Simourgh سیمرغ پلاس
EN شروع کنید
اسناد قانونی

سیاست حریم خصوصی

آخرین به‌روزرسانی: ۱ اردیبهشت ۱۴۰۵ (2026-04-21)

۱. ما چه کسی هستیم

سیمرغ پلاس («سیمرغ»، «ما») به‌عنوان یک برند مستقل در حوزه‌ی خدمات دیجیتال فعالیت می‌کند و بازاری در نشانی simourgh.plus اداره می‌کند که کاربران از طریق آن می‌توانند اکانت‌های سرویس‌های اشتراکی، لایسنس‌های نرم‌افزاری، گیفت‌کارت‌ها، شارژ ارز درون‌بازی، و دسترسی VPN (برای استفاده از سایت‌های بانکی و دولتی ایران از خارج) تهیه کنند. این سیاست توضیح می‌دهد چه اطلاعاتی از شما جمع‌آوری می‌کنیم، چگونه از آن استفاده می‌کنیم، چگونه آن را محافظت می‌کنیم و با چه اشخاص ثالثی به اشتراک می‌گذاریم. استفاده از سایت به‌منزله‌ی پذیرش این سیاست است.

۲. اطلاعاتی که جمع‌آوری می‌کنیم

ما فقط اطلاعاتی را گردآوری می‌کنیم که برای ارائه‌ی خدمت و اداره‌ی بازار به‌طور منطقی لازم است:

الف. اطلاعات حساب

  • نشانی ایمیل (الزامی) — شناسه‌ی اصلی ورود شما و مسیر ارسال اطلاعیه‌های سفارش و تحویل.
  • نام نمایشی (اختیاری) — در داشبورد و تیکت‌های پشتیبانی شما نمایش داده می‌شود.
  • هش رمز عبور — رمز عبور تنها به‌صورت هش bcrypt ذخیره می‌شود؛ متن اصلی رمز عبور نه ذخیره می‌شود و نه قابل بازیابی است.
  • شناسه‌ی Google OAuth — در صورت ورود با حساب گوگل، ایمیل، نام و شناسه‌ی پایدار (sub) از گوگل دریافت می‌شود. ما به رمز گوگل شما یا سایر سرویس‌های گوگل شما دسترسی نداریم.

ب. پروفایل و داده‌های سرویس

  • شناسه‌ی تلگرام، نام‌کاربری و شماره‌ی تأیید‌شده — اختیاری؛ فقط در صورتی ذخیره می‌شود که حساب تلگرام خود را از طریق ربات @simourghplus_bot متصل کرده باشید.
  • وضعیت احراز هویت (KYC) — یک فلگ دوحالته (پایه / کامل)؛ فقط برای سرویس‌های مرتبط با بانکداری و درگاه‌های دولتی ایران لازم است. تصویر مدارک هویتی در سرورهای ما ذخیره نمی‌شود؛ احراز هویت از طریق شریک هویت انجام و فقط وضعیت نهایی نگه‌داری می‌شود.
  • موجودی کیف پول (دلار) — اعتبار فروشگاهی شما؛ دفتر تراکنش‌های واریز، خرید، برگشت و معرفی در مقابل کاربر ثبت می‌شود.
  • ترجیح زبان و واحد پول — زبان (`fa`/`en`) و کشور نمایش برای قیمت‌گذاری.

ج. داده‌های تراکنش و پرداخت

  • سوابق سفارش — سرویس خریداری‌شده، پلن، قیمت دلاری، معادل ارز محلی در زمان خرید، تعداد، کد تخفیف و مسیر معرفی.
  • فراداده‌ی پرداخت — روش پرداخت (Cryptomus / Stripe / SwapWallet / کیف پول)، شناسه‌ی مرجع، وضعیت، مبلغ و کارمزد شبکه. شماره کامل کارت بانکی در سرورهای ما ذخیره نمی‌شود؛ پرداخت‌های کارتی روی صفحه‌ی میزبانی‌شده‌ی Stripe انجام می‌گیرد و Stripe متولی داده‌ی کارت است.
  • هش تراکنش‌های رمزارز — برای پرداخت‌های کریپتو جهت تطبیق و بررسی تخلف ذخیره می‌شود.
  • دارایی‌های دیجیتال تحویل‌شده — URL پیکربندی VPN (VLESS)، اطلاعات اکانت، کد گیفت‌کارت، کد لایسنس، کد OTP، QR مربوط به eSIM یا تأیید شارژ داخل بازی؛ همگی روی حالت استراحت رمزنگاری می‌شوند و در داشبورد شما قابل مشاهده هستند.

