Solidaritāte ar Ukrainu. Pakalpojums tiek piedāvāts bez maksas Ukrainas uzņēmumiem visā kara laikā. Pieprasīt bezmaksas piekļuvi
DPA RGPD · Art. 28

Datu apstrādes līgums

Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.

 Paraugs - pēdējais atjauninājums - 16/06/2026 RGPD natif Zero-knowledge Hébergement France

Sommaire

1 · Pušu identifikācija 2 · Apstrādes priekšmets un mērķi 3 · Apstrādāto datu kategorijas 4 · Datu subjektu kategorijas 5 · Glabāšanas termiņi 6 · Pilnvarotie tālākie apakšuzņēmēji 7 · Tehniskie un organizatoriskie drošības pasākumi 8 · Datu pārkāpumu paziņošana 9 · Datu subjektu tiesības 10 · Atgriešana / dzēšana līguma beigās 11 · Pārsūtīšana ārpus Eiropas Savienības 12 · Audits un sadarbība  Signature

Préambule

01 / Vue d'ensemble

Les trois rôles RGPD en un coup d'œil.

Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.

Responsable de traitement

Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.

Sous-traitant

ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.

Personnes concernées

Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.

Article 1

1. Pušu identifikācija

Šis Apstrādes līgums (turpmāk "DPA") papildina Aegirex vispārējos lietošanas noteikumus un precizē Pārziņa (Klienta) un Apstrādātāja (Aegirex izdevēja) attiecīgos pienākumus saskaņā ar Regulu (ES) 2016/679 (VDAR).

Apstrādātājs: ARDNTECH EI, reģistrēts RCS ar numuru 913308706, juridiskā adrese 24 rue de la Glau 08700 Gespunsart. DAS: dpo@aegirex.eu.

Pārzinis: juridiska vai fiziska persona, kas abonē Aegirex un izmanto pakalpojumu digitālo noslēpumu glabāšanai un kopīgošanai.

Article 2

2. Apstrādes priekšmets un mērķi

Aegirex ir galapunktu šifrēšanas (zero-knowledge) noslēpumu glabāšanas pakalpojums. Apstrādātājs apstrādā datus Pārziņa vārdā tikai šādiem mērķiem:

  • Necaurspīdīgu kriptogrāfisko blobu glabāšana (noslēpumi, šifrēti ar Pārziņa publisko atslēgu, nekad neatšifrējami servera pusē).
  • Autentifikācija, kontu pārvaldība, dalības organizācijās pārvaldība.
  • Operatīvo paziņojumu izsniegšana (HIBP noplūdes brīdinājums opt-in, locekļa uzaicinājums, audita brīdinājums).
Article 3

3. Apstrādāto datu kategorijas

Apstrādātājs apstrādā šādas un tikai šādas datu kategorijas:

Kategorija Attiecīgie dati Juridiskais pamats (VDAR 6. p.)
Lietotāja konts E-pasta adrese, galvenās paroles Argon2id hash, OpenPGP publiskā atslēga, neobligātais vārds. Līguma izpilde (6.1.b p.)
Glabātie noslēpumi Necaurspīdīgi OpenPGP blobi (šifrēti). Apstrādātājs nevar tos lasīt. Līguma izpilde (6.1.b p.)
Audita žurnāli Pieslēgšanās notikumi, noslēpumu izveide/lasīšana/kopīgošana/dzēšana, IP, user-agent, HMAC paraksti. Likumīga interese drošībai (6.1.f p.)
Rēķini Uzņēmuma nosaukums, SIREN, adrese, rēķinu e-pasts, maksājumu vēsture. Juridiska grāmatvedības obligātība (6.1.c p.)
Article 4

4. Datu subjektu kategorijas

Datu subjekti ir: (a) Pārziņa pilnvarotie lietotāji piekļūt Aegirex; (b) attiecīgā gadījumā šo lietotāju ierosināto noslēpumu kopīgošanu adresāti; (c) kontakti, kas identificēti Pārzinim izrakstītajos rēķinos.

Article 5

5. Glabāšanas termiņi

Dati tiek glabāti šādiem termiņiem:

  • Lietotāja konts: kamēr konts ir aktīvs, dzēsts 30 dienu laikā pēc skaidri izteikta pieprasījuma vai izbeigšanas.
  • Noslēpumi: kamēr lietotājs tos nedzēš. Neatgriezeniska un tūlītēja dzēšana pēc lietotāja darbības.
  • Audita žurnāli: 13 mēneši (CNIL ieteiktais ilgums izsekošanai), pēc tam anonimizēta arhivēšana.
  • Rēķinu dati: 10 gadi (Komerckodeksa L123-22 juridiska obligātība).
  • Lietojumprogrammas tehniskie žurnāli (bez audita): 30 dienas rolling, automātiska IP anonimizācija pēc tam.
Article 6

