SYAGA AuditMicrosoft 365 Edition
Etusivu Ominaisuudet Tietoturva Näin se toimii Hinnat
Kirjaudu sisään Käynnistä maksuton diagnoosi

Tietosuojaseloste

Versio 1.0 - Viimeisin päivitys: 25. kesäkuuta 2026


Johdanto

Tämän tietosuojaselosteen tarkoituksena on kertoa SYAGA Audit -palvelun käyttäjille ja asiakkaille, miten heidän henkilötietojaan kerätään, käsitellään ja suojataan, 27.4.2016 annetun asetuksen (EU) 2016/679 (luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä, GDPR) ja muutetun 6.1.1978 annetun lain n:o 78-17 (tietotekniikka, tiedostot ja vapaudet) mukaisesti.

SYAGA Audit on Microsoft 365 -ympäristön tietoturva- ja vaatimustenmukaisuusauditointipalvelu, joka toimii vain luku -oikeuksin asiakkaan Microsoft 365 -tenantin määrityksiin ja metatietoihin. Palvelu ei pääse käsiksi auditoidun tenantin käyttäjien viestien, tiedostojen tai sähköpostien sisältöön eikä tallenna mitään salasanoja.

Tämä asiakirja täyttää GDPR-asetuksen 13 artiklan (suora keräys) ja 14 artiklan (välillinen keräys) mukaisen tiedonantovelvollisuuden.


1. Rekisterinpitäjän tiedot ja yhteystiedot

Tili- ja asiakassuhdetietojen rekisterinpitäjä on:

SYAGA CONSULTING

  • Yhtiömuoto: rajavastuuyhtiö (SARL), osakepääoma 20 000 EUR
  • SIREN: 518 489 471 -- kaupparekisteri (RCS) Aix-en-Provence
  • Kotipaikka: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
  • EU:n sisäinen alv-tunniste: FR93 518489471
  • Sähköposti: contact@syaga.fr

Käsittelijän ja rekisterinpitäjän välinen suhde: auditoinnin yhteydessä kerättyjen Microsoft 365 -tenantin määritys- ja metatietojen osalta SYAGA toimii GDPR-asetuksen 28 artiklan mukaisena henkilötietojen käsittelijänä, ja asiakas pysyy omien M365-tietojensa rekisterinpitäjänä. Tämä käytäntö kattaa sen osa-alueen, jossa SYAGA toimii rekisterinpitäjänä (tilitiedot, laskutus, tuki). Asiakkaan puolesta tehtävää käsittelyä säätelee tietojenkäsittelysopimus (DPA).

Tietosuojayhteydenotot

Kaikki tietosuojaa koskevat pyynnöt: contact@syaga.fr

Tietosuojavastaavan nimittäminen ei ole pakollista GDPR-asetuksen 37 artiklan tarkoittamalla tavalla; rekisterinpitäjä, toimitusjohtajan henkilössä, on yhteyshenkilö kaikissa henkilötietoja koskevissa kysymyksissä.


2. Kerätyt henkilötiedot

2.1 Tili- ja asiakassuhdetiedot

SYAGA kerää rekisterinpitäjänä:

  • Yhteyshenkilön tiedot: suku- ja etunimi, tehtävänimike
  • Yritysyhteystiedot: sähköpostiosoite, toiminimi
  • Palveluun kirjautumisen tunnistautumistiedot (Microsoftin OAuth-token -- SYAGA Audit ei tallenna salasanoja)
  • Laskutus- ja sopimushallintatiedot
  • Tuki- ja viestintätiedot
  • Tekniset kirjautumislokit (IP-osoitteet, aikaleimat)

2.2 Auditointitiedot (Microsoft 365:n määritys- ja metatiedot)

Auditoinnin yhteydessä Palvelu käyttää vain luku -oikeuksin, Microsoft Graph -rajapinnan kautta, asiakkaan M365-tenantin määritys- ja metatietoja, muun muassa:

