SYAGA AuditMicrosoft 365 Edition
Начало Функционалности Сигурност Как работи Цени
Вход Стартирайте безплатната ми диагностика

Политика за поверителност

Версия 1.0 - Последна актуализация: 25 юни 2026 г.


Преамбюл

Настоящата Политика за поверителност има за цел да информира потребителите и клиентите на услугата SYAGA Audit за начина, по който техните лични данни се събират, обработват и защитават, съгласно Регламент (ЕС) 2016/679 от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни (ОРЗД) и френския закон № 78-17 от 6 януари 1978 г., изменен, относно информационните технологии, досиетата и свободите.

SYAGA Audit е услуга за одит на сигурността и съответствието на средата Microsoft 365, работеща само за четене върху конфигурациите и метаданните на тенанта Microsoft 365 на клиента. Услугата не осъществява достъп до съдържанието на съобщения, файлове или имейли на потребителите от одитирания тенант и не съхранява никаква парола.

Настоящият документ изпълнява задължението за информиране, предвидено в член 13 (пряко събиране на данни) и член 14 (непряко събиране на данни) от ОРЗД.


1. Самоличност и данни за контакт на администратора на лични данни

Администраторът на лични данни за данните за профила и управлението на клиентските отношения е:

SYAGA CONSULTING

  • Правна форма: дружество с ограничена отговорност (SARL) с капитал от 20 000 EUR
  • SIREN: 518 489 471 - RCS Aix-en-Provence
  • Седалище: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Франция
  • Номер по ДДС в рамките на ЕС: FR93 518489471
  • Имейл: contact@syaga.fr

Разграничение обработващ / администратор на лични данни: за данните за конфигурацията и метаданните на тенанта Microsoft 365, събрани по време на одита, SYAGA действа като обработващ лични данни по смисъла на член 28 от ОРЗД, като клиентът остава администратор на собствените си данни от M365. Настоящата политика обхваща обхвата, за който SYAGA действа като администратор на лични данни (данни за профила, фактуриране, поддръжка). Обработването, извършвано от името на клиента, се урежда от Споразумението за обработване на данни (DPA).

Контакт за защита на данните

За всяко искане, свързано със защитата на данните: contact@syaga.fr

Назначаването на длъжностно лице по защита на данните не е задължително по смисъла на член 37 от ОРЗД; администраторът на лични данни, в лицето на управителя, е точката за контакт по всички въпроси, свързани с личните данни.


2. Събирани лични данни

2.1 Данни за профила и управлението на клиентските отношения

SYAGA събира, в качеството си на администратор на лични данни:

  • Данни за самоличност на лицето за контакт: име, фамилия, длъжност
  • Служебни данни за контакт: имейл адрес, наименование на фирмата
  • Данни за автентикация в Услугата (токен OAuth Microsoft, никаква парола не се съхранява от SYAGA Audit)
  • Данни за фактуриране и управление на договорите
  • Данни от поддръжка и кореспонденция
  • Технически журнали за връзка (IP адреси, времеви маркери)

2.2 Одитни данни (конфигурация и метаданни на Microsoft 365)

В рамките на одита Услугата осъществява достъп само за четене, чрез API Microsoft Graph, до данните за конфигурацията и метаданните на тенанта M365 на клиента, по-специално:

  • Настройки за сигурност (политики за условен достъп, настройки на MFA, настройки за споделяне)
  • Метаданни, свързани с потребителските акаунти (UPN, роли, статус на MFA, атрибути от директорията Entra ID)
  • Показатели и метаданни за състоянието на сигурността (Secure Score, сигнали за конфигурацията)

Какво Услугата НЕ събира: съдържание на имейли, файлове, документи, съобщения, пароли, чувствителни данни по смисъла на член 9 от ОРЗД.

