Ftehim ta' Pproċessar tad-Dejta (DPA)
Konkluż b'applikazzjoni tal-artikolu 28 tar-Regolament (UE) 2016/679 (GDPR) (sors: gdpr-info.eu/art-28-gdpr)
Servizz ikkonċernat: SYAGA Audit -- awditjar tas-sigurtà u tal-konformità Microsoft 365, aċċess ta' qari biss
Verżjoni: 1.0 -- Data: 27 ta' Ġunju 2026 -- Data tad-dħul fis-seħħ: 27 ta' Ġunju 2026
Identifikazzjoni tal-Partijiet
Il-Proċessur:
SYAGA CONSULTING, kumpanija b'responsabbiltà limitata (SARL) b'kapital ta' 20 000 euro, irreġistrata fir-RCS ta' Aix-en-Provence bin-numru SIREN 518 489 471, imwaqqfa fit-08/12/2009, rappreżentata mill-amministratur tagħha Sébastien Questier, li l-uffiċċju rreġistrat tagħha jinsab 2 Impasse Paul Langevin, 13110 Port-de-Bouc, pubblikatriċi tas-servizz SYAGA Audit, minn hawn 'il quddiem imsejħa il-Proċessur.
U
Il-Kontrollur tad-dejta: il-Klijent li ssottoskriva għas-servizz SYAGA Audit skont il-kundizzjonijiet tal-CGV disponibbli fuq cgu.html, li d-dettalji tiegħu huma dawk mogħtija waqt is-sottoskrizzjoni, minn hawn 'il quddiem imsejjaħ il-Kontrollur tad-dejta.
Minn hawn 'il quddiem imsejħa flimkien il-Partijiet.
Preambolu
Dan il-Ftehim ta' Pproċessar tad-Dejta (DPA) huwa konkluż b'applikazzjoni tal-artikolu 28 tal-GDPR, li jeħtieġ li pproċessar imwettaq minn proċessur f'isem kontrollur tad-dejta jkun irregolat minn kuntratt li jiddefinixxi s-suġġett, it-tul, in-natura u l-iskop tal-ipproċessar, it-tip ta' dejta personali, il-kategoriji ta' persuni kkonċernati, kif ukoll l-obbligi u d-drittijiet tal-kontrollur tad-dejta.
Dan id-DPA huwa anċillari għat-Termini u Kundizzjonijiet Ġenerali tal-Bejgħ u tas-Servizz (CGV) ta' SYAGA Audit (il-Kuntratt prinċipali). F'każ ta' kontradizzjoni bejn dan id-DPA u l-Kuntratt prinċipali dwar kwistjoni relatata mal-protezzjoni tad-dejta, dan id-DPA jipprevali. F'każ ta' kontradizzjoni relatata mal-protezzjoni tad-dejta personali, dan id-DPA jipprevali fuq iċ-CGU.
Bis-sottoskrizzjoni għas-servizz SYAGA Audit, il-Klijent jaċċetta t-termini ta' dan id-DPA. L-aċċettazzjoni elettronika tikkostitwixxi aċċettazzjoni tad-DPA konformement mad-dispożizzjonijiet applikabbli għall-konklużjoni ta' kuntratti b'mod elettroniku.
Artikolu 1 -- Suġġett u dottrina tas-servizz
Dan id-DPA jiddefinixxi l-kundizzjonijiet li bihom il-Proċessur jimpenja ruħu li jwettaq, f'isem u fuq istruzzjoni dokumentata tal-Kontrollur tad-dejta, l-operazzjonijiet ta' pproċessar tad-dejta personali meħtieġa għall-provvista tas-servizz SYAGA Audit.
SYAGA Audit iwettaq awditjar tas-sigurtà u tal-konformità tal-ambjent Microsoft 365 tal-Kontrollur tad-dejta b'aċċess ta' qari biss: is-Servizz qatt ma jikteb, jimmodifika jew iħassar l-ebda dejta fit-tenant awditjat.