  • Tietoturva-asetukset (ehdolliset käyttöoikeuskäytännöt, MFA-asetukset, jakoasetukset)
  • Käyttäjätileihin liittyvät metatiedot (UPN, roolit, MFA-tila, Entra ID -hakemiston attribuutit)
  • Tietoturvatason indikaattorit ja metatiedot (Secure Score, määritysvaroitukset)

Mitä Palvelu ei kerää: sähköpostien, tiedostojen, asiakirjojen ja viestien sisältöä, salasanoja, GDPR-asetuksen 9 artiklan tarkoittamia arkaluonteisia tietoja.

Väliaikainen arkkitehtuuri: auditointi suoritetaan keskusmuistissa kertakäyttöisessä skannauskontissa (ei tallennusta levylle). Raportti toimitetaan asiakkaalle kerran, minkä jälkeen skannauksen raakadata ja käyttöoikeustoken poistetaan pysyvästi. Token salataan levossa (Fernet) auditoinnin keston ajan. Enimmäiselinaika (TTL): 2 tuntia. SYAGA säilyttää palvelinpuolella ainoastaan laskutustiedot, lakisääteisten velvoitteiden mukaisesti.

2.3 Evästeet ja seurantatekniikat

Sivusto syaga.eu käyttää ainoastaan Palvelun toiminnan kannalta ehdottoman välttämättömiä evästeitä:

  • __jsc: botintorjunnan tietoturvaeväste, voimassa istunnon ajan
  • vigil_audit: istuntoeväste, voimassa istunnon ajan

Mitään kävijäseurantaevästeitä (Google Analytics, Matomo tai vastaava) tai mainontaevästeitä ei aseteta. Nämä ehdottoman välttämättömät evästeet on vapautettu ennakkosuostumusvaatimuksesta CNIL:n 4.7.2023 antamien ohjeiden mukaisesti (lähde: cnil.fr -- evästeet ja seurantatekniikat). Näistä evästeistä kertova ilmoitus riittää.


3. Käsittelyn tarkoitukset ja oikeusperusteet

GDPR-asetuksen 6 artiklan mukaisesti jokainen käsittely perustuu tunnistettuun oikeusperusteeseen:

TarkoitusOikeusperuste (GDPR 6 artikla)
Auditointipalvelun tarjoaminen ja suorittaminen; asiakastilin luonti ja hallintaSopimuksen täytäntöönpano -- GDPR 6.1.b artikla
Laskutus, kirjanpito, perintäLakisääteinen velvoite (kauppalain L.123-22 artikla) ja sopimuksen täytäntöönpano -- GDPR 6.1.c ja 6.1.b artikla
Tuki ja tekninen apuSopimuksen täytäntöönpano -- GDPR 6.1.b artikla
Palvelun tietoturva, petostentorjunta, lokitusOikeutettu etu -- GDPR 6.1.f artikla
Ehdottoman välttämättömät evästeetVapautettu suostumusvaatimuksesta (CNIL:n ohjeet)

Tenantin auditointitietojen osalta (kohta 2.2) SYAGA toimii asiakkaan (rekisterinpitäjän) ohjeiden mukaisesti. Ks. DPA.


4. Vastaanottajat ja käsittelijät

Tietoja luovutetaan ainoastaan SYAGA CONSULTINGin sisällä valtuutetuille henkilöille sekä GDPR-asetuksen 28 artiklan ehdoin toimiville käsittelijöille:

