Politika ta' Privatezza
Verżjoni 1.0 - Aħħar aġġornament: 25 ta' Ġunju 2026
Preambolu
Din il-Politika ta' Privatezza għandha l-għan li tinforma lill-utenti u lill-klijenti tas-servizz SYAGA Audit dwar kif id-dejta personali tagħhom tinġabar, tiġi pproċessata u protetta, konformement mar-Regolament (UE) 2016/679 tas-27 ta' April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar tad-dejta personali (GDPR) u mal-Liġi Franċiża Nru 78-17 tas-6 ta' Jannar 1978 emendata dwar l-informatika, il-fajls u l-libertajiet.
SYAGA Audit huwa servizz ta' awditjar tas-sigurtà u tal-konformità tal-ambjent Microsoft 365, li jopera b'aċċess ta' qari biss fuq il-konfigurazzjonijiet u l-metadata tat-tenant Microsoft 365 tal-klijent. Is-Servizz ma jaċċedix għall-kontenut tal-messaġġi, fajls jew emails tal-utenti tat-tenant awditjat, u ma jaħżen l-ebda password.
Dan id-dokument jissodisfa l-obbligu ta' informazzjoni previst fl-artikoli 13 (ġbir dirett) u 14 (ġbir indirett) tal-GDPR.
1. Identità u dettalji ta' kuntatt tal-kontrollur tad-dejta
Il-kontrollur tad-dejta għad-dejta tal-kont u l-ġestjoni tar-relazzjoni mal-klijent huwa:
SYAGA CONSULTING
- Forma: Kumpanija b'responsabbiltà limitata (SARL) b'kapital ta' 20 000 EUR
- SIREN: 518 489 471 -- RCS Aix-en-Provence
- Uffiċċju rreġistrat: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
- Numru tal-VAT intra-Komunitarju: FR93 518489471
- Email: contact@syaga.fr
Artikolazzjoni proċessur / kontrollur tad-dejta: għad-dejta tal-konfigurazzjoni u l-metadata tat-tenant Microsoft 365 miġbura waqt l-awditjar, SYAGA taġixxi bħala proċessur fis-sens tal-artikolu 28 tal-GDPR, filwaqt li l-klijent jibqa' kontrollur tad-dejta tiegħu stess M365. Din il-politika tkopri l-firxa li għaliha SYAGA taġixxi bħala kontrollur tad-dejta (dejta tal-kont, fatturazzjoni, appoġġ). L-ipproċessar imwettaq f'isem il-klijent huwa rregolat mill-Ftehim ta' Pproċessar tad-Dejta (DPA).
Kuntatt tal-protezzjoni tad-dejta
Għal kull talba relatata mal-protezzjoni tad-dejta: contact@syaga.fr
Il-ħatra ta' uffiċjal tal-protezzjoni tad-dejta mhijiex obbligatorja fis-sens tal-artikolu 37 tal-GDPR; il-kontrollur tad-dejta, fil-persuna tal-amministratur, huwa l-punt ta' kuntatt għal kull mistoqsija relatata mad-dejta personali.
2. Dejta personali miġbura
2.1 Dejta tal-kont u tal-ġestjoni tar-relazzjoni mal-klijent
SYAGA tiġbor, bħala kontrollur tad-dejta:
- Identità tal-kuntatt: kunjom, isem, kariga
- Dettalji professjonali: indirizz tal-email, isem tan-negozju
- Dejta ta' awtentikazzjoni għas-Servizz (token OAuth Microsoft -- l-ebda password maħżuna fuq in-naħa ta' SYAGA Audit)
- Dejta tal-fatturazzjoni u tal-ġestjoni kuntrattwali
- Dejta ta' appoġġ u skambji
- Logs tekniċi ta' konnessjoni (indirizzi IP, timestamps)
2.2 Dejta tal-awditjar (konfigurazzjoni u metadata Microsoft 365)
Fil-qafas tal-awditjar, is-Servizz jaċċedi b'aċċess ta' qari biss, permezz tal-API Microsoft Graph, għad-dejta tal-konfigurazzjoni u l-metadata tat-tenant M365 tal-klijent, b'mod partikolari:
- Settings tal-konfigurazzjoni tas-sigurtà (politiki ta' aċċess kondizzjonali, settings MFA, settings ta' kondiviżjoni)
- Metadata relatata mal-kontijiet tal-utenti (UPN, rwoli, status MFA, attributi tad-direttorju Entra ID)
- Indikaturi u metadata tal-pożizzjoni tas-sigurtà (Secure Score, allerti ta' konfigurazzjoni)
Dak li s-Servizz ma jiġborx: kontenut tal-emails, fajls, dokumenti, messaġġi, passwords, dejta sensittiva fis-sens tal-artikolu 9 tal-GDPR.
