SYAGA AuditMicrosoft 365 Edition
Sākums Funkcijas Drošība Kā tas darbojas Cenas
Pieslēgties Sākt bezmaksas diagnostiku

Konfidencialitātes politika

Versija 1.0 - Pēdējā atjaunināšana: 2026. gada 25. jūnijs


Ievads

Šīs konfidencialitātes politikas mērķis ir informēt pakalpojuma SYAGA Audit lietotājus un klientus par to, kā tiek vākti, apstrādāti un aizsargāti viņu personas dati, saskaņā ar 2016. gada 27. aprīļa Regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi (VDAR) un 1978. gada 6. janvāra likumu Nr. 78-17 ar grozījumiem par informātiku, datnēm un brīvībām.

SYAGA Audit ir Microsoft 365 vides drošības un atbilstības audita pakalpojums, kas darbojas tikai lasīšanas režīmā attiecībā uz klienta Microsoft 365 tenant konfigurāciju un metadatiem. Pakalpojums nepiekļūst auditētā tenant lietotāju ziņojumu, failu vai e-pastu saturam un neglabā nevienu paroli.

Šis dokuments izpilda VDAR 13. pantā (tieša datu vākšana) un 14. pantā (netieša datu vākšana) noteikto informēšanas pienākumu.


1. Pārziņa identitāte un kontaktinformācija

Pārzinis konta datiem un klientu attiecību pārvaldībai ir:

SYAGA CONSULTING

  • Forma: sabiedrība ar ierobežotu atbildību (SARL) ar 20 000 EUR pamatkapitālu
  • SIREN: 518 489 471 -- RCS Aix-en-Provence
  • Juridiskā adrese: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Francija
  • PVN maksātāja reģistrācijas numurs: FR93 518489471
  • E-pasts: contact@syaga.fr

Apstrādātāja / pārziņa nošķīrums: attiecībā uz Microsoft 365 tenant konfigurācijas datiem un metadatiem, kas savākti audita laikā, SYAGA darbojas kā apstrādātājs VDAR 28. panta izpratnē, klientam paliekot par savu M365 datu pārzini. Šī politika aptver jomu, kurā SYAGA darbojas kā pārzinis (konta dati, rēķini, atbalsts). Apstrādi, kas tiek veikta klienta vārdā, regulē Datu apstrādes līgums (DAL).

Kontakti datu aizsardzības jautājumos

Jebkuram jautājumam par datu aizsardzību: contact@syaga.fr

Datu aizsardzības speciālista iecelšana nav obligāta VDAR 37. panta izpratnē; pārzinis, ko pārstāv vadītājs, ir kontaktpunkts jebkuram jautājumam par personas datiem.


2. Vāktie personas dati

2.1 Konta un klientu attiecību pārvaldības dati

SYAGA kā pārzinis vāc:

  • Kontaktpersonas identitāte: vārds, uzvārds, amats
  • Profesionālā kontaktinformācija: e-pasta adrese, uzņēmuma nosaukums
  • Pakalpojuma autentifikācijas dati (Microsoft OAuth marķieris - neviena parole netiek glabāta SYAGA Audit pusē)
  • Rēķinu un līguma pārvaldības dati
  • Atbalsta un saziņas dati
  • Tehniskie pieslēgšanās žurnāli (IP adreses, laika zīmogi)

2.2 Audita dati (Microsoft 365 konfigurācija un metadati)

Audita ietvaros Pakalpojums tikai lasīšanas režīmā piekļūst, izmantojot Microsoft Graph API, klienta M365 tenant konfigurācijas datiem un metadatiem, tostarp:

  • Drošības konfigurācijas iestatījumi (nosacītās piekļuves politikas, MFA iestatījumi, koplietošanas iestatījumi)
  • Metadati par lietotāju kontiem (UPN, lomas, MFA statuss, Entra ID kataloga atribūti)
  • Drošības stāvokļa rādītāji un metadati (Secure Score, konfigurācijas brīdinājumi)

Ko Pakalpojums neievāc: e-pastu, failu, dokumentu, ziņojumu saturu, paroles, sensitīvus datus VDAR 9. panta izpratnē.

Efemēra arhitektūra: audits tiek izpildīts operatīvajā atmiņā, izmantojamā skenēšanas konteinerā (bez saglabāšanas diskā). Pārskats tiek nodots klientam vienreiz, pēc tam skenēšanas neapstrādātie dati un piekļuves marķieris tiek dzēsti. Marķieris tiek šifrēts miera stāvoklī (Fernet) audita laikā. Maksimālais drošības TTL: 2 stundas. SYAGA servera pusē glabā tikai rēķinu datus saskaņā ar tiesiskajiem pienākumiem.