  • Microsoft Corporation: Microsoft Graph -rajapinnan toimittaja, jota käytetään vain luku -oikeuksin asiakkaan tenantin määritystietojen hakemiseen. Auditoidut tiedot ovat Asiakkaan oman Microsoft 365 -tenantin tietoja, joita luetaan Asiakkaan puolesta vain luku -oikeuksin Microsoft Graphin kautta. Microsoft toimii Asiakkaan toimittajana; SYAGA ei ole sen alikäsittelijä.
  • Stripe Inc.: maksupalveluntarjoaja laskutustietojen käsittelyä varten. Stripelle siirrettävät tiedot on suojattu EU-U.S. Data Privacy Framework -kehyksellä, johon Stripe on sertifioitu, ja toissijaisesti Euroopan komission vakiosopimuslausekkeilla (2021), jotka on sisällytetty Stripen Data Transfers Addendumiin (lähteet: stripe.com/legal/dpa ja stripe.com/legal/dta).
  • Palveluntarjoaja: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Ranska (RCS Lille Métropole 424 761 419). Palvelu isännöidään Ranskassa ranskalaisen OVH SAS:n palvelimilla, joka toimii SYAGA CONSULTINGin teknisenä alihankkijana. SYAGA CONSULTING vastaanottaa ainoastaan pseudonymisoitua dataa (tokenit).

Mitään tietoa ei myydä eikä luovuteta kolmansille osapuolille kaupallisiin tarkoituksiin.

Tietoja voidaan luovuttaa hallinto- tai oikeusviranomaisille, kun laki sitä edellyttää.


5. Säilytysajat

Tietoja säilytetään ainoastaan niin kauan kuin käyttötarkoitus edellyttää (GDPR-asetuksen 5.1.e artikla):

TietoluokkaSäilytysaika
Auditoinnin raakadata (havainnot, käyttöoikeustoken)Ei säilytystä palvelinpuolella: poistetaan pysyvästi Raportin toimituksen yhteydessä (väliaikainen arkkitehtuuri, enimmäis-TTL 2 tuntia)
Aktiivisen asiakastilin tiedotSopimussuhteen keston ajan, minkä jälkeen tiedot poistetaan 30 päivän kuluessa irtisanomisesta
Laskutustiedot ja kirjanpitoasiakirjat10 vuotta tilikauden päättymisestä (lakisääteinen velvoite, kauppalain L.123-22 artikla)
Tekniset lokit (kirjautumislokit)12 kuukautta (CNIL:n suositus)

6. Tiedonsiirrot Euroopan unionin ulkopuolelle

SYAGA Audit -palvelun infrastruktuuri sijaitsee Ranskassa. SYAGA ei lähtökohtaisesti siirrä tietoja EU:n/ETA:n ulkopuolelle.

Microsoftin osalta: rekisterinpitäjä tunnustaa, että Microsoft Graph -rajapintaa ylläpitää Microsoft Corporation (Yhdysvallat). Mahdolliset Microsoftia koskevat tiedonsiirrot on suojattu Euroopan komission hyväksymillä vakiosopimuslausekkeilla ja tarvittaessa Microsoftin osallistumisella EU-U.S. Data Privacy Framework -kehykseen. Auditoidut tiedot ovat Asiakkaan oman Microsoft 365 -tenantin tietoja, joita luetaan Asiakkaan puolesta vain luku -oikeuksin Microsoft Graphin kautta. Microsoft toimii Asiakkaan toimittajana. Mahdolliset Microsoftin infrastruktuuria koskevat tiedonsiirrot on suojattu Euroopan komission hyväksymillä vakiosopimuslausekkeilla ja Microsoftin osallistumisella EU-U.S. Data Privacy Framework -kehykseen.

Stripe Inc. suorittaa EU:n ulkopuolisia tiedonsiirtoja, jotka on suojattu GDPR-asetuksen V luvun mukaisilla mekanismeilla. Stripelle siirrettävät tiedot on suojattu EU-U.S. Data Privacy Framework -kehyksellä, johon Stripe on sertifioitu, ja toissijaisesti Euroopan komission vakiosopimuslausekkeilla (2021), jotka on sisällytetty Stripen Data Transfers Addendumiin.


