SYAGA AuditMicrosoft 365 Edition
Início Funcionalidades Segurança Como funciona Preços
Iniciar sessão Iniciar o meu diagnóstico gratuito

Política de Privacidade

Versão 1.0 - Última atualização: 25 de junho de 2026


Preâmbulo

A presente Política de Privacidade tem por objetivo informar os utilizadores e clientes do serviço SYAGA Audit sobre a forma como os seus dados pessoais são recolhidos, tratados e protegidos, em conformidade com o Regulamento (UE) 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais (RGPD) e com a lei francesa n.º 78-17, de 6 de janeiro de 1978, alterada, relativa à informática, aos ficheiros e às liberdades.

A SYAGA Audit é um serviço de auditoria de segurança e de conformidade do ambiente Microsoft 365, que opera em modo de leitura apenas sobre as configurações e os metadados do tenant Microsoft 365 do cliente. O Serviço não acede ao conteúdo das mensagens, ficheiros ou e-mails dos utilizadores do tenant auditado, e não armazena qualquer palavra-passe.

O presente documento satisfaz a obrigação de informação prevista nos artigos 13.º (recolha direta) e 14.º (recolha indireta) do RGPD.


1. Identidade e dados de contacto do responsável pelo tratamento

O responsável pelo tratamento dos dados de conta e de gestão da relação com o cliente é:

SYAGA CONSULTING

  • Forma: sociedade por quotas (SARL de direito francês) com o capital de 20 000 EUR
  • SIREN: 518 489 471 - RCS Aix-en-Provence
  • Sede social: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, França
  • Número de IVA intracomunitário: FR93 518489471
  • E-mail: contact@syaga.fr

Articulação subcontratante / responsável pelo tratamento: para os dados de configuração e metadados do tenant Microsoft 365 recolhidos durante a auditoria, a SYAGA atua na qualidade de subcontratante na aceção do artigo 28.º do RGPD, permanecendo o cliente responsável pelo tratamento dos seus próprios dados M365. A presente política abrange o âmbito para o qual a SYAGA atua na qualidade de responsável pelo tratamento (dados de conta, faturação, apoio). O tratamento realizado por conta do cliente é regido pelo Acordo de Tratamento de Dados (DPA).

Contacto para a proteção de dados

Para qualquer pedido relativo à proteção de dados: contact@syaga.fr

A designação de um encarregado da proteção de dados não é obrigatória na aceção do artigo 37.º do RGPD; o responsável pelo tratamento, na pessoa do gerente, é o ponto de contacto para qualquer questão relativa aos dados pessoais.


2. Dados pessoais recolhidos

2.1 Dados de conta e de gestão da relação com o cliente

A SYAGA recolhe, na qualidade de responsável pelo tratamento:

  • Identidade do contacto: nome, apelido, função
  • Dados de contacto profissionais: endereço de e-mail, denominação social
  • Dados de autenticação no Serviço (token OAuth Microsoft - nenhuma palavra-passe armazenada do lado da SYAGA Audit)
  • Dados de faturação e de gestão contratual
  • Dados de apoio e trocas
  • Registos técnicos de ligação (endereços IP, marcas temporais)

2.2 Dados de auditoria (configuração e metadados Microsoft 365)

No âmbito da auditoria, o Serviço acede, em modo de leitura apenas, através da API Microsoft Graph, aos dados de configuração e metadados do tenant M365 do cliente, nomeadamente:

  • Definições de configuração de segurança (políticas de acesso condicional, definições de MFA, definições de partilha)
  • Metadados relativos às contas de utilizador (UPN, funções, estado do MFA, atributos de diretório Entra ID)
  • Indicadores e metadados de postura de segurança (Secure Score, alertas de configuração)

O que o Serviço não recolhe: conteúdo dos e-mails, ficheiros, documentos, mensagens, palavras-passe, dados sensíveis na aceção do artigo 9.º do RGPD.

