SYAGA AuditMicrosoft 365 Edition
Kezdőlap Funkciók Biztonság Hogyan működik Árak
Bejelentkezés Ingyenes diagnosztika indítása

Adatvédelmi szabályzat

1.0 verzió - Utolsó frissítés: 2026. június 25.


Preambulum

A jelen Adatvédelmi szabályzat célja, hogy tájékoztassa a SYAGA Audit szolgáltatás felhasználóit és ügyfeleit arról, hogy személyes adataikat hogyan gyűjtjük, kezeljük és védjük, a személyes adatok kezelése tekintetében a természetes személyek védelméről szóló 2016. április 27-i (EU) 2016/679 rendelettel (GDPR) és a módosított, informatikáról, fájlokról és szabadságjogokról szóló 1978. január 6-i 78-17. számú törvénnyel összhangban.

A SYAGA Audit a Microsoft 365 környezet biztonsági és megfelelőségi auditjára szolgáló szolgáltatás, amely kizárólag olvasási joggal működik az ügyfél Microsoft 365 tenantjának konfigurációin és metaadatain. A Szolgáltatás nem fér hozzá az auditált tenant felhasználóinak üzeneteihez, fájljaihoz vagy e-mailjeinek tartalmához, és semmilyen jelszót nem tárol.

A jelen dokumentum teljesíti a GDPR 13. cikke (közvetlen gyűjtés) és 14. cikke (közvetett gyűjtés) szerinti tájékoztatási kötelezettséget.


1. Az adatkezelő azonosítása és elérhetőségei

A fiók- és ügyfélkapcsolat-kezelési adatok tekintetében az adatkezelő:

SYAGA CONSULTING

  • Forma: 20 000 EUR törzstőkéjű korlátolt felelősségű társaság (SARL)
  • SIREN: 518 489 471 -- RCS Aix-en-Provence
  • Székhely: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
  • Közösségi adószám: FR93 518489471
  • E-mail: contact@syaga.fr

Adatfeldolgozó / adatkezelő viszony: az audit során gyűjtött, a Microsoft 365 tenant konfigurációjára és metaadataira vonatkozó adatok tekintetében a SYAGA a GDPR 28. cikke szerinti adatfeldolgozóként jár el, míg az ügyfél marad a saját M365 adatainak adatkezelője. A jelen szabályzat azt a kört fedi le, amelyben a SYAGA adatkezelőként jár el (fiókadatok, számlázás, ügyfélszolgálat). Az ügyfél nevében végzett adatkezelést az Adatfeldolgozási Megállapodás (DPA) szabályozza.

Adatvédelmi kapcsolattartó

Az adatvédelemmel kapcsolatos minden kérdésben: contact@syaga.fr

Adatvédelmi tisztviselő kijelölése a GDPR 37. cikke értelmében nem kötelező; az adatkezelő, az ügyvezető személyében, a kapcsolattartó pont minden, személyes adatokkal kapcsolatos kérdésben.


2. Gyűjtött személyes adatok

2.1 Fiók- és ügyfélkapcsolat-kezelési adatok

A SYAGA adatkezelőként a következőket gyűjti:

  • A kapcsolattartó személyazonossága: vezetéknév, keresztnév, beosztás
  • Szakmai elérhetőségek: e-mail cím, cégnév
  • A Szolgáltatáshoz való hitelesítési adatok (Microsoft OAuth token -- a SYAGA Audit oldalán semmilyen jelszó nincs tárolva)
  • Számlázási és szerződéskezelési adatok
  • Ügyfélszolgálati adatok és levelezés
  • Technikai bejelentkezési naplók (IP-címek, időbélyegek)

2.2 Auditadatok (Microsoft 365 konfiguráció és metaadatok)

Az audit keretében a Szolgáltatás kizárólag olvasási joggal fér hozzá, a Microsoft Graph API-n keresztül, az ügyfél M365 tenantjának konfigurációs adataihoz és metaadataihoz, többek között:

  • Biztonsági konfigurációs beállítások (feltételes hozzáférési szabályzatok, MFA-beállítások, megosztási beállítások)
  • A felhasználói fiókokra vonatkozó metaadatok (UPN, szerepkörök, MFA-státusz, Entra ID címtár-attribútumok)
  • Biztonsági állapotra vonatkozó mutatók és metaadatok (Secure Score, konfigurációs riasztások)

Amit a Szolgáltatás nem gyűjt: e-mailek, fájlok, dokumentumok, üzenetek tartalma, jelszavak, a GDPR 9. cikke szerinti különleges adatok.

