الانتقال إلى المحتوى الرئيسي
civitas.
تسجيل الدخولالتحقق من الأهلية
الأمان وحماية البيانات

تبقى البيانات في ألمانيا.

تعد عملية التجنس إجراءً إداريًا بالغ الحساسية. ونحن نتعامل مع البيانات التي يتم جمعها في هذا السياق بالشكل المناسب — من خلال بنية واضحة تتوافق مع اللائحة العامة لحماية البيانات (GDPR)، واستضافة خادمات في ألمانيا حصريًّا، ومزودي خدمات معالجة فرعية يتسمون بالشفافية.

استضافة المواقع في ألمانياTLS 1.3 · AES-256المادة 28 من اللائحة العامة لحماية البيانات
01الاستضافة والهندسة02التشفير03المعالجات الفرعية04معالجة الطلبات05حقوق الأشخاص المتضررين06الاستجابة للحوادث07الامتثال
الفئة 01

الاستضافة والهندسة.

تعمل منصة civitas بالكامل على خوادم موجودة في ألمانيا. لا يتم نقل البيانات خارج الاتحاد الأوروبي، ولا يتم الاستعانة بمزودي خدمات فرعيين مقرهم الرئيسي في دول ثالثة فيما يتعلق بالبيانات الأساسية — كما أن بنية النظام مصممة لتكون قابلة للتعددية، بحيث تحصل كل هيئة حكومية وكل شريك مؤسسي على مساحة بيانات خاصة به ومعزولة.

موقع الخادم
شركة Hetzner Online GmbH، نورنبرغ حصريًّا. مركز بيانات حاصل على شهادة ISO/IEC 27001، مزود بإمدادات طاقة احتياطية، ونسخ احتياطي متكرر جغرافيًا في موقع ثانٍ لشركة Hetzner في ألمانيا (فالكينشتاين).
موقع البيانات
ألمانيا · الاتحاد الأوروبي. تتم معالجة جميع البيانات الشخصية وتخزينها حصريًّا في ألمانيا. ولا يتم نقل أي بيانات إلى دول ثالثة بالمعنى المقصود في المادة 44 وما يليها من اللائحة العامة لحماية البيانات (GDPR).
فصل العملاء
يحصل كل شريك مؤسسي (هيئة حكومية، مكتب محاماة، مركز استشاري) على غرفة بيانات منفصلة منطقياً مع مفتاح عميل خاص به. استئجار قاعدة البيانات على مستوى الصفوف مع معرّف عميل إلزامي، مع إمكانية دعم تعدد العملاء على مستوى التطبيق وقاعدة البيانات.
استراتيجية النسخ الاحتياطي
نسخ احتياطية يومية تزايدية، ونسخ احتياطية أسبوعية كاملة، مع الاحتفاظ بالبيانات لمدة 30 يومًا. يتم تخزين النسخ الاحتياطية بشكل مشفر في موقع ثانٍ تابع لشركة Hetzner في ألمانيا. ويتم اختبار إجراءات الاستعادة بانتظام.
الفصل بين البيئة الإنتاجية والبيئة التجريبية
فصل تام بين بيئات الإنتاج وبيئات العرض التوضيحي. لا تحتوي بيانات العرض التوضيحي على أي معلومات حقيقية عن مقدمي الطلبات — حيث يتم تمييز جميع عملاء العرض التوضيحي بوضوح على أنهم كذلك.
الفئة 02

التشفير.

يتم التشفير أثناء النقل وأثناء التخزين. كما يتم تشفير بيانات الطلبات الحساسة على مستوى التطبيق، بحيث لا يكشف الوصول إلى قاعدة البيانات عن أي بيانات شخصية قابلة للقراءة حتى في حالة عدم توفر مفتاح التطبيق.

النقل (قيد العبور)
TLS 1.3 حصريًّا، دون الرجوع إلى TLS 1.2 أو إصدارات أقدم. رأس HSTS بقيمة max-age=63072000، ومجموعات التشفير وفقًا للمعايير الدنيا التي حددتها BSI.
الذاكرة (في حالة السكون)
AES-256-GCM على مستوى وحدة التخزين عبر وحدات تخزين Hetzner المشفرة بالكامل. يتم توفير المفاتيح عبر نظام إدارة مفاتيح مستضاف بشكل منفصل.
طبقة التطبيقات
يتم تشفير الحقول الحساسة (اسم العائلة، تصريح الإقامة، بيانات المزايا الاجتماعية) بشكل إضافي على مستوى التطبيق. وحتى مسؤولو قواعد البيانات لا يمكنهم رؤية سوى النصوص المشفرة دون مفتاح التطبيق.
إدارة المفاتيح
تتم إعادة تعيين مفاتيح التطبيقات كل 90 يومًا، بينما تتم إعادة تعيين المفاتيح الرئيسية سنويًّا. وتتم عملية إعادة التعيين دون انقطاع من خلال مفاتيح ذات إصدارات محددة.
التحقق من الهوية
تسجيل الدخول بدون كلمة مرور عبر Magic-Link (رموز مميزة موقعة بواسطة HMAC-SHA256، صالحة لمدة 30 دقيقة) أو OAuth عبر Google/Apple. اختياري: المصادقة الثنائية عبر TOTP. للشركاء المؤسسيين: SAML 2.0 / OIDC.
الفئة 03