6. Pilnvarotie tālākie apakšuzņēmēji

Pārzinis tieši pilnvaro Apstrādātāju izmantot šādus tālākos apakšuzņēmējus:

Apakšuzņēmējs Mērķis Apstrādes valsts
Brevo SAS Tranzakciju e-pastu sūtīšana (paziņojums, e-pasta verifikācija). FR
Stancer SAS Tiešsaistes maksājumu apstrāde. FR
Mitinātājs (precizējams līgumā) Lietojumprogrammas infrastruktūras un datu bāzu mitināšana. FR / EU

Jebkura tālāka apakšuzņēmēja izmaiņa ir paziņojuma objekts Pārzinim ar minimālo 30 dienu paziņojumu, ļaujot tam īstenot motivētu iebildumu tiesības.

Article 7

7. Tehniskie un organizatoriskie drošības pasākumi

Apstrādātājs īsteno šādus pasākumus (indikatīvais, neizsmeļošais saraksts):

  • Noslēpumu galapunktu šifrēšana (OpenPGP.js v6, ECC curve25519 līknes, AES-256-GCM SEIPDv2).
  • Atslēgu atvasināšana no galvenās paroles caur Argon2id (5 caurlaides, 256 MiB, paralelisms 4).
  • Pārbaudāma HMAC-SHA-256 kriptogrāfiska audita ķēde, O(1) jebkuras izmaiņas noteikšana.
  • Obligātais TLS 1.3 transportā, HSTS preload, Let's Encrypt vai Buypass sertifikāti automātiski atjaunoti.
  • Divu faktoru autentifikācija (RFC 6238 TOTP + e-pasts) ar šifrētiem atjaunošanas kodiem.
  • Ikdienas šifrētās rezerves kopijas, glabātas 30 dienas, atjaunošana pārbaudīta katru ceturksni.
  • Ikgadējais ielaušanās tests, kuru veic PASSI (no maksas plānu atvēršanas).
Article 8

8. Datu pārkāpumu paziņošana

Saskaņā ar VDAR 33. pantu Apstrādātājs paziņo Pārzinim par jebkuru personas datu pārkāpumu 48 stundu laikā no pārkāpuma uzzināšanas. Paziņojums precizē veidu, apjomu, iespējamās sekas un veiktos vai plānotos pasākumus.

Article 9

9. Datu subjektu tiesības

Apstrādātājs nodrošina Pārzinim instrumentus, lai atbildētu uz datu subjektu pieprasījumiem (tiesības piekļūt, labot, dzēst, pārnest, iebilst) tieši no lietotāja saskarnes. Pieprasījumiem, ko nesedz saskarne, Apstrādātājs palīdz Pārzinim 5 darba dienu laikā.

Article 10

10. Atgriešana / dzēšana līguma beigās

Līguma beigās (izbeigšana, neatjaunošana) Pārzinim ir 30 dienas, lai eksportētu savus datus, izmantojot vietējo pārnesamības eksporta funkciju. Pēc šī termiņa beigām visi Pārziņa dati tiek neatgriezeniski dzēsti no produkcijas datu bāzēm. Šifrētās rezerves kopijas tiek iztīrītas papildu 90 dienu laikā (standarta rotācijas saglabāšana).

Article 11

11. Pārsūtīšana ārpus Eiropas Savienības

Nekāda datu pārsūtīšana uz trešo valsti ārpus ES/EEZ netiek veikta. Apstrādātājs neizmanto pakalpojumu sniedzējus, kuriem piemērojams CLOUD Act (ASV), FISA 702. sadaļa vai līdzvērtīgas jurisdikcijas. Ja šāda pārsūtīšana nākotnē kļūtu tehniski nepieciešama, Apstrādātājam jāsaņem skaidra un iepriekšēja Pārziņa piekrišana.

Article 12

12. Audits un sadarbība

Pārzinis var pilnvarot neatkarīgu auditoru (par saviem līdzekļiem), lai pārbaudītu Apstrādātāja atbilstību šajā DPA paredzētajām saistībām, ar nosacījumu par saprātīgu 15 dienu paziņojumu un konfidencialitātes saistībām. Apstrādātājs pēc pieprasījuma sniedz visus dokumentus, kas ļauj pierādīt atbilstību (apstrādes reģistrs, pentest ziņojumi utt.). Jebkuram pieprasījumam: dpo@aegirex.eu.

Démarrer

Besoin de la version
signée et personnalisée ?

Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.

Demander la version signée Voir la politique de confidentialité
RGPD natif, Art. 28 conforme
Zero-knowledge : l'éditeur ne lit pas vos secrets
Hébergement France, juridiction française
Code AGPL-3.0 auditable de bout en bout
Sous-traitants UE uniquement, listés à l'Art. 6