صندوق التخزين المحلي

ماليّاتك لا تغادر هاتفك أبداً.

عقيدة المنتج · صندوق لأندرويد · تحديث 5 يونيو 2026

في جملة واحدة

صندوق تطبيق ميزانية يعمل دون اتصال بلا حساب بنكي: معاملاتك وحساباتك وفئاتك وحساباتك الشرعية تعيش في قاعدة SQLite، داخل الذاكرة الداخلية لجهاز أندرويد، ولا شيء في أي مكان آخر. بلا خادم. بلا سحابة. بلا كلمة سر تُنشئها.

هذه الصفحة ليست النص القانوني للائحة العامة لحماية البيانات — لذلك راجع سياسة الخصوصية. هذه هي عقيدة المنتج: لماذا اخترنا المحلية 100%، وكيف نفّذناها، وما الذي تحميك منه هذه البنية (وما الذي لا تحميك منه).

ما يُخزّنه صندوق (SQLite محلية، يشفّرها أندرويد)

كل البيانات التي تُدخلها في صندوق تُكتَب داخل قاعدة SQLite مدمجة في المجلّد الخاص للتطبيق:

  • المعاملات: المبلغ، العملة، الفئة، التاريخ، الملاحظة، الحساب المرتبط.
  • الحسابات: الاسم، النوع (نقد، جاري، ادخار، دَين)، الرصيد الافتتاحي.
  • الفئات والميزانيات: طعام، نقل، صدقة، عائلة، وفئاتك المخصّصة.
  • أهداف الادخار والبيانات الشرعية: إعدادات الزكاة، سجلّ الصدقة، التواريخ الهجرية المُعلَّمة، اختيار النصاب.
  • التفضيلات: اللغة، العملة، الثيم، صيغة التاريخ.

ملف SQLite هذا يقيم داخل صندوق الحماية الخاص بأندرويد (/data/data/app.sandouq/databases/). على أندرويد 8.0+، يقوم النظام بتشفير التخزين الداخلي وقت السكون: المفتاح مُشتقّ من رمز PIN أو بصمتك. لا يستطيع أي تطبيق آخر قراءة هذا الملف دون صلاحية الجذر.

نحن لا نضع طبقة تشفير تطبيقية فوقه، لأن ذلك سيكون شعوراً زائفاً بالأمان: ينبغي أن يعيش المفتاح في مكان ما داخل الهاتف ليستطيع التطبيق استخدامه. الحماية الحقيقية تأتي من صندوق حماية أندرويد + قفل شاشتك. هذا نفس النهج الذي يتّبعه Signal لبياناته الوصفية المحلية.

ما لا وجود له: لا خادم، لا حساب، لا بريد إلكتروني مطلوب

أفضل طريقة لحماية بيانة ما هي ألا تجمعها أصلاً. صندوق يأخذ هذا المبدأ إلى أقصاه:

  • لا خادم خلفي. لا وجود لـapi.sandouq.app. لو اختُرقت خوادمنا غداً، فلن يجد المهاجم شيئاً عنك — لأنه ببساطة لا يوجد شيء.
  • لا حساب يُنشأ. لا كلمة سر، لا بريد إلكتروني، لا رقم هاتف، لا OAuth جوجل أو آبل. تُثبّت، تفتح، تستخدم.
  • لا بريد إلكتروني مطلوب. لا للتسجيل، ولا لـ«استعادة» أي شيء. المرة الوحيدة التي تراسلنا فيها هي حين تختار أنت إرسال ملاحظات إلى [email protected].
  • لا قياس استخدام. لا نعرف كم شاشة تفتح، ولا في أي ساعة تسجّل مصاريفك. لا أي SDK تحليلي (Firebase، Amplitude، Mixpanel، AppsFlyer: كلها غائبة).
  • لا أي SDK إعلاني. لا AdMob، ولا Meta Audience Network، ولا أي بِكسل إعادة استهداف. لن يعرض التطبيق أبداً أي إعلان.

ضع جهاز Pixel في وضع الطيران مباشرة بعد التثبيت: التطبيق يعمل بكامله. الاتصال المفيد الوحيد هو التحقّق من شراء «فتح صندوق» لدى Google Play، الذي لا ينقل أي بيانات مالية.

