Venture Insights

Privacy notice · إشعار الخصوصية

How Venture Insights handles your information.

كيف تتعامل فينتشر إنسايتس مع بياناتك.

privacy.v2.0-ksa-bilingual-2026 · effective 2026-05-11 · Arabic is the governing version

إشعار الخصوصية

نسخة الوثيقة: privacy.v2.0-ksa-bilingual-2026 · تاريخ السريان: 2026-05-11

يصف هذا الإشعار كيفية قيام شركة فينتشر إنسايتس ("VI" أو "نحن") بجمع البيانات الشخصية ومعالجتها وحمايتها عند استخدامك لمنصتنا. أُعِدّ هذا الإشعار وفقاً لنظام حماية البيانات الشخصية في المملكة العربية السعودية الصادر بالمرسوم الملكي رقم م/١٩ بتاريخ ٩/٢/١٤٤٣هـ ولوائحه التنفيذية ("نظام حماية البيانات الشخصية").

---

١. من نحن

فينتشر إنسايتس شركة تطوير أعمال سعودية مقرّها مدينة الرياض، المملكة العربية السعودية. للاستفسارات المتعلقة بالخصوصية، يرجى مراسلتنا على [info@ventureinsights.com.sa](mailto:info@ventureinsights.com.sa).

نحن المتحكّم في البيانات بمفهوم نظام حماية البيانات الشخصية فيما يتعلق ببيانات حسابك ومحتوى موجزاتك. وعند استخدامنا لمعالجين فرعيين (مثل خدمات الذكاء الاصطناعي والاستضافة السحابية)، فإننا نُلزمهم تعاقدياً بمعايير حماية لا تقلّ عن تلك المنصوص عليها في نظام حماية البيانات الشخصية.

---

٢. ما الذي نجمعه

  • بيانات الحساب — الاسم والبريد الإلكتروني وبصمة كلمة المرور والانتماء التنظيمي والدور الوظيفي.
  • محتوى الموجز — الفكرة والقطاع والسياق المالي وبيانات السوق والجمهور المستهدف وأيّ أصول داعمة ترفعها.
  • بيانات الارتباط — انتقالات المراحل وقرارات الاعتماد ومخرجات الإجماع بالذكاء الاصطناعي وعروض الشركاء والتطابقات المعتمدة.
  • بيانات تشغيلية — سجلات الطلبات وتقارير الأخطاء (عبر Sentry حيثما كان مُفعَّلاً) والتحليلات المجمَّعة للاستخدام (عبر Vercel Analytics).
  • بيانات الجلسة — ملف ارتباط (cookie) آمن بسمة httpOnly لإدارة جلستك على المنصة.

---

٣. الأساس النظامي للمعالجة

نعتمد على الأسس التالية وفق نظام حماية البيانات الشخصية:

١. الموافقة — للتسويق المباشر وملفات الارتباط غير الضرورية. ٢. تنفيذ عقد — لتقديم خدمات المنصة وفقاً لاتفاقية عدم الإفصاح المُوقَّعة وبيان العمل. ٣. المصلحة المشروعة — لأمن المنصة ومنع الاحتيال وتطوير الخدمة، بشرط عدم تجاوز حقوق صاحب البيانات. ٤. الالتزام النظامي — للامتثال لمتطلبات هيئة الزكاة والضريبة والجمارك (ZATCA) وأنظمة مكافحة غسل الأموال.

---

٤. كيف نستخدم بياناتك

يُعالَج محتوى الموجز من قِبل فريق VI ومن قِبل محرّك الإجماع متعدّد النماذج (Anthropic Claude، OpenAI GPT، xAI Grok، حسب الطبقة) لإنتاج مخرجات تطوير الأعمال وفق منهجيتنا المُعلَنة. لا تُستخدم بيانات الموجز لتدريب أيّ نموذج ذكاء اصطناعي تابع لطرف ثالث. ولا يرى شركاء السوق سوى الموجزات المُوجَّهة إليهم، وفقط الحقول اللازمة لتقديم العرض.