Ideiglenes (efemer) architektúra: az audit egy eldobható scan-konténerben, a memóriában fut (lemezre írás nélkül). A jelentést egyszer adjuk át az ügyfélnek, ezt követően a nyers scan-adatokat és a hozzáférési tokent töröljük. A token az audit időtartama alatt nyugalmi állapotban titkosított (Fernet). Maximális biztonsági TTL: 2 óra. A SYAGA szerveroldalon kizárólag a számlázási adatokat őrzi meg, a jogszabályi kötelezettségeknek megfelelően.

2.3 Sütik és nyomkövetők

Az syaga.eu weboldal kizárólag a Szolgáltatás működéséhez feltétlenül szükséges sütiket használja:

  • __jsc: bot elleni biztonsági süti, munkamenet időtartama
  • vigil_audit: munkamenet-süti, munkamenet időtartama

Semmilyen közönségmérési sütit (Google Analytics, Matomo vagy hasonló), sem reklámsütit nem helyezünk el. Ezek a feltétlenül szükséges sütik mentesülnek az előzetes hozzájárulás alól, a CNIL 2023. július 4-i iránymutatásainak megfelelően (forrás: cnil.fr -- sütik és nyomkövetők). Egy tájékoztató közlemény ezekről a sütikről elegendő.


3. Az adatkezelés céljai és jogalapjai

A GDPR 6. cikkével összhangban minden adatkezelés azonosított jogalapon nyugszik:

CélJogalap (GDPR 6. cikk)
Az Audit Szolgáltatás nyújtása és teljesítése; az ügyfélfiók létrehozása és kezeléseSzerződés teljesítése -- 6.1.b cikk
Számlázás, könyvelés, behajtásJogszabályi kötelezettség (Code de commerce L.123-22. cikk) és szerződés teljesítése -- 6.1.c és 6.1.b cikk
Ügyfélszolgálat és technikai támogatásSzerződés teljesítése -- 6.1.b cikk
A Szolgáltatás biztonsága, csalás megelőzése, naplózásJogos érdek -- 6.1.f cikk
Feltétlenül szükséges sütikMentesülnek a hozzájárulás alól (CNIL iránymutatások)

A tenant auditadatai tekintetében (2.2. szakasz) a SYAGA az ügyfél (adatkezelő) utasítására jár el. Lásd a DPA-t.


4. Címzettek és adatfeldolgozók

Az adatokat kizárólag a SYAGA CONSULTING erre feljogosított munkatársai, valamint a GDPR 28. cikkének feltételei szerint eljáró adatfeldolgozók kapják meg:

  • Microsoft Corporation: a Microsoft Graph API szolgáltatója, amelyet kizárólag olvasási joggal használunk az ügyfél tenantja konfigurációs adataihoz való hozzáféréshez. Az auditált adatok az Ügyfél saját Microsoft 365 tenantjához tartoznak, amelyeket a Microsoft Graph-on keresztül, az Ügyfél nevében, kizárólag olvasási joggal érünk el. A Microsoft az Ügyfél szolgáltatójaként jár el; a SYAGA nem minősül a Microsoft további adatfeldolgozójának.
  • Stripe Inc.: fizetési szolgáltató a számlázási adatok kezeléséhez. A Stripe-hoz történő adattovábbításokat az EU-U.S. Data Privacy Framework szabályozza, amelyre a Stripe tanúsítvánnyal rendelkezik, valamint másodlagosan az Európai Bizottság Általános Szerződési Feltételei (2021), amelyeket a Stripe Data Transfers Addendumába építettek be (források: stripe.com/legal/dpa és stripe.com/legal/dta).
  • Tárhelyszolgáltató: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Franciaország (RCS Lille Métropole 424 761 419). A szolgáltatást Franciaországban az OVH SAS (francia tárhelyszolgáltató) üzemelteti, a SYAGA CONSULTING technikai alvállalkozójaként. A SYAGA CONSULTING kizárólag álnevesített adatokat (tokeneket) kap.

Semmilyen adatot nem értékesítünk vagy adunk át harmadik félnek kereskedelmi célból.

Az adatokat közigazgatási vagy igazságügyi hatóságokkal közölhetjük, amennyiben a törvény ezt előírja.


