Polasaí príobháideachais
Leagan 1.0 - Nuashonrú deiridh: 25 Meitheamh 2026
Réamhrá
Is é cuspóir an Pholasaí Príobháideachais seo úsáideoirí agus custaiméirí na seirbhíse SYAGA Audit a chur ar an eolas faoin gcaoi a mbailítear, a bpróiseáiltear agus a gcosnaítear a sonraí pearsanta, de réir Rialachán (AE) 2016/679 an 27 Aibreán 2016 maidir le cosaint daoine nádúrtha i ndáil le próiseáil sonraí pearsanta (GDPR) agus dhlí Uimh. 78-17 an 6 Eanáir 1978 arna leasú maidir le ríomhaireacht, comhaid agus saoirsí.
Is seirbhís í SYAGA Audit chun slándáil agus comhlíonadh thimpeallacht Microsoft 365 a iniúchadh, ag oibriú ar mhodh léamh amháin ar chumraíochtaí agus meiteashonraí thionónta Microsoft 365 an chustaiméara. Ní fhaigheann an tSeirbhís rochtain ar ábhar teachtaireachtaí, comhaid ná ríomhphoist úsáideoirí an tionónta a iniúchtar, agus ní stórálann sí aon fhocal faire.
Comhlíonann an doiciméad seo an oibleagáid faisnéise dá bhforáiltear in airteagail 13 (bailiú díreach) agus 14 (bailiú indíreach) den GDPR.
1. Aitheantas agus sonraí teagmhála an rialaitheora sonraí
Is é seo a leanas an rialaitheoir sonraí do shonraí cuntais agus bainistíocht an chaidrimh chustaiméara:
SYAGA CONSULTING
- Foirm: cuideachta faoi dhliteanas teoranta (SARL) le caipiteal de 20 000 EUR
- SIREN: 518 489 471 - RCS Aix-en-Provence
- Ceanncheathrú: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, an Fhrainc
- Uimhir CBL laistigh den AE: FR93 518489471
- Ríomhphost: contact@syaga.fr
Idirghníomhú próiseálaí / rialaitheoir sonraí: maidir le sonraí cumraíochta agus meiteashonraí thionónta Microsoft 365 a bhailítear le linn an iniúchta, gníomhaíonn SYAGA mar phróiseálaí de réir bhrí airteagal 28 den GDPR, agus fanann an custaiméir mar rialaitheoir sonraí a chuid sonraí M365 féin. Clúdaíonn an polasaí seo an raon feidhme ina ngníomhaíonn SYAGA mar rialaitheoir sonraí (sonraí cuntais, sonraisc, tacaíocht). Rialaítear an phróiseáil a dhéantar thar ceann an chustaiméara ag an gComhaontú um Phróiseáil Sonraí (DPA).
Teagmháil um chosaint sonraí
D'aon iarratas a bhaineann le cosaint sonraí: contact@syaga.fr
Ní gá oifigeach cosanta sonraí a cheapadh de réir bhrí airteagal 37 den GDPR; is é an rialaitheoir sonraí, i bpearsa an bhainisteora, an pointe teagmhála d'aon cheist maidir le sonraí pearsanta.
2. Sonraí pearsanta a bhailítear
2.1 Sonraí cuntais agus bainistíocht an chaidrimh chustaiméara
Bailíonn SYAGA, mar rialaitheoir sonraí:
- Aitheantas an teagmhálaí: sloinne, ainm, post
- Sonraí teagmhála gairmiúla: seoladh ríomhphoist, ainm gnó
- Sonraí fíordheimhnithe don tSeirbhís (token OAuth Microsoft; ní stórálann SYAGA Audit aon fhocal faire)
- Sonraí sonraisc agus bainistíocht chonarthach
- Sonraí tacaíochta agus comhfhreagras
- Logaí teicniúla nasctha (seoltaí IP, stampaí ama)
2.2 Sonraí iniúchta (cumraíocht agus meiteashonraí Microsoft 365)
I gcomhthéacs an iniúchta, faigheann an tSeirbhís rochtain ar mhodh léamh amháin, trí API Microsoft Graph, ar shonraí cumraíochta agus meiteashonraí thionónta M365 an chustaiméara, go háirithe:
- Socruithe cumraíochta slándála (beartais rochtana choinníollaí, socruithe MFA, socruithe comhroinnte)
- Meiteashonraí a bhaineann le cuntais úsáideoirí (UPN, róil, stádas MFA, aitreabúidí eolaire Entra ID)
- Táscairí agus meiteashonraí staid slándála (Secure Score, foláirimh chumraíochta)
An rud nach mbailíonn an tSeirbhís: ábhar ríomhphoist, comhaid, doiciméid, teachtaireachtaí, focail faire, sonraí íogaire de réir bhrí airteagal 9 den GDPR.
