SYAGA AuditMicrosoft 365 Edition
Inicio Funcionalidades Seguridad Cómo funciona Tarifas
Iniciar sesión Iniciar mi diagnóstico gratuito

Política de privacidad

Versión 1.0 - Ultima actualización : 25 de junio de 2026


Preámbulo

La presente Política de privacidad tiene por objeto informar a los usuarios y clientes del servicio SYAGA Audit sobre la manera en que sus datos de carácter personal son recopilados, tratados y protegidos, de conformidad con el Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD) y con la Ley francesa n° 78-17 de 6 de enero de 1978 modificada, relativa a la informática, los ficheros y las libertades.

SYAGA Audit es un servicio de auditoría de seguridad y conformidad del entorno Microsoft 365, que opera en modo de solo lectura sobre las configuraciones y metadatos del tenant Microsoft 365 del cliente. El Servicio no accede al contenido de los mensajes, archivos o correos electrónicos de los usuarios del tenant auditado, y no almacena ninguna contraseña.

El presente documento cumple con la obligación de información prevista en los artículos 13 (recopilación directa) y 14 (recopilación indirecta) del RGPD.


1. Identidad y datos de contacto del responsable del tratamiento

El responsable del tratamiento para los datos de cuenta y de gestión de la relación con el cliente es :

SYAGA CONSULTING

  • Forma : Société à responsabilité limitée (SARL) con un capital de 20 000 EUR
  • SIREN : 518 489 471 -- RCS Aix-en-Provence
  • Domicilio social : 2 Impasse Paul Langevin, 13110 Port-de-Bouc
  • Número de IVA intracomunitario : FR93 518489471
  • Correo electrónico : contact@syaga.fr

Articulación encargado del tratamiento / responsable del tratamiento : para los datos de configuración y metadatos del tenant Microsoft 365 recopilados durante la auditoría, SYAGA actúa en calidad de encargado del tratamiento en el sentido del artículo 28 del RGPD, permaneciendo el cliente como responsable del tratamiento de sus propios datos M365. La presente política cubre el ámbito para el que SYAGA actúa en calidad de responsable del tratamiento (datos de cuenta, facturación, soporte). El tratamiento realizado por cuenta del cliente se rige por el Acuerdo de tratamiento de datos (DPA).

Contacto protección de datos

Para cualquier solicitud relativa a la protección de datos : contact@syaga.fr

La designación de un delegado de protección de datos no es obligatoria en el sentido del artículo 37 del RGPD ; el responsable del tratamiento, en la persona del gerente, es el punto de contacto para cualquier cuestión relativa a los datos personales.


2. Datos de carácter personal recopilados

2.1 Datos de cuenta y de gestión de la relación con el cliente

SYAGA recopila, en calidad de responsable del tratamiento :

  • Identidad del contacto : nombre, apellidos, cargo
  • Datos de contacto profesionales : dirección de correo electrónico, razón social
  • Datos de autenticación al Servicio (token OAuth Microsoft -- ninguna contraseña almacenada del lado de SYAGA Audit)
  • Datos de facturación y de gestión contractual
  • Datos de soporte e intercambios
  • Registros técnicos de conexión (direcciones IP, marcas de tiempo)

2.2 Datos de auditoría (configuración y metadatos Microsoft 365)

En el marco de la auditoría, el Servicio accede en modo de solo lectura, a través de la API Microsoft Graph, a los datos de configuración y metadatos del tenant M365 del cliente, en particular :

  • Parámetros de configuración de seguridad (políticas de acceso condicional, parámetros MFA, parámetros de uso compartido)
  • Metadatos relativos a las cuentas de usuario (UPN, roles, estado MFA, atributos de directorio Entra ID)
  • Indicadores y metadatos de postura de seguridad (Secure Score, alertas de configuración)

Lo que el Servicio no recopila : contenido de los correos electrónicos, archivos, documentos, mensajes, contraseñas, datos sensibles en el sentido del artículo 9 del RGPD.

