1.Introduction
١.تمهيد
Kaasb Technology LLC ("Kaasb", "we", "our", "us") operates the online freelancing marketplace available at kaasb.com (the "Platform"). This Privacy Policy (the "Policy") describes the categories of personal data we collect, the purposes and legal bases for processing, the parties with whom we share data, the security measures we apply, and the rights available to you.
This Policy applies to visitors, registered buyers (clients), registered sellers (freelancers), and administrators. By registering, logging in, or continuing to use the Platform after the effective date of this Policy, you acknowledge that you have read and understood it.
تُشغِّل شركة كاسب تكنولوجي («كاسب» أو «نحن») منصة العمل الحر المتاحة على kaasb.com («المنصة»). توضح هذه السياسة («السياسة») فئات البيانات الشخصية التي نجمعها، وأغراض المعالجة وأسسها القانونية، والأطراف التي نُشارك معها البيانات، والتدابير الأمنية المُتَّبعة، والحقوق الممنوحة لك.
تسري هذه السياسة على الزوار والمشترين المسجلين (العملاء) والبائعين المسجلين (المستقلين) والإداريين. وبتسجيلك أو دخولك أو استمرار استخدامك للمنصة بعد تاريخ نفاذ هذه السياسة، فإنك تُقرّ بقراءتها واستيعابها.
2.Definitions
٢.التعريفات
- Personal Data — any information relating to an identified or identifiable natural person.
- Processing — any operation performed on Personal Data, including collection, storage, use, disclosure or erasure.
- Data Controller — the party that determines the purposes and means of Processing. For this Platform, that party is Kaasb.
- Sub-processor — a third party that processes Personal Data on behalf of Kaasb under contract.
- User — any natural person who creates an account on the Platform, whether as a Buyer or Seller.
- البيانات الشخصية — أي معلومة تتعلق بشخص طبيعي محدَّد أو قابل للتحديد.
- المعالجة — أي عملية تُجرى على البيانات الشخصية، بما فيها الجمع والتخزين والاستخدام والإفصاح والمحو.
- المتحكم بالبيانات — الطرف الذي يُحدِّد أغراض المعالجة ووسائلها، وهو في هذه المنصة: كاسب.
- المعالج الفرعي — طرف خارجي يُعالج البيانات الشخصية نيابةً عن كاسب بموجب عقد.
- المستخدم — أي شخص طبيعي يُنشئ حساباً على المنصة، سواء كان مشترياً أو بائعاً.
3.Data Controller
٣.المتحكم بالبيانات
The Data Controller responsible for your Personal Data is:
We have not appointed a Data Protection Officer, as none is required under the laws currently applicable to us. All data-protection enquiries should be addressed to the privacy email above.
المتحكم بالبيانات المسؤول عن معالجة بياناتك الشخصية هو:
لم نُعيِّن مسؤولاً لحماية البيانات لعدم وجود إلزام بذلك بموجب التشريعات السارية حالياً. تُوجَّه جميع الاستفسارات المتعلقة بحماية البيانات إلى البريد الإلكتروني أعلاه.
4.Data We Collect
٤.البيانات التي نجمعها
4.1Account data
First and last name, username, email address, hashed password (bcrypt — we never store your password in plain text), primary role (Buyer or Seller), and preferred language.
4.2Profile data
Display name, profile photo (optional), biography, skills, professional title, country and city (optional), portfolio links, Seller Level, completion rate, response rate, and public ratings. Profile data displayed to other Users is listed clearly on your profile settings page.
4.3Payment data — Qi Card
Qi Card payment identifier returned by the Qi Card gateway after a successful transaction, transaction amount in Iraqi Dinars (IQD), transaction reference numbers, escrow state, and payout history. We do not collect, store, or have access to your full card number, CVV, or PIN; those are handled directly by Qi Card.
4.3.bPayment data — Zain Cash
For Zain Cash transactions we collect the operation identifier returned by Zain Cash after a successful payment, the transaction amount in Iraqi Dinars (IQD), and the redirect-token signature used to verify the outcome. We do not collect, store, or have access to your Zain Cash wallet PIN, mobile-wallet password, or any credential you enter on Zain Cash's hosted page; those are handled directly by Zain Cash.