د. داده‌های فنی

  • نشانی IP و موقعیت جغرافیایی تقریبی — هنگام ورود، پرداخت و عملیات حساس برای جلوگیری از تخلف ثبت می‌شود و تا سطح کشور/منطقه قابل حل است، نه مکان دقیق.
  • User-Agent، زبان مرورگر و ابعاد صفحه — برای رندر مناسب و تشخیص ناهنجاری.
  • شمارنده‌ی پهنای باند VPN — برای پلن‌های iran-vpn که بر پایه‌ی گیگابایت محاسبه می‌شوند، فقط مجموع بایت‌های ارسال و دریافت به ازای هر پیکربندی ذخیره می‌شود. محتوا، مقصد یا زمان ترافیک VPN شما ثبت نمی‌شود. بخش ۱۱ را ببینید.
  • لاگ‌های سرور — لاگ‌های استاندارد وب‌سرور (زمان، مسیر، کد وضعیت، زمان پاسخ) برای بازه‌ای محدود نگه‌داری می‌شود.

۳. چرا این اطلاعات را جمع‌آوری می‌کنیم

  • ارائه‌ی خدمت — فعال‌سازی VPN، تحویل لایسنس و اکانت، شارژ ارز درون‌بازی و ارسال کد گیفت‌کارت.
  • پرداخت و تطبیق — پذیرش پرداخت، تشخیص تراکنش‌های ناموفق، پردازش بازپرداخت و بستن حساب‌های مالی.
  • جلوگیری از تخلف و سوءاستفاده — کشف چارج‌بک‌های مشکوک، سرقت حساب، سوءاستفاده‌ی چندحسابی و تقلب در کدهای تخفیف.
  • احراز هویت برای سرویس‌های محدود — سرویس‌های بانکی و دولتی ایرانی پیش از دسترسی نیازمند احراز هویت‌اند.
  • پشتیبانی — بررسی تیکت‌ها، بازیابی دسترسی حساب و جایگزینی کدهای معیوب.
  • تعهدات قانونی — رعایت الزامات مالیاتی و پاسخ به درخواست‌های قانونی.
  • تحلیل انبوه — درک اینکه چه سرویس‌هایی پرکاربردند و بهبود ناوبری سایت.

۴. مبنای قانونی

مبانی قانونی مورد استناد ما در چارچوب‌های شبیه‌ی GDPR:

  • اجرای قرارداد — تحویل سرویسی که خریداری کرده‌اید.
  • منافع مشروع — جلوگیری از تخلف، امنیت شبکه و بهبود محصول، با رعایت توازن با حقوق شما.
  • رضایت — برای قابلیت‌های اختیاری مانند ایمیل‌های اطلاع‌رسانی، اتصال تلگرام و کوکی‌های تحلیلی غیرضروری؛ در هر زمان قابل لغو از طریق تنظیمات حساب.
  • تعهد قانونی — در مواردی که قانون قابل‌اعمال، افشا یا نگه‌داری را الزام می‌کند.

۵. پردازشگران شخص ثالث

حداقل داده‌ی لازم با پردازشگران زیر به اشتراک گذاشته می‌شود. هر کدام طبق سیاست خود عمل می‌کنند:

  • Cryptomus — پردازش پرداخت کریپتو (USDT، USDC، BTC، ETH، TRX). داده‌ی ارسالی: شناسه‌ی سفارش، مبلغ، ارز، URL بازگشت. سیاست.
  • Stripe — پرداخت کارتی از طریق Stripe Checkout (میزبانی روی Stripe). سیاست.
  • SwapWallet — درگاه ریالی ایرانی.
  • Google LLC — ورود با گوگل و Google Analytics (آمار انبوه). IP ناشناس‌سازی فعال است. سیاست.
  • Cloudflare, Inc. — CDN، حفاظت DDoS، WAF و DNS. سیاست.
  • سرویس‌دهنده‌ی ایمیل تراکنشی — برای بازیابی رمز، تأیید سفارش و پاسخ تیکت.
  • Telegram — در صورت اتصال تلگرام، ربات ما با Bot API تلگرام ارتباط می‌گیرد. سیاست.
  • میزبانی ابری — AWS (فرانکفورت)، DigitalOcean و نودهای بریج ایران زیرساخت ما را اجرا می‌کنند.

