SYAGA AuditMicrosoft 365 Edition
Home Funzionalità Sicurezza Come funziona Prezzi
Accedi Avvia la mia diagnosi gratuita

Informativa sulla privacy

Versione 1.0 - Ultimo aggiornamento: 25 giugno 2026


Preambolo

La presente Informativa sulla privacy ha lo scopo di informare gli utenti e i clienti del servizio SYAGA Audit sulle modalità di raccolta, trattamento e protezione dei loro dati personali, conformemente al Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR) e alla legge francese n. 78-17 del 6 gennaio 1978 e successive modifiche, relativa all'informatica, agli archivi e alle libertà.

SYAGA Audit è un servizio di audit di sicurezza e conformità dell'ambiente Microsoft 365, che opera in sola lettura sulle configurazioni e i metadati del tenant Microsoft 365 del cliente. Il Servizio non accede al contenuto di messaggi, file o email degli utenti del tenant sottoposto ad audit e non memorizza alcuna password.

Il presente documento soddisfa l'obbligo di informativa previsto agli articoli 13 (raccolta diretta) e 14 (raccolta indiretta) del GDPR.


1. Identità e recapiti del titolare del trattamento

Il titolare del trattamento per i dati di account e di gestione della relazione con il cliente è:

SYAGA CONSULTING

  • Forma: società a responsabilità limitata (SARL) di diritto francese con capitale di 20 000 EUR
  • SIREN: 518 489 471 -- RCS Aix-en-Provence
  • Sede legale: 2 Impasse Paul Langevin, 13110 Port-de-Bouc (Francia)
  • Partita IVA intracomunitaria: FR93 518489471
  • Email: contact@syaga.fr

Rapporto responsabile del trattamento per conto terzi / titolare del trattamento: per i dati di configurazione e i metadati del tenant Microsoft 365 raccolti durante l'audit, SYAGA agisce in qualità di responsabile del trattamento per conto terzi ai sensi dell'articolo 28 del GDPR, restando il cliente titolare del trattamento dei propri dati M365. La presente informativa copre il perimetro per il quale SYAGA agisce in qualità di titolare del trattamento (dati account, fatturazione, supporto). Il trattamento effettuato per conto del cliente è disciplinato dall'Accordo sul trattamento dei dati (DPA).

Contatto protezione dei dati

Per qualsiasi richiesta relativa alla protezione dei dati: contact@syaga.fr

La designazione di un responsabile della protezione dei dati non è obbligatoria ai sensi dell'articolo 37 del GDPR; il titolare del trattamento, nella persona dell'amministratore, è il punto di contatto per qualsiasi domanda relativa ai dati personali.


2. Dati personali raccolti

2.1 Dati di account e di gestione della relazione con il cliente

SYAGA raccoglie, in qualità di titolare del trattamento:

  • Identità del contatto: nome, cognome, funzione
  • Dati di contatto professionali: indirizzo email, ragione sociale
  • Dati di autenticazione al Servizio (token OAuth Microsoft -- nessuna password memorizzata lato SYAGA Audit)
  • Dati di fatturazione e di gestione contrattuale
  • Dati di supporto e scambi
  • Log tecnici di connessione (indirizzi IP, marche temporali)

2.2 Dati di audit (configurazione e metadati Microsoft 365)

Nell'ambito dell'audit, il Servizio accede in sola lettura, tramite l'API Microsoft Graph, ai dati di configurazione e ai metadati del tenant M365 del cliente, in particolare:

  • Parametri di configurazione della sicurezza (policy di accesso condizionale, impostazioni MFA, impostazioni di condivisione)
  • Metadati relativi agli account utente (UPN, ruoli, stato MFA, attributi di directory Entra ID)
  • Indicatori e metadati di postura di sicurezza (Secure Score, avvisi di configurazione)

Ciò che il Servizio non raccoglie: contenuto di email, file, documenti, messaggi, password, dati sensibili ai sensi dell'articolo 9 del GDPR.

