Dasar Privasi

Djambar AI FZCO Dubai Silicon Oasis, Dubai, United Arab Emirates Emel: privacy@myumrah.ai Bagi data jemaah, agensi pelancongan klien adalah pengawal data dan Djambar AI FZCO bertindak sebagai pemproses data.

Data agensi: nama, alamat, pendaftaran perniagaan, emel, telefon, butiran perbankan, nombor VAT intra-Komuniti. Data jemaah (dikumpul oleh agensi melalui platform): • Identiti: nama, tarikh lahir, kewarganegaraan • Dokumen: nombor pasport, visa (disulitkan AES-256) • Kesihatan: maklumat perubatan yang diperlukan untuk perjalanan (disulitkan AES-256) • Hubungan: emel, telefon, kenalan kecemasan • Perjalanan: tarikh, pakej, keutamaan Data pembayaran: jenis kad bank (Visa, Mastercard, Amex), empat digit terakhir kad, pengecam transaksi Stripe. Nombor kad penuh, kod keselamatan (CVV/CVC) dan tarikh luput tidak pernah dikumpul, diproses atau disimpan oleh MyUmrah.ai. Data ini diproses secara eksklusif oleh Stripe, penyedia bertauliah PCI DSS Tahap 1. Data pelayaran: halaman yang dilawati, tempoh sesi (melalui Umami Analytics, tanpa cookie, tanpa data peribadi).

• Pengurusan hubungan komersial dengan agensi • Penyediaan perkhidmatan platform (pengurusan pakej, CRM, pemesejan) • Pematuhan peraturan (GDPR, PDPL) melalui modul vDPO • Penambahbaikan platform (analitik anonim) • Keselamatan platform (pengesanan penipuan, jejak audit)

• Pelaksanaan kontrak (Pkr. 6.1.b GDPR): penyediaan perkhidmatan yang dilanggan • Kepentingan sah (Pkr. 6.1.f GDPR): keselamatan, penambahbaikan perkhidmatan • Kewajipan undang-undang (Pkr. 6.1.c GDPR): pematuhan cukai dan peraturan • Persetujuan eksplisit (Pkr. 9 GDPR): data kesihatan dan kepercayaan agama

Data hanya boleh diakses oleh: • Agensi pelancongan yang berkaitan (melalui pengasingan RLS) • Pasukan teknikal Djambar AI FZCO (sokongan, penyelenggaraan) • Sub-pemproses teknikal kami: Supabase (pengehosan), Vercel (CDN), Stripe (pembayaran), Anthropic (AI) Setiap sub-pemproses terikat oleh DPA yang mematuhi Perkara 28 GDPR.

Data mungkin diproses di negara-negara berikut: • Kesatuan Eropah (Supabase EU) • Amerika Syarikat (Vercel, Stripe, Anthropic) - Klausa Kontrak Piawai (SCC) dilaksanakan • Emirat Arab Bersatu (ibu pejabat Djambar AI) Semua pemindahan dilindungi oleh perlindungan yang sewajarnya menurut Bab V GDPR dan keperluan PDPL.

• Data kritikal (pasport, kesihatan): pemadaman automatik 6 bulan selepas perjalanan • Data sensitif (kewangan, kenalan kecemasan): maksimum 3 tahun • Data standard (identiti, keutamaan): tempoh kontrak + 1 tahun • Data pengebilan: 10 tahun (kewajipan undang-undang) • Analitik: dianonimkan secara berterusan, tiada data peribadi disimpan

Di bawah GDPR (Perkara 15 hingga 22) dan PDPL, anda mempunyai hak-hak berikut: • Hak akses • Hak pembetulan • Hak pemadaman ("hak untuk dilupakan") • Hak menyekat pemprosesan • Hak kemudahalihan data • Hak membantah Untuk melaksanakan hak-hak ini: privacy@myumrah.ai Masa respons: maksimum 30 hari. Anda juga boleh membuat aduan kepada CNIL (Perancis), SDAIA (Arab Saudi), atau mana-mana pihak berkuasa perlindungan data yang berwibawa.

MyUmrah.ai menggunakan Umami Analytics, penyelesaian analitik mesra privasi yang tidak menetapkan cookie dan tidak mengumpul sebarang data peribadi. Stripe, penyedia pembayaran kami, mungkin menggunakan cookie yang sangat diperlukan untuk pencegahan penipuan dan keselamatan transaksi semasa proses pembayaran. Cookie ini dikecualikan daripada keperluan persetujuan menurut Perkara 5(3) Arahan 2002/58/EC (Arahan ePrivacy). Selain cookie fungsional ini, tiada banner persetujuan diperlukan.

Kami melaksanakan langkah-langkah berikut: • Penyulitan AES-256 untuk data sensitif yang disimpan • TLS 1.3 untuk semua komunikasi • Row Level Security (RLS) untuk pengasingan data setiap agensi • Pengesahan MFA tersedia • Jejak audit untuk semua akses ke data sensitif • Ujian keselamatan berkala • Pematuhan NIST Cybersecurity Framework dan CIS Benchmarks Level 1

Selaras dengan Undang-Undang Perlindungan Data Peribadi (PDPL): • Pendaftaran SDAIA: dokumentasi yang telah diisi tersedia • Persetujuan berganda untuk data sensitif (kesihatan, agama) • Persetujuan ibu bapa diperlukan untuk data kanak-kanak bawah umur • Pemberitahuan pelanggaran dalam 72 jam kepada SDAIA • Tempoh pengekalan terhad mengikut Perkara 18 PDPL

Kami berhak mengubah dasar ini. Sebarang perubahan besar akan dimaklumkan melalui emel kepada Klien sekurang-kurangnya 30 hari sebelum berkuat kuasa.

Untuk sebarang pertanyaan mengenai dasar ini: Djambar AI FZCO Emel: privacy@myumrah.ai Alamat: Dubai Silicon Oasis, Dubai, UAE