4.3.cPayment data — FIB (First Iraqi Bank)
For FIB transactions we collect the FIB-issued payment identifier returned after payment creation, the transaction amount in Iraqi Dinars (IQD), the human-readable reference code shown to you in the FIB app, and the status callback FIB POSTs to our server. We do not collect, store, or have access to your FIB account credentials, mobile-banking PIN, or any data you enter inside the FIB app; authentication happens entirely on FIB's side. We verify every callback by calling FIB's status endpoint before crediting your order, so a forged callback cannot move money on the Platform.
4.4Communications data
Messages exchanged between Users on the Platform, attachments, system messages generated by the order workflow, and records of any moderation action. We scan messages for prohibited content (off-platform solicitation, sharing of contact details intended to circumvent the Platform) using an automated filter and retain the filter log.
4.5Device & usage data
IP address, user-agent string, device/browser type, operating system, language header, pages visited, request timestamps, referrer URL, and session identifiers. Used for security, abuse prevention, and service reliability.
4.6Cookies & storage
Authentication cookies (access_token, refresh_token), CSRF-protection cookie, locale cookie, and a single localStorage key recording your cookie consent choice. See our Cookie Policy.
4.7Uploaded files
Service images, order delivery files, and profile avatars you upload. File type and size are validated server-side; we scan for magic-byte consistency. We do not extract or index content from uploaded files beyond what is necessary to display them on the Platform.
4.8Social-login identifiers
If you sign in with Google or Facebook, we receive your verified email address, display name, profile photo URL, and the provider's stable account ID. We do not receive your contacts, friends list, or social graph.
4.9Phone OTP
If you verify a phone number, we store the phone number, a SHA-256 hash of the one-time code (never the code itself), expiry timestamp, attempt counter, and delivery channel (SMS, WhatsApp, or email fallback).
4.10Admin audit records
If you are an administrator, actions you take on the Platform (user status changes, payout approvals, escrow releases, dispute resolutions) are recorded in an audit log with your user identifier, a timestamp, the affected record, and the decision taken.
٤.١بيانات الحساب
الاسم الأول واسم العائلة، اسم المستخدم، البريد الإلكتروني، كلمة المرور بعد تشفيرها بخوارزمية bcrypt (لا نُخزِّن كلمة المرور نصّاً صريحاً إطلاقاً)، الدور الأساسي (مشترٍ أو بائع)، واللغة المفضَّلة.
٤.٢بيانات الملف الشخصي
الاسم المعروض، الصورة الشخصية (اختيارية)، النبذة التعريفية، المهارات، المسمى الوظيفي، البلد والمدينة (اختيارية)، روابط أعمال سابقة، مستوى البائع، معدل الإنجاز، معدل الاستجابة، والتقييمات العامة. تُعرض البيانات المنشورة لسائر المستخدمين بوضوح في صفحة إعدادات ملفك الشخصي.
٤.٣بيانات الدفع — كي كارد
المُعرِّف الذي تُرجعه بوابة كي كارد عند إتمام المعاملة، ومبلغ المعاملة بالدينار العراقي، والأرقام المرجعية، وحالة الضمان (الإسكرو)، وسجل الصرف. لا نجمع رقم بطاقتك الكامل ولا رمز التحقق (CVV) ولا الرقم السري (PIN) ولا نتمكن من الاطلاع عليها؛ إذ تُعالَج مباشرةً لدى كي كارد.
٤.٣.ببيانات الدفع — زين كاش
عند الدفع عبر زين كاش نَجمع مُعرِّف العملية الذي تُرجعه زين كاش بعد إتمام الدفع، ومبلغ المعاملة بالدينار العراقي، وتوقيع رمز إعادة التحويل المستخدم للتحقق من نتيجة العملية. لا نجمع الرقم السري لمحفظة زين كاش (PIN)، ولا كلمة مرور المحفظة، ولا أي بيانات اعتماد تُدخلها في صفحة زين كاش، ولا نتمكن من الاطلاع عليها؛ إذ تُعالَج مباشرةً لدى زين كاش.