Arquitetura efémera: a auditoria executa-se em memória viva, num contentor de scan descartável (nenhum armazenamento em disco). O relatório é entregue uma vez ao cliente, sendo depois eliminados os dados brutos do scan e o token de acesso. O token é cifrado em repouso (Fernet) durante a duração da auditoria. TTL de segurança máximo: 2 horas. A SYAGA só conserva do lado do servidor os dados de faturação, em conformidade com as obrigações legais.

2.3 Cookies e traçadores

O sítio syaga.eu utiliza apenas cookies estritamente necessários ao funcionamento do Serviço:

  • __jsc: cookie de segurança anti-bot, duração de sessão
  • vigil_audit: cookie de sessão, duração de sessão

Não é colocado nenhum cookie de medição de audiência (Google Analytics, Matomo ou equivalente) nem qualquer cookie publicitário. Estes cookies estritamente necessários estão isentos de consentimento prévio, em conformidade com as diretrizes da CNIL de 4 de julho de 2023 (fonte: cnil.fr - cookies e traçadores). Um aviso informativo sobre estes cookies é suficiente.


3. Finalidades e bases jurídicas do tratamento

Em conformidade com o artigo 6.º do RGPD, cada tratamento assenta numa base jurídica identificada:

FinalidadeBase jurídica (Art. 6.º do RGPD)
Fornecimento e execução do Serviço de auditoria; criação e gestão da conta de clienteExecução do contrato - Art. 6.º, n.º 1, alínea b)
Faturação, contabilidade, cobrançaObrigação legal (Código Comercial francês, art. L.123-22) e execução do contrato - Art. 6.º, n.º 1, alíneas c) e b)
Apoio e assistência técnicaExecução do contrato - Art. 6.º, n.º 1, alínea b)
Segurança do Serviço, prevenção da fraude, registo de eventosInteresse legítimo - Art. 6.º, n.º 1, alínea f)
Cookies estritamente necessáriosIsentos de consentimento (diretrizes da CNIL)

Para os dados de auditoria do tenant (secção 2.2), a SYAGA atua por instrução do cliente (responsável pelo tratamento). Ver o DPA.


4. Destinatários e subcontratantes

Os dados só são comunicados às pessoas habilitadas dentro da SYAGA CONSULTING, bem como aos subcontratantes que intervêm nas condições do artigo 28.º do RGPD:

  • Microsoft Corporation: fornecedora da API Microsoft Graph, utilizada em modo de leitura apenas para aceder aos dados de configuração do tenant do cliente. Os dados auditados são os do próprio tenant Microsoft 365 do Cliente, consultados em modo de leitura apenas por conta deste, através do Microsoft Graph. A Microsoft atua como fornecedora do Cliente; a SYAGA não é sua subcontratante subsequente.
  • Stripe Inc.: prestador de pagamento para o tratamento dos dados de faturação. As transferências para a Stripe são enquadradas pelo EU-U.S. Data Privacy Framework, ao qual a Stripe está certificada, e, subsidiariamente, pelas Cláusulas Contratuais-Tipo da Comissão Europeia (2021) integradas no Data Transfers Addendum da Stripe (fontes: stripe.com/legal/dpa e stripe.com/legal/dta).
  • Fornecedor de alojamento: OVH SAS, 2 rue Kellermann, 59100 Roubaix, França (RCS Lille Métropole 424 761 419). O serviço é alojado em França pela OVH SAS (fornecedor de alojamento francês), subcontratante técnico da SYAGA CONSULTING. A SYAGA CONSULTING só recebe dados pseudonimizados (tokens).

Nenhum dado é vendido nem cedido a terceiros para fins comerciais.

Os dados podem ser comunicados a autoridades administrativas ou judiciais quando a lei o exigir.


5. Prazos de conservação

Os dados são conservados por um prazo que não excede o necessário para as finalidades prosseguidas (art. 5.º, n.º 1, alínea e), do RGPD):

Categoria de dadosPrazo de conservação
Dados brutos de auditoria (findings, token de acesso)Zero retenção do lado do servidor: eliminados na entrega do Relatório (arquitetura efémera, TTL máximo de 2 horas)
Dados de conta de cliente ativoDuração da relação contratual, seguida de eliminação no prazo de 30 dias após a resolução
Dados de faturação e documentos contabilísticos10 anos a contar do encerramento do exercício (obrigação legal, art. L.123-22 do Código Comercial francês)
Registos técnicos (logs de ligação)12 meses (recomendação da CNIL)

6. Transferências de dados para fora da União Europeia

A infraestrutura que aloja o Serviço SYAGA Audit está localizada em França. Em princípio, a SYAGA não realiza qualquer transferência de dados para fora da UE / EEE.

