Persónuverndarstefna
Útgáfa 1.0 - Síðast uppfært: 25. júní 2026
Formáli
Þessi persónuverndarstefna hefur það markmið að upplýsa notendur og viðskiptavini þjónustunnar SYAGA Audit um það hvernig persónuupplýsingar þeirra eru safnaðar, unnar og varðar, í samræmi við reglugerð (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga (GDPR) og frönsk lög nr. 78-17 frá 6. janúar 1978, með breytingum, um upplýsingatækni, skrár og frelsi.
SYAGA Audit er þjónusta sem framkvæmir öryggis- og regluvörsluúttekt á Microsoft 365-umhverfinu, og starfar eingöngu með lestraraðgangi að stillingum og lýsigögnum Microsoft 365-leigjanda viðskiptavinarins. Þjónustan nálgast ekki efni tölvupósta, skráa né notendaskilaboða í þeim leigjanda sem er skoðaður, og geymir engin lykilorð.
Þetta skjal uppfyllir upplýsingaskylduna sem kveðið er á um í 13. gr. (bein söfnun) og 14. gr. (óbein söfnun) GDPR.
1. Auðkenni og tengiliðaupplýsingar ábyrgðaraðila
Ábyrgðaraðili fyrir gögn um reikning og stjórnun viðskiptasambands er:
SYAGA CONSULTING
- Félagsform: Einkahlutafélag (SARL) með 20.000 evra hlutafé
- SIREN: 518 489 471 -- RCS Aix-en-Provence
- Skráð heimilisfang: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
- VSK-númer innan ESB: FR93 518489471
- Netfang: contact@syaga.fr
Samspil vinnsluaðila / ábyrgðaraðila: fyrir stillingargögn og lýsigögn leigjandans sem safnað er við úttektina, kemur SYAGA fram sem vinnsluaðili í skilningi 28. gr. GDPR, en viðskiptavinurinn er áfram ábyrgðaraðili eigin M365-gagna. Þessi stefna nær yfir það svið þar sem SYAGA kemur fram sem ábyrgðaraðili (gögn tengd reikningi, reikningagerð, þjónustuaðstoð). Vinnsla sem fram fer fyrir hönd viðskiptavinarins lýtur vinnslusamningnum (DPA).
Tengiliður vegna persónuverndar
Fyrir öll erindi er varða persónuvernd: contact@syaga.fr
Ekki er skylt að tilnefna persónuverndarfulltrúa í skilningi 37. gr. GDPR; ábyrgðaraðilinn, í persónu framkvæmdastjórans, er tengiliður fyrir öll erindi er varða persónuupplýsingar.
2. Söfnun persónuupplýsinga
2.1 Gögn um reikning og stjórnun viðskiptasambands
SYAGA safnar, í hlutverki ábyrgðaraðila:
- Auðkenni tengiliðs: nafn, starfsheiti
- Vinnutengdar upplýsingar: netfang, félagsheiti
- Auðkenningargögn fyrir Þjónustuna (OAuth Microsoft-tákn -- ekkert lykilorð geymt hjá SYAGA Audit)
- Gögn um reikningagerð og samningsstjórnun
- Gögn um stuðning og samskipti
- Tæknilegir innskráningarannálar (IP-tölur, tímastimplar)
2.2 Úttektargögn (Microsoft 365-stillingar og lýsigögn)
Í tengslum við úttektina fær Þjónustan eingöngu lestraraðgang, í gegnum Microsoft Graph API, að stillingargögnum og lýsigögnum M365-leigjanda viðskiptavinarins, meðal annars:
- Öryggisstillingar (skilyrt aðgangsstefnur, MFA-stillingar, deilingarstillingar)
- Lýsigögn um notendareikninga (UPN, hlutverk, MFA-staða, eiginleikar í Entra ID-skrá)
- Vísar og lýsigögn um öryggisstöðu (Secure Score, stillingarviðvaranir)
Það sem Þjónustan safnar ekki: efni tölvupósta, skráa, skjala, skilaboða, lykilorð, viðkvæm gögn í skilningi 9. gr. GDPR.
Skammlíft kerfi: úttektin fer fram í vinnsluminni í einnota skönnunargámi (engin geymsla á diski). Skýrslan er afhent viðskiptavininum einu sinni og hráum skönnunargögnum og aðgangstákni er síðan eytt. Táknið er dulkóðað í hvíld (Fernet) meðan á úttektinni stendur. Hámarks öryggislíftími (TTL): 2 klukkustundir. SYAGA geymir á netþjóninum eingöngu reikningsupplýsingar, í samræmi við lagaskyldur.