٤.٣.جبيانات الدفع — FIB (بنك العراق الأول)
عند الدفع عبر FIB نَجمع مُعرِّف الدفعة الصادر عن FIB بعد إنشاء العملية، ومبلغ المعاملة بالدينار العراقي، والرمز المرجعي القابل للقراءة الذي يظهر لك في تطبيق FIB، وإشعار حالة الدفع الذي يُرسله FIB إلى خادمنا. لا نجمع بيانات اعتماد حساب FIB الخاص بك، ولا الرقم السري للخدمات المصرفية عبر الهاتف، ولا أي معلومات تُدخلها داخل تطبيق FIB، ولا نتمكن من الاطلاع عليها؛ إذ تتم المصادقة بالكامل لدى FIB. نتحقق من كل إشعار حالة عبر استدعاء واجهة الحالة لدى FIB قبل اعتماد طلبك، لذا لا يستطيع أي إشعار مزوَّر أن يحرّك الأموال على المنصة.
٤.٤بيانات المراسلات
الرسائل المُتبادَلة بين المستخدمين على المنصة، والمرفقات، والرسائل النظامية الصادرة عن دورة العمل، وسجلات إجراءات المراقبة. نُجري فحصاً آلياً للرسائل بحثاً عن محتوى محظور (المحاولات لصرف التعامل خارج المنصة أو تبادل بيانات الاتصال بقصد التحايل)، ونحتفظ بسجل نتائج الفلترة.
٤.٥بيانات الجهاز والاستخدام
عنوان IP، وبيانات المتصفح والجهاز ونظام التشغيل، ولغة الطلب، والصفحات المزارة، والطوابع الزمنية، ورابط المصدر، ومُعرِّفات الجلسات. تُستخدم لأغراض الأمن ومكافحة الإساءة وضمان موثوقية الخدمة.
٤.٦ملفات الارتباط والتخزين
ملفات ارتباط المصادقة (access_token و refresh_token)، وملف حماية CSRF، وملف اللغة، ومفتاح واحد في localStorage لحفظ اختيارك لإعدادات الارتباط. راجع سياسة ملفات الارتباط.
٤.٧الملفات المرفوعة
صور الخدمات، وملفات تسليم الطلبات، والصور الشخصية التي ترفعها. يُتحقَّق من النوع والحجم على الخادم، ويُجرى فحص توافق التوقيع الأول للملف. لا نستخرج محتوى الملفات المرفوعة ولا نفهرسه خارج ما يلزم لعرضها على المنصة.
٤.٨مُعرِّفات تسجيل الدخول الاجتماعي
إذا سجّلت الدخول عبر جوجل أو فيسبوك، نتلقى بريدك الإلكتروني المُتحقَّق منه، والاسم المعروض، ورابط الصورة، ومُعرِّف الحساب الثابت لدى المزوِّد. لا نستلم جهات اتصالك ولا قوائم أصدقائك ولا شبكتك الاجتماعية.
٤.٩التحقق عبر الهاتف
عند التحقق من رقم الهاتف، نُخزِّن الرقم، وبصمة SHA-256 لرمز التحقق (ولا نُخزِّن الرمز نفسه)، وتاريخ الانتهاء، وعدّاد المحاولات، وقناة التسليم (SMS أو واتساب أو بريد إلكتروني بديل).
٤.١٠سجلات تدقيق الإداريين
إن كنت إدارياً، تُسجَّل الإجراءات التي تتخذها على المنصة (تغيير حالة المستخدمين، الموافقة على الصرف، إفراج الإسكرو، تسوية النزاعات) في سجل تدقيق يتضمن مُعرِّفك والطابع الزمني والسجل المتأثر والقرار المتخذ.