Ефимерна архитектура: одитът се изпълнява в оперативна памет, в изхвърляем контейнер за сканиране (без съхранение на диск). Докладът се предава веднъж на клиента, след което суровите данни от сканирането и токенът за достъп се заличават. Токенът е шифрован в покой (Fernet) за времетраенето на одита. Максимален срок на живот (TTL) от съображения за сигурност: 2 часа. SYAGA съхранява на сървъра единствено данните за фактуриране, съгласно законовите задължения.

2.3 Бисквитки и тракери

Сайтът syaga.eu използва единствено строго необходими бисквитки за функционирането на Услугата:

  • __jsc: бисквитка за сигурност срещу ботове, продължителност на сесията
  • vigil_audit: бисквитка за сесия, продължителност на сесията

Не се поставя нито една бисквитка за измерване на аудиторията (Google Analytics, Matomo или еквивалент), нито каквато и да е рекламна бисквитка. Тези строго необходими бисквитки са освободени от изискването за предварително съгласие, съгласно насоките на CNIL от 4 юли 2023 г. (източник: cnil.fr, бисквитки и тракери). Информационно съобщение за тези бисквитки е достатъчно.


3. Цели и правни основания за обработването

Съгласно член 6 от ОРЗД, всяко обработване се основава на определено правно основание:

ЦелПравно основание (чл. 6 от ОРЗД)
Предоставяне и изпълнение на одитната Услуга; създаване и управление на клиентския профилИзпълнение на договор - чл. 6, § 1, б. „б“
Фактуриране, счетоводство, събиране на вземанияЗаконово задължение (Търговски кодекс, чл. L.123-22) и изпълнение на договор - чл. 6, § 1, б. „в“ и б. „б“
Поддръжка и техническо съдействиеИзпълнение на договор - чл. 6, § 1, б. „б“
Сигурност на Услугата, предотвратяване на измами, водене на журналиЛегитимен интерес - чл. 6, § 1, б. „е“
Строго необходими бисквиткиОсвободени от изискване за съгласие (насоки на CNIL)

За одитните данни на тенанта (раздел 2.2) SYAGA действа по указание на клиента (администратор на лични данни). Вж. DPA.


4. Получатели и обработващи лични данни

Данните се предоставят единствено на оправомощени лица в рамките на SYAGA CONSULTING, както и на обработващи лични данни, действащи при условията на член 28 от ОРЗД:

  • Microsoft Corporation: доставчик на API Microsoft Graph, използван само за четене за достъп до данните за конфигурацията на тенанта на клиента. Одитираните данни са тези от собствения тенант Microsoft 365 на Клиента, преглеждани само за четене от негово име чрез Microsoft Graph. Microsoft действа като доставчик на Клиента; SYAGA не е негов последващ обработващ лични данни.
  • Stripe Inc.: доставчик на разплащания за обработването на данните за фактуриране. Трансферите към Stripe са уредени от рамката EU-U.S. Data Privacy Framework, по която Stripe е сертифициран, а при необходимост, от Стандартните договорни клаузи на Европейската комисия (2021), включени в Data Transfers Addendum на Stripe (източници: stripe.com/legal/dpa и stripe.com/legal/dta).
  • Хостинг доставчик: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Франция (RCS Lille Métropole 424 761 419). Услугата се хоства във Франция от OVH SAS (френски хостинг доставчик), технически обработващ на SYAGA CONSULTING. SYAGA CONSULTING получава единствено псевдонимизирани данни (токени).

Никакви данни не се продават и не се предоставят на трети страни за търговски цели.

Данните могат да бъдат предоставяни на административни или съдебни органи, когато законът го изисква.


5. Срокове на съхранение

Данните се съхраняват за срок, не по-дълъг от необходимия за постигане на преследваните цели (чл. 5, § 1, б. „д“ от ОРЗД):

Категория данниСрок на съхранение
Сурови одитни данни (констатации, токен за достъп)Нулево съхранение на сървъра: заличаване при предаването на Доклада (ефимерна архитектура, максимален TTL 2 часа)
Данни за активен клиентски профилПродължителността на договорните отношения, след което заличаване в срок от 30 дни след прекратяването
Данни за фактуриране и счетоводни документи10 години от приключването на финансовата година (законово задължение, чл. L.123-22 от Търговския кодекс)
Технически журнали (журнали за връзка)12 месеца (препоръка на CNIL)

6. Трансфери на данни извън Европейския съюз

Инфраструктурата, хостваща Услугата SYAGA Audit, се намира във Франция. По принцип SYAGA не извършва никакъв трансфер на данни извън ЕС / ЕИП.