2.3 Sīkdatnes un izsekošanas rīki

Vietne syaga.eu izmanto vienīgi noteikti nepieciešamās sīkdatnes Pakalpojuma darbībai:

  • __jsc: aizsardzības pret robotiem sīkdatne, sesijas ilgums
  • vigil_audit: sesijas sīkdatne, sesijas ilgums

Netiek izmantota neviena apmeklējumu mērīšanas sīkdatne (Google Analytics, Matomo vai līdzvērtīga) un neviena reklāmas sīkdatne. Šīs noteikti nepieciešamās sīkdatnes ir atbrīvotas no iepriekšējas piekrišanas saskaņā ar CNIL 2023. gada 4. jūlija vadlīnijām (avots: cnil.fr - sīkdatnes un izsekošanas rīki). Šo sīkdatņu informēšanas paziņojums ir pietiekams.


3. Apstrādes mērķi un juridiskais pamats

Saskaņā ar VDAR 6. pantu katrai apstrādei ir noteikts juridiskais pamats:

MērķisJuridiskais pamats (VDAR 6. pants)
Audita pakalpojuma sniegšana un izpilde; klienta konta izveide un pārvaldībaLīguma izpilde -- 6.1.b pants
Rēķinu izrakstīšana, grāmatvedība, parādu piedziņaJuridisks pienākums (Komerclikuma L.123-22 pants) un līguma izpilde -- 6.1.c un 6.1.b pants
Atbalsts un tehniskā palīdzībaLīguma izpilde -- 6.1.b pants
Pakalpojuma drošība, krāpšanas novēršana, žurnalēšanaLeģitīmās intereses -- 6.1.f pants
Noteikti nepieciešamās sīkdatnesAtbrīvots no piekrišanas (CNIL vadlīnijas)

Attiecībā uz tenant audita datiem (2.2. sadaļa), SYAGA rīkojas pēc klienta (pārziņa) norādījumiem. Skatīt DAL.


4. Saņēmēji un apstrādātāji

Dati tiek nodoti tikai pilnvarotām personām SYAGA CONSULTING ietvaros, kā arī apstrādātājiem, kas darbojas VDAR 28. panta nosacījumos:

  • Microsoft Corporation: Microsoft Graph API nodrošinātājs, kas tiek izmantots tikai lasīšanas režīmā, lai piekļūtu klienta tenant konfigurācijas datiem. Auditētie dati ir Klienta paša Microsoft 365 tenant dati, kas apskatīti tikai lasīšanas režīmā viņa vārdā ar Microsoft Graph starpniecību. Microsoft darbojas kā Klienta pakalpojumu sniedzējs; SYAGA nav tā turpmākais apstrādātājs.
  • Stripe Inc.: maksājumu pakalpojumu sniedzējs rēķinu datu apstrādei. Datu nodošanu Stripe regulē ES un ASV Datu privātuma satvars, kuram Stripe ir sertificēts, un papildus - Eiropas Komisijas standarta līguma noteikumi (2021), kas iekļauti Stripe Datu nodošanas pielikumā (avoti: stripe.com/legal/dpa un stripe.com/legal/dta).
  • Mitinātājs: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francija (RCS Lille Métropole 424 761 419). Pakalpojums tiek mitināts Francijā, OVH SAS (Francijas mitinātājs) infrastruktūrā, kas ir SYAGA CONSULTING tehniskais apstrādātājs. SYAGA CONSULTING saņem tikai pseidonimizētus datus (marķierus).

Neviens dati netiek pārdoti vai nodoti trešajām personām komerciālos nolūkos.

Dati var tikt nodoti administratīvām vai tiesu iestādēm, ja to pieprasa likums.