Architettura effimera: l'audit viene eseguito in memoria volatile all'interno di un contenitore di scansione usa e getta (nessuna archiviazione su disco). Il rapporto viene consegnato una sola volta al cliente, dopodiché i dati grezzi della scansione e il token di accesso vengono cancellati. Il token è cifrato a riposo (Fernet) per la durata dell'audit. TTL massimo di sicurezza: 2 ore. SYAGA conserva lato server solo i dati di fatturazione, conformemente agli obblighi di legge.

2.3 Cookie e traccianti

Il sito syaga.eu utilizza esclusivamente cookie strettamente necessari al funzionamento del Servizio:

  • __jsc: cookie di sicurezza anti-bot, durata di sessione
  • vigil_audit: cookie di sessione, durata di sessione

Non viene depositato alcun cookie di misurazione dell'audience (Google Analytics, Matomo o equivalente) né alcun cookie pubblicitario. Questi cookie strettamente necessari sono esentati dal consenso preventivo conformemente alle linee guida della CNIL del 4 luglio 2023 (fonte: cnil.fr -- cookie e traccianti). Un'informativa su tali cookie è sufficiente.


3. Finalità e basi giuridiche del trattamento

Conformemente all'articolo 6 del GDPR, ogni trattamento si fonda su una base giuridica individuata:

FinalitàBase giuridica (Art. 6 GDPR)
Fornitura ed esecuzione del Servizio di audit; creazione e gestione dell'account clienteEsecuzione del contratto -- Art. 6.1.b
Fatturazione, contabilità, recupero creditiObbligo legale (Codice di commercio francese art. L.123-22) ed esecuzione del contratto -- Art. 6.1.c e 6.1.b
Supporto e assistenza tecnicaEsecuzione del contratto -- Art. 6.1.b
Sicurezza del Servizio, prevenzione delle frodi, logLegittimo interesse -- Art. 6.1.f
Cookie strettamente necessariEsentati dal consenso (linee guida CNIL)

Per i dati di audit del tenant (sezione 2.2), SYAGA agisce su istruzione del cliente (titolare del trattamento). Vedere il DPA.


4. Destinatari e responsabili del trattamento per conto terzi

I dati sono comunicati esclusivamente alle persone autorizzate all'interno di SYAGA CONSULTING nonché ai responsabili del trattamento per conto terzi che intervengono alle condizioni dell'articolo 28 del GDPR:

  • Microsoft Corporation: fornitore dell'API Microsoft Graph, utilizzata in sola lettura per accedere ai dati di configurazione del tenant del cliente. I dati sottoposti ad audit sono quelli del tenant Microsoft 365 proprio del Cliente, consultati in sola lettura per suo conto tramite Microsoft Graph. Microsoft agisce come fornitore del Cliente; SYAGA non ne è il sub-responsabile del trattamento.
  • Stripe Inc.: fornitore di pagamento per il trattamento dei dati di fatturazione. I trasferimenti verso Stripe sono disciplinati dall'EU-U.S. Data Privacy Framework, a cui Stripe è certificata, e, in via sussidiaria, dalle Clausole Contrattuali Tipo della Commissione europea (2021) integrate nel Data Transfers Addendum di Stripe (fonti: stripe.com/legal/dpa e stripe.com/legal/dta).
  • Hosting provider: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francia (RCS Lille Métropole 424 761 419). Il servizio è ospitato in Francia da OVH SAS (hosting provider francese), responsabile del trattamento per conto terzi tecnico di SYAGA CONSULTING. SYAGA CONSULTING riceve solo dati pseudonimizzati (token).

Nessun dato viene venduto né ceduto a terzi per finalità commerciali.

I dati possono essere comunicati ad autorità amministrative o giudiziarie quando la legge lo richiede.