Arkitettura effimera: l-awditjar jitwettaq fil-memorja RAM ġo kontenitur ta' skan li jintrema wara użu (l-ebda ħżin fuq disk). Ir-rapport jingħata darba lill-klijent, u mbagħad id-dejta mhux ipproċessata tal-iskan u t-token tal-aċċess jitħassru. It-token huwa kriptat waqt li mhux qed jintuża (Fernet) matul it-tul tal-awditjar. TTL massimu tas-sigurtà: sagħtejn. SYAGA ma żżomm fuq in-naħa tas-server ħlief id-dejta tal-fatturazzjoni, konformement mal-obbligi legali.
2.3 Cookies u trackers
Is-sit syaga.eu juża biss cookies strettament meħtieġa għall-funzjonament tas-Servizz:
__jsc: cookie ta' sigurtà kontra bots, tul tas-sessjonivigil_audit: cookie tas-sessjoni, tul tas-sessjoni
L-ebda cookie ta' kejl tal-udjenza (Google Analytics, Matomo jew ekwivalenti) u l-ebda cookie ta' reklamar ma jitqiegħed. Dawn il-cookies strettament meħtieġa huma eżenti minn kunsens minn qabel konformement mal-linji gwida tas-CNIL tal-4 ta' Lulju 2023 (sors: cnil.fr -- cookies u trackers). Avviż ta' informazzjoni dwar dawn il-cookies huwa biżżejjed.
3. Finijiet u bażijiet legali tal-ipproċessar
Konformement mal-artikolu 6 tal-GDPR, kull ipproċessar huwa bbażat fuq bażi legali identifikata:
| Skop | Bażi legali (Art. 6 GDPR) |
|---|---|
| Provvista u eżekuzzjoni tas-Servizz tal-awditjar; ħolqien u ġestjoni tal-kont tal-klijent | Eżekuzzjoni tal-kuntratt -- Art. 6.1.b |
| Fatturazzjoni, kontabbiltà, irkupru | Obbligu legali (Kodiċi Kummerċjali Franċiż art. L.123-22) u eżekuzzjoni tal-kuntratt -- Art. 6.1.c u 6.1.b |
| Appoġġ u assistenza teknika | Eżekuzzjoni tal-kuntratt -- Art. 6.1.b |
| Sigurtà tas-Servizz, prevenzjoni tal-frodi, reġistrazzjoni ta' logs | Interess leġittimu -- Art. 6.1.f |
| Cookies strettament meħtieġa | Eżenti minn kunsens (linji gwida CNIL) |
Għad-dejta tal-awditjar tat-tenant (taqsima 2.2), SYAGA taġixxi fuq istruzzjoni tal-klijent (kontrollur tad-dejta). Ara d-DPA.
4. Destinatarji u proċessuri
Id-dejta tiġi kkomunikata biss lill-persuni awtorizzati fi ħdan SYAGA CONSULTING kif ukoll lill-proċessuri li jintervjenu fil-kundizzjonijiet tal-artikolu 28 tal-GDPR:
- Microsoft Corporation: fornitur tal-API Microsoft Graph, użat b'aċċess ta' qari biss biex jiġi aċċedut għad-dejta tal-konfigurazzjoni tat-tenant tal-klijent. Id-dejta awditjata hija dik tat-tenant Microsoft 365 tal-Klijent stess, ikkonsultata b'aċċess ta' qari biss f'ismu permezz ta' Microsoft Graph. Microsoft jaġixxi bħala fornitur tal-Klijent; SYAGA mhuwiex is-sotto-proċessur tiegħu.