Il-Proċessur japplika dottrina zero-knowledge: il-ġbir u l-psewdonimizzazzjoni jitwettqu fil-browser tal-Klijent (estensjoni). Il-Proċessur qatt ma jirċievi d-dejta mhux ipproċessata tat-tenant jew it-token tal-aċċess Microsoft tal-Klijent: biss impronti psewdonimizzati. Ir-riżultati tal-awditjar tokenizzati jinżammu fl-ispazju tal-klijent biex jippermettu lill-Klijent jerġa' jiftaħhom, sakemm ikun attiv; jiġu rikuntestwalizzati fil-miftuħ biss fuq il-kompjuter tal-Klijent.
Artikolu 2 -- Natura, skop u tul tal-ipproċessar
2.1 Natura tal-operazzjonijiet. L-operazzjonijiet jikkonsistu fi: ġbir (qari, inqas privileġġ) permezz tal-APIs ta' Microsoft, imwettaq minn estensjoni tal-browser eżegwita fuq il-kompjuter tal-Klijent; psewdonimizzazzjoni lokali; analiżi mill-Proċessur tal-impronti psewdonimizzati biss fid-dawl ta' referenzi tas-sigurtà (ANSSI, rakkomandazzjonijiet Microsoft, GDPR, NIS2); ritorn f'forma ta' rapporti rikuntestwalizzati fuq il-kompjuter tal-Klijent.
2.2 Skop esklussiv. L-iskop huwa l-evalwazzjoni tal-pożizzjoni tas-sigurtà u tal-konformità tat-tenant Microsoft 365 tal-Kontrollur tad-dejta u l-produzzjoni tar-rapporti tal-awditjar assoċjati. L-ebda skop ieħor (prospekting, profiling, użu mill-ġdid għal skopijiet proprji tal-Proċessur) mhuwa awtorizzat.
2.3 Tul. L-ipproċessar isir matul it-tul tal-eżekuzzjoni tal-Kuntratt prinċipali. Id-dejta mhux ipproċessata titħassar immedjatament mal-kunsinna tar-Rapport.
Artikolu 3 -- Kategoriji ta' dejta personali pproċessata
Il-Proċessur jipproċessa l-kategoriji ta' dejta li ġejjin:
- Dejta ta' konfigurazzjoni u metadata tas-sigurtà: settings tat-tenant, politiki ta' aċċess kondizzjonali, konfigurazzjoni MFA, rwoli u permessi amministrattivi, settings ta' kondiviżjoni, stati ta' attivazzjoni tal-funzjonalitajiet tas-sigurtà
- Metadata ta' identità u direttorju: identifikaturi tal-kontijiet (UPN), ismijiet tal-wiri, sħubija fi gruppi, attributi tad-direttorju rilevanti għall-awditjar
- Logs u metadata ta' avvenimenti tas-sigurtà: logs ta' konnessjoni, avvenimenti tal-awditjar, metadata meħtieġa għall-evalwazzjoni tal-kontrolli
Esklużjonijiet espliċiti. Il-Proċessur ma jipproċessax il-kontenut tal-emails, tal-fajls jew tad-dokumenti. Tiġi pproċessata biss metadata u dejta tal-konfigurazzjoni.
Kategoriji partikolari. L-ipproċessar mhuwiex maħsub biex jipproċessa kategoriji partikolari ta' dejta fis-sens tal-artikolu 9 tal-GDPR. Il-Kontrollur tad-dejta jimpenja ruħu li ma jikkonfigurax is-servizz b'mod li jwassal għal tali pproċessar.
Artikolu 4 -- Kategoriji ta' persuni kkonċernati
Il-persuni kkonċernati huma d-detenturi ta' kontijiet u identitajiet fi ħdan it-tenant Microsoft 365 tal-Kontrollur tad-dejta: impjegati, diretturi, amministraturi, fornituri u mistiedna li għandhom kont fid-direttorju awditjat.