Ailtireacht neamhbhuan: ritheann an t-iniúchadh sa chuimhne oibre laistigh d'árthach scanta indiúscartha (gan aon stóráil ar dhiosca). Cuirtear an tuarascáil ar fáil don chustaiméir uair amháin, agus ansin scriostar bunsonraí an scanta agus an token rochtana. Déantar an token a chriptiú ina luí (Fernet) le linn an iniúchta. Uasteorainn slándála: 2 uair an chloig. Ní choimeádann SYAGA ar an bhfreastalaí ach sonraí sonraisc, de réir na n-oibleagáidí dlíthiúla.
2.3 Fianáin agus lorgairí
Ní úsáideann syaga.eu ach fianáin atá fíor-riachtanach d'fheidhmiú na Seirbhíse:
__jsc: fianán slándála frith-bot, fad seisiúinvigil_audit: fianán seisiúin, fad seisiúin
Ní úsáidtear aon fhianán tomhais lucht féachana (Google Analytics, Matomo nó a leithéid) ná aon fhianán fógraíochta. Tá na fianáin fíor-riachtanacha seo díolmhaithe ó thoiliú roimh ré de réir threoirlínte an CNIL an 4 Iúil 2023 (foinse: cnil.fr - fianáin agus lorgairí). Is leor fógra faisnéise faoi na fianáin seo.
3. Cuspóirí agus bunúis dhlíthiúla na próiseála
De réir airteagal 6 den GDPR, tá bunús dlíthiúil aitheanta faoi gach próiseáil:
| Cuspóir | Bunús dlíthiúil (Airt. 6 GDPR) |
|---|---|
| Soláthar agus feidhmiú na Seirbhíse iniúchta; cruthú agus bainistíocht an chuntais chustaiméara | Comhlíonadh conartha - Airt. 6.1.b |
| Sonrasc, cuntasaíocht, bailiúchán | Oibleagáid dhlíthiúil (Cód Tráchtála na Fraince airt. L.123-22) agus comhlíonadh conartha - Airt. 6.1.c agus 6.1.b |
| Tacaíocht agus cúnamh teicniúil | Comhlíonadh conartha - Airt. 6.1.b |
| Slándáil na Seirbhíse, cosc ar chalaois, logáil | Leas dlisteanach - Airt. 6.1.f |
| Fianáin atá fíor-riachtanach | Díolmhaithe ó thoiliú (treoirlínte CNIL) |
Maidir le sonraí iniúchta an tionónta (roinn 2.2), gníomhaíonn SYAGA ar threoir an chustaiméara (an rialaitheoir sonraí). Féach an DPA.
4. Faighteoirí agus próiseálaithe
Ní chuirtear na sonraí in iúl ach do dhaoine údaraithe laistigh de SYAGA CONSULTING agus do na próiseálaithe atá i mbun oibre faoi na coinníollacha in airteagal 28 den GDPR:
- Microsoft Corporation: soláthraí API Microsoft Graph, a úsáidtear ar mhodh léamh amháin chun rochtain a fháil ar shonraí cumraíochta thionónta an chustaiméara. Is le tionónta Microsoft 365 an Chustaiméara féin na sonraí a iniúchtar, a fheictear ar mhodh léamh amháin thar a cheann trí Microsoft Graph. Gníomhaíonn Microsoft mar sholáthraí don Chustaiméir; ní próiseálaí tánaisteach ar Microsoft é SYAGA.