Arquitectura efímera : la auditoría se ejecuta en memoria RAM en un contenedor de escaneo desechable (sin almacenamiento en disco). El informe se entrega una vez al cliente y, a continuación, los datos brutos de escaneo y el token de acceso se purgan. El token se cifra en reposo (Fernet) durante el tiempo que dura la auditoría. TTL de seguridad máximo : 2 horas. SYAGA conserva del lado del servidor únicamente los datos de facturación, de conformidad con las obligaciones legales.

2.3 Cookies y trazadores

El sitio syaga.eu utiliza únicamente cookies estrictamente necesarias para el funcionamiento del Servicio :

  • __jsc : cookie de seguridad antibot, duración de la sesión
  • vigil_audit : cookie de sesión, duración de la sesión

No se deposita ninguna cookie de medición de audiencia (Google Analytics, Matomo o equivalente) ni ninguna cookie publicitaria. Estas cookies estrictamente necesarias están exentas del consentimiento previo de conformidad con las directrices de la AEPD de 4 de julio de 2023 (fuente : cnil.fr -- cookies et traceurs). Basta con una nota informativa sobre estas cookies.


3. Finalidades y bases jurídicas del tratamiento

De conformidad con el artículo 6 del RGPD, cada tratamiento se basa en una base jurídica identificada :

FinalidadBase jurídica (Art. 6 RGPD)
Prestación y ejecución del Servicio de auditoría ; creación y gestión de la cuenta de clienteEjecución del contrato -- Art. 6.1.b
Facturación, contabilidad, cobroObligación legal (Código de comercio francés, art. L.123-22) y ejecución del contrato -- Art. 6.1.c y 6.1.b
Soporte y asistencia técnicaEjecución del contrato -- Art. 6.1.b
Seguridad del Servicio, prevención del fraude, registro de eventosInterés legítimo -- Art. 6.1.f
Cookies estrictamente necesariasExentas de consentimiento (directrices de la AEPD)

Para los datos de auditoría del tenant (sección 2.2), SYAGA actúa siguiendo las instrucciones del cliente (responsable del tratamiento). Véase el DPA.


4. Destinatarios y encargados del tratamiento

Los datos solo se comunican a las personas habilitadas dentro de SYAGA CONSULTING así como a los encargados del tratamiento que intervienen en las condiciones del artículo 28 del RGPD :

  • Microsoft Corporation : proveedor de la API Microsoft Graph, utilizada en modo de solo lectura para acceder a los datos de configuración del tenant del cliente. Los datos auditados son los del propio tenant Microsoft 365 del Cliente, consultados en modo de solo lectura por su cuenta a través de Microsoft Graph. Microsoft actúa como proveedor del Cliente ; SYAGA no es su subencargado del tratamiento.
  • Stripe Inc. : proveedor de pago para el tratamiento de los datos de facturación. Las transferencias hacia Stripe se rigen por el EU-U.S. Data Privacy Framework, al que Stripe está certificado, y, con carácter subsidiario, por las Cláusulas Contractuales Tipo de la Comisión Europea (2021) integradas en el Data Transfers Addendum de Stripe (fuentes : stripe.com/legal/dpa y stripe.com/legal/dta).
  • Alojador : OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francia (RCS Lille Métropole 424 761 419). El servicio está alojado en Francia por OVH SAS (alojador francés), subencargado técnico de SYAGA CONSULTING. SYAGA CONSULTING solo recibe datos seudonimizados (tokens).

Ningún dato se vende ni se cede a terceros con fines comerciales.

Los datos pueden ser comunicados a autoridades administrativas o judiciales cuando la ley lo exija.


5. Plazos de conservación

Los datos se conservan durante un tiempo que no exceda el necesario para las finalidades perseguidas (art. 5.1.e RGPD) :

Categoría de datosPlazo de conservación
Datos de auditoría brutos (findings, token de acceso)Cero retención del lado del servidor : purgados en el momento de la entrega del Informe (arquitectura efímera, TTL máximo 2 horas)
Datos de cuenta de cliente activoDuración de la relación contractual, y a continuación supresión en un plazo de 30 días tras la resolución
Datos de facturación y documentos contables10 años a partir del cierre del ejercicio (obligación legal, art. L.123-22 del Código de comercio francés)
Registros técnicos (logs de conexión)12 meses (recomendación de la AEPD)

6. Transferencias de datos fuera de la Unión Europea

La infraestructura que aloja el Servicio SYAGA Audit está localizada en Francia. En principio, SYAGA no realiza ninguna transferencia de datos fuera de la UE / EEE.