لماذا نرفض الربط البنكي — قرار، لا قيد

يكتب لنا كثير من المستخدمين معتقدين أن الربط البنكي «قادم». لا: استبعدناه صراحةً. وإليك السبب.

1. لا يتلاءم مع تطبيق بلا خادم. ربط حساب عبر مُجمِّع بيانات (Plaid، Tink، Bridge، Budget Insight) يقتضي تخزين رموز OAuth. وضعها على الهاتف وحده هشّ جداً؛ ووضعها على خادم يفرض امتلاك خادم، فحساب، فهدف يمكن مهاجمته. المحلية 100% والربط البنكي متناقضان متبادلاً.

2. إنه تفويض ثقة هائل. ربط حسابك بمُجمِّع يمنح طرفاً ثالثاً وصولاً دائماً للقراءة على تاريخ معاملاتك. وهذا عكس ما نريد بناءه تماماً.

3. بالنسبة لكثير من العائلات في الشرق الأوسط وشمال أفريقيا، الأمر غير قابل للتطبيق. في المغرب والجزائر ومصر وأجزاء من الخليج، الخدمات المصرفية المفتوحة (open banking) لم تنضج بعد، وحصّة معتبرة من الدخل تجري نقداً، أو عبر التحويلات غير الرسمية، أو من خلال منتجات تمويلية غير تقليدية. تطبيق يعتمد عليها حصراً يُقصي هذه الفئة.

4. الإدخال اليدوي ميزة، لا عيب. تسجيل مصاريفك يفرض الوعي المالي — الدراسات السلوكية ثابتة على ذلك. يعوّض صندوق ذلك بإدخال فائق السرعة (3 نقرات للمصروف النموذجي) ومع المعاملات المتكرّرة للأعباء الثابتة.

تغيير الهاتف دون فقدان شيء: النسخة الاحتياطية JSON اليدوية

نتيجة مباشرة للمحلية: لا مزامنة سحابية تلقائية. إن غيّرت هاتفك دون احتياط، تبقى بياناتك على الجهاز القديم. هذا أمر نقوله بصراحة — ونوفّر الأداة: تصدير JSON.

من الإعدادات ← النسخ الاحتياطي، يُنشئ صندوق ملف .json يحوي قاعدتك بالكامل. هذا الملف:

  • ملكك أنت. أنت تقرّر أين تضعه: Google Drive، OneDrive، مفتاح USB، بطاقة SD، بريد لنفسك، نظام تخزين عائلي.
  • يبقى قابلاً للقراءة. صيغة JSON قياسية، تُفتح في أي محرّر نصوص. لا احتكار صيغة.
  • يستعيد كما هو بالضبط. على الجهاز الجديد، ثبّت صندوق، افتح الإعدادات ← الاستعادة، اختر الملف. كل شيء يعود — سواء 10 000 معاملة أو 50.
  • مُرَقَّم بالمخطّط. تصدير قديم يُستعاد في إصدار حديث يُشغّل التحديثات تلقائياً.

توصيتنا: صدّر في نهاية الشهر، في الوقت نفسه الذي تراجع فيه فئاتك. يوجد تذكير شهري اختياري. وإن راودتك فكرة نسخة احتياطية تلقائية إلى سحابتك أنت، فهي في خارطة الطريق v2 — ليست خارطة طريقنا، بل خارطتك.

تقارير أعطال Sentry: اختيارية ومجهولة الهوية

استثناء واحد فقط من «صفر نقل»: تقارير الأخطاء. حين يتعطّل التطبيق، نحتاج أن نعرف أين ولماذا. نستخدم Sentry مع ثلاثة ضوابط:

  • معطّل افتراضياً. عند أول إطلاق، إرسال تقارير الأعطال على وضع «إيقاف». يُفعَّل من الإعدادات ← الخصوصية ← المساعدة على التحسين.
  • محتوى تقني صرف. الأثر التقني (الملف، السطر، النوع)، إصدار أندرويد (مثلاً «Android 14»)، الطراز (مثلاً «Pixel 7a»)، إصدار التطبيق. لا تمرّ أي معاملة، ولا أي اسم حساب، ولا أي مبلغ — تُنزع breadcrumbs التي قد تحوي بيانات المستخدم عند المصدر.
  • قابل للعكس في أي وقت. أوقف الزر، يتوقّف الإرسال.

