SYAGA AuditMicrosoft 365 Edition
Etusivu Ominaisuudet Tietoturva Näin se toimii Hinnat
Kirjaudu sisään Käynnistä maksuton diagnoosi

Tietojenkäsittelysopimus (DPA)

Tehty asetuksen (EU) 2016/679 (GDPR) 28 artiklan nojalla (lähde: gdpr-info.eu/art-28-gdpr)

Kyseessä oleva palvelu: SYAGA Audit -- Microsoft 365:n tietoturva- ja vaatimustenmukaisuusauditointi, vain luku -oikeuksin

Versio: 1.0 -- Päivämäärä: 27. kesäkuuta 2026 -- Voimaantulopäivä: 27. kesäkuuta 2026


Osapuolten tunnistetiedot

Käsittelijä:

SYAGA CONSULTING, rajavastuuyhtiö (SARL), osakepääoma 20 000 euroa, rekisteröity Aix-en-Provencen kaupparekisteriin SIREN-numerolla 518 489 471, perustettu 8.12.2009, edustajanaan toimitusjohtaja Sébastien Questier, kotipaikka 2 Impasse Paul Langevin, 13110 Port-de-Bouc, SYAGA Audit -palvelun julkaisija, jäljempänä Käsittelijä.

JA

Rekisterinpitäjä: Asiakas, joka on tilannut SYAGA Audit -palvelun osoitteessa cgu.html saatavilla olevien yleisten ehtojen mukaisesti, ja jonka yhteystiedot ovat tilauksen yhteydessä annetut tiedot, jäljempänä Rekisterinpitäjä.

Jäljempänä yhdessä Osapuolet.


Johdanto

Tämä tietojenkäsittelysopimus (DPA) tehdään GDPR-asetuksen 28 artiklan nojalla, joka edellyttää, että käsittelijän rekisterinpitäjän puolesta suorittamaa käsittelyä säätelee sopimus, jossa määritellään käsittelyn kohde, kesto, luonne ja tarkoitus, henkilötietojen tyyppi, rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet.

Tämä DPA on SYAGA Auditin yleisten myynti- ja palveluehtojen (jäljempänä pääsopimus) liite. Jos tämän DPA:n ja pääsopimuksen välillä on ristiriita tietosuojaa koskevassa asiassa, tämä DPA on ensisijainen. Jos henkilötietojen suojaa koskeva ristiriita ilmenee, tämä DPA on ensisijainen käyttöehtoihin nähden.

Tilaamalla SYAGA Audit -palvelun Asiakas hyväksyy tämän DPA:n ehdot. Sähköinen hyväksyntä vastaa DPA:n hyväksymistä sähköisten sopimusten tekemiseen sovellettavien säännösten mukaisesti.


1 artikla -- Palvelun kohde ja periaatteet

Tämä DPA määrittää edellytykset, joilla Käsittelijä sitoutuu suorittamaan Rekisterinpitäjän puolesta ja dokumentoitujen ohjeiden mukaisesti SYAGA Audit -palvelun tarjoamiseen tarvittavat henkilötietojen käsittelytoimet.

SYAGA Audit suorittaa Rekisterinpitäjän Microsoft 365 -ympäristön tietoturva- ja vaatimustenmukaisuusauditoinnin vain luku -oikeuksin: Palvelu ei kirjoita, muuta eikä poista mitään tietoa auditoidussa tenantissa.

Käsittelijä noudattaa zero-knowledge-periaatetta: keräys ja pseudonymisointi tapahtuvat Asiakkaan selaimessa (laajennus). Käsittelijä ei koskaan vastaanota tenantin raakadataa eikä Asiakkaan Microsoft-käyttöoikeustokenia: ainoastaan pseudonymisoituja tunnisteita. Tokenisoidut auditointitulokset säilytetään asiakastilillä, jotta Asiakas voi avata ne uudelleen niin kauan kuin tili on aktiivinen; ne puretaan selväkieliseksi vain Asiakkaan omalla koneella.