Relativamente à Microsoft: o Responsável pelo tratamento reconhece que a API Microsoft Graph é operada pela Microsoft Corporation (Estados Unidos). As eventuais transferências que envolvam a Microsoft são enquadradas pelas suas cláusulas contratuais-tipo aprovadas pela Comissão Europeia e, se aplicável, pela sua participação no EU-U.S. Data Privacy Framework. Os dados auditados são os do próprio tenant Microsoft 365 do Cliente, consultados em modo de leitura apenas por conta deste, através do Microsoft Graph. A Microsoft atua como fornecedora do Cliente. As eventuais transferências que envolvam a infraestrutura Microsoft são enquadradas pelas cláusulas contratuais-tipo aprovadas pela Comissão Europeia e pela participação da Microsoft no EU-U.S. Data Privacy Framework.

A Stripe Inc. efetua transferências fora da UE enquadradas por mecanismos conformes com o capítulo V do RGPD. As transferências para a Stripe são enquadradas pelo EU-U.S. Data Privacy Framework, ao qual a Stripe está certificada, e, subsidiariamente, pelas Cláusulas Contratuais-Tipo da Comissão Europeia (2021) integradas no Data Transfers Addendum da Stripe.


7. Direitos dos titulares dos dados

Em conformidade com os artigos 15.º a 22.º do RGPD, qualquer titular dos dados dispõe dos seguintes direitos:

  • Direito de acesso (art. 15.º do RGPD): obter a confirmação de que dados que lhe digam respeito são tratados e obter cópia dos mesmos
  • Direito de retificação (art. 16.º): fazer corrigir dados inexatos ou incompletos
  • Direito ao apagamento (art. 17.º): obter a supressão nos casos previstos pelo RGPD
  • Direito à limitação do tratamento (art. 18.º)
  • Direito à portabilidade (art. 20.º): receber os seus dados num formato estruturado e legível por máquina
  • Direito de oposição (art. 21.º): opor-se ao tratamento por motivos relacionados com a sua situação particular, e a todo o momento em matéria de prospeção comercial
  • Direito de retirar o consentimento (art. 7.º, n.º 3) a qualquer momento quando o tratamento se baseia no consentimento
  • Direito post-mortem (art. 85.º da lei francesa Informática e Liberdades): definir diretrizes relativas ao destino dos dados após a morte

Importante para os dados de auditoria: para os dados de configuração e metadados do tenant, os pedidos de exercício de direitos devem ser dirigidos ao cliente (responsável pelo tratamento), que solicitará a SYAGA se necessário (art. 28.º, n.º 3, alínea e), do RGPD).

Modalidades de exercício

Estes direitos exercem-se dirigindo um pedido para contact@syaga.fr ou por correio para SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, França. É dada resposta no prazo de um mês (art. 12.º, n.º 3, do RGPD), prorrogável por dois meses em caso de complexidade.

Reclamação junto da CNIL

Qualquer titular dos dados dispõe do direito de apresentar reclamação junto da CNIL (art. 77.º do RGPD):

CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, França - www.cnil.fr


8. Segurança dos dados (art. 32.º do RGPD)

A SYAGA implementa medidas técnicas e organizativas adequadas para assegurar um nível de segurança ajustado ao risco (art. 32.º do RGPD):