Artikolu 5 -- Istruzzjonijiet dokumentati tal-Kontrollur tad-dejta
Il-Proċessur jipproċessa d-dejta biss fuq istruzzjoni dokumentata tal-Kontrollur tad-dejta (art. 28.3.a GDPR), inkluż fir-rigward ta' trasferimenti lejn pajjiż terz, ħlief obbligu legali imperattiv (f'liema każ jgħarraf lill-Kontrollur tad-dejta qabel l-ipproċessar, ħlief projbizzjoni legali).
Dan id-DPA, l-annessi tiegħu u ċ-CGV jikkostitwixxu l-istruzzjonijiet dokumentati inizjali. Il-Proċessur jgħarraf minnufih lill-Kontrollur tad-dejta jekk iqis li istruzzjoni tikkostitwixxi ksur tal-GDPR (art. 28.3, aħħar paragrafu GDPR).
Artikolu 6 -- Kunfidenzjalità
Il-Proċessur jiżgura li l-persuni awtorizzati jipproċessaw id-dejta jimpenjaw ruħhom li jirrispettaw il-kunfidenzjalità jew ikunu soġġetti għal obbligu legali xieraq ta' kunfidenzjalità (art. 28.3.b GDPR), u jirċievu t-taħriġ meħtieġ dwar il-protezzjoni tad-dejta. Dan l-impenn jibqa' validu wara t-tmiem tal-funzjonijiet u wara t-tmiem ta' dan id-DPA.
Artikolu 7 -- Miżuri tas-sigurtà (art. 32 GDPR) u allinjament mar-referenzi
Il-Proċessur jimplimenta miżuri tekniċi u organizzattivi xierqa biex jiżgura livell ta' sigurtà adattat għar-riskju (art. 32 GDPR). Il-miżuri fis-seħħ jinkludu b'mod partikolari:
- Arkitettura zero-knowledge: il-ġbir u l-psewdonimizzazzjoni jitwettqu fil-browser tal-Klijent (estensjoni); il-Proċessur jirċievi biss impronti psewdonimizzati; id-dejta mhux ipproċessata tat-tenant u t-token Microsoft qatt ma jiġu trasmessi lilu
- Inqas privileġġ: konnessjoni permezz ta' OAuth Microsoft bl-iktar permessi ristretti offruti minn Microsoft għal kull firxa; is-Servizz qatt ma jikteb, jimmodifika jew iħassar l-ebda dejta tat-tenant awditjat
- Kriptaġġ waqt it-trasmissjoni: TLS 1.2/1.3 fuq il-komunikazzjonijiet kollha; SPF, DKIM u DMARC attivati
- Token Microsoft: qatt ma joħroġ mill-browser tal-Klijent; il-Proċessur qatt ma jirċevih jew jaħżnu
- Hosting fi Franza: infrastruttura OVH (Franza) operata għal SYAGA CONSULTING
- Ġestjoni tal-aċċessi: prinċipju tal-inqas privileġġ; awtorizzazzjonijiet nominattivi; reviżjoni regolari
- Kontra l-abbuż: limitu massimu ta' 2 awditjar/jum/tenant; miżuri kontra d-DDoS
- Reġistrazzjoni ta' logs: traċċabbiltà tal-aċċessi għad-dejta
- Testijiet regolari tal-effikaċja tal-miżuri tas-sigurtà
Allinjament mal-qafas tas-sigurtà rikonoxxuti
Il-miżuri hawn fuq huma mfassla b'koerenza mar-referenzi li ġejjin. SYAGA ma tiddikjara l-ebda ċertifikazzjoni formali fuq dawn ir-referenzi: il-miżuri huma allinjati mar-rekwiżiti tal-istandard ISO/IEC 27001, b'proċess ta' ċertifikazzjoni mibdi, mingħajr ċertifikazzjoni miksuba sal-lum; dan huwa allinjament funzjonali:
| Referenzjar | Rilevanza għal SYAGA Audit | Sors uffiċjali |