2 artikla -- Käsittelyn luonne, tarkoitus ja kesto

2.1 Toimenpiteiden luonne. Toimenpiteet koostuvat seuraavista: keräys (luku, vähimmät oikeudet) Microsoftin rajapintojen kautta, Asiakkaan koneella suoritettavan selainlaajennuksen toimesta; paikallinen pseudonymisointi; Käsittelijän suorittama analyysi ainoastaan pseudonymisoiduista tunnisteista suhteessa tietoturvaviitekehyksiin (ANSSI, Microsoftin suositukset, GDPR, NIS2); tulosten toimitus raportteina, jotka puretaan selväkielisiksi Asiakkaan omalla koneella.

2.2 Yksinomainen tarkoitus. Tarkoituksena on arvioida Rekisterinpitäjän Microsoft 365 -tenantin tietoturva- ja vaatimustenmukaisuustasoa sekä tuottaa niihin liittyvät auditointiraportit. Mitään muuta tarkoitusta (markkinointi, profilointi, Käsittelijän omiin tarkoituksiin uudelleenkäyttö) ei sallita.

2.3 Kesto. Käsittely suoritetaan pääsopimuksen voimassaoloajan. Raakadata poistetaan pysyvästi välittömästi Raportin toimituksen yhteydessä.


3 artikla -- Käsiteltävät henkilötietoryhmät

Käsittelijä käsittelee seuraavia tietoryhmiä:

  • Määritystiedot ja tietoturvan metatiedot: tenantin asetukset, ehdollisen käyttöoikeuden käytännöt, MFA-asetukset, pääkäyttäjäroolit ja -oikeudet, jakoasetukset, tietoturvaominaisuuksien käyttöönottotilat
  • Identiteetti- ja hakemistometatiedot: tilitunnisteet (UPN), näyttönimet, ryhmäjäsenyydet, auditoinnin kannalta olennaiset hakemistoattribuutit
  • Tietoturvatapahtumien lokit ja metatiedot: kirjautumislokit, auditointitapahtumat, tarkistusten arviointiin tarvittavat metatiedot

Nimenomaiset poissulkemiset. Käsittelijä ei käsittele sähköpostien, tiedostojen tai asiakirjojen sisältöä. Ainoastaan metatietoja ja määritystietoja käsitellään.

Erityiset tietoryhmät. Käsittelyn kohteena ei ole GDPR-asetuksen 9 artiklan tarkoittamien erityisten tietoryhmien käsittely. Rekisterinpitäjä sitoutuu olemaan määrittämättä palvelua tavalla, joka johtaisi tällaiseen käsittelyyn.


4 artikla -- Rekisteröityjen ryhmät

Rekisteröityjä ovat Rekisterinpitäjän Microsoft 365 -tenantin tilien ja identiteettien haltijat: työntekijät, johtajat, pääkäyttäjät, palveluntarjoajat ja vieraskäyttäjät, joilla on tili auditoidussa hakemistossa.


5 artikla -- Rekisterinpitäjän dokumentoidut ohjeet

Käsittelijä käsittelee tietoja ainoastaan Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti (GDPR-asetuksen 28.3.a artikla), mukaan lukien kolmansiin maihin tapahtuvien siirtojen osalta, ellei pakottavasta lakisääteisestä velvoitteesta muuta johdu (jolloin se ilmoittaa asiasta Rekisterinpitäjälle ennen käsittelyä, ellei laki sitä kiellä).

Tämä DPA, sen liitteet ja yleiset ehdot muodostavat alkuperäiset dokumentoidut ohjeet. Käsittelijä ilmoittaa välittömästi Rekisterinpitäjälle, jos se katsoo jonkin ohjeen olevan GDPR-asetuksen vastainen (GDPR-asetuksen 28.3 artiklan viimeinen kohta).


6 artikla -- Luottamuksellisuus

Käsittelijä varmistaa, että tietoja käsittelemään oikeutetut henkilöt sitoutuvat noudattamaan luottamuksellisuutta tai ovat asianmukaisen lakisääteisen salassapitovelvollisuuden alaisia (GDPR-asetuksen 28.3.b artikla), ja saavat tarvittavan tietosuojakoulutuksen. Tämä sitoumus jatkuu tehtävän päättymisen ja tämän DPA:n päättymisen jälkeenkin.