- Stripe Inc.: soláthraí íocaíochta chun sonraí sonraisc a phróiseáil. Tá aistrithe chuig Stripe faoi réir Chreat Príobháideachta Sonraí AE-SAM, a bhfuil Stripe deimhnithe leis, agus, go coimhdeach, faoi Chlásail Chonarthacha Chaighdeánacha an Choimisiúin Eorpaigh (2021) atá comhtháite in Aguisín Aistrithe Sonraí Stripe (foinsí: stripe.com/legal/dpa agus stripe.com/legal/dta).
- Óstach: OVH SAS, 2 rue Kellermann, 59100 Roubaix, an Fhrainc (RCS Lille Métropole 424 761 419). Óstáiltear an tseirbhís sa Fhrainc ag OVH SAS (óstach Francach), fo-phróiseálaí teicniúil de chuid SYAGA CONSULTING. Ní fhaigheann SYAGA CONSULTING ach sonraí bréagainmnithe (tokens).
Ní dhíoltar ná ní aistrítear aon sonraí chuig tríú páirtithe chun críocha tráchtála.
Féadfar na sonraí a chur in iúl d'údaráis riaracháin nó bhreithiúnacha nuair a éilíonn an dlí é.
5. Tréimhsí coinneála
Coimeádtar na sonraí ar feadh tréimhse nach sáraíonn an méid is gá do na cuspóirí atá á saothrú (airt. 5.1.e GDPR):
| Catagóir sonraí | Tréimhse coinneála |
|---|---|
| Bunsonraí iniúchta (torthaí, token rochtana) | Nialas coinneála ar an bhfreastalaí: scriosta nuair a sheachadtar an Tuarascáil (ailtireacht neamhbhuan, TTL uasta 2 uair an chloig) |
| Sonraí cuntais chustaiméir ghníomhaigh | Fad an chaidrimh chonarthaigh, agus ansin scriosadh laistigh de 30 lá tar éis foirceanta |
| Sonraí sonraisc agus doiciméid chuntasaíochta | 10 mbliana ó dhúnadh na bliana airgeadais (oibleagáid dhlíthiúil, airt. L.123-22 Cód Tráchtála na Fraince) |
| Logaí teicniúla (logaí nasctha) | 12 mhí (moladh CNIL) |
6. Aistrithe sonraí lasmuigh den Aontas Eorpach
Tá an bonneagar a óstálann Seirbhís SYAGA Audit lonnaithe sa Fhrainc. Go bunúsach, ní dhéanann SYAGA aon aistriú sonraí lasmuigh den AE / LEE.
Maidir le Microsoft: aithníonn an Rialaitheoir Sonraí go bhfeidhmíonn Microsoft Corporation (Stáit Aontaithe Mheiriceá) API Microsoft Graph. Tá aistrithe ar bith lena mbaineann Microsoft faoi réir a chlásail chonarthacha chaighdeánacha atá formheasta ag an gCoimisiún Eorpach agus, más infheidhme, faoina rannpháirtíocht i gCreat Príobháideachta Sonraí AE-SAM. Is le tionónta Microsoft 365 an Chustaiméara féin na sonraí a iniúchtar, a fheictear ar mhodh léamh amháin thar a cheann trí Microsoft Graph. Gníomhaíonn Microsoft mar sholáthraí don Chustaiméir. Tá aistrithe ar bith lena mbaineann bonneagar Microsoft faoi réir na gclásal conarthach caighdeánach atá formheasta ag an gCoimisiún Eorpach agus rannpháirtíocht Microsoft i gCreat Príobháideachta Sonraí AE-SAM.