5.Purposes & Legal Bases
٥.الأغراض والأسس القانونية
| Purpose · الغرض | Data · البيانات | Legal basis · الأساس |
|---|---|---|
| Creating and maintaining your account · إنشاء حسابك وإدارته | Account, Profile | Performance of a contract · تنفيذ العقد |
| Processing orders and payments · معالجة الطلبات والمدفوعات | Payment, Account | Performance of a contract · تنفيذ العقد |
| Detecting fraud and abuse · كشف الاحتيال والإساءة | Device & usage, Communications | Legitimate interest · مصلحة مشروعة |
| Enforcing Terms and moderating content · إنفاذ الشروط ومراقبة المحتوى | Communications, Profile | Legitimate interest · مصلحة مشروعة |
| Sending service notifications · إرسال إشعارات الخدمة | Account | Performance of a contract · تنفيذ العقد |
| Complying with Iraqi commercial, tax and AML law · الامتثال للقانون التجاري والضريبي وقوانين مكافحة غسل الأموال العراقية | Payment, Account | Legal obligation · التزام قانوني |
| Improving service reliability and performance · تحسين الموثوقية والأداء | Device & usage (aggregated) | Legitimate interest · مصلحة مشروعة |
| Non-essential cookies (none today) · ملفات ارتباط غير أساسية (لا يوجد حالياً) | — | Consent · الموافقة |
6.Payment Flows
٦.تدفقات الدفع
Payments on the Platform are processed in Iraqi Dinars (IQD) through one of three independent gateways — Qi Card, Zain Cash, or FIB (First Iraqi Bank). The end-to-end flow for each is set out below.
6.aQi Card
- You initiate a payment on the Platform. Kaasb creates a payment session and signs the redirect URL with HMAC-SHA256 to prevent tampering.
- You are redirected to Qi Card's environment where you enter your card or wallet details. Kaasb never sees that data.
- Qi Card processes the payment and redirects you back with a signed reference.
- Kaasb verifies the signature, records the reference, and holds the funds logically in escrow until the order is completed, auto-completed, cancelled, or resolved by dispute.
- Payouts to Sellers are initiated manually by Kaasb administrators through the Qi Card merchant app, because Qi Card does not currently expose a payout API.
6.bZain Cash
- You initiate a payment on the Platform. Kaasb signs an init request with the merchant secret (HS256 JWT) and submits it to Zain Cash, which returns a Zain Cash operation identifier.
- You are redirected to Zain Cash's hosted page where you authenticate against your Zain Cash mobile wallet. Kaasb never sees your wallet PIN, password, or any credential entered there.
- Zain Cash processes the payment and redirects you back with a token (a JWT signed by Zain Cash) that echoes the operation identifier and the outcome.
- Kaasb verifies the token signature against the merchant secret, matches the operation identifier to the originating order, and holds the funds logically in escrow on the same terms as Qi Card.
- Payouts to Sellers may be processed via the Qi Card, Zain Cash, or FIB mobile app, depending on which payout method the Seller has configured. The funding gateway and the payout gateway are independent — a payment funded via Zain Cash may be paid out via FIB if that's the Seller's preferred payout channel.
6.cFIB (First Iraqi Bank)
- You initiate a payment on the Platform. Kaasb obtains an OAuth2 access token from FIB's authorization server (using merchant credentials known only to Kaasb and FIB), then creates a payment via FIB's REST API. FIB returns a payment identifier and a redirect link that opens the FIB mobile app.
- You approve the payment in the FIB app using your FIB account credentials. Kaasb never sees those credentials, your account balance, or any other data inside the FIB app.
- FIB POSTs an unsigned status notification to a callback URL on Kaasb's server when your payment outcome is decided.
- Kaasb verifies that notification by calling FIB's authoritative status endpoint with the payment identifier. Only the API response is trusted; the callback body alone is treated as a notification, not as proof of payment. This protects against forged callbacks.
- Once verified as PAID, Kaasb holds the funds logically in escrow on the same terms as the other gateways. FIB-funded payments may be refunded programmatically through FIB's refund API within FIB's standard 7-day post-charge window; outside that window refunds are processed manually.
Qi Card, Zain Cash, and FIB are independent payment processors. Their handling of your payment credentials is governed by their own privacy terms, which are outside the scope of this Policy.
تُعالَج المدفوعات على المنصة بالدينار العراقي عبر إحدى بوابتين مستقلتين: «كي كارد» أو «زين كاش». ويرد أدناه التدفق التفصيلي لكل منهما.
٦.أكي كارد
- تبدأ عملية الدفع على المنصة. تُنشئ كاسب جلسة دفع وتوقّع رابط التحويل بخوارزمية HMAC-SHA256 لمنع العبث به.
- تُحوَّل إلى بيئة كي كارد لإدخال بيانات بطاقتك أو محفظتك، ولا يمكن لكاسب الاطلاع على هذه البيانات.
- تُعالج كي كارد العملية وتُعيدك إلى المنصة برقم مرجعي مُوقَّع.
