GC  
- تأكيدات الدفع  

يتم الاحتفاظ بالسجلات بشكل آمن لأغراض الأمان والامتثال.

---

## 6. معالجة الذكاء الاصطناعي والأطراف الثالثة

يستخدم HealthGPT خدمات ذكاء اصطناعي من أطراف ثالثة لإنشاء الردود.

### 6.1 معالجة OpenAI
- يتم إرسال الحد الأدنى فقط من مدخلات المستخدم الضرورية.
- لا يتم منح وصول كامل إلى قاعدة البيانات.
- يتم نقل البيانات عبر قنوات API مشفرة وآمنة.
- تتم المعالجة وفق معايير البيانات المؤسسية الخاصة بـ OpenAI.

### 6.2 تحويل النص إلى كلام (TTS)
عند إنشاء مخرجات صوتية:
- يتم استخدام خدمات TTS الخاصة بـ OpenAI (مثل نماذج Onyx).
- يتم نقل النص بشكل آمن.
- يتم تخزين ملفات الصوت ضمن أدلة خوادم خاضعة للرقابة.

لا يتم منح مزودي الخدمات الخارجيين وصولاً دائماً إلى قاعدة البيانات.

---

## 7. أمان المدفوعات

- تتم معالجة المدفوعات عبر مزودي خدمات آمنين من أطراف ثالثة (مثل Stripe).
- لا نقوم بتخزين تفاصيل بطاقات الائتمان الكاملة.
- يتم التحقق من تأكيدات الدفع عبر Webhooks آمنة.
- يتم تسجيل بيانات المعاملات لأغراض المطابقة ومنع الاحتيال.

---

## 8. تقليل جمع البيانات

نقوم بجمع الحد الأدنى من البيانات اللازمة من أجل:

- تقديم إرشادات صحية مدعومة بالذكاء الاصطناعي  
- تتبع أرصدة Guidance Credits (GCs)  
- معالجة المدفوعات  
- الحفاظ على أمان الحساب  

نحن لا نجمع:

- أرقام الهوية الحكومية  
- المعرفات البيومترية  
- بيانات اعتماد مصرفية  

---

## 9. الاستجابة للحوادث وبروتوكول خرق البيانات

نقوم بالمراقبة المستمرة للكشف عن:

- محاولات الوصول غير المصرح بها  
- نشاط تسجيل دخول غير طبيعي  
- شذوذ في المدفوعات  
- إساءة استخدام واجهات API  

في حال تأكيد حدوث خرق للبيانات:

- سيتم إخطار المستخدمين المتأثرين دون تأخير غير مبرر.
- سيتم إخطار الجهات التنظيمية خلال **72 ساعة** عند الاقتضاء (المادة 33 من GDPR).
- سيتم تنفيذ إجراءات فورية للاحتواء والمعالجة.

---

## 10. حذف البيانات الخاضع لسيطرة المستخدم

يمكن للمستخدمين طلب:

- حذف الحساب بالكامل  
- حذف البروتوكولات  
- حذف سجلات الذكاء الاصطناعي  
- حذف الملاحظات الصوتية  

يتطلب الحذف:

1. تأكيد عبارة المرور السرية  
2. التحقق عبر البريد الإلكتروني  
3. خطوة تأكيد نهائية  

بمجرد الاكتمال، يكون الحذف دائماً وغير قابل للاسترجاع.

---

## 11. اختبارات الأمان والتحديثات

نحن:

- نقوم بتحديث برامج الخوادم بانتظام  
- نصحح الثغرات المعروفة  
- نراقب تحديثات التبعيات  
- نراجع سجلات الوصول  

تتطور ممارسات الأمان باستمرار مع نمو المنصة.

---

## 12. الإفصاح المسؤول

إذا اكتشفت ثغرة أو مشكلة أمنية، يرجى الإبلاغ عنها بمسؤولية إلى:

**security@2zonetherapy.com**

نقوم بالتحقيق في جميع البلاغات ونتخذ الإجراءات المناسبة.

---

## 13. التحسين المستمر

الأمن ليس حالة ثابتة.

مع توسع HealthGPT — بما في ذلك تحليلات TEL، وتعزيزات الذكاء الاصطناعي، وإنشاء البروتوكولات — تتم مراجعة بنية الأمان وتحديثها وفقاً لذلك.

---

**2Zone Therapy / HealthGPT**  
ملتزمون بحماية بياناتك الصحية وهويتك الرقمية.
Tip: change language using ?lang=xx (example: ?type=terms&lang=fr). If a language folder doesn’t exist, it falls back to English.