|---|---|---|
| GDPR (UE) 2016/679 | Bażi regolatorja direttament applikabbli. Art. 32: miżuri tekniċi u organizzattivi. Arkitettura effimera = miżura ta' minimizzazzjoni konformi mal-art. 5.1.e. | eur-lex.europa.eu CELEX:32016R0679 |
| Direttiva NIS2 (UE) 2022/2555 | Miżuri ta' ġestjoni tar-riskji taċ-ċibersigurtà (art. 21 NIS2): kontinwità tan-negozju, ġestjoni tal-inċidenti, sigurtà tan-networks, kriptaġġ. SYAGA Audit jgħin lill-klijenti jevalwaw il-konformità NIS2 tagħhom stess fit-tenant M365 tagħhom. SYAGA, li n-numru ta' impjegati u l-fatturat tagħha huma taħt il-limiti tal-entitajiet importanti fis-sens tad-Direttiva (UE) 2022/2555 (50 impjegat jew 10 M EUR), ma taqax fil-kamp tal-entitajiet soġġetti għal NIS2. SYAGA Audit madankollu jgħin lill-klijenti tiegħu jkejlu l-konformità tagħhom ma' dan ir-referenzjar. | eur-lex.europa.eu CELEX:32022L2555 |
| Regolament DORA (UE) 2022/2554 | Reżiljenza operattiva diġitali għall-entitajiet finanzjarji regolati. SYAGA Audit jista' jgħin lill-klijenti finanzjarji jiddokumentaw il-pożizzjoni DORA tagħhom fit-tenant M365 tagħhom. Peress li SYAGA mhijiex entità finanzjarja regolata, DORA mhuwiex direttament applikabbli għaliha; jistgħu japplikaw obbligi kuntrattwali każ b'każ għall-klijenti tas-settur finanzjarju soġġetti għal DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | Qafas SMSI: politika tas-sigurtà, ġestjoni tar-riskju, kontrolli tal-aċċess, kriptaġġ, reġistrazzjoni ta' logs. Il-miżuri ta' SYAGA Audit huma allinjati mal-kontrolli korrispondenti ta' ISO 27002. Il-miżuri ta' SYAGA Audit huma allinjati mar-rekwiżiti tal-istandard ISO/IEC 27001, b'proċess ta' ċertifikazzjoni mibdi, mingħajr ċertifikazzjoni miksuba sal-lum. | iso.org/standard/27001 |
| Rakkomandazzjonijiet ANSSI | Gwida ta' iġjene informatika, rakkomandazzjonijiet dwar is-sigurtà tas-sistemi tal-informazzjoni. Miżuri ispirati mir-rakkomandazzjonijiet ANSSI dwar il-ġestjoni tal-kontijiet, il-kriptaġġ u r-reġistrazzjoni ta' logs. SYAGA Audit jevalwa l-konfigurazzjonijiet M365 fid-dawl tar-rakkomandazzjonijiet ANSSI. | ssi.gouv.fr |
Id-dettalji sħaħ tal-miżuri tekniċi u organizzattivi jinsabu fl-Anness 1.
Artikolu 8 -- Rikors għal sotto-proċessuri
Il-Kontrollur tad-dejta jawtorizza lill-Proċessur juża s-sotto-proċessuri elenkati fl-Anness 2. Għal kull sotto-proċessur ġdid jew sostituzzjoni, il-Proċessur jgħarraf lill-Kontrollur tad-dejta bil-miktub mill-inqas tletin (30) jum qabel id-dħul fis-seħħ, filwaqt li l-Kontrollur tad-dejta jkollu perjodu ta' tletin (30) jum biex jopponi għal raġunijiet raġonevoli relatati mal-protezzjoni tad-dejta (art. 28.2 u 28.4 GDPR). Dawn il-perjodi u l-modalitajiet huma applikabbli ħlief ftehim partikolari bejn il-Partijiet.