Относно Microsoft: администраторът на лични данни признава, че API Microsoft Graph се стопанисва от Microsoft Corporation (САЩ). Евентуалните трансфери с участието на Microsoft са уредени от нейните стандартни договорни клаузи, одобрени от Европейската комисия, и при необходимост, от участието ѝ в рамката EU-U.S. Data Privacy Framework. Одитираните данни са тези от собствения тенант Microsoft 365 на Клиента, преглеждани само за четене от негово име чрез Microsoft Graph. Microsoft действа като доставчик на Клиента. Евентуалните трансфери с участието на инфраструктурата на Microsoft са уредени от стандартните договорни клаузи, одобрени от Европейската комисия, и от участието на Microsoft в рамката EU-U.S. Data Privacy Framework.

Stripe Inc. извършва трансфери извън ЕС, уредени с механизми, съответстващи на глава V от ОРЗД. Трансферите към Stripe са уредени от рамката EU-U.S. Data Privacy Framework, по която Stripe е сертифициран, а при необходимост, от Стандартните договорни клаузи на Европейската комисия (2021), включени в Data Transfers Addendum на Stripe.


7. Права на субектите на данни

Съгласно членове 15-22 от ОРЗД, всяко засегнато лице разполага със следните права:

  • Право на достъп (чл. 15 от ОРЗД): да получите потвърждение дали се обработват данни, свързани с вас, и копие от тях
  • Право на коригиране (чл. 16): да поискате коригиране на неточни или непълни данни
  • Право на изтриване (чл. 17): да получите заличаване на данните в случаите, предвидени от ОРЗД
  • Право на ограничаване на обработването (чл. 18)
  • Право на преносимост на данните (чл. 20): да получите данните си в структуриран и машинночетим формат
  • Право на възражение (чл. 21): да възразите срещу обработването на данни поради причини, свързани с конкретното ви положение, а в случай на директен маркетинг, по всяко време
  • Право на оттегляне на съгласието (чл. 7, § 3) по всяко време, когато обработването се основава на съгласие
  • Право след смъртта (чл. 85 от френския закон Informatique et Libertés): да определите указания относно съдбата на данните след смъртта

Важно за одитните данни: за данните за конфигурацията и метаданните на тенанта исканията за упражняване на права трябва да бъдат отправяни до клиента (администратор на лични данни), който при необходимост ще се обърне към SYAGA (чл. 28, § 3, б. „д“ от ОРЗД).

Начин на упражняване

Тези права се упражняват чрез отправяне на искане до contact@syaga.fr или писмено до SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Франция. Отговор се предоставя в срок от един месец (чл. 12, § 3 от ОРЗД), който може да бъде удължен с два месеца при сложност на искането.

Подаване на жалба до CNIL

Всяко засегнато лице има право да подаде жалба до CNIL (чл. 77 от ОРЗД):

CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Франция - www.cnil.fr


8. Сигурност на данните (чл. 32 от ОРЗД)

SYAGA прилага подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съответстващо на риска (чл. 32 от ОРЗД):

