الانتقال إلى المحتوى

سياسة الخصوصية

آخر تحديث: 24 ماي 2026. النسخة المختصرة: نأخذ بياناتكم على محمل الجد. النسخة الطويلة: إليكم بالضبط ما نفعله، كيف ولماذا.

📌 في 30 ثانية

  • تشفير AES-256-GCM على جميع الحقول الحساسة (IBAN، رقم الهوية، أرقام الضمان الاجتماعي، كلمات مرور SMTP).
  • الاستضافة في أوروبا (Neon Postgres eu-west-3 باريس · Cloudflare R2 EU · Vercel EU). لا نقل إلى الولايات المتحدة.
  • الامتثال القانوني: RGPD (الاتحاد الأوروبي) · INPDP قانون 2004-63 (تونس) · CNDP قانون 09-08 (المغرب) · ANPDP قانون 18-07 (الجزائر) · CNIL (فرنسا).
  • البيانات البيومترية (RGPD المادة 9): لا يخرج أي قالب من أجهزة الحضور. يخزن Levia فقط مرجعاً "العضو X مسجل على الجهاز Y". موافقة كتابية إلزامية قبل أي تسجيل.
  • لممارسة حقوقكم (الوصول، التصحيح، الحذف، النقل، الاعتراض): <email/> · رد خلال 30 يوماً.

1. من نحن؟

Levia ("نحن"، "خدمتنا") هي منصة SaaS متعددة المستأجرين لإدارة الموارد البشرية تصدر من تونس، وتستهدف المغرب العربي (تونس، الجزائر، المغرب، ليبيا) وفرنسا. المسؤول عن المعالجة بمفهوم RGPD هو Levia SAS (الاسم القانوني سيُؤكَّد عند التسجيل)، المقر الاجتماعي تونس، تونس.

جهة اتصال RGPD: <email1/> · DPO خارجي: <email2/>.

2. ما البيانات التي نجمعها؟

2.1 البيانات المقدمة من المنظمة العميلة

عندما تشترك منظمة في Levia، تشاركنا بشأن موظفيها:

  • الهوية: الاسم، الاسم العائلي، البريد الإلكتروني، الهاتف، تاريخ الميلاد، صورة الملف الشخصي (اختيارية)، رقم الهوية/جواز السفر.
  • الملف المهني: المنصب، القسم، المدير، تاريخ التوظيف، نوع العقد.
  • الرواتب: الراتب الأساسي، IBAN، BIC، رقم CNSS/CNAM، عدد المعالين، البدلات، الاستقطاعات. IBAN وBIC ورقم الهوية مشفرة في قاعدة البيانات عبر AES-256-GCM.
  • الحضور: طوابع زمنية للدخول/الخروج، الموقع الجغرافي (فقط إذا وافق الموظف)، صور سيلفي (فقط إذا تم تفعيلها من الإدارة)، مراجع بيومترية (وليس القوالب، انظر §6).
  • الإجازات والغيابات: الأنواع، التواريخ، الأسباب (اختيارية)، شهادات طبية مشفرة على مستوى التطبيق (RGPD المادة 9 · البيانات الصحية).
  • الأداء والتدريب: الأهداف، KRs، التقييمات، الكفاءات المعلنة، التسجيلات في التدريب.

2.2 البيانات المقدمة من العملاء المحتملين (نموذج الاتصال)

إذا ملأتم نموذجاً على موقعنا التسويقي، نجمع: الاسم، البريد المهني، الهاتف (اختياري)، الشركة (اختياري)، الحجم المقدر، الحل الحالي، رسالة حرة، مصدر التحويل. انظر §10 لمدة الاحتفاظ.

2.3 البيانات التقنية (السجلات وملفات تعريف الارتباط)

  • سجلات الخادم: عنوان IP، user-agent، الصفحات المزارة، الطوابع الزمنية · تُحفظ 90 يوماً لاكتشاف الهجمات والتصحيح.
  • كوكيز الجلسة: كوكي مصادقة مشفر (Better-Auth) للحفاظ على الاتصال. ضروري · لا حاجة لشريط (CNIL).
  • كوكي اللغة (levia-locale): يحفظ اختياركم FR/AR/EN. المدة سنة. غير حساس.
  • لا كوكيز تتبع من أطراف ثالثة (Google Analytics، Meta Pixel، إلخ) · انظر سياسة الكوكيز.