Oibríonn Stripe Inc. aistrithe lasmuigh den AE atá faoi réir sásraí atá i gcomhréir le Caibidil V den GDPR. Tá aistrithe chuig Stripe faoi réir Chreat Príobháideachta Sonraí AE-SAM, a bhfuil Stripe deimhnithe leis, agus, go coimhdeach, faoi Chlásail Chonarthacha Chaighdeánacha an Choimisiúin Eorpaigh (2021) atá comhtháite in Aguisín Aistrithe Sonraí Stripe.
7. Cearta na ndaoine lena mbaineann
De réir airteagail 15 go 22 den GDPR, tá na cearta seo a leanas ag gach duine lena mbaineann:
- Ceart rochtana (airt. 15 GDPR): deimhniú a fháil go bpróiseáiltear sonraí a bhaineann léi agus cóip díobh a fháil
- Ceart ceartúcháin (airt. 16): sonraí míchruinne nó neamhiomlána a cheartú
- Ceart léirscriosta (airt. 17): a sonraí a scriosadh sna cásanna dá bhforáiltear sa GDPR
- Ceart chun srian a chur ar an bpróiseáil (airt. 18)
- Ceart iniomparthachta (airt. 20): a shonraí féin a fháil i bhformáid struchtúrtha, inléite ag meaisín
- Ceart agóide (airt. 21): cur i gcoinne na próiseála ar chúiseanna a bhaineann lena staid ar leith, agus am ar bith i gcás margaíochta dírí
- Ceart chun toiliú a tharraingt siar (airt. 7.3) am ar bith nuair atá an phróiseáil bunaithe ar thoiliú
- Ceart iarbháis (airt. 85 dlí Informatique et Libertés): treoracha a shocrú maidir le cinniúint na sonraí tar éis báis
Tábhachtach maidir le sonraí iniúchta: maidir le sonraí cumraíochta agus meiteashonraí an tionónta, ní mór iarratais ar fheidhmiú na gceart a chur chuig an gcustaiméir (an rialaitheoir sonraí), a iarrfaidh ar SYAGA cabhrú más gá (airt. 28.3.e GDPR).
Modhanna feidhmithe
Feidhmítear na cearta seo trí iarratas a chur chuig contact@syaga.fr nó tríd an bpost chuig SYAGA CONSULTING 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Tugtar freagra laistigh de mhí amháin (airt. 12.3 GDPR), in-fhadaithe faoi dhá mhí i gcás castachta.
Gearán chuig an CNIL
Tá ceart ag gach duine lena mbaineann gearán a dhéanamh leis an CNIL (airt. 77 GDPR):
CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, an Fhrainc - www.cnil.fr
8. Slándáil sonraí (airt. 32 GDPR)
Cuireann SYAGA bearta teicniúla agus eagraíochtúla iomchuí i bhfeidhm chun leibhéal slándála atá oiriúnach don riosca a chinntiú (airt. 32 GDPR):
- Ailtireacht neamhbhuan: iniúchadh curtha i gcrích sa chuimhne oibre, árthach scanta indiúscartha gan stóráil ar dhiosca; scriostar bunsonraí nuair a sheachadtar an Tuarascáil
- Pribhléid is lú: nasc trí OAuth Microsoft leis na ceadanna is cúinge a thairgeann Microsoft do gach raon feidhme a iniúchtar; ní scríobhann, ní athraíonn agus ní scriosann an tSeirbhís aon sonraí den tionónta riamh
- Criptiú i mbun aistrithe: TLS 1.2/1.3 ar gach cumarsáid; SPF, DKIM agus DMARC gníomhachtaithe ar ríomhphoist
- Criptiú ina luí: token rochtana criptithe (Fernet) le linn an iniúchta
- Óstáil sa Fhrainc: bonneagar OVH (an Fhrainc)
- Rialú rochtana: prionsabal na pribhléide is lú; údaruithe ainmniúla
- Cosaint frith-mí-úsáide: uasteorainn de 2 iniúchadh/lá/tionónta, bearta frith-DDoS