ما اطلاعات شخصی شما را به شبکه‌های تبلیغاتی نمی‌فروشیم و اجاره نمی‌دهیم.

۶. کوکی‌ها و ابزارهای ردیابی

تعداد معدودی کوکی داخلی روی دامنه‌ی ما تنظیم می‌شود:

  • simourgh_session — ضروری؛ نشست ورود شما را احراز می‌کند.
  • XSRF-TOKEN — ضروری؛ جلوگیری از حمله CSRF.
  • locale — زبان انتخابی شما را به یاد می‌سپارد.
  • currency_country — ارز نمایشی مورد نظر شما.
  • remember_me — اختیاری؛ فقط در صورت علامت زدن «مرا به خاطر بسپار».

کوکی‌های شخص ثالث توسط Google Analytics (_ga، _ga_*) و در زمان بارگذاری ویجت پرداخت Stripe/Cryptomus تنظیم می‌شوند. برای انصراف از Google Analytics می‌توانید از افزونه‌ی رسمی Opt-out استفاده کنید یا کوکی‌های شخص ثالث را در مرورگر مسدود کنید. غیرفعال کردن کوکی‌های ضروری ورود را می‌شکند.

۷. نگهداری داده

  • حساب‌های فعال: داده تا زمان وجود حساب نگه‌داری می‌شود.
  • حساب‌های بسته‌شده: شناسه‌ی حساب، تاریخچه‌ی سفارش و سوابق مالی تا ۳ سال پس از بستن حساب جهت الزامات مالیاتی و پیشگیری از تخلف نگه‌داری می‌شود. سایر داده‌های پروفایل در صورت درخواست ظرف ۳۰ روز حذف می‌شوند.
  • اقلام تحویل‌شده (کد گیفت‌کارت، لایسنس، اکانت) تا ۱ سال پس از خرید در گاوصندوق رمزنگاری‌شده در دسترس شما نگه‌داری می‌شود.
  • لاگ‌های دسترسی سرور: ۳۰ روز.
  • بکاپ‌ها: بکاپ‌های رمزنگاری‌شده‌ی قدیمی‌تر از ۹۰ روز چرخش داده می‌شوند.

۸. حقوق کاربر

مستقل از محل سکونت شما، حقوق زیر برای همه‌ی کاربران قابل اعمال است:

  • دسترسی — درخواست نسخه‌ای از داده‌ی شخصی‌ای که از شما نگه‌داری می‌کنیم.
  • اصلاح — اصلاح داده‌ی نادرست؛ بیشتر فیلدها در داشبورد قابل ویرایش‌اند.
  • حذف — درخواست حذف حساب و داده‌ی شخصی با رعایت بندهای بازه‌ی نگهداری.
  • خروجی قابل‌حمل — درخواست خروجی ماشین‌خوان از تاریخچه‌ی سفارش و پروفایل.
  • اعتراض و محدودسازی — اعتراض به پردازش‌های مبتنی بر منافع مشروع.
  • لغو رضایت — در هر زمان.

برای اعمال هر یک از این حقوق، تیکت باز کنید در simourgh.plus/user/tickets یا ایمیل بزنید به [email protected]. پاسخ حداکثر ظرف ۳۰ روز ارسال می‌شود. ممکن است از شما بخواهیم مالکیت ایمیل حساب را تأیید کنید.

۹. کودکان

سرویس‌های ما برای کودکان نیست. برای ایجاد حساب و خرید باید حداقل ۱۸ سال (یا سن قانونی کشور محل اقامت) داشته باشید. طبق قانون مدنی ایران و سیاست داخلی ما، خرید توسط افراد زیر سن قانونی باطل است. در صورت اطلاع از ایجاد حساب توسط کودک، حساب را غیرفعال و در صورت امکان مبلغ سپرده‌شده را از همان مسیر پرداخت بازگردانی می‌کنیم.