2.3 Vefkökur og rekjarar
Vefsvæðið syaga.eu notar eingöngu bráðnauðsynlegar vefkökur fyrir starfsemi Þjónustunnar:
__jsc: öryggiskaka gegn vélmennum, gildir í eina lotuvigil_audit: lotukaka, gildir í eina lotu
Engar áhorfsmælingakökur (Google Analytics, Matomo eða sambærilegt) né auglýsingakökur eru settar. Þessar bráðnauðsynlegu vefkökur eru undanþegnar fyrirfram samþykki í samræmi við leiðbeiningar CNIL frá 4. júlí 2023 (heimild: cnil.fr - vefkökur og rekjarar). Upplýsingatilkynning um þessar vefkökur nægir.
3. Tilgangur og lagagrundvöllur vinnslu
Samkvæmt 6. gr. GDPR byggist hver vinnsla á tilgreindum lagagrundvelli:
| Tilgangur | Lagagrundvöllur (6. gr. GDPR) |
|---|---|
| Að veita og framkvæma úttektarþjónustuna; stofnun og umsjón viðskiptavinareiknings | Framkvæmd samnings -- 6.1.b gr. |
| Reikningagerð, bókhald, innheimta | Lagaskylda (skv. L.123-22 gr. franska verslunarlögbókarinnar) og framkvæmd samnings -- 6.1.c og 6.1.b gr. |
| Stuðningur og tækniaðstoð | Framkvæmd samnings -- 6.1.b gr. |
| Öryggi Þjónustunnar, forvarnir gegn svikum, skráning atburða | Lögmætir hagsmunir -- 6.1.f gr. |
| Bráðnauðsynlegar vefkökur | Undanþegin samþykki (leiðbeiningar CNIL) |
Fyrir úttektargögn leigjandans (kafli 2.2) kemur SYAGA fram samkvæmt fyrirmælum viðskiptavinarins (ábyrgðaraðila). Sjá vinnslusamninginn (DPA).
4. Viðtakendur og vinnsluaðilar
Gögnin eru einungis afhent þeim starfsmönnum SYAGA CONSULTING sem hafa til þess heimild, ásamt vinnsluaðilum sem koma að vinnslunni með þeim skilyrðum sem fram koma í 28. gr. GDPR:
- Microsoft Corporation: veitandi Microsoft Graph API-viðmótsins, sem er notað eingöngu með lestri til að nálgast stillingargögn leigjanda viðskiptavinarins. Gögnin sem eru skoðuð eru gögn úr eigin Microsoft 365-leigjanda Viðskiptavinarins, skoðuð eingöngu með lestri fyrir hans hönd í gegnum Microsoft Graph. Microsoft kemur fram sem birgir Viðskiptavinarins; SYAGA er ekki undirvinnsluaðili þess.
- Stripe Inc.: greiðsluþjónustuaðili fyrir vinnslu reikningsgagna. Flutningur gagna til Stripe er tryggður með EU-U.S. Data Privacy Framework, sem Stripe er vottað samkvæmt, og til vara með stöðluðum samningsskilmálum framkvæmdastjórnar Evrópusambandsins (2021) sem felldir eru inn í Data Transfers Addendum Stripe (heimildir: stripe.com/legal/dpa og stripe.com/legal/dta).
- Hýsingaraðili: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Frakklandi (RCS Lille Métropole 424 761 419). Þjónustan er hýst í Frakklandi hjá OVH SAS (fransk hýsingarfyrirtæki), tæknilegum vinnsluaðila SYAGA CONSULTING. SYAGA CONSULTING fær aðeins dulnefnd gögn (tákn).
Engin gögn eru seld né afhent þriðja aðila í viðskiptalegum tilgangi.
Gögnin geta verið afhent stjórnvöldum eða dómsyfirvöldum þegar lög krefjast þess.
5. Varðveislutími
Gögnin eru varðveitt í tíma sem fer ekki fram úr því sem nauðsynlegt er fyrir tilganginn (skv. 5.1.e gr. GDPR):
| Gagnaflokkur | Varðveislutími |
|---|---|
| Hrá úttektargögn (niðurstöður, aðgangstákn) | Engin varðveisla á netþjóni: gögnum eytt við afhendingu skýrslunnar (skammlíft kerfi, hámarks líftími 2 klukkustundir) |
| Gögn um virkan viðskiptavinareikning | Á meðan samningssambandið varir, síðan eytt innan 30 daga eftir uppsögn |
| Gögn um reikningagerð og bókhaldsgögn | 10 ár frá lokum reikningsársins (lagaskylda, skv. L.123-22 gr. franska verslunarlögbókarinnar) |
| Tæknilegir annálar (innskráningarannálar) | 12 mánuðir (tilmæli CNIL) |
6. Gagnaflutningur utan Evrópusambandsins
Innviðirnir sem hýsa SYAGA Audit-þjónustuna eru staðsettir í Frakklandi. Í grunninn flytur SYAGA engin gögn út fyrir ESB/EES.