- Fógra um shárú: nós imeachta i gcomhréir le hairt. 33 agus 34 GDPR (fógra don CNIL laistigh de 72 uair)
Ailíniú ilchreata
Deartar bearta slándála SYAGA Audit i gcomhréir le roinnt tagarmharcanna slándála aitheanta. Ní éilíonn SYAGA aon deimhniú foirmiúil ar na tagarmharcanna seo: tá na bearta ailínithe le ceanglais chaighdeán ISO/IEC 27001, próiseas deimhnithe ar bun, gan deimhniú faighte fós; tá na bearta ailínithe le agus spreagtha ag na creataí seo:
- GDPR (Rialachán AE 2016/679): bunús rialála atá infheidhme go díreach - eur-lex.europa.eu CELEX:32016R0679
- Treoir NIS2 (Treoir AE 2022/2555): bearta bainistíochta riosca, slándáil líonraí agus córas faisnéise - eur-lex.europa.eu CELEX:32022L2555. Ós rud é go bhfuil líon fostaithe agus láimhdeachas SYAGA faoi bhun thairseacha na n-eintiteas tábhachtach de réir bhrí Threoir (AE) 2022/2555 (50 fostaí nó 10 milliún EUR), níl SYAGA faoi réir NIS2. Mar sin féin, cuidíonn SYAGA Audit lena chuid custaiméirí a gcomhlíonadh leis an tagarmharc seo a mheas (foinse: monespacenis2.cyber.gouv.fr).
- DORA (Rialachán AE 2022/2554): athléimneacht oibríochtúil dhigiteach don earnáil airgeadais - eur-lex.europa.eu CELEX:32022R2554. Ós rud é nach eintiteas airgeadais rialáilte é SYAGA, ní bhaineann Rialachán (AE) 2022/2554 (DORA) leis go díreach; féadfaidh oibleagáidí conarthacha a bheith i bhfeidhm ó chás go cás nuair is eintiteas airgeadais atá faoi réir DORA an custaiméir (foinse: eur-lex.europa.eu DORA).
- ISO/IEC 27001: creat tagartha do chórais bhainistíochta slándála faisnéise (ISMS) - iso.org/standard/27001. Tá bearta SYAGA Audit ailínithe le ceanglais chaighdeán ISO/IEC 27001, próiseas deimhnithe ar bun, gan deimhniú faighte fós.
- Moltaí ANSSI: Treoir sláinteachais faisnéise agus moltaí ó Ghníomhaireacht Náisiúnta na Fraince um Shlándáil Córas Faisnéise - ssi.gouv.fr.
Cuidíonn SYAGA Audit go beacht lena chuid custaiméirí a gcomhlíonadh féin a mheas leis na tagarmharcanna seo (GDPR, NIS2, ANSSI) laistigh dá dtimpeallacht Microsoft 365.
9. Athruithe ar an bpolasaí seo
Féadfar an Polasaí seo a nuashonrú chun athruithe dlíthiúla, rialála nó teicniúla a léiriú. Is í an leagan atá i bhfeidhm ná an leagan atá foilsithe ag https://syaga.eu/confidentialite.html. I gcás athrú substaintiúil, cuirfear na húsáideoirí cláraithe ar an eolas trí ríomhphost laistigh de thréimhse réasúnta sula dtagann na hathruithe i bhfeidhm.
10. Teagmháil
D'aon cheist a bhaineann leis an bpolasaí seo nó le cosaint do shonraí:
- Ríomhphost: contact@syaga.fr
- Seoladh: SYAGA CONSULTING - 2 Impasse Paul Langevin, 13110 Port-de-Bouc, an Fhrainc
Tagairtí dlíthiúla agus doiciméadacha
- Rialachán (AE) 2016/679 (GDPR) - téacs iomlán: eur-lex.europa.eu CELEX:32016R0679
- Dlí Uimh. 78-17 an 6 Eanáir 1978 arna leasú: Légifrance
- CNIL - cearta na ndaoine: cnil.fr
- CNIL - fianáin: cnil.fr
- Treoir NIS2 (AE) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- Rialachán DORA (AE) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI - Treoir sláinteachais faisnéise: ssi.gouv.fr