---

٥. المعالجون الفرعيون

نستخدم المعالجين الفرعيين التاليين، وتخضع جميع عقودنا معهم لمعايير حماية لا تقلّ عن تلك المنصوص عليها في نظام حماية البيانات الشخصية:

المعالج الفرعيالغرضالموقع
Anthropic (Claude)استدلال الذكاء الاصطناعي للإجماعالولايات المتحدة (لا يُحتفظ بالبيانات، لا يُدرّب النموذج)
OpenAI (GPT)استدلال الذكاء الاصطناعي للإجماعالولايات المتحدة (لا يُحتفظ بالبيانات، لا يُدرّب النموذج)
xAI (Grok)استدلال الذكاء الاصطناعي للإجماعالولايات المتحدة (لا يُحتفظ بالبيانات، لا يُدرّب النموذج)
Neon (Postgres)تخزين بيانات الارتباطاتالبنية التحتية السحابية المُدارة
Vercelاستضافة المنصة والتحليلاتالبنية التحتية السحابية المُدارة
Vercel Blobتخزين الأصول المرفوعة (الشعارات، إيصالات الدفع، التسليمات)البنية التحتية السحابية المُدارة
Resendإرسال إشعارات البريد الإلكتروني المعاملاتيةالبنية التحتية السحابية المُدارة
Sentry (عند التفعيل)تتبّع الأخطاء التشغيليةالبنية التحتية السحابية المُدارة

تُنشَر قائمة محدَّثة عند تغيير أيّ معالج فرعي. للاطلاع على ملحق معالجة البيانات الكامل (DPA) راجع [/dpa](/dpa).

---

٦. محلية البيانات ونقل البيانات

ننقل تدريجياً تخزين الإنتاج إلى بنية تحتية مقيمة داخل المملكة العربية السعودية بما يتوافق مع نظام حماية البيانات الشخصية وأحكام الحوسبة السحابية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA). وقد يستلزم استدلال الذكاء الاصطناعي استخدام مزوّدين خارج المملكة العربية السعودية، تحت ضمانات تعاقدية معادلة لمعايير نظام حماية البيانات الشخصية، وبأقلّ قدر ممكن من البيانات الشخصية المرسَلة.

---

٧. السرية

يُغطّى كلّ ارتباط باتفاقية عدم إفصاح متبادلة موقّعة، وتُعرَض شروطها داخل المنصة قبل بدء الاستكشاف. تحكم الاتفاقية الإفصاح عن محتوى الموجز ومخرجات الإجماع وأيّ مواد لاحقة من جانب الشركاء. وللاطلاع على النصّ الملزم، راجع اتفاقية عدم الإفصاح الموقَّعة الخاصة بك.

---

٨. حقوقك

بموجب نظام حماية البيانات الشخصية، يحقّ لك:

  • الوصول إلى البيانات الشخصية التي نحتفظ بها عنك.
  • تصحيح البيانات غير الدقيقة.
  • حذف البيانات الشخصية (مع مراعاة فترات الاحتفاظ النظامية).
  • تقييد أو الاعتراض على معالجة معيّنة.
  • نقل بياناتك بصيغة قابلة للقراءة آلياً.
  • سحب الموافقة في أيّ وقت حيثما كانت المعالجة قائمة عليها.
  • تقديم شكوى إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA).

لممارسة أيّ من هذه الحقوق، راسلنا على [info@ventureinsights.com.sa](mailto:info@ventureinsights.com.sa) من العنوان المرتبط بحسابك. نلتزم بالردّ خلال ثلاثين (٣٠) يوماً.