5. Periodi di conservazione

I dati sono conservati per una durata non superiore a quella necessaria alle finalità perseguite (art. 5.1.e GDPR):

Categoria di datiPeriodo di conservazione
Dati di audit grezzi (findings, token di accesso)Zero conservazione lato server: cancellati alla consegna del Rapporto (architettura effimera, TTL massimo 2 ore)
Dati dell'account cliente attivoDurata del rapporto contrattuale, poi cancellazione entro 30 giorni dalla disdetta
Dati di fatturazione e documenti contabili10 anni a decorrere dalla chiusura dell'esercizio (obbligo legale, art. L.123-22 Codice di commercio francese)
Log tecnici (log di connessione)12 mesi (raccomandazione CNIL)

6. Trasferimenti di dati al di fuori dell'Unione europea

L'infrastruttura che ospita il Servizio SYAGA Audit è localizzata in Francia. In linea di principio, nessun trasferimento di dati viene effettuato da SYAGA al di fuori dell'UE / SEE.

Per quanto riguarda Microsoft: il Titolare del trattamento riconosce che l'API Microsoft Graph è gestita da Microsoft Corporation (Stati Uniti). Eventuali trasferimenti che coinvolgono Microsoft sono disciplinati dalle sue clausole contrattuali tipo approvate dalla Commissione europea e, ove applicabile, dalla sua partecipazione al quadro EU-U.S. Data Privacy Framework. I dati sottoposti ad audit sono quelli del tenant Microsoft 365 proprio del Cliente, consultati in sola lettura per suo conto tramite Microsoft Graph. Microsoft agisce come fornitore del Cliente. Eventuali trasferimenti che coinvolgono l'infrastruttura Microsoft sono disciplinati dalle clausole contrattuali tipo approvate dalla Commissione europea e dalla partecipazione di Microsoft al quadro EU-U.S. Data Privacy Framework.

Stripe Inc. effettua trasferimenti extra-UE disciplinati da meccanismi conformi al capo V del GDPR. I trasferimenti verso Stripe sono disciplinati dall'EU-U.S. Data Privacy Framework, a cui Stripe è certificata, e, in via sussidiaria, dalle Clausole Contrattuali Tipo della Commissione europea (2021) integrate nel Data Transfers Addendum di Stripe.


7. Diritti degli interessati

Conformemente agli articoli da 15 a 22 del GDPR, ogni interessato dispone dei seguenti diritti:

  • Diritto di accesso (art. 15 GDPR): ottenere la conferma che dati che la riguardano sono oggetto di trattamento e ottenerne copia
  • Diritto di rettifica (art. 16): far correggere dati inesatti o incompleti
  • Diritto alla cancellazione (art. 17): ottenere la cancellazione nei casi previsti dal GDPR
  • Diritto di limitazione del trattamento (art. 18)
  • Diritto alla portabilità (art. 20): ricevere i propri dati in un formato strutturato e leggibile da dispositivo automatico
  • Diritto di opposizione (art. 21): opporsi al trattamento per motivi connessi alla propria situazione particolare, e in qualsiasi momento in materia di marketing diretto
  • Diritto di revoca del consenso (art. 7.3) in qualsiasi momento quando il trattamento si fonda sul consenso
  • Diritto post-mortem (art. 85 legge francese Informatique et Libertés): definire direttive relative alla sorte dei dati dopo la morte

Importante per i dati di audit: per i dati di configurazione e i metadati del tenant, le richieste di esercizio dei diritti devono essere indirizzate al cliente (titolare del trattamento), che coinvolgerà SYAGA se necessario (art. 28.3.e GDPR).

Modalità di esercizio

Questi diritti si esercitano inviando una richiesta a contact@syaga.fr o per posta a SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc (Francia). Una risposta viene fornita entro un mese (art. 12.3 GDPR), prorogabile di due mesi in caso di complessità.

Reclamo presso la CNIL

Ogni interessato ha il diritto di presentare un reclamo presso la CNIL (art. 77 GDPR):

CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 (Francia) -- www.cnil.fr


8. Sicurezza dei dati (art. 32 GDPR)

SYAGA mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adatto al rischio (art. 32 GDPR):