Il-Proċessur jimponi fuq is-sotto-proċessuri, b'kuntratt, l-istess obbligi ta' protezzjoni tad-dejta previsti f'dan id-DPA (art. 28.4 GDPR) u jibqa' responsabbli b'mod sħiħ lejn il-Kontrollur tad-dejta għall-eżekuzzjoni tagħhom.
Artikolu 9 -- Assistenza lill-Kontrollur tad-dejta
9.1 Drittijiet tal-persuni kkonċernati (art. 12 sa 22 u 28.3.e GDPR). Il-Proċessur jgħaddi mingħajr dewmien lill-Kontrollur tad-dejta kull talba għall-eżerċizzju ta' drittijiet li jirċievi direttament minn persuna kkonċernata u jassistih biex iwieġeb għaliha.
9.2 Sigurtà u DPIA (art. 32 sa 36 u 28.3.f GDPR). Il-Proċessur jassisti lill-Kontrollur tad-dejta għas-sigurtà tal-ipproċessar, it-twettiq ta' valutazzjoni tal-impatt (DPIA) jekk meħtieġ, u konsultazzjoni minn qabel mas-CNIL fejn applikabbli.
9.3 Ksur tad-dejta (art. 33 u 34 GDPR). Il-Proċessur jinnotifika lill-Kontrollur tad-dejta kull ksur tad-dejta fi żmien massimu ta' tmienja u erbgħin (48) siegħa wara li jsir jaf bih, mill-aktar fis possibbli, b'mod li jippermetti lill-kontrollur tad-dejta jirrispetta l-perjodu ta' 72 siegħa previst fl-artikolu 33 tal-GDPR, billi jipprovdi l-informazzjoni utli għan-notifika eventwali.
Artikolu 10 -- Destin tad-dejta fi tmiem il-kuntratt
Fit-tmiem ta' dan id-DPA, il-Proċessur jipproċedi, fi żmien tletin (30) jum wara t-tmiem tal-kuntratt, skont l-għażla tal-Kontrollur tad-dejta nnotifikata bil-miktub (art. 28.3.g GDPR):
Nota: minħabba l-arkitettura effimera tas-servizz, l-ebda dejta tal-awditjar ma tinżamm wara t-tmiem tas-servizz; tinżamm biss id-dejta tal-fatturazzjoni skont l-obbligi legali (10 snin).
- jew għar-ritorn lill-Kontrollur tad-dejta tad-dejta personali pproċessata, f'format strutturat (JSON jew CSV skont id-disponibbiltà);
- jew għat-tħassir sigur tad-dejta kollha, inklużi l-kopji, ħlief obbligu legali ta' żamma.
Konformement mal-arkitettura effimera tas-servizz, id-dejta mhux ipproċessata tal-awditjar diġà tkun mitħassra mal-kunsinna tar-Rapport. Il-Proċessur jipprovdi, fuq talba, attestazzjoni ta' tħassir.
Artikolu 11 -- Awditjar u kontrolli
Il-Proċessur jqiegħed għad-dispożizzjoni tal-Kontrollur tad-dejta l-informazzjoni kollha meħtieġa biex juri l-konformità mal-obbligi tal-artikolu 28 tal-GDPR u jippermetti t-twettiq ta' awditjar, inklużi spezzjonijiet (art. 28.3.h GDPR).
L-awditjar huma soġġetti għall-kundizzjonijiet li ġejjin: avviż bil-miktub ta' mill-inqas tletin (30) jum tax-xogħol, twettiq matul il-ħinijiet tax-xogħol, frekwenza massima ta' awditjar wieħed (1) għal kull perjodu ta' tnax-il (12) xahar ħlief f'ċirkustanza eċċezzjonali (b'mod partikolari inċident ta' sigurtà ppruvat), spejjeż għall-kont tal-Kontrollur tad-dejta, kunfidenzjalità tal-informazzjoni miksuba.