- Stripe Inc.: fornitur tal-pagamenti għall-ipproċessar tad-dejta tal-fatturazzjoni. It-trasferimenti lejn Stripe huma rregolati mill-EU-U.S. Data Privacy Framework, li għalih Stripe huwa ċċertifikat, u, b'mod sussidjarju, mill-Klawsoli Kuntrattwali Standard tal-Kummissjoni Ewropea (2021) integrati fid-Data Transfers Addendum ta' Stripe (sorsi: stripe.com/legal/dpa u stripe.com/legal/dta).
- Host: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Franza (RCS Lille Métropole 424 761 419). Is-servizz huwa ospitat fi Franza minn OVH SAS (host Franċiż), proċessur tekniku ta' SYAGA CONSULTING. SYAGA CONSULTING tirċievi biss dejta psewdonimizzata (tokens).
L-ebda dejta ma tinbiegħ jew tiġi ċeduta lil terzi għal skopijiet kummerċjali.
Id-dejta tista' tiġi kkomunikata lil awtoritajiet amministrattivi jew ġudizzjarji meta l-liġi teħtieġ dan.
5. Perjodi ta' żamma
Id-dejta tinżamm għal perjodu li ma jaqbiżx dak meħtieġ għall-finijiet segwiti (art. 5.1.e GDPR):
| Kategorija ta' dejta | Perjodu ta' żamma |
|---|---|
| Dejta mhux ipproċessata tal-awditjar (findings, token tal-aċċess) | Żero żamma fuq in-naħa tas-server: mitħassra mal-kunsinna tar-Rapport (arkitettura effimera, TTL massimu sagħtejn) |
| Dejta tal-kont tal-klijent attiv | It-tul tar-relazzjoni kuntrattwali, imbagħad tħassir fi żmien 30 jum wara t-terminazzjoni |
| Dejta tal-fatturazzjoni u dokumenti kontabilistiċi | 10 snin mill-għeluq tas-sena finanzjarja (obbligu legali, art. L.123-22 tal-Kodiċi Kummerċjali Franċiż) |
| Logs tekniċi (logs ta' konnessjoni) | 12-il xahar (rakkomandazzjoni CNIL) |
6. Trasferimenti ta' dejta barra mill-Unjoni Ewropea
L-infrastruttura li tospita s-Servizz SYAGA Audit tinsab fi Franza. Bħala prinċipju, l-ebda trasferiment ta' dejta ma jsir barra mill-UE / ŻEE minn SYAGA.
Rigward Microsoft: il-Kontrollur tad-dejta jirrikonoxxi li l-API Microsoft Graph hija operata minn Microsoft Corporation (l-Istati Uniti). It-trasferimenti eventwali li jinvolvu lil Microsoft huma rregolati mill-klawsoli kuntrattwali standard tagħha approvati mill-Kummissjoni Ewropea u, fejn applikabbli, mill-parteċipazzjoni tagħha fil-qafas EU-U.S. Data Privacy Framework. Id-dejta awditjata hija dik tat-tenant Microsoft 365 tal-Klijent stess, ikkonsultata b'aċċess ta' qari biss f'ismu permezz ta' Microsoft Graph. Microsoft jaġixxi bħala fornitur tal-Klijent. It-trasferimenti eventwali li jinvolvu l-infrastruttura ta' Microsoft huma rregolati mill-klawsoli kuntrattwali standard approvati mill-Kummissjoni Ewropea u l-parteċipazzjoni ta' Microsoft fil-qafas EU-U.S. Data Privacy Framework.
Stripe Inc. topera trasferimenti barra mill-UE rregolati minn mekkaniżmi konformi mal-Kapitolu V tal-GDPR. It-trasferimenti lejn Stripe huma rregolati mill-EU-U.S. Data Privacy Framework, li għalih Stripe huwa ċċertifikat, u, b'mod sussidjarju, mill-Klawsoli Kuntrattwali Standard tal-Kummissjoni Ewropea (2021) integrati fid-Data Transfers Addendum ta' Stripe.
