Data Processing Agreementاتفاقيّة معالجة البيانات

Who is whoمن هم الأطراف

When you (the “Customer”) use QRA to manage QR codes for your own end-users, you are the Data Controller and QRA is the Data Processor. We process Customer data only on your documented instructions — the act of creating a workspace and using the dashboard is the instruction.عندما تستخدم (“العميل”) QRA لإدارة رموز QR لعملائك، فإنك تكون مراقب البيانات وQRA معالج البيانات. لا نعالج بيانات العميل إلا بناءً على تعليماته الموثّقة — وإنشاء مساحة العمل واستخدام لوحة التحكّم يشكّلان التعليمات.

What we process for youما الذي نعالجه نيابة عنك

• Workspace data: team-member emails + names, QR codes, destinations, folder + tag metadata, brand assets, custom-domain records.بيانات مساحة العمل: بريد وأسماء الأعضاء، رموز QR، الوجهات، المجلدات والوسوم، عناصر العلامة التجاريّة، النطاقات المخصّصة.
• Scan event data: timestamp, country, device class, OS, browser, hashed IP, referrer. No personally-identifying visitor information.بيانات أحداث المسح: الوقت، الدولة، فئة الجهاز، النظام، المتصفّح، IP مجزّأ، المصدر. لا معلومات هويّة شخصيّة عن الزوّار.
• Audit log: who did what in the workspace, retained for 180 days for accountability.سجلّ التدقيق: من فعل ماذا في مساحة العمل، يُحفظ ١٨٠ يوماً للمساءلة.

Sub-processorsالمعالجون الفرعيّون

We engage the following sub-processors. We'll notify Customers via email at least 30 days before adding or replacing any sub-processor (subscribe to privacy@qra.cc for the list).نستعين بالمعالجين الفرعيّين الآتين. سنُشعر العملاء عبر البريد قبل ٣٠ يوماً على الأقلّ من إضافة أو استبدال أي معالج فرعي (اشترك عبر privacy@qra.cc).

• Supabase — Postgres database, Auth, Storage. Region: AWS eu-central-1 (Frankfurt). DPA: supabase.com/legal/dpa.— قاعدة بيانات Postgres والمصادقة والتخزين. المنطقة: AWS eu-central-1 (فرانكفورت). DPA: supabase.com/legal/dpa.
• Vercel — Web hosting + serverless runtime. Region: global edge with US-East primary. DPA: vercel.com/legal/dpa.— استضافة الويب وزمن التشغيل اللاخادمي. المنطقة: حافة عالميّة مع شرق الولايات المتّحدة كأساس. DPA: vercel.com/legal/dpa.
• Cloudflare — DNS + scan-redirect worker (Jeddah / Bahrain / Dubai PoPs). DPA: cloudflare.com/cloudflare-customer-dpa.— DNS وعمل إعادة توجيه المسح (نقاط جدّة والبحرين ودبي). DPA: cloudflare.com/cloudflare-customer-dpa.
• Resend — Transactional email (invites, confirmations, billing notices). Region: AWS us-east-1. DPA: resend.com/legal/dpa.— البريد المعاملاتي (الدعوات، التأكيدات، إشعارات الفوترة). المنطقة: AWS us-east-1. DPA: resend.com/legal/dpa.
• PayTabs — Payment processing (KSA-licensed). Region: secure.paytabs.sa. Receives only the data needed to charge a card (we never see full PANs).— معالجة المدفوعات (مرخّصة في السعوديّة). المنطقة: secure.paytabs.sa. لا تستقبل سوى البيانات اللازمة للدفع (لا نرى أرقام البطاقات الكاملة).

International transfersالنقل الدولي للبيانات

Workspace data is stored in the EU (Supabase Frankfurt). Scan-redirect logs hit the nearest Cloudflare PoP — for MENA Customers this is typically Jeddah, Bahrain, or Dubai. Transfers from the EU to processors based outside the EU rely on Standard Contractual Clauses (SCC). KSA Customer data is processed in accordance with KSA PDPL data-transfer requirements.تُحفظ بيانات مساحة العمل في الاتحاد الأوروبي (Supabase فرانكفورت). تصل سجلّات إعادة التوجيه إلى أقرب نقطة Cloudflare — وهي عادةً جدّة أو البحرين أو دبي لعملاء المنطقة. يستند نقل البيانات من الاتحاد الأوروبي إلى المعالجين خارجه إلى البنود التعاقديّة القياسيّة (SCC). تُعالج بيانات العملاء في السعوديّة وفق متطلّبات نقل البيانات في نظام PDPL.

Retention + deletionالاحتفاظ والحذف

• Active data: retained while your workspace is active.البيانات النشطة: تُحفظ ما دامت مساحة عملك نشطة.
• Scan analytics: raw scan events retained for 18 months; aggregated daily rollups retained for 5 years.تحليلات المسح: تُحفظ أحداث المسح الخام ١٨ شهراً؛ والتجميعات اليوميّة لخمس سنوات.
• Audit log: 180 days.سجلّ التدقيق: ١٨٠ يوماً.
• On workspace deletion: all data is purged within 30 days (cascades through Supabase's deletion procedure). Backups overwrite within 90 days.عند حذف مساحة العمل: تُمحى كل البيانات خلال ٣٠ يوماً (عبر إجراءات الحذف في Supabase). تُستبدَل النسخ الاحتياطيّة خلال ٩٠ يوماً.

Security commitmentsالتزامات الأمان

• Encryption in transit (TLS 1.2+) and at rest (AES-256 on Supabase).التشفير أثناء النقل (TLS 1.2+) وعند التخزين (AES-256 في Supabase).
• Row-Level Security (RLS) on every multi-tenant table. Workspace data is isolated at the database layer, not just the app layer.أمان مستوى الصفّ (RLS) على كل جدول متعدّد المستأجرين. تُعزَل بيانات مساحات العمل على مستوى قاعدة البيانات.
• Optional TOTP-based two-factor authentication for any workspace member (/settings/security).مصادقة ثنائيّة TOTP اختياريّة لأي عضو في مساحة العمل (/settings/security).
• Service-role credentials never sent to the browser. All write paths through validated server routes.لا تُرسَل بيانات اعتماد دور الخدمة إلى المتصفّح. تمرّ كلّ عمليّات الكتابة عبر مسارات خادميّة موثّقة.

Breach notificationالإشعار بالاختراق

If we discover a personal-data breach affecting your data, we'll notify your workspace owner by email within 72 hours, in line with GDPR Art. 33 and KSA PDPL requirements. The notice will include what we know, what we're doing, and what we recommend you do.إن اكتشفنا اختراقاً للبيانات الشخصيّة يطال بياناتك، فسنُشعر مالك مساحة عملك بالبريد خلال ٧٢ ساعة، تماشياً مع المادّة ٣٣ من GDPR ومتطلّبات PDPL السعودي. سيتضمّن الإشعار ما نعرفه وما نفعله وما نوصيك بفعله.

Audits + counter-signed DPAالتدقيق وتوقيع الـ DPA

Enterprise Customers can request a counter-signed DPA (DOCX). Email legal@qra.cc with your company legal name + signatory and we'll return a signed copy within 5 business days. For a security questionnaire, attach the SIG / CAIQ / your internal template and we'll fill it.يستطيع عملاء المؤسّسات طلب نسخة موقّعة من الـ DPA (DOCX). راسل legal@qra.cc باسم الشركة القانوني والموقّع، وسنُعيد النسخة الموقّعة خلال ٥ أيّام عمل. لاستبيان أمني، أرفِق SIG/CAIQ أو القالب الداخلي وسنُعبّئه.