- تتحقق كاسب من التوقيع وتُقيِّد المرجع، وتحتفظ بالأموال منطقياً في حساب الضمان (إسكرو) حتى إتمام الطلب أو إتمامه تلقائياً أو إلغائه أو البتّ فيه بنزاع.
- يُنفَّذ صرف مستحقات البائعين يدوياً من قِبل إداريي كاسب عبر تطبيق التاجر في كي كارد، إذ لا تُتيح كي كارد حالياً واجهة برمجية للصرف.
٦.بزين كاش
- تبدأ عملية الدفع على المنصة. تُوقِّع كاسب طلب الإنشاء بسر التاجر (JWT بخوارزمية HS256) وتُرسله إلى زين كاش، التي تُعيد مُعرِّف عملية خاصاً بها.
- تُحوَّل إلى صفحة زين كاش لمصادقة محفظتك، ولا يمكن لكاسب الاطلاع على الرقم السري للمحفظة (PIN) أو كلمة المرور أو أي بيانات اعتماد تُدخلها هناك.
- تُعالج زين كاش العملية وتُعيدك إلى المنصة برمز (JWT مُوقَّع من زين كاش) يتضمن مُعرِّف العملية ونتيجتها.
- تتحقق كاسب من توقيع الرمز باستخدام سر التاجر، وتربط مُعرِّف العملية بالطلب الأصلي، وتحتفظ بالأموال منطقياً في حساب الضمان وفق ذات أحكام كي كارد.
- قد يُنفَّذ صرف مستحقات البائعين عبر تطبيق كي كارد أو زين كاش أو FIB، حسب وسيلة الدفع التي اختارها البائع. تكون بوابة التمويل وبوابة الصرف مستقلَّتَيْن — قد تُموَّل دفعة عبر زين كاش وتُصرف عبر FIB إذا كان ذلك خياراً للبائع.
٦.جFIB (بنك العراق الأول)
- تبدأ عملية الدفع على المنصة. تطلب كاسب رمز وصول OAuth2 من خادم تفويض FIB (باستخدام بيانات اعتماد التاجر المعروفة لكاسب وFIB فقط)، ثم تُنشئ الدفعة عبر واجهة FIB البرمجية. يُرجع FIB مُعرِّف الدفعة ورابط تحويل يفتح تطبيق FIB المحمول.
- توافق على الدفع داخل تطبيق FIB باستخدام بيانات اعتماد حسابك، ولا تستطيع كاسب الاطلاع على هذه البيانات أو على رصيد حسابك أو على أي بيانات أخرى داخل التطبيق.
- يُرسل FIB إشعار حالة (غير موقَّع) إلى رابط الإشعار على خادم كاسب عند البتّ في نتيجة الدفعة.
- تتحقق كاسب من هذا الإشعار باستدعاء واجهة الحالة الموثوقة لدى FIB باستخدام مُعرِّف الدفعة. يُعتمد رد الواجهة فقط؛ ويُعامَل جسم الإشعار وحده على أنه تنبيه لا دليل دفع. يحمي ذلك من الإشعارات المزوَّرة.
- بمجرد التحقق من حالة PAID، تحتفظ كاسب بالأموال منطقياً في الضمان وفق ذات أحكام البوابات الأخرى. تخضع المدفوعات المموَّلة عبر FIB لإمكانية الاسترداد البرمجي عبر واجهة FIB خلال نافذة الـ 7 أيام التي يحدِّدها FIB، وخارج هذه النافذة تُعالَج عمليات الاسترداد يدوياً.
تُعدّ «كي كارد» و«زين كاش» وFIB معالجي دفع مستقلين، وتخضع معالجتهم لبيانات الدفع الخاصة بك لشروط الخصوصية لدى كل منهم، وهي خارج نطاق هذه السياسة.