3. لماذا نعالج هذه البيانات؟

الأساس القانوني RGPD المادة 6:

  • تنفيذ العقد (المادة 6.1.b): تقديم خدمة Levia المشترك فيها من قبل المنظمة. تندرج معظم المعالجات في هذا الإطار.
  • التزام قانوني (المادة 6.1.c): إصدار قسائم الراتب، تصاريح CNSS/DSN، الاحتفاظ بعقود العمل.
  • مصلحة مشروعة (المادة 6.1.f): أمن الخدمة، الوقاية من الاحتيال (مكافحة احتيال الحضور)، تحسين المنتج مجهول الهوية.
  • الموافقة الصريحة (المادة 6.1.a + المادة 9): البيانات البيومترية، البيانات الصحية (إجازات المرض، الشهادات الطبية)، الموقع الجغرافي للموظف.

4. من يصل إلى بياناتكم؟

  • الموظف نفسه: بياناته الخاصة عبر فضائه.
  • مديره المباشر: البيانات اللازمة للإدارة (الحضور، الإجازات، الأداء).
  • مسؤولو الموارد البشرية/ORG في منظمته: الوصول الكامل لبيانات الموارد البشرية.
  • فريق Levia: وصول محدود بصرامة للمهندسين المكلفين بالدعم، بطلب صريح من العميل (إجراء وصول عبر تذكرة موقعة). جميع عمليات الوصول مدققة.
  • المقاولون الفرعيون: انظر §5.

البيانات لا تُباع أبداً ولا تُؤجَّر ولا تُشارَك مع أطراف ثالثة لأغراض تجارية.

5. المقاولون الفرعيون (RGPD المادة 28)

المقاول الفرعيالدورالموقعالامتثال
Vercel Inc.استضافة التطبيقأوروبا (باريس)DPA · ISO 27001 · SOC 2
Neon Inc.قاعدة بيانات Postgreseu-west-3 (باريس)DPA · SOC 2 Type II
Cloudflareتخزين الملفات (R2) + CDNأوروباDPA · ISO 27001
Resendإرسال البريد الإلكتروني المعامليأوروباDPA
Stripeالفوترة (العملاء المدفوعون)إيرلنداDPA · PCI-DSS Level 1
Anthropic (Claude)مساعد ذكاء اصطناعيالاتحاد الأوروبي (منطقة فرانكفورت)DPA · SOC 2 · بدون تدريب
Inngestالمهام غير المتزامنةأوروباDPA

وقع جميع المقاولين الفرعيين اتفاقية معالجة بيانات مع Levia وفقاً للمادة 28 من RGPD.

6. البيانات البيومترية (RGPD المادة 9)

لا يخزن Levia أي قالب بيومتري (بصمات، وجوه، قزحيات). تبقى القوالب على أجهزة الحضور المادية للعميل (ZKTeco، Suprema، Hikvision، إلخ).

Levia يخزن فقط:

  • مرجع "الموظف X مسجل على الجهاز Y" لربطه عند الحضور
  • الطابع الزمني للحضور
  • الموافقة الكتابية الموقعة من الموظف (PDF في التخزين المشفر R2)

قبل أي تسجيل بيومتري، يجب على العميل أن يوقع الموظف نموذج موافقة صريح (يُولَّد تلقائياً بواسطة Levia). بالنسبة لتونس، يوصى بتصريح إلى INPDP بعد 100 موظف مسجل.

7. البيانات الصحية (RGPD المادة 9)

الشهادات الطبية المرفوعة من الموظفين (إجازة مرضية) مخزنة مشفرة ومتاحة فقط لـ:

  • الموظف نفسه
  • مديره المباشر (للتحقق من الإجازة)
  • HR_ADMIN وORG_ADMIN في منظمته

ذاكرة HTTP المؤقتة: private, no-store · لا تُحفظ أبداً من قبل وكيل وسيط.

8. حقوقكم (RGPD المواد 15-22 + القوانين المحلية)

  • الحق في الوصول: نسخة من بياناتكم في تنسيق منظم (CSV، JSON).
  • الحق في التصحيح: تصحيح البيانات غير الدقيقة (متاح مباشرة في /settings/profile).
  • privacyPage.right3
  • الحق في النقل: تصدير كامل بتنسيق CSV/JSON خلال 30 يوماً.
  • الحق في الاعتراض: التسويق، التنميط. إلغاء الاشتراك بنقرة واحدة.
  • الحق في تقييد المعالجة: ممكن في حال النزاع.

لممارسة هذه الحقوق: <email/>. رد خلال 30 يوماً وفقاً للمادة 12 RGPD.