En cuanto a Microsoft : el Responsable del tratamiento reconoce que la API Microsoft Graph es operada por Microsoft Corporation (Estados Unidos). Las eventuales transferencias que impliquen a Microsoft se rigen por sus cláusulas contractuales tipo aprobadas por la Comisión Europea y, en su caso, por su adhesión al marco EU-U.S. Data Privacy Framework. Los datos auditados son los del propio tenant Microsoft 365 del Cliente, consultados en modo de solo lectura por su cuenta a través de Microsoft Graph. Microsoft actúa como proveedor del Cliente. Las eventuales transferencias que impliquen la infraestructura de Microsoft se rigen por las cláusulas contractuales tipo aprobadas por la Comisión Europea y la adhesión de Microsoft al marco EU-U.S. Data Privacy Framework.

Stripe Inc. realiza transferencias fuera de la UE amparadas por mecanismos conformes con el capítulo V del RGPD. Las transferencias hacia Stripe se rigen por el EU-U.S. Data Privacy Framework, al que Stripe está certificado, y, con carácter subsidiario, por las Cláusulas Contractuales Tipo de la Comisión Europea (2021) integradas en el Data Transfers Addendum de Stripe.


7. Derechos de las personas afectadas

De conformidad con los artículos 15 a 22 del RGPD, toda persona afectada dispone de los siguientes derechos :

  • Derecho de acceso (art. 15 RGPD) : obtener la confirmación de que se están tratando datos que le conciernen y obtener una copia
  • Derecho de rectificación (art. 16) : hacer corregir datos inexactos o incompletos
  • Derecho de supresión (art. 17) : obtener la eliminación en los casos previstos por el RGPD
  • Derecho a la limitación del tratamiento (art. 18)
  • Derecho a la portabilidad (art. 20) : recibir sus datos en un formato estructurado y legible por máquina
  • Derecho de oposición (art. 21) : oponerse al tratamiento por motivos relacionados con su situación particular, y en cualquier momento en materia de prospección comercial
  • Derecho de retirada del consentimiento (art. 7.3) en cualquier momento cuando el tratamiento se basa en el consentimiento
  • Derecho post mortem (art. 85 de la Ley francesa de Informática y Libertades) : definir directrices relativas al destino de los datos tras el fallecimiento

Importante para los datos de auditoría : para los datos de configuración y metadatos del tenant, las solicitudes de ejercicio de derechos deben dirigirse al cliente (responsable del tratamiento), que recurrirá a SYAGA si fuera necesario (art. 28.3.e RGPD).

Modalidades de ejercicio

Estos derechos se ejercen dirigiendo una solicitud a contact@syaga.fr o por correo postal a SYAGA CONSULTING 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Se aporta una respuesta en un plazo de un mes (art. 12.3 RGPD), prorrogable dos meses en caso de complejidad.

Reclamación ante la AEPD

Toda persona afectada dispone del derecho a presentar una reclamación ante la AEPD (art. 77 RGPD) :

CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr


8. Seguridad de los datos (art. 32 RGPD)

SYAGA implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD) :

  • Arquitectura efímera : auditoría ejecutada en memoria RAM, contenedor de escaneo desechable sin almacenamiento en disco ; datos brutos purgados en el momento de la entrega del Informe
  • Mínimo privilegio : conexión mediante OAuth Microsoft con los permisos más restringidos propuestos por Microsoft para cada perímetro auditado ; el Servicio nunca escribe, modifica ni suprime ningún dato del tenant
  • Cifrado en tránsito : TLS 1.2/1.3 en todas las comunicaciones ; SPF, DKIM y DMARC activados en los correos electrónicos
  • Cifrado en reposo : token de acceso cifrado (Fernet) durante el tiempo que dura la auditoría
  • Alojamiento en Francia : infraestructura OVH (Francia)
  • Control de accesos : principio del mínimo privilegio ; habilitaciones nominativas
  • Protección antiabuso : límite de 2 auditorías/día/tenant, medidas anti-DDoS
  • Notificación de las violaciones : procedimiento conforme con los art. 33 y 34 del RGPD (notificación a la AEPD en un plazo de 72 h)