7.Sub-processors
٧.المعالجون الفرعيون
| Processor | Purpose | Location |
|---|---|---|
| Qi Card | Payment processing · معالجة الدفع | Iraq · العراق |
| Zain Cash | Payment processing · معالجة الدفع | Iraq · العراق |
| FIB (First Iraqi Bank) | Payment processing · معالجة الدفع | Iraq · العراق |
| Hetzner Online GmbH | Hosting, database, backups · استضافة وقواعد البيانات والنسخ الاحتياطي | Germany · ألمانيا |
| Resend | Transactional email · البريد الإلكتروني | United States · الولايات المتحدة |
| Sentry | Error tracking (PII-stripped) · تتبع الأخطاء (بعد إزالة البيانات الشخصية) | United States · الولايات المتحدة |
| Google LLC (OAuth) | Optional social login · تسجيل دخول اختياري | United States · الولايات المتحدة |
| Meta Platforms (Facebook Login) | Optional social login · تسجيل دخول اختياري | United States · الولايات المتحدة |
| Twilio | Phone OTP delivery (SMS / WhatsApp) · إرسال رموز التحقق | United States · الولايات المتحدة |
We do not currently use analytics, advertising, or third-party customer-support tools. If we add any, this list will be updated and — where required by applicable law — your consent will be requested.
لا نستخدم حالياً أدوات تحليل أو إعلانات أو دعم عملاء من أطراف خارجية. عند إضافة أيٍّ منها، سيُحدَّث هذا الجدول، وسنطلب موافقتك حيثما اقتضى القانون ذلك.
8.International Transfers
٨.النقل الدولي للبيانات
Personal Data is transferred outside the Republic of Iraq to the locations of the Sub-processors listed in Section 7 (primarily Germany and the United States). We take reasonable contractual and technical measures — including standard data-protection clauses, encryption in transit (TLS), and least-privilege access controls — to ensure an adequate level of protection. By using the Platform, you acknowledge that your Personal Data may be processed in those jurisdictions.
تُنقَل البيانات الشخصية خارج جمهورية العراق إلى مواقع المعالجين الفرعيين المذكورين في البند 7 (بشكل رئيسي ألمانيا والولايات المتحدة). ونتّخذ تدابير تعاقدية وفنية معقولة — تشمل شروط حماية بيانات قياسية، والتشفير أثناء النقل (TLS)، ومبدأ أدنى الصلاحيات — لضمان مستوى حماية كافٍ. وباستخدامك للمنصة، فإنك تُقرّ بجواز معالجة بياناتك الشخصية في تلك الولايات القضائية.
9.Retention Periods
٩.مُدد الاحتفاظ
| Data · البيانات | Retention · المدة | After · بعد المدة |
|---|---|---|
| Active account data · بيانات الحساب النشط | While account is active · طوال فترة نشاط الحساب | Deleted or anonymised on closure · تُحذف أو تُجعل مجهولة عند الإغلاق |
| Notifications · الإشعارات | 90 days · ٩٠ يوماً | Permanently deleted · تُحذف نهائياً |
| Revoked session tokens · جلسات مُلغاة | 30 days · ٣٠ يوماً | Permanently deleted · تُحذف نهائياً |
| Deactivated accounts (PII) · حسابات معطّلة | 24 months · ٢٤ شهراً | Personal data anonymised · تُجعل البيانات مجهولة |
| Messages (after either party closes account) · الرسائل بعد إغلاق أحد الطرفين | 90 days · ٩٠ يوماً | Content purged, metadata retained for records · يُمسح المحتوى وتبقى البيانات الوصفية |
| Uploaded files (after order closure or account deletion) · الملفات المرفوعة | 90 days · ٩٠ يوماً | Permanently deleted · تُحذف نهائياً |
| Financial & transaction records · السجلات المالية والمعاملات | 10 years · ١٠ سنوات | Retained (Iraqi Commercial Code Art. 12) · احتفاظ إلزامي وفق المادة ١٢ من قانون التجارة |
| Admin audit log · سجل تدقيق الإداريين | 10 years · ١٠ سنوات | Retained · احتفاظ دائم |
| Pending moderation reports · بلاغات قيد المراجعة | 6 months · ٦ أشهر | Auto-dismissed · تُصرف تلقائياً |
| Database backups · النسخ الاحتياطية | Up to 35 days · ٣٥ يوماً كحد أقصى | Rotated out of backup set · تُزال من مجموعة النسخ |
The 10-year retention for financial and audit records reflects record-keeping obligations imposed on Iraqi commercial entities. Where a longer retention is required by law, court order, or ongoing regulatory investigation, data may be retained for that longer period.