  • Architettura effimera: audit eseguito in memoria volatile, contenitore di scansione usa e getta senza archiviazione su disco; dati grezzi cancellati alla consegna del Rapporto
  • Minimo privilegio: connessione tramite OAuth Microsoft con i permessi più ristretti proposti da Microsoft per ciascun perimetro sottoposto ad audit; il Servizio non scrive, non modifica né elimina mai alcun dato del tenant
  • Cifratura in transito: TLS 1.2/1.3 su tutte le comunicazioni; SPF, DKIM e DMARC attivati sulle email
  • Cifratura a riposo: token di accesso cifrato (Fernet) per la durata dell'audit
  • Hosting in Francia: infrastruttura OVH (Francia)
  • Controllo degli accessi: principio del minimo privilegio; autorizzazioni nominative
  • Protezione anti-abuso: limite di 2 audit/giorno/tenant, misure anti-DDoS
  • Notifica delle violazioni: procedura conforme agli art. 33 e 34 GDPR (notifica alla CNIL entro 72 ore)

Allineamento multi-referenziale

Le misure di sicurezza di SYAGA Audit sono concepite in coerenza con diversi referenziali di sicurezza riconosciuti. SYAGA non rivendica alcuna certificazione formale su questi referenziali: le misure sono allineate ai requisiti della norma ISO/IEC 27001, essendo stato avviato un percorso di certificazione, senza che sia stata a oggi ottenuta alcuna certificazione; le misure sono allineate a e ispirate da questi framework:

  • GDPR (Regolamento UE 2016/679): base normativa direttamente applicabile -- eur-lex.europa.eu CELEX:32016R0679
  • Direttiva NIS2 (Direttiva UE 2022/2555): misure di gestione dei rischi, sicurezza delle reti e dei sistemi informativi -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, il cui organico e fatturato sono al di sotto delle soglie delle entità importanti ai sensi della direttiva (UE) 2022/2555 (50 dipendenti o 10 milioni di EUR), non rientra nel campo di applicazione delle entità soggette a NIS2. SYAGA Audit aiuta comunque i propri clienti a misurare la loro conformità a questo referenziale (fonte: monespacenis2.cyber.gouv.fr).
  • DORA (Regolamento UE 2022/2554): resilienza operativa digitale per il settore finanziario -- eur-lex.europa.eu CELEX:32022R2554. Non essendo SYAGA un'entità finanziaria regolamentata, il regolamento (UE) 2022/2554 (DORA) non le è direttamente applicabile; possono tuttavia applicarsi obblighi contrattuali caso per caso quando un cliente è un'entità finanziaria soggetta a DORA (fonte: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: quadro di riferimento per i sistemi di gestione della sicurezza delle informazioni (SGSI) -- iso.org/standard/27001. Le misure di SYAGA Audit sono allineate ai requisiti della norma ISO/IEC 27001, essendo stato avviato un percorso di certificazione, senza che sia stata a oggi ottenuta alcuna certificazione.
  • Raccomandazioni ANSSI: Guida all'igiene informatica e raccomandazioni dell'Agenzia nazionale francese per la sicurezza dei sistemi informativi -- ssi.gouv.fr.

SYAGA Audit aiuta appunto i propri clienti a misurare la propria conformità a questi referenziali (GDPR, NIS2, ANSSI) all'interno del loro ambiente Microsoft 365.


9. Modifiche alla presente informativa

La presente Informativa può essere aggiornata per riflettere le evoluzioni legali, normative o tecniche. La versione in vigore è quella pubblicata su https://syaga.eu/confidentialite.html. In caso di modifica sostanziale, gli utenti registrati saranno informati via email entro un termine ragionevole prima dell'entrata in vigore delle modifiche.


10. Contatti

Per qualsiasi domanda relativa alla presente informativa o alla protezione dei vostri dati:

  • Email: contact@syaga.fr
  • Indirizzo: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc (Francia)

Riferimenti normativi e documentali

  • Regolamento (UE) 2016/679 (GDPR) -- testo integrale: eur-lex.europa.eu CELEX:32016R0679
  • Legge francese n. 78-17 del 6 gennaio 1978 e successive modifiche: Légifrance
  • CNIL -- diritti degli interessati: cnil.fr
  • CNIL -- cookie: cnil.fr
  • Direttiva NIS2 (UE) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • Regolamento DORA (UE) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- Guida all'igiene informatica: ssi.gouv.fr
SYAGA Audit
Sicurezza Privacy Termini di utilizzo DPA Note legali © 2026 SYAGA