7. Drittijiet tal-persuni kkonċernati
Konformement mal-artikoli 15 sa 22 tal-GDPR, kull persuna kkonċernata għandha d-drittijiet li ġejjin:
- Dritt ta' aċċess (art. 15 GDPR): tikseb konferma li d-dejta li tikkonċernak qed tiġi pproċessata u tikseb kopja tagħha
- Dritt ta' rettifika (art. 16): tikseb il-korrezzjoni ta' dejta mhux eżatta jew mhux kompluta
- Dritt għat-tħassir (art. 17): tikseb it-tħassir fil-każijiet previsti mill-GDPR
- Dritt għal-limitazzjoni tal-ipproċessar (art. 18)
- Dritt għall-portabbiltà (art. 20): tirċievi d-dejta tiegħek f'format strutturat u li jinqara minn magna
- Dritt ta' oppożizzjoni (art. 21): topponi l-ipproċessar għal raġunijiet relatati mas-sitwazzjoni partikolari tiegħek, u f'kull ħin fir-rigward tal-prospekting kummerċjali
- Dritt ta' rtirar tal-kunsens (art. 7.3) f'kull ħin meta l-ipproċessar ikun ibbażat fuq il-kunsens
- Dritt post-mortem (art. 85 tal-liġi Informatique et Libertés): tiddefinixxi direttivi dwar id-destin tad-dejta wara l-mewt
Importanti għad-dejta tal-awditjar: għad-dejta tal-konfigurazzjoni u l-metadata tat-tenant, it-talbiet għall-eżerċizzju tad-drittijiet għandhom jintbagħtu lill-klijent (kontrollur tad-dejta), li jikkuntattja lil SYAGA jekk meħtieġ (art. 28.3.e GDPR).
Modalitajiet ta' eżerċizzju
Dawn id-drittijiet jiġu eżerċitati billi tibgħat talba lil contact@syaga.fr jew bl-ittra lil SYAGA CONSULTING 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Tweġiba tingħata fi żmien xahar (art. 12.3 GDPR), li tista' tiġi estiża b'xahrejn f'każ ta' kumplessità.
Ilment lis-CNIL
Kull persuna kkonċernata għandha d-dritt li tressaq ilment lis-CNIL (art. 77 GDPR):
CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr
8. Sigurtà tad-dejta (art. 32 GDPR)
SYAGA timplimenta miżuri tekniċi u organizzattivi xierqa biex tiżgura livell ta' sigurtà adattat għar-riskju (art. 32 GDPR):
- Arkitettura effimera: awditjar imwettaq fil-memorja RAM, kontenitur ta' skan li jintrema wara użu mingħajr ħżin fuq disk; id-dejta mhux ipproċessata titħassar mal-kunsinna tar-Rapport
- Inqas privileġġ: konnessjoni permezz ta' OAuth Microsoft bl-iktar permessi ristretti offruti minn Microsoft għal kull firxa awditjata; is-Servizz qatt ma jikteb, jimmodifika jew iħassar l-ebda dejta tat-tenant
- Kriptaġġ waqt it-trasmissjoni: TLS 1.2/1.3 fuq il-komunikazzjonijiet kollha; SPF, DKIM u DMARC attivati fuq l-emails
- Kriptaġġ waqt il-mistrieħ: token tal-aċċess kriptat (Fernet) matul it-tul tal-awditjar
- Hosting fi Franza: infrastruttura OVH (Franza)
- Kontroll tal-aċċessi: prinċipju tal-inqas privileġġ; awtorizzazzjonijiet nominattivi
- Protezzjoni kontra l-abbuż: limitu massimu ta' 2 awditjar/jum/tenant, miżuri kontra d-DDoS
- Notifika ta' ksur: proċedura konformi mal-artikoli 33 u 34 tal-GDPR (notifika lis-CNIL fi żmien 72 siegħa)
Allinjament multi-referenzjar