---

٩. الاحتفاظ

تُحفَظ سجلّات الارتباطات طوال مدّة العلاقة مع العميل بالإضافة إلى سبع (٧) سنوات لدعم المراجعة وتسوية النزاعات والامتثال لمتطلبات هيئة الزكاة والضريبة والجمارك (ZATCA). تخضع سجلّات التدقيق لنفس الجدول الزمني ولا تتأثّر بحذف الارتباط. يجوز للعملاء طلب الحذف المبكر كتابياً، ونمتثل ما لم يكن هناك أمر احتجاز نظامي ساري.

---

١٠. الأمان

تستضاف بيانات الإنتاج على Postgres مُدار مع تشفير في حالة السكون. تُخزَّن مفاتيح API بتشفير AES-256-GCM بمفتاح مودَع خارج قاعدة البيانات. الجلسات مُدارة من جانب الخادم بملفات ارتباط httpOnly. نراقب أنماط الوصول غير الطبيعية ونطبّق تحديد المعدّل على إجراءات الحساب.

في حال وقوع اختراق بيانات يُحتمل أن يُلحق ضرراً بصاحب البيانات، نُخطر صاحب البيانات المتأثّر والهيئة السعودية للبيانات والذكاء الاصطناعي خلال (٧٢) ساعة من اكتشاف الاختراق، وفقاً لمتطلبات نظام حماية البيانات الشخصية.

---

١١. ملفات الارتباط (Cookies)

نستخدم نوعَين من ملفات الارتباط:

  • ضرورية — لإدارة الجلسات وحالة المصادقة وتفضيلات اللغة. لا تتطلّب موافقة.
  • اختيارية — للتحليلات المجمَّعة (Vercel Analytics) وتتبّع الأخطاء (Sentry). تتطلّب موافقتك الصريحة عبر شريط الموافقة على ملفات الارتباط.

يمكنك سحب موافقتك في أيّ وقت من إعدادات حسابك.

---

١٢. القانون الحاكم

يخضع هذا الإشعار وتُفسَّر أحكامه وفقاً لأنظمة المملكة العربية السعودية. وفي حال التعارض، تسود النسخة العربية على الترجمة الإنجليزية.

---

١٣. التحديثات

يتمّ إبلاغ التغييرات الجوهرية عبر إشعار داخل المنصة وبريد إلكتروني لأصحاب الحسابات قبل أربعة عشر (١٤) يوماً على الأقل من سريانها.

---

١٤. التواصل

للاستفسارات أو ممارسة حقوقك: فينتشر إنسايتس · الرياض، المملكة العربية السعودية · [info@ventureinsights.com.sa](mailto:info@ventureinsights.com.sa)

English translation — Arabic prevails on conflict

Privacy Notice

Document version: privacy.v2.0-ksa-bilingual-2026 · Effective date: 2026-05-11

This notice explains how Venture Insights ("VI", "we") collects, processes and protects personal data when you use our platform. It is issued under the Personal Data Protection Law of the Kingdom of Saudi Arabia (Royal Decree No. M/19 dated 9/2/1443H — the "PDPL") and its implementing regulations.

---

1. Who we are

Venture Insights is a Saudi business-development company headquartered in Riyadh, Kingdom of Saudi Arabia. For privacy enquiries email [info@ventureinsights.com.sa](mailto:info@ventureinsights.com.sa).

We are the data controller under the PDPL with respect to your account data and brief content. Where we use sub-processors (AI services, cloud hosting), we contractually bind them to protections no less stringent than the PDPL.

---

2. What we collect

  • Account data — name, email, password hash, organisation affiliation, role.
  • Brief content — concept, sector, financial context, market and audience data, supporting assets you upload.
  • Engagement metadata — stage transitions, sign-offs, AI consensus outputs, partner bids, awarded matches.
  • Operational telemetry — request logs, error reports (via Sentry when enabled) and aggregated usage analytics (via Vercel Analytics).
  • Session data — an httpOnly cookie used to manage your platform session.

---

3. Lawful basis for processing

We rely on the following PDPL bases:

  1. Consent — for direct marketing and non-essential cookies.
  2. Performance of a contract — to deliver platform services under your signed NDA and statement of work.
  3. Legitimate interest — for platform security, fraud prevention and service development, where not overridden by data-subject rights.
  4. Legal obligation — for compliance with ZATCA invoicing and AML rules.

