隐私政策

Djambar AI FZCO Dubai Silicon Oasis, Dubai, United Arab Emirates 电子邮件: privacy@myumrah.ai 对于朝觐者数据，客户旅行社是数据控制者，Djambar AI FZCO作为数据处理者。

机构数据：名称、地址、工商注册、电子邮件、电话、银行信息、欧盟内部增值税号。 朝觐者数据（由机构通过平台收集）： • 身份信息：姓名、出生日期、国籍 • 证件：护照号码、签证（AES-256加密） • 健康信息：旅行所需的医疗信息（AES-256加密） • 联系方式：电子邮件、电话、紧急联系人 • 旅行信息：日期、套餐、偏好 支付数据：银行卡类型（Visa、Mastercard、Amex）、卡号后四位、Stripe交易标识符。完整卡号、安全码（CVV/CVC）和有效期从未被MyUmrah.ai收集、处理或存储。这些数据仅由PCI DSS一级认证提供商Stripe处理。 浏览数据：访问页面、会话时长（通过Umami Analytics，不使用cookie，不收集个人数据）。

• 管理与机构的商业关系 • 提供平台服务（套餐管理、CRM、即时通讯） • 通过vDPO模块实现法规合规（GDPR、PDPL） • 平台改进（匿名化分析） • 平台安全（欺诈检测、审计跟踪）

• 合同履行（GDPR第6.1.b条）：提供已订阅的服务 • 合法利益（GDPR第6.1.f条）：安全、服务改进 • 法律义务（GDPR第6.1.c条）：税务和法规合规 • 明确同意（GDPR第9条）：健康数据和宗教信仰

数据仅以下方可访问： • 相关旅行社（通过RLS隔离） • Djambar AI FZCO技术团队（支持、维护） • 我们的技术子处理方：Supabase（托管）、Vercel（CDN）、Stripe（支付）、Anthropic（AI） 每个子处理方均受符合GDPR第28条的DPA约束。

数据可能在以下国家/地区处理： • 欧盟（Supabase EU） • 美国（Vercel、Stripe、Anthropic）- 已签署标准合同条款（SCC） • 阿拉伯联合酋长国（Djambar AI总部） 所有传输均按照GDPR第五章和PDPL要求的适当保障措施进行保护。

• 关键数据（护照、健康信息）：旅行后6个月自动删除 • 敏感数据（财务信息、紧急联系人）：最长3年 • 标准数据（身份信息、偏好）：合同期限+1年 • 账单数据：10年（法律义务） • 分析数据：持续匿名化，不保留个人数据

根据GDPR（第15条至第22条）和PDPL，您享有以下权利： • 访问权 • 更正权 • 删除权（"被遗忘权"） • 限制处理权 • 数据可携带权 • 反对权 行使这些权利请联系：privacy@myumrah.ai 回复时间：最长30天。 您还可以向CNIL（法国）、SDAIA（沙特阿拉伯）或任何有管辖权的数据保护机构提出投诉。

MyUmrah.ai使用Umami Analytics，这是一种尊重隐私的分析解决方案，不设置任何cookie，不收集任何个人数据。 我们的支付提供商Stripe可能在支付过程中使用严格必要的cookie，用于欺诈预防和交易安全。这些cookie根据指令2002/58/EC（ePrivacy指令）第5(3)条免除同意要求。 除这些功能性cookie外，无需同意横幅。

我们实施以下安全措施： • 静态敏感数据的AES-256加密 • 所有通信使用TLS 1.3 • 通过行级安全（RLS）实现每个机构的数据隔离 • 提供MFA多因素认证 • 所有敏感数据访问的审计跟踪 • 定期安全测试 • 符合NIST Cybersecurity Framework和CIS Benchmarks Level 1标准

根据个人数据保护法（PDPL）: • SDAIA注册：预填文档可用 • 敏感数据的双重同意（健康、宗教） • 未成年人数据需要家长同意 • 72小时内向SDAIA发送违规通知 • 根据PDPL第18条的有限保留期

我们保留修改本政策的权利。任何重大变更将在生效前至少30天通过电子邮件通知客户。

有关本政策的任何问题: Djambar AI FZCO 电子邮件: privacy@myumrah.ai 地址: Dubai Silicon Oasis, Dubai, UAE