لماذا Sentry وليس «لا شيء البتة»؟ تطبيق يُطلَق بلا قياس أعطال هو تطبيق يتعطّل ولا يصلحه أحد. التسوية المعلَنة: قبول صريح، بيانات تقنية فقط، ومزوّد محدَّد بالاسم — نفس نهج Standard Notes وBitwarden للجوال وSignal لأندرويد.

نموذج التهديد: ما الذي يحميك منه صندوق (وما الذي لا يحميك منه)

كل وعد بالأمان دون نموذج تهديد صريح هو دعاية تسويقية. هذا هو الواقع.

ما الذي تحميك منه المحلية 100%

  • تسرّبات بيانات واسعة عند الناشر. لا تسجيل لدى الناشر، فلا شيء يُفقَد عند اختراق الخادم.
  • إعادة البيع لوسطاء البيانات. كثير من تطبيقات الميزانية المجانية تبيع السجلّ المجمَّع. وبما أننا لا نملك بياناتك، فهذا النموذج التجاري مستبعَد ميكانيكياً.
  • التوصيف الإعلاني. لا SDK إعلاني مدمج: لن تتعلّم Meta وGoogle Ads وTikTok شيئاً عن سلوكك المالي من صندوق.
  • تغيير السياسة من طرف واحد. التطبيق الذي يملك بياناتك يستطيع تغيير شروطه ليستثمرها بشكل آخر. نحن لا نستطيع فعل ذلك.
  • انقطاع الخدمة. إن اختفى الناشر غداً، يستمر تطبيقك في العمل على هاتفك، إلى أجل غير مسمّى.

ما الذي لا تحميك منه المحلية 100%

  • هاتف ضائع أو مسروق بلا قفل. إن أمسك أحدٌ بجهاز Pixel غير مقفل، فسيرى كل شيء. فعّل رمز PIN أو بصمتك — في الحدّ الأدنى.
  • برمجيات خبيثة بصلاحية الجذر. جهاز مُخترَق يستطيع قراءة قاعدة SQLite. حافظ على تحديث أندرويد.
  • نسخة JSON في سحابة سيئة الحماية. ملف .json في Google Drive بلا تحقّق ثنائي يصبح الحلقة الأضعف. تعامل معه ككشف بنكي.
  • شخص خلف كتفك. المحلية تحميك من الخوادم، لا من الجار. يوفّر التطبيق وضعاً سرّياً يُخفي المبالغ.
  • أخطاء الحساب الشرعي. النصاب والزكاة والتحويلات الهجرية أدوات مساعدة، لا فتاوى — راجع شروط الاستخدام.

التطبيق الذي يَعِد بالأمان المطلق يكذب. التطبيق الذي يقول لك أي تسوية يقبلها يترك لك أن تقرّر باعتبارك بالغاً.

تحقّق بنفسك

ثلاث طرق لتأكيد ما تذكره هذه الصفحة:

  1. اقطع الإنترنت مباشرة بعد التثبيت. يعمل صندوق بكامله — باستثناء وحيد هو التحقّق من الشراء لمرة واحدة.
  2. افحص حركة الشبكة باستخدام NetGuard أو PCAPdroid (مجاناً، F-Droid). لا أي اتصال نحو sandouq.app، ولا أي قياس استخدام — فقط play.google.com، وإن فعّلتها، *.sentry.io.
  3. اقرأ الأذونات على بطاقة Play Store. لا موقع جغرافي، ولا جهات اتصال، ولا رسائل SMS، ولا كاميرا، ولا ميكروفون — حصراً تلك الموصوفة في سياسة الخصوصية.

إن كانت لديك تساؤلات أخرى، تغطّي صفحة الأسئلة الشائعة الحالات العملية — بما فيها التوافق الحلال بالمعنى المالي.

جاهز للتجربة؟

ثبّت التطبيق في أقل من دقيقة. لا حساب يُنشأ، ولا بريد يُعطى، ولا بطاقة بنكية تُربط. وإن غيّرت رأيك، احذفه: لا شيء يبقى في غير هاتفك.

تحميل صندوق لأندرويد

راجع أيضاً: الصفحة الرئيسية لصندوق · حاسبة صندوق للزكاة · الأسئلة الشائعة · فتح صندوق · سياسة الخصوصية