  • Ефимерна архитектура: одитът се изпълнява в оперативна памет, в изхвърляем контейнер за сканиране без съхранение на диск; суровите данни се заличават при предаването на Доклада
  • Най-малка привилегия: свързване чрез OAuth Microsoft с най-тесните разрешения, предлагани от Microsoft за всеки одитиран обхват; Услугата никога не записва, не изменя и не изтрива данни от тенанта
  • Шифроване при пренос: TLS 1.2/1.3 за всички комуникации; активирани SPF, DKIM и DMARC за имейлите
  • Шифроване в покой: токенът за достъп е шифрован (Fernet) за времетраенето на одита
  • Хостинг във Франция: инфраструктура на OVH (Франция)
  • Контрол на достъпа: принцип на най-малката привилегия; поименни разрешения
  • Защита срещу злоупотреби: таван от 2 одита на ден за тенант, мерки срещу DDoS атаки
  • Уведомяване за нарушения на сигурността: процедура, съответстваща на чл. 33 и 34 от ОРЗД (уведомяване на CNIL в срок от 72 часа)

Съответствие с множество референтни рамки

Мерките за сигурност на SYAGA Audit са разработени в съответствие с няколко признати референтни рамки за сигурност. SYAGA не претендира за никаква формална сертификация по тези референтни рамки, мерките са съобразени с изискванията на стандарта ISO/IEC 27001, като процедура по сертифициране е започната, но към момента сертификат не е получен; мерките са съобразени с и вдъхновени от тези рамки:

  • ОРЗД (Регламент (ЕС) 2016/679): пряко приложима нормативна база - eur-lex.europa.eu CELEX:32016R0679
  • Директива NIS2 (Директива (ЕС) 2022/2555): мерки за управление на риска, сигурност на мрежите и информационните системи - eur-lex.europa.eu CELEX:32022L2555. SYAGA, чиито персонал и оборот са под праговете за „важни субекти“ по смисъла на Директива (ЕС) 2022/2555 (50 служители или 10 млн. EUR), не попада в обхвата на субектите, задължени по NIS2. Въпреки това SYAGA Audit помага на своите клиенти да измерят своето съответствие с тази референтна рамка (източник: monespacenis2.cyber.gouv.fr).
  • DORA (Регламент (ЕС) 2022/2554): цифрова оперативна устойчивост за финансовия сектор - eur-lex.europa.eu CELEX:32022R2554. Тъй като SYAGA не е регулиран финансов субект, Регламент (ЕС) 2022/2554 (DORA) не ѝ се прилага пряко; въпреки това договорни задължения могат да се прилагат за конкретния случай, когато клиент е финансов субект, попадащ в обхвата на DORA (източник: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: референтна рамка за системи за управление на сигурността на информацията (СУСИ) - iso.org/standard/27001. Мерките на SYAGA Audit са съобразени с изискванията на стандарта ISO/IEC 27001, като процедура по сертифициране е започната, но към момента сертификат не е получен.
  • Препоръки на ANSSI: Ръководство за информационна хигиена и препоръки на Френската национална агенция за сигурност на информационните системи - ssi.gouv.fr.

SYAGA Audit помага именно на своите клиенти да измерят собственото си съответствие с тези референтни рамки (ОРЗД, NIS2, ANSSI) в рамките на своята среда Microsoft 365.


9. Изменения на настоящата политика

Настоящата Политика може да бъде актуализирана, за да отразява законодателни, регулаторни или технически промени. Действащата версия е тази, публикувана на https://syaga.eu/confidentialite.html. При съществена промяна регистрираните потребители ще бъдат уведомени по имейл в разумен срок преди влизането в сила на измененията.


10. Контакт

За всеки въпрос, свързан с настоящата политика или защитата на вашите данни:

  • Имейл: contact@syaga.fr
  • Адрес: SYAGA CONSULTING - 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Франция

Правни и документални препратки

  • Регламент (ЕС) 2016/679 (ОРЗД), пълен текст: eur-lex.europa.eu CELEX:32016R0679
  • Френски закон № 78-17 от 6 януари 1978 г., изменен: Légifrance
  • CNIL - права на субектите на данни: cnil.fr
  • CNIL - бисквитки: cnil.fr
  • Директива NIS2 (ЕС) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • Регламент DORA (ЕС) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI - Ръководство за информационна хигиена: ssi.gouv.fr
SYAGA Audit
Сигурност Поверителност Общи условия DPA Правна информация © 2026 SYAGA