Il-miżuri tas-sigurtà ta' SYAGA Audit huma mfassla b'koerenza ma' diversi referenzi tas-sigurtà rikonoxxuti. SYAGA ma tiddikjara l-ebda ċertifikazzjoni formali fuq dawn ir-referenzi: il-miżuri huma allinjati mar-rekwiżiti tal-istandard ISO/IEC 27001, b'proċess ta' ċertifikazzjoni mibdi, mingħajr ċertifikazzjoni miksuba sal-lum; il-miżuri huma allinjati ma' u ispirati minn dawn il-qafas:
- GDPR (Regolament UE 2016/679): bażi regolatorja direttament applikabbli -- eur-lex.europa.eu CELEX:32016R0679
- Direttiva NIS2 (Direttiva UE 2022/2555): miżuri ta' ġestjoni tar-riskju, sigurtà tan-networks u tas-sistemi tal-informazzjoni -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, li n-numru ta' impjegati u l-fatturat tagħha huma taħt il-limiti tal-entitajiet importanti fis-sens tad-Direttiva (UE) 2022/2555 (50 impjegat jew 10 M EUR), ma taqax fil-kamp tal-entitajiet soġġetti għal NIS2. SYAGA Audit madankollu jgħin lill-klijenti tiegħu jkejlu l-konformità tagħhom ma' dan ir-referenzjar (sors: monespacenis2.cyber.gouv.fr).
- DORA (Regolament UE 2022/2554): reżiljenza operattiva diġitali għas-settur finanzjarju -- eur-lex.europa.eu CELEX:32022R2554. Peress li SYAGA mhijiex entità finanzjarja regolata, ir-Regolament (UE) 2022/2554 (DORA) mhuwiex direttament applikabbli għaliha; madankollu jistgħu japplikaw obbligi kuntrattwali każ b'każ meta klijent ikun entità finanzjarja soġġetta għal DORA (sors: eur-lex.europa.eu DORA).
- ISO/IEC 27001: qafas ta' referenza għas-sistemi tal-ġestjoni tas-sigurtà tal-informazzjoni (SMSI) -- iso.org/standard/27001. Il-miżuri ta' SYAGA Audit huma allinjati mar-rekwiżiti tal-istandard ISO/IEC 27001, b'proċess ta' ċertifikazzjoni mibdi, mingħajr ċertifikazzjoni miksuba sal-lum.
- Rakkomandazzjonijiet ANSSI: Gwida ta' iġjene informatika u rakkomandazzjonijiet tal-Aġenzija Nazzjonali Franċiża tas-Sigurtà tas-Sistemi tal-Informazzjoni -- ssi.gouv.fr.
SYAGA Audit jgħin preċiżament lill-klijenti tiegħu jkejlu l-konformità tagħhom stess ma' dawn ir-referenzi (GDPR, NIS2, ANSSI) fi ħdan l-ambjent Microsoft 365 tagħhom.
9. Modifiki ta' din il-politika
Din il-Politika tista' tiġi aġġornata biex tirrifletti l-evoluzzjonijiet legali, regolatorji jew tekniċi. Il-verżjoni fis-seħħ hija dik ippubblikata fuq https://syaga.eu/confidentialite.html. F'każ ta' modifika sostanzjali, l-utenti rreġistrati jiġu informati bl-email fi żmien raġonevoli qabel id-dħul fis-seħħ tal-modifiki.
10. Kuntatt
Għal kull mistoqsija relatata ma' din il-politika jew mal-protezzjoni tad-dejta tiegħek:
- Email: contact@syaga.fr
- Indirizz: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc
Referenzi legali u dokumentarji
- Regolament (UE) 2016/679 (GDPR) -- test sħiħ: eur-lex.europa.eu CELEX:32016R0679
- Liġi Franċiża Nru 78-17 tas-6 ta' Jannar 1978 emendata: Légifrance
- CNIL -- drittijiet tal-persuni: cnil.fr
- CNIL -- cookies: cnil.fr
- Direttiva NIS2 (UE) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- Regolament DORA (UE) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Gwida ta' iġjene informatika: ssi.gouv.fr