7 artikla -- Tietoturvatoimenpiteet (GDPR-asetuksen 32 artikla) ja viitekehysten yhdenmukaisuus

Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan tietoturvatason varmistamiseksi (GDPR-asetuksen 32 artikla). Käytössä olevat toimenpiteet sisältävät erityisesti:

  • Zero-knowledge-arkkitehtuuri: keräys ja pseudonymisointi suoritetaan Asiakkaan selaimessa (laajennus); Käsittelijä vastaanottaa vain pseudonymisoituja tunnisteita; tenantin raakadataa ja Microsoft-tokenia ei koskaan välitetä sille
  • Vähimmät oikeudet: yhteys Microsoftin OAuthin kautta käyttäen kunkin osa-alueen suppeimpia Microsoftin tarjoamia käyttöoikeuksia; Palvelu ei koskaan kirjoita, muuta tai poista mitään auditoidun tenantin tietoa
  • Salaus siirron aikana: TLS 1.2/1.3 kaikessa viestinnässä; SPF, DKIM ja DMARC käytössä
  • Microsoft-token: ei koskaan poistu Asiakkaan selaimesta; Käsittelijä ei koskaan vastaanota eikä tallenna sitä
  • Palvelimet Ranskassa: OVH:n infrastruktuuri (Ranska), ylläpidetty SYAGA CONSULTINGille
  • Käyttöoikeuksien hallinta: vähimpien oikeuksien periaate; henkilökohtaiset valtuutukset; säännöllinen katselmointi
  • Väärinkäytösten esto: enimmäismäärä 2 auditointia/päivä/tenantti; DDoS-torjuntatoimenpiteet
  • Lokitus: tietoihin pääsyn jäljitettävyys
  • Säännölliset testit tietoturvatoimenpiteiden tehokkuudesta

Yhdenmukaisuus tunnustettujen tietoturvaviitekehysten kanssa

Yllä mainitut toimenpiteet on suunniteltu yhdenmukaisiksi seuraavien viitekehysten kanssa. SYAGA ei väitä omaavansa muodollista sertifiointia näihin viitekehyksiin; toimenpiteet on linjattu ISO/IEC 27001 -standardin vaatimusten kanssa, sertifiointiprosessi on käynnissä mutta sertifikaattia ei ole tähän mennessä saatu; kyseessä on toiminnallinen yhdenmukaisuus:

ViitekehysMerkitys SYAGA AuditilleVirallinen lähde
GDPR (EU) 2016/679 Suoraan sovellettava sääntelyperusta. 32 artikla: tekniset ja organisatoriset toimenpiteet. Väliaikainen arkkitehtuuri = 5.1.e artiklan mukainen minimointitoimenpide. eur-lex.europa.eu CELEX:32016R0679
NIS2-direktiivi (EU) 2022/2555 Kyberturvallisuusriskien hallintatoimenpiteet (NIS2-direktiivin 21 artikla): toiminnan jatkuvuus, häiriönhallinta, verkkoturvallisuus, salaus. SYAGA Audit auttaa asiakkaita arvioimaan omaa NIS2-vaatimustenmukaisuuttaan M365-tenantissaan. SYAGA, jonka henkilöstömäärä ja liikevaihto alittavat direktiivin (EU) 2022/2555 tarkoittamat merkittävien toimijoiden kynnysarvot (50 työntekijää tai 10 miljoonaa euroa), ei kuulu NIS2-velvoitteiden piiriin. SYAGA Audit auttaa silti asiakkaitaan arvioimaan vaatimustenmukaisuuttaan tämän viitekehyksen suhteen. eur-lex.europa.eu CELEX:32022L2555
DORA-asetus (EU) 2022/2554 Digitaalinen operatiivinen häiriönsietokyky säännellyille rahoitusalan toimijoille. SYAGA Audit voi auttaa rahoitusalan asiakkaita dokumentoimaan DORA-tietoturvatasonsa M365-tenantissaan. Koska SYAGA ei ole säännelty rahoitusalan toimija, DORA ei koske sitä suoraan; sopimusvelvoitteita voi syntyä tapauskohtaisesti DORA:n piiriin kuuluville rahoitusalan asiakkaille. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 ISMS-viitekehys: tietoturvapolitiikka, riskienhallinta, käyttöoikeuksien valvonta, salaus, lokitus. SYAGA Auditin toimenpiteet on linjattu vastaavien ISO 27002 -kontrollien kanssa. SYAGA Auditin toimenpiteet on linjattu ISO/IEC 27001 -standardin vaatimusten kanssa, sertifiointiprosessi on käynnissä mutta sertifikaattia ei ole tähän mennessä saatu. iso.org/standard/27001
ANSSI:n suositukset Tietoturvahygieniaopas, tietojärjestelmien turvallisuussuositukset. Toimenpiteet ovat saaneet vaikutteita ANSSI:n suosituksista tilien hallinnasta, salauksesta ja lokituksesta. SYAGA Audit arvioi M365-asetuksia ANSSI:n suositusten valossa. ssi.gouv.fr

