Solidarumas su Ukraina. Paslauga siūloma nemokamai Ukrainos įmonėms visą karo laikotarpį. Prašyti nemokamos prieigos
DPA RGPD · Art. 28

Duomenų tvarkymo sutartis

Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.

 Šablonas - paskutinis atnaujinimas - 16/06/2026 RGPD natif Zero-knowledge Hébergement France

Sommaire

1 · Šalių identifikavimas 2 · Tvarkymo objektas ir tikslai 3 · Tvarkomų duomenų kategorijos 4 · Duomenų subjektų kategorijos 5 · Saugojimo terminai 6 · Įgalioti tolesni subrangovai 7 · Techninės ir organizacinės saugumo priemonės 8 · Pranešimas apie duomenų pažeidimus 9 · Duomenų subjektų teisės 10 · Grąžinimas / ištrynimas sutarties pabaigoje 11 · Perdavimai už Europos Sąjungos ribų 12 · Auditas ir bendradarbiavimas  Signature

Préambule

01 / Vue d'ensemble

Les trois rôles RGPD en un coup d'œil.

Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.

Responsable de traitement

Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.

Sous-traitant

ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.

Personnes concernées

Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.

Article 1

1. Šalių identifikavimas

Ši Tvarkymo sutartis (toliau „DPA") papildo Aegirex Bendrąsias naudojimo sąlygas ir nurodo atitinkamas Duomenų valdytojo (Kliento) ir Duomenų tvarkytojo (Aegirex Leidėjo) pareigas pagal Reglamento (ES) 2016/679 (BDAR).

Duomenų tvarkytojas: ARDNTECH EI, registruotas RCS numeriu 913308706, buveinė 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.

Duomenų valdytojas: juridinis ar fizinis asmuo, prenumeruojantis Aegirex ir naudojantis paslaugą skaitmeninių paslapčių saugojimui ir bendrinimui.

Article 2

2. Tvarkymo objektas ir tikslai

Aegirex yra galinių taškų šifravimo (zero-knowledge) paslapčių saugojimo paslauga. Tvarkytojas tvarko duomenis Valdytojo vardu tik šiais tikslais:

  • Nepermatomų kriptografinių blobų saugojimas (paslaptys, užšifruotos Valdytojo viešuoju raktu, niekada neiššifruojamos serverio pusėje).
  • Autentifikavimas, paskyrų tvarkymas, narystės organizacijose tvarkymas.
  • Operatyvinių pranešimų siuntimas (HIBP nutekėjimo perspėjimas opt-in, nario kvietimas, audito perspėjimas).
Article 3

3. Tvarkomų duomenų kategorijos

Tvarkytojas tvarko šias ir tik šias duomenų kategorijas:

Kategorija Susiję duomenys Teisinis pagrindas (BDAR 6 str.)
Vartotojo paskyra El. pašto adresas, pagrindinio slaptažodžio Argon2id hash, OpenPGP viešasis raktas, pasirenkamas vardas. Sutarties vykdymas (BDAR 6.1.b str.)
Saugomos paslaptys Nepermatomi OpenPGP blobai (užšifruoti). Tvarkytojas negali jų skaityti. Sutarties vykdymas (BDAR 6.1.b str.)
Audito žurnalai Prisijungimo įvykiai, paslapčių kūrimas/skaitymas/bendrinimas/ištrynimas, IP, user-agent, HMAC parašai. Teisėtas interesas saugumui (BDAR 6.1.f str.)
Sąskaitos Pavadinimas, SIREN, adresas, sąskaitos el. paštas, mokėjimų istorija. Apskaitos teisinė pareiga (BDAR 6.1.c str.)
Article 4

4. Duomenų subjektų kategorijos

Duomenų subjektai yra: (a) Valdytojo įgalioti vartotojai pasiekti Aegirex; (b) prireikus, šių vartotojų inicijuotų paslapčių bendrinimo gavėjai; (c) Valdytojui išrašytose sąskaitose identifikuoti kontaktai.

Article 5

5. Saugojimo terminai

Duomenys saugomi šiems terminams:

  • Vartotojo paskyra: kol paskyra aktyvi, ištrinama per 30 dienų po aiškaus prašymo arba nutraukimo.
  • Paslaptys: kol vartotojas jų neištrins. Negrįžtamas ir momentinis ištrynimas pagal vartotojo veiksmą.
  • Audito žurnalai: 13 mėnesių (rekomenduojama trukmė atsekamumui), tada anonimizuotas archyvavimas.
  • Sąskaitos duomenys: 10 metų (Komercinio kodekso L123-22 teisinė pareiga).
  • Programų techniniai žurnalai (be audito): 30 dienų rolling, IP automatinis anonimizavimas po to.
Article 6