7. Rekisteröidyn oikeudet

GDPR-asetuksen 15-22 artiklan mukaisesti jokaisella rekisteröidyllä on seuraavat oikeudet:

  • Tarkastusoikeus (GDPR-asetuksen 15 artikla): saada vahvistus siitä, käsitelläänkö hänen tietojaan, ja saada niistä jäljennös
  • Oikaisuoikeus (16 artikla): saada virheelliset tai puutteelliset tiedot korjatuksi
  • Oikeus tietojen poistamiseen (17 artikla): saada tietonsa poistettua GDPR-asetuksen määrittelemissä tapauksissa
  • Oikeus käsittelyn rajoittamiseen (18 artikla)
  • Oikeus siirtää tiedot järjestelmästä toiseen (20 artikla): saada tietonsa jäsennellyssä, koneluettavassa muodossa
  • Vastustamisoikeus (21 artikla): vastustaa käsittelyä henkilökohtaiseen tilanteeseensa liittyvistä syistä sekä milloin tahansa suoramarkkinoinnin osalta
  • Oikeus peruuttaa suostumus (7.3 artikla) milloin tahansa, kun käsittely perustuu suostumukseen
  • Kuoleman jälkeiset oikeudet (tietotekniikka ja vapaudet -lain 85 artikla): antaa ohjeita tietojen kohtalosta kuoleman jälkeen

Tärkeää auditointitietojen osalta: tenantin määritys- ja metatietojen osalta oikeuksien käyttöä koskevat pyynnöt tulee osoittaa asiakkaalle (rekisterinpitäjä), joka tarvittaessa kääntyy SYAGA:n puoleen (GDPR-asetuksen 28.3.e artikla).

Käyttötavat

Näitä oikeuksia käytetään lähettämällä pyyntö osoitteeseen contact@syaga.fr tai postitse osoitteeseen SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Vastaus annetaan kuukauden kuluessa (GDPR-asetuksen 12.3 artikla), määräaikaa voidaan pidentää kahdella kuukaudella monimutkaisissa tapauksissa.

Valitus CNIL:lle

Jokaisella rekisteröidyllä on oikeus tehdä valitus CNIL:lle (GDPR-asetuksen 77 artikla):

CNIL (Ranskan tietosuojaviranomainen) -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr


8. Tietoturva (GDPR-asetuksen 32 artikla)

SYAGA toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan tietoturvatason varmistamiseksi (GDPR-asetuksen 32 artikla):

  • Väliaikainen arkkitehtuuri: auditointi suoritetaan keskusmuistissa, kertakäyttöisessä skannauskontissa ilman tallennusta levylle; raakadata poistetaan pysyvästi Raportin toimituksen yhteydessä
  • Vähimmät oikeudet: yhteys Microsoftin OAuthin kautta käyttäen kunkin auditoidun osa-alueen suppeimpia Microsoftin tarjoamia käyttöoikeuksia; Palvelu ei koskaan kirjoita, muuta tai poista mitään tenantin tietoa
  • Salaus siirron aikana: TLS 1.2/1.3 kaikessa viestinnässä; SPF, DKIM ja DMARC käytössä sähköposteissa
  • Salaus levossa: käyttöoikeustoken salattu (Fernet) auditoinnin keston ajan
  • Palvelimet Ranskassa: OVH:n infrastruktuuri (Ranska)
  • Käyttöoikeuksien hallinta: vähimpien oikeuksien periaate; henkilökohtaiset valtuutukset
  • Väärinkäytösten esto: enimmäismäärä 2 auditointia/päivä/tenantti, DDoS-torjuntatoimenpiteet
  • Tietoturvaloukkauksista ilmoittaminen: GDPR-asetuksen 33 ja 34 artiklan mukainen menettely (ilmoitus CNIL:lle 72 tunnin kuluessa)