Teknisten ja organisatoristen toimenpiteiden täydelliset yksityiskohdat on esitetty Liitteessä 1.


8 artikla -- Alikäsittelijöiden käyttö

Rekisterinpitäjä valtuuttaa Käsittelijän käyttämään Liitteessä 2 lueteltuja alikäsittelijöitä. Uudesta alikäsittelijästä tai sen vaihdosta Käsittelijä ilmoittaa Rekisterinpitäjälle kirjallisesti vähintään kolmekymmentä (30) päivää ennen voimaantuloa, ja Rekisterinpitäjällä on kolmekymmentä (30) päivää aikaa vastustaa sitä perustelluista tietosuojaan liittyvistä syistä (GDPR-asetuksen 28.2 ja 28.4 artikla). Näitä määräaikoja ja menettelyjä sovelletaan, ellei Osapuolten välillä ole muuta sovittu.

Käsittelijä asettaa sopimuksella alikäsittelijöilleen samat tietosuojavelvoitteet kuin tässä DPA:ssa on määrätty (GDPR-asetuksen 28.4 artikla) ja vastaa täysimääräisesti Rekisterinpitäjälle niiden toteuttamisesta.


9 artikla -- Avustaminen Rekisterinpitäjälle

9.1 Rekisteröidyn oikeudet (GDPR-asetuksen 12-22 ja 28.3.e artikla). Käsittelijä toimittaa viipymättä Rekisterinpitäjälle kaikki suoraan rekisteröidyltä vastaanotetut oikeuksien käyttöä koskevat pyynnöt ja avustaa niihin vastaamisessa.

9.2 Tietoturva ja vaikutustenarviointi (GDPR-asetuksen 32-36 ja 28.3.f artikla). Käsittelijä avustaa Rekisterinpitäjää käsittelyn tietoturvassa, tietosuojaa koskevan vaikutustenarvioinnin (DPIA) laatimisessa tarvittaessa, ja CNIL:n ennakkokuulemisessa tarvittaessa.

9.3 Tietoturvaloukkaukset (GDPR-asetuksen 33 ja 34 artikla). Käsittelijä ilmoittaa Rekisterinpitäjälle kaikista tietoturvaloukkauksista mahdollisimman pian, enintään neljänkymmenenkahdeksan (48) tunnin kuluessa siitä, kun se on saanut niistä tiedon, jotta Rekisterinpitäjä voi noudattaa GDPR-asetuksen 33 artiklan mukaista 72 tunnin määräaikaa, toimittamalla mahdollisen ilmoituksen kannalta hyödylliset tiedot.


10 artikla -- Tietojen kohtalo sopimuksen päättyessä

Tämän DPA:n päättyessä Käsittelijä toimii kolmenkymmenen (30) päivän kuluessa sopimuksen päättymisestä Rekisterinpitäjän kirjallisesti ilmoittaman valinnan mukaisesti (GDPR-asetuksen 28.3.g artikla):

Huomautus: palvelun väliaikaisen arkkitehtuurin vuoksi mitään auditointitietoa ei säilytetä suorituksen päätyttyä; ainoastaan laskutustiedot säilytetään lakisääteisten velvoitteiden mukaisesti (10 vuotta).

  • joko käsiteltyjen henkilötietojen palauttamiseen Rekisterinpitäjälle jäsennellyssä muodossa (JSON tai CSV saatavuuden mukaan);
  • tai kaikkien tietojen, kopiot mukaan lukien, turvalliseen poistamiseen, ellei lakisääteinen säilytysvelvoite muuta edellytä.