6. Įgalioti tolesni subrangovai

Valdytojas aiškiai įgalioja Tvarkytoją naudoti šiuos tolesnius subrangovus:

Subrangovas Tikslas Tvarkymo šalis
Brevo SAS Tranzakcinių el. laiškų siuntimas (pranešimas, el. pašto patvirtinimas). FR
Stancer SAS Internetinių mokėjimų tvarkymas. FR
Talpintojas (nurodomas sutartyje) Programos infrastruktūros ir duomenų bazių talpinimas. FR / EU

Bet koks tolesnio subrangovo pasikeitimas yra pranešamas Valdytojui su minimaliu 30 dienų pranešimu, leidžiančiu jam pasinaudoti motyvuotu prieštaravimo teise.

Article 7

7. Techninės ir organizacinės saugumo priemonės

Tvarkytojas įgyvendina šias priemones (orientacinis, neišsamus sąrašas):

  • Paslapčių galinių taškų šifravimas (OpenPGP.js v6, ECC curve25519 kreivės, AES-256-GCM SEIPDv2).
  • Raktų derivacija iš pagrindinio slaptažodžio per Argon2id (5 perėjimai, 256 MiB, parallelism 4).
  • Patikrinama HMAC-SHA-256 kriptografinė audito grandinė, O(1) bet kokio pakeitimo aptikimas.
  • Privalomas TLS 1.3 transporte, HSTS preload, Let's Encrypt arba Buypass sertifikatai automatiškai atnaujinami.
  • Dviejų faktorių autentifikavimas (RFC 6238 TOTP + el. paštas) su užšifruotais atkūrimo kodais.
  • Kasdieninės užšifruotos atsarginės kopijos, saugomos 30 dienų, atkūrimas tikrinamas kas ketvirtį.
  • Metinis įsiskverbimo testas PASSI (nuo V1.0 GA).
Article 8

8. Pranešimas apie duomenų pažeidimus

Pagal BDAR 33 straipsnį Tvarkytojas praneša Valdytojui apie bet kokį asmens duomenų pažeidimą per 48 valandas nuo sužinojimo apie pažeidimą. Pranešimas nurodo pobūdį, mastą, tikėtinas pasekmes ir priimtas ar planuojamas priemones.

Article 9

9. Duomenų subjektų teisės

Tvarkytojas suteikia Valdytojui priemones atsakyti į duomenų subjektų prašymus (teisė į prieigą, taisymą, ištrynimą, perkeliamumą, prieštaravimą) tiesiogiai iš vartotojo sąsajos. Sąsaja neuždengtiems prašymams Tvarkytojas padeda Valdytojui per 5 darbo dienas.

Article 10

10. Grąžinimas / ištrynimas sutarties pabaigoje

Sutarties pabaigoje (nutraukimas, neatnaujinimas) Valdytojas turi 30 dienų savo duomenims eksportuoti per natyvią perkeliamumo eksporto funkciją. Pasibaigus šiam terminui, visi Valdytojo duomenys negrįžtamai ištrinami iš gamybos duomenų bazių. Užšifruotos atsarginės kopijos išvalomos per papildomas 90 dienų (standartinis rotacijos saugojimas).

Article 11

11. Perdavimai už Europos Sąjungos ribų

Joks duomenų perdavimas į trečiąją šalį už ES/EEE nevykdomas. Tvarkytojas nesinaudoja paslaugų teikėjais, kuriems taikomas CLOUD Act (JAV), FISA 702 skyrius, ar lygiavertės jurisdikcijos. Jei toks perdavimas ateityje taps techniškai būtinas, Tvarkytojas turi gauti aiškų ir išankstinį Valdytojo sutikimą.

Article 12

12. Auditas ir bendradarbiavimas

Valdytojas gali įgalioti nepriklausomą auditorių (savo lėšomis) patikrinti Tvarkytojo atitiktį šiame DPA įsipareigojimams, su sąlyga apie pagrįstą 15 dienų pranešimą ir konfidencialumo įsipareigojimą. Tvarkytojas taip pat pareikalavimo metu pateikia visus dokumentus, leidžiančius parodyti atitiktį (tvarkymo registras, pentest ataskaitos ir kt.). Bet kokiu prašymu: dpo@aegirex.eu.

Démarrer

Besoin de la version
signée et personnalisée ?

Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.

Demander la version signée Voir la politique de confidentialité
RGPD natif, Art. 28 conforme
Zero-knowledge : l'éditeur ne lit pas vos secrets
Hébergement France, juridiction française
Code AGPL-3.0 auditable de bout en bout
Sous-traitants UE uniquement, listés à l'Art. 6