ما نجمعه — وما لا نجمعه.

لكل حساب:

• عنوان البريد الإلكتروني. واحد لكل حساب. نقبل أي عنوان يستقبل البريد، بما في ذلك صناديق البريد المؤقتة. نرسل إليه إشعارات الخدمة والتحذيرات السابقة للإجراء.
• تجزئة كلمة المرور. مخزّنة بصيغة bcrypt بتكلفة 12. لا نرى أو نخزن كلمة المرور بنصها الصريح قط.
• رصيد الحساب. رصيدك الحالي بالـ USD.
• طابع زمني لتسجيل الدخول. تاريخ ووقت آخر تسجيل دخول. يُستخدم لعرض "آخر ظهور" في إعداداتك وللكشف عن النشاط غير المعتاد.

لكل خدمة تنشرها:

• المنتج (VPS أو مخصص)، الخطة، المنطقة، صورة نظام التشغيل، ودورة الفوترة — الإعداد الذي اخترته.
• كلمة المرور الجذرية المشفرة. AES-256-CBC عند التخزين، مرتبطة بسر خاص بالخادم لا نكشفه. لا يمكننا فك تشفيرها للبحث العشوائي؛ يقوم المُزوِّد بفك التشفير عند وقت النشر ثم تُمحى القيمة من ذاكرة العملية.
• حالة الخدمة (قيد الانتظار، نشطة، موقوفة، منتهية)، عنوان IPv4 المخصص (بعد تخصيصه)، وطوابع زمنية للإنشاء والتجديد.

لكل دفعة:

• مرجع الطلب، المبلغ المطلوب، العملة المختارة، عنوان الإيداع الذي أنشأه محور الدفع لدينا، معرّف المعاملة بمجرد تأكيدها، والطابع الزمني للتأكيد.
• لا نسجّل عنوان محفظتك المُرسِلة. لا نربط المدفوعات بأي هوية خارجية.

• لا اسم حقيقي. أبداً.
• لا عنوان فعلي. للفوترة أو الشحن.
• لا رقم هاتف. لا للتحقق، ولا للاسترداد، ولا "في حالة المشكلات العاجلة".
• لا وثيقة هوية حكومية. لا نسخ من جوازات السفر، ولا رخص القيادة، ولا أرقام ضريبية.
• لا بصمة متصفح. لا نشغّل مكتبات بصمات على صفحاتنا.
• لا تحليلات. لا Google Analytics، ولا Plausible، ولا Matomo، ولا بكسل داخلي. لا نعلم كم منكم يقرأ هذه الصفحة.
• لا أدوات تتبع تابعة لجهات خارجية. لا Facebook Pixel، ولا Hotjar، ولا أي عنصر دردشة يتصل بالخارج. الموارد الخارجية الوحيدة التي نجلبها هي الخطوط من Google Fonts ومجموعة أيقونات عملات مشفرة من شبكة CDN عامة — وذلك لأنها تُخزَّن مؤقتاً بشكل مكثف عبر الويب ولأن توفير 200 ميلي ثانية من اتصال TLS لا يستحق تشغيل خادم خطوط خاص بنا. إذا كنت تعترض على ذلك، تصفّح عبر Tor؛ الصفحات تعرض بشكل صحيح بدونها.
• لا بيانات بنكية أو بطاقات. لا نقبل طرق الدفع هذه.
• لا محتوى على خادمك. لا نفهرس أو نفحص أو نعكس أو نأخذ عينات مما يعمل عليه.

يكتب خادم الويب (nginx) إدخال سجل وصول لكل طلب HTTP — عنوان URL، ورمز الحالة، والطابع الزمني، ووكيل المستخدم، وعنوان IP الأصلي بعد فك تغليف Cloudflare. نستخدم هذه السجلات لغرض واحد فقط: تحديد معدل الروبوتات وتتبع مشكلات البنية التحتية. يتم تدويرها وحذفها بعد 7 أيام. لا تغادر المضيف قط.

سجلات التطبيق (الأخطاء، التحذيرات) مكتوبة في ملف منفصل، تُدوَّر أيضاً بعد 7 أيام. لا تحتوي على بيانات اعتماد أو محتويات الرسائل.

لا نسجّل داخل خادمك. مهما تفعل خدمتك، لا نراه.

نضع ملف تعريف ارتباط واحداً بالضبط عند تسجيل دخولك: PHPSESSID، وهو معرّف جلسة غير شفاف. إنه HttpOnly، Secure، SameSite=Lax، ويمتد لثلاثين يوماً ما لم تسجّل الخروج. لا يوجد ملف تعريف ارتباط للتتبع، ولا للإعلانات، ولا لافتة موافقة لأنه لا يوجد شيء للموافقة عليه. إذا كنت مسجّل الخروج، لا يُضبط أي ملف تعريف ارتباط على الإطلاق.