تعكس مدة العشر سنوات للسجلات المالية وسجلات التدقيق الالتزامات المفروضة على الكيانات التجارية العراقية. وعند وجود التزام قانوني أو قرار قضائي أو تحقيق رقابي مستمر يستلزم مدة أطول، تُحفظ البيانات لتلك المدة.
10.Security
١٠.الإجراءات الأمنية
We apply a defence-in-depth approach, including:
- TLS encryption for all traffic between your device and our servers.
- Bcrypt password hashing with per-user salt; passwords are never stored or logged in plain text.
- Short-lived JWT access tokens (30 minutes) and rotating refresh tokens (7 days) stored as HTTP-only cookies.
- Automatic revocation of all active sessions and token-version bump on password change or reset.
- HMAC-SHA256 signing of Qi Card redirect URLs to prevent payment tampering.
- Redis-backed single-use controls on password-reset tokens.
- Rate limiting, CSRF protection, and security-relevant HTTP headers.
- Automated scanning of user-to-user messages for prohibited content.
- Dual-control approval required for administrative payouts above the threshold configured under Iraqi law.
- Immutable admin audit log for sensitive operations.
- Centralised error tracking with PII stripped before submission.
No security measure is absolute. If you discover a vulnerability, please report it responsibly to security@kaasb.com.
نعتمد نهج «الدفاع متعدد الطبقات»، يشمل:
- تشفير جميع الاتصالات بين جهازك وخوادمنا بواسطة TLS.
- تجزئة كلمات المرور بخوارزمية bcrypt مع ملح فريد لكل مستخدم، دون تخزينها أو تسجيلها نصّاً صريحاً إطلاقاً.
- رموز وصول JWT قصيرة العمر (٣٠ دقيقة) ورموز تجديد متناوبة (٧ أيام) تُحفظ في ملفات ارتباط HTTP-only.
- إبطال فوري لجميع الجلسات ورفع إصدار الرمز عند تغيير كلمة المرور أو إعادة ضبطها.
- توقيع روابط التحويل إلى كي كارد بخوارزمية HMAC-SHA256 لمنع التلاعب.
- منع إعادة استعمال رموز إعادة التعيين باستخدام قائمة إبطال في Redis.
- ضوابط الحد من المعدل، وحماية CSRF، وترويسات HTTP ذات الصلة بالأمن.
- فحص آلي لرسائل المستخدمين بحثاً عن المحتوى المحظور.
- موافقة مزدوجة على عمليات الصرف الإدارية التي تتجاوز الحدّ المُقرَّر وفق القانون العراقي.
- سجل تدقيق إداري غير قابل للتعديل للعمليات الحساسة.
- تتبع الأخطاء مركزياً بعد إزالة البيانات الشخصية قبل الإرسال.
لا يوجد نظام آمن مئة بالمئة. للإبلاغ عن ثغرة أمنية بشكل مسؤول: security@kaasb.com.
11.Your Rights
١١.حقوق المستخدم
Subject to applicable law, you have the right to:
- Access the Personal Data we hold about you and receive a copy in a structured JSON format.
- Rectify inaccurate or incomplete data through your profile settings, or by contacting us.
- Delete your account and Personal Data, subject to the retention obligations in Section 9.
- Restrict or object to certain processing, including direct marketing (if introduced in the future).
- Withdraw consent where Processing is based on consent, at any time. Withdrawal does not affect lawfulness of Processing carried out before withdrawal.
- Lodge a complaint with the competent authority in the Republic of Iraq or with Kaasb directly.
You may exercise most of these rights from Account Settings (including data export and account deletion). Other requests should be sent to privacy@kaasb.com. We respond within thirty (30) days. We may request proof of identity before acting on a request.
مع مراعاة القانون الساري، لك الحق في:
- الاطلاع على بياناتك الشخصية واستلام نسخة منها بتنسيق JSON منظَّم.
- تصحيح البيانات غير الدقيقة أو الناقصة عبر الإعدادات أو بمراسلتنا.
- حذف حسابك وبياناتك الشخصية مع مراعاة التزامات الاحتفاظ الواردة في البند ٩.
- تقييد المعالجة أو الاعتراض عليها في حالات معينة، بما فيها التسويق المباشر حال استحداثه.