Artikolu 12 -- Trasferimenti barra mill-Unjoni Ewropea
12.1 Lokalizzazzjoni prinċipali. Id-dejta hija pproċessata u ospitata fi Franza. SYAGA CONSULTING hija entità tad-dritt Franċiż. Espożizzjoni indiretta għall-CLOUD Act permezz ta' fornituri terzi ma tistax tiġi eskluża kompletament; SYAGA tillimitaha permezz tal-hosting fi Franza (OVH SAS) u fuq kollox permezz tal-psewdonimizzazzjoni: is-servizz jirċievi biss tokens, qatt id-dejta tiegħek fil-miftuħ.
12.2 Rikors għal Microsoft. Il-Kontrollur tad-dejta jirrikonoxxi li l-API Microsoft Graph hija operata minn Microsoft Corporation (l-Istati Uniti). It-trasferimenti li jinvolvu lil Microsoft huma rregolati mill-klawsoli kuntrattwali standard approvati mill-Kummissjoni Ewropea u, fejn applikabbli, il-qafas EU-U.S. Data Privacy Framework. Id-dejta awditjata hija dik tat-tenant Microsoft 365 tal-Klijent stess, ikkonsultata b'aċċess ta' qari biss f'ismu permezz ta' Microsoft Graph. Microsoft jaġixxi bħala fornitur tal-Klijent; SYAGA mhuwiex is-sotto-proċessur tiegħu.
12.3 Garanziji ġenerali. Kull trasferiment barra mill-UE mwettaq mill-Proċessur jew minn sotto-proċessur huwa soġġett għall-implimentazzjoni ta' mekkaniżmu validu fis-sens tal-Kapitolu V tal-GDPR (deċiżjoni ta' adegwatezza, klawsoli kuntrattwali standard jew garanzija xierqa oħra).
Artikolu 13 -- Kuntatt tal-protezzjoni tad-dejta
Proċessur (SYAGA CONSULTING): punt ta' kuntatt tal-protezzjoni tad-dejta -- contact@syaga.fr. Il-ħatra ta' uffiċjal tal-protezzjoni tad-dejta mhijiex obbligatorja fis-sens tal-artikolu 37 tal-GDPR; ir-responsabbli tal-protezzjoni tad-dejta huwa l-amministratur, Sébastien Questier, punt ta' kuntatt għal kull mistoqsija relatata mad-dejta personali.
Kontrollur tad-dejta: kuntatt GDPR maħtur mill-Klijent skont l-obbligi tiegħu stess.
Artikolu 14 -- Tul, modifika u liġi applikabbli
Dan id-DPA jidħol fis-seħħ mas-sottoskrizzjoni għas-servizz SYAGA Audit u jibqa' fis-seħħ matul it-tul kollu tal-ipproċessar imwettaq f'isem il-Kontrollur tad-dejta.
Kull modifika sostanzjali hija suġġetta għal notifika minn qabel lill-Kontrollur tad-dejta. Il-kontinwazzjoni tal-użu tas-servizz wara l-perjodu ta' notifika tikkostitwixxi aċċettazzjoni tal-modifiki. Dawn il-modalitajiet ta' modifika huma konformi mar-rekwiżiti tal-artikolu 28 tal-GDPR għall-ftehimiet ta' pproċessar.
Dan id-DPA huwa soġġett għad-dritt Franċiż. Kull tilwima taqa' taħt il-kompetenza tal-qrati tad-distrett ta' Aix-en-Provence, soġġetta għar-regoli ta' ordni pubbliku applikabbli għal tilwimiet transkonfinali.