المعالجات الفرعية.

يستخدم civitas. مزودي خدمة مختارين لمهام محددة بوضوح. جميع المعالجين الفرعيين ملزمين تعاقدياً بـ DSGVO، مع AVV وفقاً للمادة 28 DSGVO. الموقع موثق بشفافية — يفضل قدر الإمكان المزودون الذين يقع مقرهم الرئيسي ومعالجة البيانات في الاتحاد الأوروبي.

شركة هتزنر أونلاين المحدودة
الاستضافة · قاعدة البيانات · النسخ الاحتياطي
الغرض: البنية التحتية للخوادم
الموقع: نورنبرغ وفالكنشتاين
ألمانيا
شركة Stripe Payments Europe المحدودة
معالجة المدفوعات
الغرض: البطاقة · SEPA · Sofort
الموقع: دبلن (أيرلندا)
EU
Postmark (شركة ActiveCampaign LLC)
رسائل البريد الإلكتروني المتعلقة بالمعاملات
الغرض: Magic-Link · الفواتير
الموقع: مركز بيانات الاتحاد الأوروبي (فرانكفورت)
EU
Sentry (شركة Functional Software)
قياس الأخطاء عن بُعد
الغرض: سجلات أخطاء التطبيق
الموقع: منطقة الاتحاد الأوروبي (فرانكفورت)
EU
شركة Plausible Insights OÜ
التحليلات
الغرض: إحصاءات الويب المُجهولة الهوية
الموقع: تالين (إستونيا)
EU
Cloudflare (شبكة توزيع المحتوى)
الحماية من هجمات DDoS · شبكة توزيع المحتوى (CDN)
الغرض: الأصول الثابتة · الحماية
الموقع: EU-Edge (فرانكفورت)
EU-Edge / المقر الرئيسي في الولايات المتحدة

يتم تحديث القائمة عند حدوث أي تغييرات. ويتم إخطار الجهات الحكومية والشركاء المؤسسيين في حالة حدوث تغييرات جوهرية في قائمة المعالجات الفرعية. ويشكل الكتالوج الكامل للمعالجات الفرعية جزءًا لا يتجزأ من عقد AVV.

الفئة 04

معالجة الطلبات.

عندما تقوم civitas. بمعالجة البيانات لصالح شركاء مؤسسيين (الهيئات الحكومية، مكاتب المحاماة، مراكز الاستشارات)، فإن ذلك يتم حصريًّا استنادًا إلى عقد معالجة البيانات وفقًا للمادة 28 من اللائحة العامة لحماية البيانات (GDPR). ويصبح عقد معالجة البيانات تلقائيًّا جزءًا لا يتجزأ من عقد الترخيص، وهو متاح بنسخة قياسية.