5. Megőrzési időtartamok

Az adatokat a kitűzött célok eléréséhez szükséges időtartamon túl nem őrizzük meg (GDPR 5.1.e cikk):

AdatkategóriaMegőrzési idő
Nyers auditadatok (megállapítások, hozzáférési token)Nulla szerveroldali megőrzés: a Jelentés kézbesítésekor törölve (ideiglenes architektúra, maximális TTL 2 óra)
Aktív ügyfélfiók adataiA szerződéses jogviszony időtartama, majd törlés a felmondást követő 30 napon belül
Számlázási adatok és könyvelési bizonylatok10 év az üzleti év lezárásától számítva (jogszabályi kötelezettség, Code de commerce L.123-22. cikk)
Technikai naplók (bejelentkezési naplók)12 hónap (CNIL ajánlás)

6. Adattovábbítás az Európai Unión kívülre

A SYAGA Audit Szolgáltatást üzemeltető infrastruktúra Franciaországban található. Elvben a SYAGA semmilyen adatot nem továbbít az EU/EGT-n kívülre.

A Microsofttal kapcsolatban: az Adatkezelő elismeri, hogy a Microsoft Graph API-t a Microsoft Corporation (Egyesült Államok) üzemelteti. A Microsofttal kapcsolatos esetleges adattovábbításokat az Európai Bizottság által jóváhagyott általános szerződési feltételei, valamint adott esetben az EU-U.S. Data Privacy Framework-ben való részvétele szabályozza. Az auditált adatok az Ügyfél saját Microsoft 365 tenantjához tartoznak, amelyeket a Microsoft Graph-on keresztül, az Ügyfél nevében, kizárólag olvasási joggal érünk el. A Microsoft az Ügyfél szolgáltatójaként jár el. A Microsoft infrastruktúráját érintő esetleges adattovábbításokat az Európai Bizottság által jóváhagyott általános szerződési feltételek és a Microsoft EU-U.S. Data Privacy Framework-ben való részvétele szabályozza.

A Stripe Inc. az EU-n kívüli adattovábbításokat a GDPR V. fejezetével összhangban lévő mechanizmusok keretében végzi. A Stripe-hoz történő adattovábbításokat az EU-U.S. Data Privacy Framework szabályozza, amelyre a Stripe tanúsítvánnyal rendelkezik, valamint másodlagosan az Európai Bizottság Általános Szerződési Feltételei (2021), amelyeket a Stripe Data Transfers Addendumába építettek be.


7. Az érintettek jogai

A GDPR 15-22. cikkével összhangban minden érintett a következő jogokkal rendelkezik:

  • Hozzáférési jog (GDPR 15. cikk): megerősítést kapni arról, hogy adatait kezelik-e, és azokról másolatot kapni
  • Helyesbítéshez való jog (16. cikk): pontatlan vagy hiányos adatok kijavíttatása
  • Törléshez való jog (17. cikk): a GDPR-ban meghatározott esetekben törlést kérni
  • Az adatkezelés korlátozásához való jog (18. cikk)
  • Adathordozhatósághoz való jog (20. cikk): adatai strukturált, géppel olvasható formátumban történő átvétele
  • Tiltakozási jog (21. cikk): tiltakozás az adatkezelés ellen egyedi helyzetéhez kapcsolódó okokból, valamint közvetlen üzletszerzés esetén bármikor
  • A hozzájárulás visszavonásának joga (7.3. cikk) bármikor, amikor az adatkezelés hozzájáruláson alapul
  • Elhalálozás utáni jogok (az Informatique et Libertés törvény 85. cikke): irányelvek meghatározása az adatok halál utáni sorsáról

Fontos az auditadatok tekintetében: a tenant konfigurációs adatai és metaadatai vonatkozásában a jogok gyakorlására irányuló kérelmeket az ügyfélhez (adatkezelő) kell intézni, aki szükség esetén megkeresi a SYAGA-t (GDPR 28.3.e cikk).

Gyakorlási módozatok

Ezeket a jogokat a contact@syaga.fr címre küldött kérelemmel, vagy a SYAGA CONSULTING 2 Impasse Paul Langevin, 13110 Port-de-Bouc postai címére küldött levéllel gyakorolhatja. A válaszadás egy hónapon belül történik (GDPR 12.3. cikk), amely bonyolultság esetén két hónappal meghosszabbítható.

Panasz benyújtása a CNIL-hez

Minden érintett jogosult panaszt benyújtani a CNIL-hez (GDPR 77. cikk):

CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr


8. Az adatok biztonsága (GDPR 32. cikk)

A SYAGA a kockázatnak megfelelő biztonsági szint biztosítása érdekében megfelelő technikai és szervezési intézkedéseket alkalmaz (GDPR 32. cikk):