Varðandi Microsoft: Ábyrgðaraðilinn viðurkennir að Microsoft Graph API-viðmótið er rekið af Microsoft Corporation (Bandaríkjunum). Hugsanlegir flutningar sem varða Microsoft eru tryggðir með stöðluðum samningsskilmálum sem framkvæmdastjórn Evrópusambandsins hefur samþykkt og, eftir atvikum, með þátttöku Microsoft í EU-U.S. Data Privacy Framework. Gögnin sem eru könnuð eru gögn úr eigin Microsoft 365-leigjanda Viðskiptavinarins, skoðuð eingöngu með lestri fyrir hans hönd í gegnum Microsoft Graph. Microsoft kemur fram sem birgir Viðskiptavinarins. Hugsanlegir flutningar sem varða innviði Microsoft eru tryggðir með stöðluðum samningsskilmálum sem framkvæmdastjórn Evrópusambandsins hefur samþykkt og þátttöku Microsoft í EU-U.S. Data Privacy Framework.
Stripe Inc. annast gagnaflutninga utan ESB sem falla undir aðferðir í samræmi við V. kafla GDPR. Flutningur til Stripe er tryggður með EU-U.S. Data Privacy Framework, sem Stripe er vottað samkvæmt, og til vara með stöðluðum samningsákvæðum framkvæmdastjórnar Evrópusambandsins (2021) sem eru felld inn í Data Transfers Addendum Stripe.
7. Réttindi skráðra einstaklinga
Samkvæmt 15.-22. gr. GDPR á sérhver skráður einstaklingur eftirfarandi réttindi:
- Aðgangsréttur (15. gr. GDPR): að fá staðfestingu á því hvort gögn um viðkomandi séu í vinnslu og fá afrit af þeim
- Réttur til leiðréttingar (16. gr.): að fá óáreiðanleg eða ófullkomin gögn leiðrétt
- Réttur til að fá gögnum eytt (17. gr.): að fá gögnum eytt í þeim tilvikum sem GDPR kveður á um
- Réttur til takmörkunar vinnslu (18. gr.)
- Réttur til gagnaflutnings (20. gr.): að fá gögnin sín í skipulögðu og véllæsilegu sniði
- Andmælaréttur (21. gr.): að andmæla vinnslu af ástæðum sem tengjast sérstökum aðstæðum viðkomandi, og hvenær sem er þegar um beina markaðssetningu er að ræða
- Réttur til að draga samþykki til baka (7.3. gr.) hvenær sem er þegar vinnslan byggist á samþykki
- Réttur eftir andlát (85. gr. franskra upplýsingatækni- og frelsislaga): að setja fyrirmæli um örlög gagnanna eftir andlát
Mikilvægt varðandi úttektargögn: fyrir stillingargögn og lýsigögn leigjandans skal beiðnum um beitingu réttinda beint til viðskiptavinarins (ábyrgðaraðila), sem leitar til SYAGA ef nauðsyn krefur (skv. 28.3.e gr. GDPR).
Hvernig réttindum er beitt
Þessum réttindum er beitt með því að senda beiðni á contact@syaga.fr eða með bréfi til SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Frakklandi. Svar berst innan eins mánaðar (skv. 12.3. gr. GDPR), sem framlengja má um tvo mánuði ef málið er flókið.