- سحب الموافقة في أي وقت عندما تكون المعالجة قائمة على الموافقة. ولا يمسّ السحب مشروعية المعالجة السابقة له.
- تقديم شكوى إلى الجهة المختصة في جمهورية العراق أو إلى كاسب مباشرةً.
يمكنك ممارسة معظم هذه الحقوق من إعدادات الحساب (تصدير البيانات وحذف الحساب). وتُرسل الطلبات الأخرى إلى privacy@kaasb.com. نُجيب خلال ثلاثين (٣٠) يوماً، ولنا أن نطلب إثبات الهوية قبل تنفيذ الطلب.
12.Cookies
١٢.ملفات الارتباط
We use strictly necessary cookies to keep you signed in and to secure your session, and a single preference key to remember your cookie-consent choice. We do not currently use analytics or advertising cookies. A detailed list is available in our Cookie Policy.
نستخدم ملفات ارتباط ضرورية فقط لإبقائك مسجلاً وحماية جلستك، ومفتاحاً واحداً لتذكّر اختيارك في شريط الموافقة. ولا نستخدم حالياً ملفات ارتباط تحليلية أو إعلانية. تتوفر القائمة التفصيلية في سياسة ملفات الارتباط.
13.Children
١٣.القاصرون
The Platform is not directed to persons under eighteen (18) years of age, consistent with the legal-capacity threshold under the Iraqi Civil Code. We do not knowingly collect Personal Data from children. If we become aware that Personal Data of a child has been collected, we will delete it and terminate the associated account.
لا تُوجَّه المنصة إلى من هم دون الثامنة عشرة (١٨) عاماً، انسجاماً مع سن الأهلية في القانون المدني العراقي. ولا نجمع بياناتٍ شخصيةً من القاصرين عن علم، فإن تبيّن لنا خلاف ذلك، حذفنا البيانات وأنهينا الحساب المرتبط بها.
14.Breach Notification
١٤.الإخطار بخرق البيانات
In the event of a confirmed Personal Data breach that is likely to result in a risk to your rights or interests, we will notify affected Users within seventy-two (72) hours of confirmation, by email and by in-Platform notification. The notice will describe the nature of the breach, the data categories affected, the measures taken to mitigate it, and the steps you can take to protect yourself.
في حال تأكّد خرق للبيانات الشخصية يُرجَّح أن يُشكِّل خطراً على حقوقك أو مصالحك، نُخطر المستخدمين المتأثرين خلال اثنتين وسبعين (٧٢) ساعةً من التأكد، عبر البريد الإلكتروني وإشعار داخل المنصة. ويتضمن الإخطار طبيعة الخرق وفئات البيانات المتأثرة والتدابير المتخذة للحدّ منه والخطوات التي يمكنك اتخاذها للحماية.
15.Changes to This Policy
١٥.تعديل هذه السياسة
We may update this Policy to reflect changes in our practices or in applicable law. Any material change will be notified at least thirty (30) days in advance through email and/or in-Platform notification. The version number and effective date at the top of the page identify the currently effective revision. Continued use of the Platform after the effective date constitutes acceptance of the revised Policy.
قد نُحدِّث هذه السياسة لتعكس تغيّراتٍ في ممارساتنا أو في القانون الساري. ويُخطر بالتعديلات الجوهرية قبل سريانها بثلاثين (٣٠) يوماً على الأقل عبر البريد الإلكتروني أو إشعار داخل المنصة. ويُبيِّن رقم الإصدار وتاريخ النفاذ المعروضان أعلى الصفحة النسخةَ النافذة حالياً. ويُعدّ استمرارك في استخدام المنصة بعد تاريخ النفاذ قبولاً للسياسة المُعدَّلة.
16.Contact
١٦.التواصل
17.Language Precedence
١٧.الأسبقية اللغوية
This Policy is published in Arabic and English. In the event of any conflict, discrepancy, or ambiguity between the two versions, the Arabic version shall prevail, consistent with Article 14 of the Iraqi Civil Code and the customary rule of Iraqi courts.
صدرت هذه السياسة باللغتين العربية والإنجليزية. وفي حال وجود أي تعارض أو اختلاف أو غموض بين النُسختين، تُعتمد النسخة العربية، وفقاً لأحكام المادة ١٤ من القانون المدني العراقي والعُرف القضائي العراقي.