اتفاقية النقل البري القياسية
نحن نوفر اتفاقية معالجة بيانات موحدة وفقًا للمادة 28 من اللائحة العامة لحماية البيانات (GDPR)، والتي تغطي سيناريوهات المعالجة النموذجية. ويمكن تعديلها لتتوافق مع متطلبات الجهات الرسمية خلال محادثات خاصة.
حقوق المراقبة والتدقيق
يمكن لأصحاب العمل ممارسة حقوق الرقابة والتدقيق في أي وقت وفقًا للمادة 28، الفقرة 3، البند (ح) من اللائحة العامة لحماية البيانات (GDPR) — إما من خلال إجراء تدقيق ذاتي استنادًا إلى هذه الوثائق، أو من خلال زيارة ميدانية بعد التنسيق المسبق.
الالتزام بالتعليمات
تتم المعالجة حصريًّا وفقًا للتعليمات الموثقة الصادرة عن المسؤول. ولا تقوم شركة civitas بالمعالجة بنفسها إلا في الحدود المتفق عليها تعاقديًا، مثل توفير الخدمة من الناحية التقنية.
الحذف والإرجاع
بعد انتهاء العقد، يتم حذف البيانات الشخصية بالكامل أو إعادتها — حسب اختيار المسؤول. المهلة القياسية: 30 يومًا بعد انتهاء العقد، مع توثيق ذلك بسجل حذف.
تغيير المعالج الفرعي
يتم الإبلاغ عن أي تغيير مخطط له في المعالجات الفرعية قبل أربعة أسابيع من تنفيذه. ويحق للعميل الاعتراض على ذلك؛ وفي حالة الاعتراض المبرر، يتم البحث عن حل بديل أو إنهاء العلاقة التعاقدية.
تنزيل AVV
عقد معالجة البيانات القياسي (PDF).
إن اتفاقية المعالجة (AVV) القياسية الخاصة بنا، وفقًا للمادة 28 من اللائحة العامة لحماية البيانات (GDPR)، متاحة للجمهور — لتتم مراجعتها مسبقًا من قبل مسؤولي حماية البيانات والأقسام القانونية. ويمكن تكييفها لتلائم متطلباتكم المحددة خلال محادثات خاصة.
الحالة: أبريل 2026التنسيق: ملف PDF · حوالي 12 صفحةالنطاق: العملاء القياسيون
تنزيل AVVالتخصيص حسب الاحتياجات الفردية

تم تصميم اتفاقية الاستخدام (AVV) خصيصًا للجهات المؤسسية (الهيئات الحكومية، مكاتب المحاماة، مراكز الاستشارات). أما بالنسبة للعملاء الأفراد الذين يستخدمون civitas. بشكل مباشر، فإن civitas. تعتبر الجهة المسؤولة بموجب المادة 4، البند 7 من اللائحة العامة لحماية البيانات (GDPR) — وفي هذه الحالة تسري سياسة الخصوصية، وليس اتفاقية الاستخدام (AVV).

الفئة 05

حقوق الأشخاص المتضررين.

يمكن لمقدمي الطلبات وجميع الأطراف المعنية الأخرى ممارسة حقوقهم المنصوص عليها في اللائحة العامة لحماية البيانات (GDPR) في أي وقت تجاه civitas. ونقوم بمعالجة الطلبات في غضون المهلة القانونية البالغة شهر واحد، وفقًا للمادة 12، الفقرة 3 من اللائحة العامة لحماية البيانات (GDPR).

01
حق الحصول على المعلومات
المادة 15 من اللائحة العامة لحماية البيانات
معلومات حول البيانات الشخصية التي نعالجها، والأغراض التي نعالجها من أجلها، والجهات التي يتم نقلها إليها.
02
حق التصحيح
المادة 16 من اللائحة العامة لحماية البيانات
تصحيح البيانات غير الصحيحة أو غير الكاملة — يمكن القيام بذلك بنفسك من خلال حسابك، أو عن طريق تقديم طلب إلى مسؤول حماية البيانات لدينا.
03
حق الحذف
المادة 17 من اللائحة العامة لحماية البيانات
الحذف الكامل لبياناتك — شريطة عدم وجود فترات احتفاظ قانونية تمنع ذلك (مثل المحاسبة). يمكن تنفيذ ذلك من الحساب تحت "الإعدادات → حذف الحساب".
04
حق التقييد
المادة 18 من اللائحة العامة لحماية البيانات
تقييد معالجة بياناتك في حالات معينة — مثل في حالة وجود خلاف حول صحة البيانات أو أثناء نزاع قانوني.
05
قابلية نقل البيانات
المادة 20 من اللائحة العامة لحماية البيانات
تصدير بيانات طلباتك وحساباتك بتنسيق منظم وشائع وقابل للقراءة آليًّا. التنسيق الافتراضي هو JSON أو PDF.
06
حق الاعتراض
المادة 21 من اللائحة العامة لحماية البيانات
الاعتراض على معالجة بياناتك — لا سيما فيما يتعلق بإنشاء ملفات تعريفية أو التسويق المباشر. يسري مفعوله على الفور.
أين يمكنكم تقديم الاستفسارات: عبر البريد الإلكتروني إلى datenschutz@einbuergerungsservice.de. تستغرق معالجة الطلبات عادةً خمسة أيام عمل، أما المدة القصوى وفقًا للائحة العامة لحماية البيانات (GDPR) فهي شهر واحد. وفي حالة الشكاوى، يمكنكم أيضًا اللجوء إلى السلطة الإشرافية المختصة — وهي، بالنسبة لشركة Civitas UG، المفوضة الإقليمية لحماية البيانات وحرية المعلومات في ولاية شمال الراين-وستفاليا.
الفئة 06

الاستجابة للحوادث.