  • Arquitetura efémera: auditoria executada em memória viva, contentor de scan descartável sem armazenamento em disco; dados brutos eliminados na entrega do Relatório
  • Menor privilégio: ligação através de OAuth Microsoft com as permissões mais restritas propostas pela Microsoft para cada âmbito auditado; o Serviço nunca escreve, altera nem elimina qualquer dado do tenant
  • Cifragem em trânsito: TLS 1.2/1.3 em todas as comunicações; SPF, DKIM e DMARC ativados nos e-mails
  • Cifragem em repouso: token de acesso cifrado (Fernet) durante a duração da auditoria
  • Alojamento em França: infraestrutura OVH (França)
  • Controlo de acessos: princípio do menor privilégio; habilitações nominativas
  • Proteção antiabuso: limite de 2 auditorias/dia/tenant, medidas anti-DDoS
  • Notificação de violações: procedimento conforme com os arts. 33.º e 34.º do RGPD (notificação à CNIL no prazo de 72 h)

Alinhamento multirreferencial

As medidas de segurança da SYAGA Audit são concebidas em coerência com vários referenciais de segurança reconhecidos. A SYAGA não reivindica nenhuma certificação formal sobre estes referenciais; as medidas estão alinhadas com as exigências da norma ISO/IEC 27001, estando em curso um processo de certificação, sem certificação obtida até à data; as medidas estão alinhadas com e inspiradas em estes quadros:

  • RGPD (Regulamento UE 2016/679): base regulamentar diretamente aplicável -- eur-lex.europa.eu CELEX:32016R0679
  • Diretiva NIS2 (Diretiva UE 2022/2555): medidas de gestão de riscos, segurança das redes e dos sistemas de informação -- eur-lex.europa.eu CELEX:32022L2555. A SYAGA, cujo número de trabalhadores e volume de negócios se situam abaixo dos limiares das entidades importantes na aceção da Diretiva (UE) 2022/2555 (50 trabalhadores ou 10 M EUR), não se enquadra no âmbito das entidades sujeitas à NIS2. A SYAGA Audit ajuda, no entanto, os seus clientes a medir a sua conformidade com este referencial (fonte: monespacenis2.cyber.gouv.fr).
  • DORA (Regulamento UE 2022/2554): resiliência operacional digital para o setor financeiro -- eur-lex.europa.eu CELEX:32022R2554. Não sendo a SYAGA uma entidade financeira regulada, o Regulamento (UE) 2022/2554 (DORA) não lhe é diretamente aplicável; podem, no entanto, aplicar-se obrigações contratuais caso a caso quando um cliente for uma entidade financeira sujeita ao DORA (fonte: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: quadro de referência para os sistemas de gestão da segurança da informação (SGSI) -- iso.org/standard/27001. As medidas da SYAGA Audit estão alinhadas com as exigências da norma ISO/IEC 27001, estando em curso um processo de certificação, sem certificação obtida até à data.
  • Recomendações da ANSSI: Guia de higiene informática e recomendações da Agência Nacional Francesa de Segurança dos Sistemas de Informação -- ssi.gouv.fr.

A SYAGA Audit ajuda precisamente os seus clientes a medir a sua própria conformidade com estes referenciais (RGPD, NIS2, ANSSI) dentro do seu ambiente Microsoft 365.


9. Alterações à presente política

A presente Política pode ser atualizada para refletir a evolução legal, regulamentar ou técnica. A versão em vigor é a publicada em https://syaga.eu/confidentialite.html. Em caso de alteração substancial, os utilizadores registados serão informados por e-mail dentro de um prazo razoável antes da entrada em vigor das alterações.


10. Contacto

Para qualquer questão relativa à presente política ou à proteção dos seus dados:

  • E-mail: contact@syaga.fr
  • Endereço: SYAGA CONSULTING - 2 Impasse Paul Langevin, 13110 Port-de-Bouc, França

Referências legais e documentais

  • Regulamento (UE) 2016/679 (RGPD) - texto integral: eur-lex.europa.eu CELEX:32016R0679
  • Lei francesa n.º 78-17, de 6 de janeiro de 1978, alterada: Légifrance
  • CNIL - direitos das pessoas: cnil.fr
  • CNIL - cookies: cnil.fr
  • Diretiva NIS2 (UE) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • Regulamento DORA (UE) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI - Guia de higiene informática: ssi.gouv.fr
SYAGA Audit
Segurança Privacidade Termos e Condições DPA Avisos legais © 2026 SYAGA