5. Glabāšanas termiņi

Dati tiek glabāti ne ilgāk kā nepieciešams noteiktajiem mērķiem (VDAR 5.1.e pants):

Datu kategorijaGlabāšanas termiņš
Neapstrādāti audita dati (konstatējumi, piekļuves marķieris)Nulles glabāšana servera pusē: dzēsti Pārskata nodošanas brīdī (efemēra arhitektūra, maksimālais TTL 2 stundas)
Aktīva klienta konta datiLīgumattiecību ilgums, pēc tam dzēšana 30 dienu laikā pēc izbeigšanas
Rēķinu dati un grāmatvedības dokumenti10 gadi no finanšu gada slēgšanas (juridisks pienākums, Komerclikuma L.123-22 pants)
Tehniskie žurnāli (pieslēgšanās žurnāli)12 mēneši (CNIL ieteikums)

6. Datu nodošana ārpus Eiropas Savienības

Infrastruktūra, kurā tiek mitināts Pakalpojums SYAGA Audit, atrodas Francijā. Principā SYAGA neveic nekādu datu nodošanu ārpus ES/EEZ.

Attiecībā uz Microsoft: pārzinis atzīst, ka Microsoft Graph API uztur Microsoft Corporation (ASV). Iespējamo datu nodošanu, kas saistīta ar Microsoft, regulē tās Eiropas Komisijas apstiprinātie standarta līguma noteikumi un, ja piemērojams, tās dalība ES un ASV Datu privātuma satvarā. Auditētie dati ir Klienta paša Microsoft 365 tenant dati, kas apskatīti tikai lasīšanas režīmā viņa vārdā ar Microsoft Graph starpniecību. Microsoft darbojas kā Klienta pakalpojumu sniedzējs. Iespējamo datu nodošanu, kas saistīta ar Microsoft infrastruktūru, regulē Eiropas Komisijas apstiprinātie standarta līguma noteikumi un Microsoft dalība ES un ASV Datu privātuma satvarā.

Stripe Inc. veic datu nodošanu ārpus ES, ko regulē VDAR V nodaļai atbilstoši mehānismi. Datu nodošanu Stripe regulē ES un ASV Datu privātuma satvars, kuram Stripe ir sertificēts, un papildus - Eiropas Komisijas standarta līguma noteikumi (2021), kas iekļauti Stripe Datu nodošanas pielikumā.


7. Datu subjektu tiesības

Saskaņā ar VDAR 15.-22. pantu katram datu subjektam ir šādas tiesības:

  • Piekļuves tiesības (VDAR 15. pants): saņemt apstiprinājumu, vai par viņu tiek apstrādāti dati, un iegūt to kopiju
  • Labošanas tiesības (16. pants): panākt neprecīzu vai nepilnīgu datu labošanu
  • Dzēšanas tiesības (17. pants): saņemt datu dzēšanu VDAR paredzētajos gadījumos
  • Apstrādes ierobežošanas tiesības (18. pants)
  • Datu pārnesamības tiesības (20. pants): saņemt savus datus strukturētā, mašīnlasāmā formātā
  • Iebilduma tiesības (21. pants): iebilst pret apstrādi savas konkrētās situācijas dēļ, un jebkurā brīdī attiecībā uz komerciālu piedāvājumu izplatīšanu
  • Tiesības atsaukt piekrišanu (7.3. pants) jebkurā brīdī, ja apstrāde balstīta uz piekrišanu
  • Pēcnāves tiesības (Informātikas un brīvību likuma 85. pants): noteikt norādījumus par datu likteni pēc nāves

Svarīgi par audita datiem: attiecībā uz tenant konfigurācijas datiem un metadatiem, tiesību izmantošanas pieprasījumi jāadresē klientam (pārzinim), kurš nepieciešamības gadījumā vērsīsies pie SYAGA (VDAR 28.3.e pants).

Tiesību izmantošanas kārtība

Šīs tiesības var izmantot, nosūtot pieprasījumu uz contact@syaga.fr vai pa pastu SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Francija. Atbilde tiek sniegta viena mēneša laikā (VDAR 12.3. pants), ko sarežģītības gadījumā var pagarināt par diviem mēnešiem.

Sūdzība CNIL

Jebkurai datu subjektam ir tiesības iesniegt sūdzību CNIL (VDAR 77. pants):

CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Francija -- www.cnil.fr


8. Datu drošība (VDAR 32. pants)

SYAGA īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni (VDAR 32. pants):