تُعالج الحوادث الأمنية وفقًا لعملية موثقة بوضوح — تتضمن مستويات تصعيد محددة، ومواعيد إخطار محددة، وتحليلًا لاحقًا للأسباب. وفي حالة حدوث انتهاك لحماية البيانات الشخصية، يتم الإبلاغ إلى السلطة الإشرافية وفقًا للمادة 33 من اللائحة العامة لحماية البيانات (GDPR) في غضون 72 ساعة.

الإجراءات المتبعة في حالات الحوادث الأمنية.

نحن نتبع إجراءات موحدة بدءًا من اكتشاف أي حادث وحتى استعادة التشغيل العادي. ويتم إخطار الجهات الطالبة والمتضررين في أقرب وقت ممكن وبطريقة شفافة وواضحة.

≤ ساعة واحدة
الكشف والتصنيف الأولي. تحديد درجة الخطورة وتوزيع المسؤوليات.
≤ 4 ساعات
الاحتواء. عزل الحادث، ومنع انتشاره، وتأمين الأنظمة المتأثرة.
≤ 24 ساعة
إبلاغ الجهات الطالبة. يتم إبلاغ السلطات المعنية ومكاتب المحاماة ومراكز الاستشارة — حتى في حالة عدم توفر معلومات كاملة بعد.
≤ 72 ساعة
الإبلاغ إلى السلطة الإشرافية عن الحوادث التي تستوجب الإبلاغ بموجب المادة 33 من اللائحة العامة لحماية البيانات (GDPR).
≤ 7 أيام
التقييم اللاحق والدروس المستفادة. تحليل شامل للأسباب، وخطة عمل، وتوثيق شفاف للعميل.
الفئة 07

الامتثال.

صراحة تامة: ما هي المعايير التي يتم الالتزام بها اليوم، وما هي الشهادات الجارية حالياً، وما هي الشهادات المخطط لها لعامي 2026/2027. نحن نُعلن عن ذلك بشفافية بدلاً من التظاهر بالامتثال.

تم الالتزام بها
اللائحة العامة لحماية البيانات (GDPR) / القانون الاتحادي الألماني لحماية البيانات (BDSG)
التنفيذ الكامل للائحة العامة لحماية البيانات (GDPR) وقانون حماية البيانات الألماني (BDSG) — بصفتنا الجهة المسؤولة عن معالجة البيانات الخاصة بنا، وبصفتنا الجهة المكلفة بمعالجة البيانات لصالح الشركاء المؤسسيين.
تم الالتزام بها
TLS / المعايير الدنيا لمكتب الأمن المعلوماتي الألماني (BSI)
تكوين TLS وفقًا لمعيار BSI TR-02102-2. تتوافق جميع مجموعات التشفير مع التوصيات الفيدرالية الخاصة بمستويات الحماية "العالية".
تم الالتزام بها
التوافق مع معيار RDG
الالتزام الصارم بحدود المادة 2 من قانون الخدمات القانونية (RDG). تقدم civitas مساعدة إجرائية بحتة من الناحية الفنية، ولا تقدم استشارات قانونية في الحالات الفردية.
من المقرر في الربع الثالث من عام 2026
ISO/IEC 27001
إدارة أمن المعلومات. التحضير للحصول على الشهادة في الربع الثالث من عام 2026 — أمر ذو صلة بمناقصات جهات حكومية محددة.
مقرر في الربع الرابع من عام 2026
شهادة BSI C5
دليل معايير الامتثال للحوسبة السحابية الصادر عن مكتب الأمن المعلوماتي الألماني (BSI). معيار للإدارة العامة — قيد الإعداد.
مقرر في عام 2027
توافق EVB-IT مع معايير السحابة
شروط العقود الخاصة بمشتريات تكنولوجيا المعلومات في القطاع العام. وتكون ذات صلة بالمناقصات الكبيرة التي تطرحها الهيئات الحكومية.
المسؤول

اتصال مباشر من أجل الأمان و حماية البيانات.

لإبلاغ عن مشكلات أمنية، أو استفسارات بشأن حماية البيانات، أو طلبات التدقيق، أو أسئلة محددة حول بنية نظامنا. في حالة الاشتباه بوجود ثغرات أمنية، نرجو الإبلاغ عنها بسرية — وسنؤكد استلام البلاغ في غضون 24 ساعة.

حماية البيانات والأمان

civitas. · Privacy & Security Team

حماية البيانات
datenschutz@einbuergerungsservice.de
إشعارات الأمان
security@einbuergerungsservice.de
زمن الاستجابة
خلال 24 ساعة في أيام العمل
هيئة الرقابة
LDI شمال الراين-وستفاليا