۱۰. انتقال بین‌المللی داده

سرورهای اصلی برنامه در AWS فرانکفورت (آلمان) و دیتاسنترهای DigitalOcean قرار دارند. نودهای بریج و خروجی VPN در ایران صرفاً برای ارائه‌ی سرویس‌های دسترسی که خریداری می‌کنید اجرا می‌شوند. با توجه به محل اتصال شما، داده‌ی شما ممکن است بین این مناطق منتقل شود. در مواقع لازم از بندهای قراردادی استاندارد یا تضمین‌های معادل با پردازشگران استفاده می‌کنیم.

۱۱. مقررات ویژه‌ی VPN

ما محتوا، مقصد، زمان یا درخواست‌های DNS ترافیک VPN شما را ثبت نمی‌کنیم. هدف سرویس iran-vpn این است که کاربران از خارج از ایران به سایت‌های بانکی، دولتی و فروشگاه‌های داخلی ایران برسند. سرورهای ما ترافیک را بدون ثبت آنچه انجام می‌دهید فوروارد می‌کنند.

  • شمارنده‌ی پهنای باند: برای پلن‌های گیگابایتی فقط مجموع بایت ارسال/دریافت هر پیکربندی ذخیره می‌شود تا سقف پلن رعایت شود. این مقدار دو عدد است و هیچ اطلاعات مقصدی ندارد.
  • زمان انقضا: زمان انقضای هر پلن ذخیره می‌شود و پس از انقضا، پیکربندی حذف می‌شود.
  • سیگنال‌های تخلف: اگر یک پیکربندی به‌صورت هم‌زمان از تعداد دستگاه غیرمعقولی استفاده شود (نشانه‌ی فروش مجدد)، ممکن است آن را متوقف کنیم، مطابق بند ۱۱ شرایط استفاده.
  • عدم ثبت محتوا: هیچ پکت‌کپچر، DPI یا لاگ‌گیری per-connection بر زیرساخت VPN اجرا نمی‌شود.

۱۲. امنیت

  • تمام ترافیک simourgh.plus روی HTTPS ارائه می‌شود (TLS 1.3 در صورت پشتیبانی مرورگر).
  • رمز عبور تنها به‌صورت هش bcrypt با ضریب کار پیش‌فرض Laravel ذخیره می‌شود.
  • احراز دومرحله‌ای (TOTP) در تنظیمات حساب فعال‌شدنی است و به‌شدت توصیه می‌شود.
  • WAF و محدودسازی نرخ Cloudflare در برابر حملات brute-force و اسکرپ فعال است.
  • اطلاعات تحویل‌شده و پیکربندی VPN روی حالت استراحت رمزنگاری می‌شوند.
  • دسترسی به پایگاه‌داده‌ی عملیاتی تنها در اختیار تیم مهندسی کوچکی است و لاگ می‌شود.

هیچ سیستمی کاملاً امن نیست؛ در صورت شک به نفوذ، رمز عبور را تغییر دهید، جلسات فعال را از داشبورد لغو کنید و فوراً تیکت باز کنید.

۱۳. تغییرات در این سیاست

این سیاست ممکن است گاهی به‌روزرسانی شود. تغییرات مهم (افزودن پردازشگر جدید، افزایش بازه‌ی نگهداری یا گسترش داده‌های گردآوری) دست‌کم ۳۰ روز پیش از اثرگذاری، در بالای این صفحه و از طریق ایمیل حساب شما اعلام می‌شود. اصلاحات غیرمادی ممکن است بدون اطلاع قبلی منتشر شود. تاریخ «آخرین به‌روزرسانی» در بالای صفحه همیشه نسخه‌ی فعلی را نشان می‌دهد.

۱۴. تماس با ما

برای سؤالات حریم خصوصی، درخواست‌های داده یا شکایت:

سیمرغ پلاس به‌عنوان یک برند مستقل در حوزه‌ی خدمات دیجیتال فعالیت می‌کند. از آن‌جا که کاربران ما جهانی‌اند و به یک حوزه‌ی قضایی خاص بسته نیستیم، شکایات حریم خصوصی از طریق کانال داخلی پشتیبانی پیگیری می‌شود. در صورت عدم رضایت از پاسخ ما، می‌توانید با هزینه‌ی خود به داوری جایگزین مراجعه کنید.

مشاهده شرایط استفاده →