  • Ideiglenes (efemer) architektúra: az audit a memóriában fut, eldobható scan-konténerben, lemezre írás nélkül; a nyers adatokat a Jelentés kézbesítésekor töröljük
  • Legkisebb jogosultság: Microsoft OAuth-on keresztüli kapcsolódás, az adott auditált körhöz a Microsoft által kínált legszűkebb jogosultságokkal; a Szolgáltatás soha nem ír, módosít vagy töröl semmilyen tenant-adatot
  • Titkosítás átvitel közben: TLS 1.2/1.3 minden kommunikáción; SPF, DKIM és DMARC aktiválva az e-maileken
  • Titkosítás nyugalmi állapotban: a hozzáférési token az audit időtartama alatt titkosítva (Fernet)
  • Franciaországi üzemeltetés: OVH (Franciaország) infrastruktúra
  • Hozzáférés-ellenőrzés: a legkisebb jogosultság elve; névre szóló jogosultságok
  • Visszaélés elleni védelem: napi 2 audit/tenant korlát, DDoS elleni intézkedések
  • Adatvédelmi incidensek bejelentése: a GDPR 33. és 34. cikkével összhangban lévő eljárás (CNIL-bejelentés 72 órán belül)

Több keretrendszeres megfeleltetés

A SYAGA Audit biztonsági intézkedéseit több elismert biztonsági keretrendszerrel összhangban alakítottuk ki. A SYAGA nem állít semmilyen formális tanúsítást ezekre a keretrendszerekre vonatkozóan, az intézkedések az ISO/IEC 27001 szabvány követelményeihez igazodnak, tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig; az intézkedések ezekhez a keretrendszerekhez igazodnak, és ezek ihlették őket:

  • GDPR ((EU) 2016/679 rendelet): közvetlenül alkalmazandó szabályozási alap -- eur-lex.europa.eu CELEX:32016R0679
  • NIS2 irányelv ((EU) 2022/2555 irányelv): kockázatkezelési intézkedések, hálózat- és információbiztonság -- eur-lex.europa.eu CELEX:32022L2555. A SYAGA, mivel létszáma és árbevétele a (EU) 2022/2555 irányelv szerinti jelentős szervezetekre vonatkozó küszöbérték alatt marad (50 munkavállaló vagy 10 M EUR), nem tartozik a NIS2 hatálya alá tartozó szervezetek körébe. A SYAGA Audit ennek ellenére segíti ügyfeleit e keretrendszernek való megfelelésük felmérésében (forrás: monespacenis2.cyber.gouv.fr).
  • DORA ((EU) 2022/2554 rendelet): a pénzügyi ágazat digitális működési rezilienciája -- eur-lex.europa.eu CELEX:32022R2554. Mivel a SYAGA nem szabályozott pénzügyi szervezet, a (EU) 2022/2554 rendelet (DORA) nem alkalmazandó rá közvetlenül; szerződéses kötelezettségek azonban esetenként alkalmazandók lehetnek, amikor egy ügyfél DORA hatálya alá tartozó pénzügyi szervezet (forrás: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: az információbiztonsági irányítási rendszerek (ISMS) referencia-keretrendszere -- iso.org/standard/27001. A SYAGA Audit intézkedései az ISO/IEC 27001 szabvány követelményeihez igazodnak, tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig.
  • ANSSI ajánlások: az Informatikai Rendszerek Nemzeti Biztonsági Ügynökségének (ANSSI) informatikai higiéniai útmutatója és ajánlásai -- ssi.gouv.fr.

A SYAGA Audit pontosan abban segíti ügyfeleit, hogy felmérjék saját megfelelőségüket ezekhez a keretrendszerekhez (GDPR, NIS2, ANSSI) a Microsoft 365 környezetükben.


9. A jelen szabályzat módosításai

A jelen Szabályzatot frissíthetjük a jogi, szabályozási vagy technikai fejlemények tükrözése érdekében. A hatályos verzió a https://syaga.eu/confidentialite.html címen közzétett verzió. Lényeges módosítás esetén a regisztrált felhasználókat a módosítások hatálybalépése előtt, ésszerű határidővel, e-mailben tájékoztatjuk.


10. Kapcsolat

A jelen szabályzattal vagy az adatai védelmével kapcsolatos minden kérdésben:

  • E-mail: contact@syaga.fr
  • Cím: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc

Jogi és dokumentációs hivatkozások

  • (EU) 2016/679 rendelet (GDPR) -- teljes szöveg: eur-lex.europa.eu CELEX:32016R0679
  • A módosított, 1978. január 6-i 78-17. számú törvény: Légifrance
  • CNIL -- az érintettek jogai: cnil.fr
  • CNIL -- sütik: cnil.fr
  • NIS2 irányelv (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • DORA rendelet (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- Informatikai higiéniai útmutató: ssi.gouv.fr
SYAGA Audit
Biztonság Adatvédelem ÁSZF DPA Impresszum © 2026 SYAGA