Usean säädöksen yhteensovittaminen

SYAGA Auditin tietoturvatoimenpiteet on suunniteltu yhdenmukaisiksi useiden tunnustettujen tietoturvaviitekehysten kanssa. SYAGA ei väitä omaavansa muodollista sertifiointia näihin viitekehyksiin; toimenpiteet on linjattu ISO/IEC 27001 -standardin vaatimusten kanssa, sertifiointiprosessi on käynnissä mutta sertifikaattia ei ole tähän mennessä saatu; toimenpiteet ovat näiden kehysten mukaisia ja niistä inspiroituneita:

  • GDPR (asetus (EU) 2016/679): suoraan sovellettava sääntelyperusta -- eur-lex.europa.eu CELEX:32016R0679
  • NIS2-direktiivi (direktiivi (EU) 2022/2555): riskienhallintatoimenpiteet, verkko- ja tietojärjestelmien turvallisuus -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, jonka henkilöstömäärä ja liikevaihto alittavat direktiivin (EU) 2022/2555 tarkoittamat merkittävien toimijoiden kynnysarvot (50 työntekijää tai 10 miljoonaa euroa), ei kuulu NIS2-velvoitteiden piiriin. SYAGA Audit auttaa silti asiakkaitaan arvioimaan omaa vaatimustenmukaisuuttaan tämän viitekehyksen suhteen (lähde: monespacenis2.cyber.gouv.fr).
  • DORA (asetus (EU) 2022/2554): rahoitussektorin digitaalinen operatiivinen häiriönsietokyky -- eur-lex.europa.eu CELEX:32022R2554. Koska SYAGA ei ole säännelty rahoitusalan toimija, asetus (EU) 2022/2554 (DORA) ei koske sitä suoraan; sopimusvelvoitteita voi kuitenkin syntyä tapauskohtaisesti, kun asiakas on DORA:n piiriin kuuluva rahoitusalan toimija (lähde: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: tietoturvallisuuden hallintajärjestelmien (ISMS) viitekehys -- iso.org/standard/27001. SYAGA Auditin toimenpiteet on linjattu ISO/IEC 27001 -standardin vaatimusten kanssa; sertifiointiprosessi on käynnissä, mutta sertifikaattia ei ole tähän mennessä saatu.
  • ANSSI:n suositukset: Ranskan kansallisen tietoturvaviraston (ANSSI) tietoturvahygieniaopas ja suositukset -- ssi.gouv.fr.

SYAGA Audit auttaa nimenomaan asiakkaitaan arvioimaan omaa vaatimustenmukaisuuttaan näiden viitekehysten (GDPR, NIS2, ANSSI) suhteen omassa Microsoft 365 -ympäristössään.


9. Tämän tietosuojaselosteen muutokset

Tätä tietosuojaselostetta voidaan päivittää lainsäädännön, sääntelyn tai tekniikan muuttuessa. Voimassa oleva versio on aina osoitteessa https://syaga.eu/confidentialite.html julkaistu versio. Merkittävästä muutoksesta rekisteröityneille käyttäjille ilmoitetaan sähköpostitse kohtuullisessa ajassa ennen muutosten voimaantuloa.


10. Yhteystiedot

Kaikki tätä tietosuojaselostetta tai tietojesi suojaa koskevat kysymykset:

  • Sähköposti: contact@syaga.fr
  • Osoite: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc

Oikeudelliset ja dokumentaariset viittaukset

  • Asetus (EU) 2016/679 (GDPR) -- koko teksti: eur-lex.europa.eu CELEX:32016R0679
  • Muutettu laki n:o 78-17, 6.1.1978: Légifrance
  • CNIL -- rekisteröidyn oikeudet: cnil.fr
  • CNIL -- evästeet: cnil.fr
  • NIS2-direktiivi (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • DORA-asetus (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- tietoturvahygieniaopas: ssi.gouv.fr
SYAGA Audit
Tietoturva Tietosuoja Käyttöehdot DPA Yritystiedot © 2026 SYAGA