Kvörtun til CNIL
Sérhver skráður einstaklingur á rétt á að leggja fram kvörtun til CNIL (skv. 77. gr. GDPR):
CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frakklandi -- www.cnil.fr
8. Öryggi gagna (32. gr. GDPR)
SYAGA innleiðir viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggisstig í samræmi við áhættuna (skv. 32. gr. GDPR):
- Skammlíft kerfi: úttektin fer fram í vinnsluminni, í einnota skönnunargámi án geymslu á diski; hrágögnum er eytt við afhendingu skýrslunnar
- Lágmarksréttindi: tenging í gegnum OAuth Microsoft með þrengstu heimildum sem Microsoft býður fyrir hvert skoðunarsvið; Þjónustan skrifar aldrei, breytir aldrei né eyðir nokkru sinni neinum gögnum í leigjandanum
- Dulkóðun í flutningi: TLS 1.2/1.3 í öllum samskiptum; SPF, DKIM og DMARC virkjuð fyrir tölvupóst
- Dulkóðun í hvíld: aðgangstákn dulkóðað (Fernet) meðan á úttektinni stendur
- Hýsing í Frakklandi: OVH-innviðir (Frakklandi)
- Aðgangsstýring: meginregla um lágmarksréttindi; nafngreindar heimildir
- Vörn gegn misnotkun: hámark 2 úttektir á dag fyrir hvern leigjanda, aðgerðir gegn DDoS-árásum
- Tilkynning um öryggisbrot: verklag í samræmi við 33. og 34. gr. GDPR (tilkynning til CNIL innan 72 klst.)
Samræmi við mörg viðmið
Öryggisráðstafanir SYAGA Audit eru hannaðar í samræmi við nokkur viðurkennd öryggisviðmið. SYAGA gerir ekki tilkall til neinnar formlegrar vottunar á þessum viðmiðum ráðstafanirnar eru í samræmi við kröfur staðalsins ISO/IEC 27001, vottunarferli er hafið, en engin vottun hefur enn fengist; ráðstafanirnar eru í samræmi við og innblásnar af þessum römmum:
- GDPR (reglugerð ESB 2016/679): reglugerð sem gildir milliliðalaust -- eur-lex.europa.eu CELEX:32016R0679
- NIS2-tilskipunin (tilskipun ESB 2022/2555): ráðstafanir um áhættustjórnun, öryggi net- og upplýsingakerfa -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, en fjöldi starfsmanna og velta félagsins eru undir viðmiðunarmörkum mikilvægra aðila í skilningi tilskipunar (ESB) 2022/2555 (50 starfsmenn eða 10 milljónir evra), fellur ekki undir gildissvið NIS2. SYAGA Audit aðstoðar viðskiptavini sína engu að síður við að meta regluvörslu sína gagnvart þessu viðmiði (heimild: monespacenis2.cyber.gouv.fr).
- DORA (reglugerð ESB 2022/2554): stafræn rekstrarþol fyrir fjármálageirann -- eur-lex.europa.eu CELEX:32022R2554. Þar sem SYAGA er ekki eftirlitsskyldur fjármálaaðili, gildir reglugerð (ESB) 2022/2554 (DORA) ekki beint um félagið; samningsbundnar skyldur geta þó átt við í einstökum tilvikum þegar viðskiptavinur er fjármálaaðili sem fellur undir DORA (heimild: eur-lex.europa.eu DORA).
- ISO/IEC 27001: viðmiðunarrammi fyrir stjórnkerfi upplýsingaöryggis -- iso.org/standard/27001. Ráðstafanir SYAGA Audit eru í samræmi við kröfur staðalsins ISO/IEC 27001, vottunarferli er hafið, en engin vottun hefur enn fengist.
- Tilmæli ANSSI: Leiðbeiningar um upplýsingatæknihreinlæti og tilmæli frá frönsku netöryggisstofnuninni (Agence nationale de la sécurité des systèmes d'information) -- ssi.gouv.fr.
SYAGA Audit hjálpar einmitt viðskiptavinum sínum að meta eigin regluvörslu gagnvart þessum viðmiðum (GDPR, NIS2, ANSSI) innan Microsoft 365-umhverfis þeirra.
9. Breytingar á þessari stefnu
Þessi stefna kann að vera uppfærð til að endurspegla breytingar á lögum, reglum eða tækni. Gildandi útgáfa er sú sem birt er á https://syaga.eu/confidentialite.html. Ef um verulegar breytingar er að ræða verða skráðir notendur upplýstir með tölvupósti með hæfilegum fyrirvara áður en breytingarnar taka gildi.
10. Tengiliður
Fyrir öll erindi er varða þessa stefnu eða vernd gagnanna þinna:
- Netfang: contact@syaga.fr
- Heimilisfang: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc
Lagalegar og skjalfestar heimildir
- Reglugerð (ESB) 2016/679 (GDPR) -- fullur texti: eur-lex.europa.eu CELEX:32016R0679
- Lög nr. 78-17 frá 6. janúar 1978, með breytingum: Légifrance
- CNIL -- réttindi einstaklinga: cnil.fr
- CNIL -- vefkökur: cnil.fr
- NIS2-tilskipun (ESB) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- DORA-reglugerð (ESB) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Leiðbeiningar um upplýsingatæknihreinlæti: ssi.gouv.fr