Alineación multi-marco de referencia

Las medidas de seguridad de SYAGA Audit se conciben en coherencia con varios marcos de seguridad reconocidos. SYAGA no reivindica ninguna certificación formal sobre estos marcos las medidas están alineadas con los requisitos de la norma ISO/IEC 27001, habiéndose iniciado un proceso de certificación, sin certificación obtenida a día de hoy ; las medidas están alineadas con e inspiradas en estos marcos :

  • RGPD (Reglamento (UE) 2016/679) : base reglamentaria directamente aplicable -- eur-lex.europa.eu CELEX:32016R0679
  • Directiva NIS2 (Directiva (UE) 2022/2555) : medidas de gestión de riesgos, seguridad de las redes y los sistemas de información -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, cuyo número de empleados y volumen de negocio se sitúan por debajo de los umbrales de las entidades importantes en el sentido de la Directiva (UE) 2022/2555 (50 empleados o 10 M EUR), no entra en el ámbito de las entidades sujetas a NIS2. No obstante, SYAGA Audit ayuda a sus clientes a medir su conformidad con este marco de referencia (fuente : monespacenis2.cyber.gouv.fr).
  • DORA (Reglamento (UE) 2022/2554) : resiliencia operativa digital para el sector financiero -- eur-lex.europa.eu CELEX:32022R2554. Al no ser SYAGA una entidad financiera regulada, el Reglamento (UE) 2022/2554 (DORA) no le resulta directamente aplicable ; no obstante, pueden aplicarse obligaciones contractuales caso por caso cuando un cliente es una entidad financiera sujeta a DORA (fuente : eur-lex.europa.eu DORA).
  • ISO/IEC 27001 : marco de referencia para los sistemas de gestión de la seguridad de la información (SGSI) -- iso.org/standard/27001. Las medidas de SYAGA Audit están alineadas con los requisitos de la norma ISO/IEC 27001, habiéndose iniciado un proceso de certificación, sin certificación obtenida a día de hoy.
  • Recomendaciones INCIBE : Guía de higiene informática y recomendaciones del Instituto Nacional de Ciberseguridad -- ssi.gouv.fr.

SYAGA Audit ayuda precisamente a sus clientes a medir su propia conformidad con estos marcos de referencia (RGPD, NIS2, INCIBE) dentro de su entorno Microsoft 365.


9. Modificaciones de la presente política

La presente Política puede ser actualizada para reflejar la evolución legal, reglamentaria o técnica. La versión vigente es la publicada en https://syaga.eu/confidentialite.html. En caso de modificación sustancial, los usuarios registrados serán informados por correo electrónico en un plazo razonable antes de la entrada en vigor de las modificaciones.


10. Contacto

Para cualquier cuestión relativa a la presente política o a la protección de sus datos :

  • Correo electrónico : contact@syaga.fr
  • Dirección : SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc

Referencias legales y documentales

  • Reglamento (UE) 2016/679 (RGPD) -- texto íntegro : eur-lex.europa.eu CELEX:32016R0679
  • Ley francesa n° 78-17 de 6 de enero de 1978 modificada : Légifrance
  • AEPD -- derechos de las personas : cnil.fr
  • AEPD -- cookies : cnil.fr
  • Directiva NIS2 (UE) 2022/2555 : eur-lex.europa.eu CELEX:32022L2555
  • Reglamento DORA (UE) 2022/2554 : eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001 : iso.org/standard/27001
  • INCIBE -- Guía de higiene informática : ssi.gouv.fr
SYAGA Audit
Seguridad Privacidad Condiciones de uso DPA Aviso legal © 2026 SYAGA