---

4. How we use your data

Brief content is processed by VI personnel and by the multi-model consensus engine (Anthropic Claude, OpenAI GPT, xAI Grok per tier) to produce business-development outputs in line with our published methodology. Brief content is never used to train any third-party AI model. Marketplace partners only see briefs dispatched to them, and only the fields required to bid.

---

5. Sub-processors

We use the following sub-processors. All are contractually bound to PDPL-equivalent protections:

Sub-processorPurposeLocation
Anthropic (Claude)AI consensus inferenceUnited States (no-retention, no-training)
OpenAI (GPT)AI consensus inferenceUnited States (no-retention, no-training)
xAI (Grok)AI consensus inferenceUnited States (no-retention, no-training)
Neon (Postgres)Engagement data storageManaged cloud infrastructure
VercelPlatform hosting & analyticsManaged cloud infrastructure
Vercel BlobUploaded asset storage (logos, slips, deliverables)Managed cloud infrastructure
ResendTransactional email deliveryManaged cloud infrastructure
Sentry (when enabled)Operational error trackingManaged cloud infrastructure

An up-to-date list is published when any sub-processor changes. For the full Data Processing Addendum (DPA) see [/dpa](/dpa).

---

6. Data residency & transfers

We are progressively migrating production storage to KSA-resident infrastructure in line with the PDPL and the SDAIA Cloud Computing Special Provisions. AI inference may use providers outside the KSA under contractual safeguards equivalent to PDPL standards, with the minimum amount of personal data transferred.

---

7. Confidentiality

Every engagement is covered by an executed mutual NDA whose terms are surfaced inside the platform before discovery begins. The NDA governs disclosure and treatment of brief content, consensus outputs and any partner-side material. See your signed NDA for the binding text.

---

8. Your rights

Under the PDPL you have the right to:

  • Access your personal data.
  • Correct inaccurate data.
  • Delete personal data (subject to lawful retention periods).
  • Restrict or object to certain processing.
  • Port your data in a machine-readable format.
  • Withdraw consent at any time where processing is consent-based.
  • Complain to the Saudi Data & AI Authority (SDAIA).

To exercise any right, email [info@ventureinsights.com.sa](mailto:info@ventureinsights.com.sa) from the address tied to your account. We aim to respond within thirty (30) days.

---

9. Retention

Engagement records are retained for the lifetime of the client relationship plus seven (7) years to support audit, dispute resolution and ZATCA compliance. Audit log entries are retained on the same schedule and are not affected by engagement deletion. Clients may request earlier purge in writing — we will comply unless a legal hold applies.

---

10. Security

Production data sits on managed Postgres with at-rest encryption. API keys are stored AES-256-GCM encrypted with a key held outside the database. Sessions are server-managed with httpOnly cookies. We monitor abnormal access patterns and rate-limit account-level actions.

If a breach is likely to harm data subjects, we notify the affected data subjects and SDAIA within seventy-two (72) hours of discovering the breach, in line with PDPL requirements.

---

11. Cookies

We use two categories of cookies:

  • Essential — for session management, authentication state and language preference. Do not require consent.
  • Optional — for aggregated analytics (Vercel Analytics) and error tracking (Sentry). Require your explicit consent via the cookie banner.

You may withdraw consent at any time from your account settings.

---

12. Governing law

This notice is governed by and construed in accordance with the laws of the Kingdom of Saudi Arabia. In the event of conflict, the Arabic version prevails over the English translation.

---

13. Updates

Material changes are communicated via in-app notification and email to account holders at least fourteen (14) days before they take effect.

---

14. Contact

For enquiries or to exercise your rights: Venture Insights · Riyadh, Kingdom of Saudi Arabia · [info@ventureinsights.com.sa](mailto:info@ventureinsights.com.sa)