Palvelun väliaikaisen arkkitehtuurin mukaisesti auditoinnin raakadata on jo poistettu pysyvästi Raportin toimituksen yhteydessä. Käsittelijä toimittaa pyynnöstä poistotodistuksen.


11 artikla -- Auditoinnit ja tarkastukset

Käsittelijä antaa Rekisterinpitäjän käyttöön kaikki tiedot, jotka ovat tarpeen GDPR-asetuksen 28 artiklan velvoitteiden noudattamisen osoittamiseksi, ja mahdollistaa auditointien, mukaan lukien tarkastusten, suorittamisen (GDPR-asetuksen 28.3.h artikla).

Auditoinnit ovat seuraavien ehtojen alaisia: vähintään kolmenkymmenen (30) arkipäivän kirjallinen ennakkoilmoitus, toteutus työaikana, enimmäistiheys yksi (1) auditointi kahdentoista (12) kuukauden jaksoa kohden, paitsi poikkeuksellisissa olosuhteissa (erityisesti todetun tietoturvapoikkeaman yhteydessä), kustannukset Rekisterinpitäjän vastuulla, saatujen tietojen luottamuksellisuus.


12 artikla -- Tiedonsiirrot Euroopan unionin ulkopuolelle

12.1 Ensisijainen sijainti. Tietoja käsitellään ja säilytetään Ranskassa. SYAGA CONSULTING on ranskalaisen lain mukainen yhteisö. Välillistä altistumista CLOUD Act -laille kolmansien osapuolten toimittajien kautta ei voida täysin sulkea pois; SYAGA rajoittaa sitä ranskalaisella palvelinsijainnilla (OVH SAS) ja ennen kaikkea pseudonymisoinnilla: palvelu vastaanottaa vain tokenit, ei koskaan tietojasi selväkielisenä.

12.2 Microsoftin käyttö. Rekisterinpitäjä tunnustaa, että Microsoft Graph -rajapintaa ylläpitää Microsoft Corporation (Yhdysvallat). Microsoftia koskevat tiedonsiirrot on suojattu Euroopan komission hyväksymillä vakiosopimuslausekkeilla ja tarvittaessa EU-U.S. Data Privacy Framework -kehyksellä. Auditoidut tiedot ovat Asiakkaan oman Microsoft 365 -tenantin tietoja, joita luetaan Asiakkaan puolesta vain luku -oikeuksin Microsoft Graphin kautta. Microsoft toimii Asiakkaan toimittajana; SYAGA ei ole sen alikäsittelijä.

12.3 Yleiset takeet. Kaikki Käsittelijän tai alikäsittelijän tekemät EU:n ulkopuoliset tiedonsiirrot edellyttävät GDPR-asetuksen V luvun mukaisen pätevän mekanismin (tietosuojan riittävyyttä koskeva päätös, vakiosopimuslausekkeet tai muu asianmukainen tae) käyttöä.


13 artikla -- Tietosuojayhteystiedot

Käsittelijä (SYAGA CONSULTING): tietosuojayhteyshenkilö -- contact@syaga.fr. Tietosuojavastaavan nimittäminen ei ole pakollista GDPR-asetuksen 37 artiklan tarkoittamalla tavalla; tietosuojasta vastaa toimitusjohtaja Sébastien Questier, yhteyshenkilö kaikissa henkilötietoja koskevissa kysymyksissä.

Rekisterinpitäjä: Asiakkaan omien velvoitteidensa mukaisesti nimeämä GDPR-yhteyshenkilö.


14 artikla -- Kesto, muutokset ja sovellettava laki

Tämä DPA tulee voimaan SYAGA Audit -palvelun tilaamisen yhteydessä ja pysyy voimassa koko sen käsittelyn keston ajan, joka suoritetaan Rekisterinpitäjän puolesta.

Kaikista olennaisista muutoksista ilmoitetaan Rekisterinpitäjälle etukäteen. Palvelun käytön jatkaminen ilmoitusajan jälkeen katsotaan muutosten hyväksymiseksi. Nämä muutosmenettelyt ovat GDPR-asetuksen 28 artiklan tietojenkäsittelysopimuksia koskevien vaatimusten mukaisia.