  • Efemēra arhitektūra: audits tiek izpildīts operatīvajā atmiņā, izmantojamā skenēšanas konteinerā bez saglabāšanas diskā; neapstrādātie dati tiek dzēsti Pārskata nodošanas brīdī
  • Minimālo tiesību princips: pieslēgšanās ar Microsoft OAuth, izmantojot šaurākās atļaujas, ko Microsoft piedāvā katram auditētajam apjomam; Pakalpojums nekad neraksta, nemaina un nedzēš nevienu tenant datu
  • Šifrēšana pārraidē: TLS 1.2/1.3 visai saziņai; SPF, DKIM un DMARC aktivizēti e-pastiem
  • Šifrēšana miera stāvoklī: piekļuves marķieris šifrēts (Fernet) audita laikā
  • Mitināšana Francijā: OVH (Francija) infrastruktūra
  • Piekļuves kontrole: minimālo tiesību princips; personalizētas atļaujas
  • Aizsardzība pret ļaunprātīgu izmantošanu: ierobežojums 2 auditi dienā uz vienu tenant, pretDDoS pasākumi
  • Paziņošana par pārkāpumiem: procedūra saskaņā ar VDAR 33. un 34. pantu (paziņošana CNIL 72 stundu laikā)

Vairāku ietvaru saskaņojums

SYAGA Audit drošības pasākumi ir izstrādāti saskaņā ar vairākiem atzītiem drošības ietvariem. SYAGA nepretendē uz nekādu formālu sertifikāciju šajos ietvaros - pasākumi ir saskaņoti ar ISO/IEC 27001 standarta prasībām, sertifikācijas process ir uzsākts, bet sertifikāts pagaidām nav iegūts; pasākumi ir saskaņoti ar un iedvesmoti no šiem ietvariem:

  • VDAR (Regula ES 2016/679): tieši piemērojamais regulējuma pamats -- eur-lex.europa.eu CELEX:32016R0679
  • NIS2 direktīva (ES Direktīva 2022/2555): riska pārvaldības pasākumi, tīklu un informācijas sistēmu drošība -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, kuras darbinieku skaits un apgrozījums ir zem svarīgo subjektu sliekšņiem Direktīvas (ES) 2022/2555 izpratnē (50 darbinieki vai 10 milj. EUR), neietilpst NIS2 subjektu lokā. Tomēr SYAGA Audit palīdz saviem klientiem novērtēt savu atbilstību šim regulējumam (avots: monespacenis2.cyber.gouv.fr).
  • DORA (Regula ES 2022/2554): finanšu nozares digitālā darbības noturība -- eur-lex.europa.eu CELEX:32022R2554. Tā kā SYAGA nav regulēta finanšu iestāde, Regula (ES) 2022/2554 (DORA) tai tieši nav piemērojama; tomēr līgumiskas saistības var rasties katrā gadījumā atsevišķi, ja klients ir DORA pakļauta finanšu iestāde (avots: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: informācijas drošības pārvaldības sistēmu (ISMS) atsauces ietvars -- iso.org/standard/27001. SYAGA Audit pasākumi ir saskaņoti ar ISO/IEC 27001 standarta prasībām, sertifikācijas process ir uzsākts, bet sertifikāts pagaidām nav iegūts.
  • ANSSI ieteikumi: Francijas Nacionālās informācijas sistēmu drošības aģentūras informātikas higiēnas rokasgrāmata un ieteikumi -- ssi.gouv.fr.

SYAGA Audit tieši palīdz saviem klientiem novērtēt savu atbilstību šiem ietvariem (VDAR, NIS2, ANSSI) savā Microsoft 365 vidē.


9. Šīs politikas izmaiņas

Šī politika var tikt atjaunināta, lai atspoguļotu juridiskās, regulatīvās vai tehniskās izmaiņas. Spēkā esošā versija ir tā, kas publicēta https://syaga.eu/confidentialite.html. Būtisku izmaiņu gadījumā reģistrētie lietotāji tiks informēti pa e-pastu saprātīgā termiņā pirms izmaiņu spēkā stāšanās.


10. Kontakti

Jebkuram jautājumam par šo politiku vai jūsu datu aizsardzību:

  • E-pasts: contact@syaga.fr
  • Adrese: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Francija

Juridiskās un dokumentārās atsauces

  • Regula (ES) 2016/679 (VDAR) - pilns teksts: eur-lex.europa.eu CELEX:32016R0679
  • 1978. gada 6. janvāra likums Nr. 78-17 ar grozījumiem: Légifrance
  • CNIL - datu subjektu tiesības: cnil.fr
  • CNIL - sīkdatnes: cnil.fr
  • NIS2 direktīva (ES) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • DORA regula (ES) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI - informātikas higiēnas rokasgrāmata: ssi.gouv.fr
SYAGA Audit
Drošība Konfidencialitāte Lietošanas noteikumi DAL Juridiskā informācija © 2026 SYAGA