يمكنكم تقديم شكوى إلى:

  • 🇹🇳 INPDP (تونس): inpdp.nat.tn
  • 🇫🇷 CNIL (فرنسا): cnil.fr
  • 🇲🇦 CNDP (المغرب): cndp.ma
  • 🇩🇿 ANPDP (الجزائر): سلطة قيد الهيكلة (قانون 18-07 الصادر في 10 يونيو 2018)

9. الأمان

  • التشفير عند الراحة: أقراص مشفرة (Neon، R2). الحقول الحساسة مشفرة بشكل إضافي على مستوى التطبيق عبر AES-256-GCM.
  • التشفير أثناء النقل: TLS 1.2+ إلزامي على جميع المسارات. HSTS مفعل.
  • MFA: إلزامي لأدوار HR_ADMIN، PAYROLL_ADMIN، ORG_ADMIN، Platform Owner. TOTP عبر Google Authenticator/Microsoft Authenticator.
  • سجل التدقيق: يتم تتبع كل إجراء حساس (التحقق من الراتب، تعديل IBAN، الوصول البيومتري) مع إخفاء تلقائي للبيانات المشفرة في الحمولات.
  • اختبارات الاختراق: سنوية (بدءاً من 2026، بواسطة مكتب خارجي).
  • تدوير الأسرار: مفاتيح التشفير التطبيقي تُدوَّر سنوياً مع ترحيل البيانات.
  • النسخ الاحتياطية: يومية، محتفظ بها 30 يوماً. قابلة للاسترداد خلال 4 ساعات.

10. مدد الاحتفاظ

نوع البياناتالمدةالسبب
حساب مستخدم نشططالما العميل مشتركتنفيذ تعاقدي
حساب مستخدم محذوف90 يوماً ثم حذفإمكانية الاسترداد
قسائم الراتب5 سنواتالتزامات قانونية TN/FR
عقود العمل5 سنوات بعد انتهاء العقدقانون العمل
سجل التدقيق3 سنواتامتثال RGPD + الأمان
النسخ الاحتياطية30 يوماً متجددالاسترداد بعد الحادث
سجلات الخادم90 يوماًاكتشاف التطفل
العملاء المحتملون (نموذج)3 سنوات بعد آخر اتصالمتابعة تجارية
البيانات البيومترية (مراجع)طالما الموظف نشط + 30 يوماًتاريخ مكافحة الاحتيال

11. التحويلات الدولية

جميع مقاولينا الفرعيين يستضيفون البيانات في أوروبا (باريس، فرانكفورت، دبلن). لا يتم أي تحويل إلى الولايات المتحدة أو الصين في إطار خدمة Levia.

استثناء: إذا كنتم خارج أوروبا واستخدمتم المساعد الذكي، تمر الطلبات إلى Anthropic Claude عبر بنية Anthropic التحتية الأوروبية (منطقة فرانكفورت). Anthropic لا يعيد استخدام بيانات العميل لتدريب نماذجه (بند تعاقدي).

12. القاصرون

Levia ليس موجهاً للقاصرين دون 16 سنة. إذا تم تسجيل قاصر موظف (متدرب مثلاً)، فإن موافقة الوالدين مطلوبة للتسجيل البيومتري وفقاً للمادة 8 RGPD.

13. تعديلات هذه السياسة

يمكننا تعديل هذه السياسة. في حال تغيير جوهري، نُعلِم المنظمات العميلة عبر البريد الإلكتروني مع 30 يوماً مسبقاً. النسخة الحالية مؤرخة دائماً في أعلى هذه الصفحة.

14. اتصال

Levia SAS · تونس، تونس
البريد: <email1/> · DPO: <email2/>
رد خلال 30 يوماً.

ملاحظة: هذه السياسة وثيقة قانونية متطورة. للمنظمات العميلة، يمكن توقيع ملحق DPA خاص عند الطلب على legal@leviahr.com. للأفراد، يمكنكم ممارسة حقوقكم في أي وقت.

Made in Tunisia
مجموعة اختبارات Vitest خضراء
AES-256-GCM
9 اتفاقيات قطاعية
6 دول للرواتب
75 أداة ذكاء اصطناعي
RGPD · INPDP · CNDP · CNIL
MFA step-up إلزامي
تعديل تلقائي لرمضان
Multi-tenant معزول 100%
Made in Tunisia
مجموعة اختبارات Vitest خضراء
AES-256-GCM
9 اتفاقيات قطاعية
6 دول للرواتب
75 أداة ذكاء اصطناعي
RGPD · INPDP · CNDP · CNIL
MFA step-up إلزامي
تعديل تلقائي لرمضان
Multi-tenant معزول 100%
Next.js 15.5
Postgres 16 · Neon
Prisma 6.19
Anthropic Claude
Better-Auth 1.6
Vercel Edge · Cloudflare R2
Stripe · Inngest
TypeScript strict
@react-pdf/renderer
Vitest · Playwright
Next.js 15.5
Postgres 16 · Neon
Prisma 6.19
Anthropic Claude
Better-Auth 1.6
Vercel Edge · Cloudflare R2
Stripe · Inngest
TypeScript strict
@react-pdf/renderer
Vitest · Playwright
سياسة الخصوصية · Levia · Levia