Tähän DPA:han sovelletaan Ranskan lakia. Kaikki riidat kuuluvat Aix-en-Provencen tuomiopiirin tuomioistuinten toimivaltaan, rajat ylittäviin riitoihin sovellettavien pakottavien säännösten mukaisin varauksin.


Liite 1 -- Käsittelyn yksityiskohtainen kuvaus ja tietoturvatoimenpiteet (GDPR-asetuksen 32 artikla)

ParametriKuvaus
TarkoituksetM365:n tietoturva- ja vaatimustenmukaisuusauditointi -- raporttien tuottaminen
TietoryhmätMääritysten metatiedot, identiteetin metatiedot (UPN, nimet), tietoturvalokit
Erityiset tietoryhmät (9 artikla)Ei yhtään
RekisteröidytAsiakkaan Microsoft 365 -tenantin tilit ja identiteetit
Säilytys palvelinpuolellaTenantin raakadata: ei koskaan välitetä (pseudonymisointi selaimessa). Tokenisoidut tulokset: säilytetään asiakastilillä niin kauan kuin Asiakas on aktiivinen.
KäsittelypaikkaRanska (SYAGA CONSULTINGin infrastruktuuri)
Salaus siirron aikanaTLS 1.2/1.3 -- kaikki viestintä; SPF/DKIM/DMARC
Microsoft-tokenEi koskaan poistu Asiakkaan selaimesta; Käsittelijä ei koskaan vastaanota sitä
ArkkitehtuuriKeräys ja pseudonymisointi Asiakkaan selaimen laajennuksen toimesta; Käsittelijä analysoi ainoastaan tunnisteita
Käyttöoikeuksien hallintaVähimpien oikeuksien periaate; henkilökohtaiset valtuutukset
Väärinkäytösten estoEnimmäismäärä 2 auditointia/päivä/tenantti; DDoS-torjunta
LokitusMinimaaliset tekniset käyttö- ja tietoturvalokit, ilman henkilökohtaisia auditointitietoja, säilytetään noin 12 kuukautta CNIL:n suositusten mukaisesti.
Tietoturvaviitekehysten yhdenmukaisuusToimenpiteet on linjattu GDPR-asetuksen 32 artiklan, ISO/IEC 27001 -standardin (sertifiointiprosessi käynnissä, ei sertifikaattia tähän mennessä) ja ANSSI:n suositusten kanssa.

Liite 2 -- Luettelo hyväksytyistä alikäsittelijöistä

AlikäsittelijäSuoritusSijaintiTiedonsiirron takeet
Microsoft Corporation Microsoft Graph -rajapinta -- lukuoikeus tenantin määritystietoihin EU + Yhdysvallat (Microsoftin infrastruktuuri) Microsoft toimii Asiakkaan toimittajana (ei SYAGA:n alikäsittelijänä). Tiedonsiirrot on suojattu EU:n vakiosopimuslausekkeilla ja Microsoftin osallistumisella EU-U.S. Data Privacy Framework -kehykseen.
OVH SAS (palvelinsijainti, Roubaix, Ranska) SYAGA Audit -alustan palvelinsijainti Ranska Ei sovellettavissa (EU)
Stripe Inc. Maksu -- ainoastaan Asiakkaan laskutustiedot (ei tenantin tietoja) Yhdysvallat / EU EU-U.S. Data Privacy Framework (Stripe sertifioitu), ja toissijaisesti EU:n vakiosopimuslausekkeet (2021) -- Stripen Data Transfers Addendum.

Oikeudelliset viittaukset

  • CNIL -- käsittelijä, GDPR-asetuksen 28 artiklan velvoitteet: cnil.fr/fr/sous-traitant
  • Asetus (EU) 2016/679 (GDPR), 4, 9, 12-22, 28, 32-36 artikla: EUR-Lex CELEX:32016R0679
  • NIS2-direktiivi (EU) 2022/2555, 21 artikla: EUR-Lex CELEX:32022L2555
  • DORA-asetus (EU) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- tietoturvahygieniaopas: ssi.gouv.fr
  • Muutettu laki n:o 78-17, 6.1.1978: Légifrance
SYAGA Audit
Tietoturva Tietosuoja CGU DPA Yritystiedot © 2026 SYAGA