Anness 1 -- Deskrizzjoni dettaljata tal-ipproċessar u l-miżuri tas-sigurtà (art. 32 GDPR)
| Parametru | Deskrizzjoni |
|---|---|
| Finijiet | Awditjar tas-sigurtà u tal-konformità M365 -- produzzjoni ta' rapporti |
| Kategoriji ta' dejta | Metadata tal-konfigurazzjoni, metadata tal-identità (UPN, ismijiet), logs tas-sigurtà |
| Kategoriji partikolari (art. 9) | L-ebda |
| Persuni kkonċernati | Kontijiet u identitajiet tat-tenant Microsoft 365 tal-Klijent |
| Żamma fuq in-naħa tas-server | Dejta mhux ipproċessata tat-tenant: qatt ma tiġi trasmessa (psewdonimizzazzjoni fil-browser). Riżultati tokenizzati: jinżammu fl-ispazju tal-klijent sakemm il-Klijent ikun attiv. |
| Post tal-ipproċessar | Franza (infrastruttura SYAGA CONSULTING) |
| Kriptaġġ waqt it-trasmissjoni | TLS 1.2/1.3 -- il-komunikazzjonijiet kollha; SPF/DKIM/DMARC |
| Token Microsoft | Qatt ma joħroġ mill-browser tal-Klijent; qatt ma jiġi rċevut mill-Proċessur |
| Arkitettura | Ġbir u psewdonimizzazzjoni permezz ta' estensjoni fil-browser tal-Klijent; il-Proċessur janalizza biss impronti |
| Ġestjoni tal-aċċessi | Prinċipju tal-inqas privileġġ; awtorizzazzjonijiet nominattivi |
| Kontra l-abbuż | Limitu massimu ta' 2 awditjar/jum/tenant; kontra d-DDoS |
| Reġistrazzjoni ta' logs | Logs tekniċi minimi ta' operat u sigurtà, mingħajr dejta personali tal-awditjar, miżmuma għal madwar 12-il xahar konformement mar-rakkomandazzjonijiet tas-CNIL. |
| Allinjament ma' referenzi tas-sigurtà | Miżuri allinjati mal-GDPR art. 32, ISO/IEC 27001 (b'proċess ta' ċertifikazzjoni mibdi, mingħajr ċertifikazzjoni miksuba sal-lum), rakkomandazzjonijiet ANSSI. |
Anness 2 -- Lista tas-sotto-proċessuri awtorizzati
| Sotto-proċessur | Servizz | Lokalizzazzjoni | Garanziji ta' trasferiment |
|---|---|---|---|
| Microsoft Corporation | API Microsoft Graph -- aċċess ta' qari għad-dejta tal-konfigurazzjoni tat-tenant | UE + l-Istati Uniti (infrastruttura Microsoft) | Microsoft jaġixxi bħala fornitur tal-Klijent (mhux sotto-proċessur ta' SYAGA). Trasferimenti rregolati mill-klawsoli kuntrattwali standard tal-KE u l-parteċipazzjoni ta' Microsoft fil-qafas EU-U.S. Data Privacy Framework. |
| OVH SAS (hosting, Roubaix, Franza) | Hosting tal-pjattaforma SYAGA Audit | Franza | Mhux applikabbli (UE) |
| Stripe Inc. | Pagament -- dejta tal-fatturazzjoni tal-Klijent biss (esklużi d-dejta tat-tenant) | L-Istati Uniti / UE | EU-U.S. Data Privacy Framework (Stripe ċċertifikat) u, b'mod sussidjarju, Klawsoli Kuntrattwali Standard tal-KE (2021) -- Data Transfers Addendum ta' Stripe. |
Referenzi legali
- CNIL -- proċessur, obbligi art. 28 GDPR: cnil.fr/fr/sous-traitant
- Regolament (UE) 2016/679 (GDPR), artikoli 4, 9, 12 sa 22, 28, 32 sa 36: EUR-Lex CELEX:32016R0679
- Direttiva NIS2 (UE) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
- Regolament DORA (UE) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Gwida ta' iġjene informatika: ssi.gouv.fr
- Liġi Franċiża Nru 78-17 tas-6 ta' Jannar 1978 emendata: Légifrance