• أثناء النقل: TLS 1.2+ على كل اتصال، HSTS محمّل مسبقاً، مجموعات تشفير حديثة فقط. لا رجوع إلى HTTP.
• أثناء التخزين: يستخدم قرص قاعدة البيانات تشفير LUKS الكامل للقرص. كلمات المرور الجذرية للخوادم المنشورة مشفرة إضافياً بـ AES-256-CBC على مستوى الصف. تُشفَّر النسخ الاحتياطية قبل مغادرة المضيف.
• كلمات المرور: bcrypt بتكلفة 12. لا يمكننا استردادها، بل التحقق منها فقط.

بشكل افتراضي، لا أحد. لا مزودون آخرون، ولا جهات إنفاذ القانون، ولا "شركاء موثوقون".

الاستثناءات المحدودة:

• محور الدفع (simsms.co). عند شحن رصيدك، نرسل المبلغ المطلوب والعملة إلى محور الدفع لدينا حتى يتمكن من إنشاء عنوان إيداع والتحقق من تأكيداته. نرسل: مرجع الطلب، المبلغ بالـ USD، العملة المختارة. لا نرسل بريدك الإلكتروني أو معرّف حسابك.
• شبكات CDN التي نرتبط بها. ترى Google Fonts وجsDelivr (لمجموعة أيقونات العملات المشفرة ومجموعة أعلام اللغات) عناوين IP الزوار الذين يجلبون تلك الموارد. لا نتبادل البيانات معها — فهي تقدم ملفات ثابتة فقط.
• مزودو الاستضافة/العبور. لدى مزودي مراكز البيانات لدينا وصول فعلي للأجهزة من الناحية التقنية. لا يمكنهم قراءة الأحجام المشفرة بدون مفاتيحنا، التي لا تُخزَّن على القرص.
• الأوامر القضائية. راجع شروط الخدمة. نتصرف فقط بموجب أوامر قابلة للتنفيذ، محدودة النطاق، مع إشعار مسبق لك.

• سجل الحساب: طوال عمر الحساب، بالإضافة إلى 30 يوماً بعد الإنهاء النهائي حتى نتمكن من حل النزاعات. ثم يُحذف من قاعدة البيانات الحية.
• سجلات الدفع: 13 شهراً بعد التأكيد لأغراض المحاسبة، ثم تُحذف نهائياً.
• سجلات الخادم: 90 يوماً بعد الإنهاء، ثم تُحذف. تُمسح أحجام الأقراص المرتبطة عند الإنهاء.
• سجلات وصول nginx: 7 أيام، ثم تُدوَّر.
• سجلات الجلسة: حتى انتهاء صلاحية الجلسة (30 يوماً من عدم النشاط) أو تسجيل الخروج، أيهما يأتي أولاً.
• النسخ الاحتياطية: 14 يوماً مشفرة، ثم تُدوَّر.

من لوحة التحكم يمكنك: تغيير كلمة مرورك، عرض الخدمات النشطة، عرض دفتر الفوترة الكامل، إنهاء أي خدمة، وتسجيل الخروج من المتصفح الحالي. إنهاء الحساب يتم ذاتياً من لوحة الإعدادات.

لا يوجد زر "احذف بياناتي" لأنه لا توجد قاعدة بيانات إضافية تخزن بياناتك. أنهِ خدماتك، اسحب ما تبقى من رصيدك عبر عملية شحن نهائية، وبذلك تكون قد أنجزت الأمر فعلياً. نافذة السماح لمدة 30 يوماً موجودة في حال غيّرت رأيك.

إذا كانت ولايتك القضائية تمنحك حق الوصول (GDPR، CCPA، ما شابه)، فإن لوحة التحكم تعرض بالفعل كل ما نحتفظ به عنك. لا يوجد مخزن خارج النظام للفحص.

التغييرات الجوهرية — أي تغيير يوسع ما نجمعه، أو يضيّق نوافذ الاحتفاظ بما يضرك، أو يضيف مستلماً جديداً لمشاركة البيانات — تُعلَن قبل 30 يوماً، عبر البريد الإلكتروني وعلى صفحة /canary.

التغييرات غير الجوهرية (التوضيحات، الأخطاء المطبعية) تسري فوراً. يعكس تاريخ "السريان" في أعلى هذه الصفحة دائماً آخر تحديث.