Aegirex | Sporazum o obdelavi podatkov (DPA)

1 · Identifikacija strank 2 · Predmet in nameni obdelave 3 · Kategorije obdelanih podatkov 4 · Kategorije zadevnih oseb 5 · Časi hranjenja 6 · Dovoljeni naslednji podizvajalci 7 · Tehnični in organizacijski varnostni ukrepi 8 · Obvestilo o kršitvah podatkov 9 · Pravice zadevnih oseb 10 · Vrnitev / brisanje ob koncu pogodbe 11 · Prenos izven Evropske unije 12 · Revizija in sodelovanje Signature

01 / Vue d'ensemble

Les trois rôles RGPD en un coup d'œil.

Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.

Responsable de traitement

Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.

Sous-traitant

ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.

Personnes concernées

Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.

Article 1

1. Identifikacija strank

Ta Sporazum o obdelavi (v nadaljevanju "DPA") dopolnjuje Splošne pogoje uporabe Aegirex in natančno določa obveznosti Upravljavca podatkov (Stranke) in Obdelovalca (Izdajatelja Aegirex) v smislu Uredbe (EU) 2016/679 (GDPR).

Obdelovalec: ARDNTECH EI, vpisana v poslovni register pod št. 913308706, s sedežem na naslovu 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.

Upravljavec podatkov: pravna ali fizična oseba, ki naročava Aegirex in uporablja storitev za shranjevanje in deljenje digitalnih skrivnosti.

Article 2

2. Predmet in nameni obdelave

Aegirex je storitev shranjevanja skrivnosti s šifriranjem od konca do konca (zero-knowledge). Obdelovalec obdeluje podatke za račun Upravljavca podatkov izključno za naslednje namene:

Shranjevanje neprozornih kriptografskih blokov (skrivnosti, šifrirane z javnim ključem Upravljavca, nikoli dešifrirne na strani strežnika).
Avtentikacija, upravljanje računov, upravljanje članstev v organizacijah.
Izdaja operativnih obvestil (opozorilo uhajanja HIBP opt-in, povabilo člana, revizijsko opozorilo).

Article 3

3. Kategorije obdelanih podatkov

Obdelovalec obdeluje naslednje kategorije podatkov in samo te:

Kategorija	Podatki	Pravna podlaga (čl. 6 GDPR)
Uporabniški račun	E-naslov, zgostitev Argon2id glavnega gesla, OpenPGP javni ključ, neobvezno ime.	Izvajanje pogodbe (čl. 6.1.b)
Shranjene skrivnosti	Neprozorni OpenPGP bloki (šifrirani). Obdelovalec jih ne more brati.	Izvajanje pogodbe (čl. 6.1.b)
Revizijski logi	Dogodki prijave, ustvarjanja/branja/deljenja/brisanja skrivnosti, IP, user-agent, HMAC podpisi.	Zakoniti interes do varnosti (čl. 6.1.f)
Izstavljanje računov	Naziv podjetja, SIREN, naslov, e-naslov za izstavljanje računov, zgodovina plačil.	Zakonska obveznost knjigovodstva (čl. 6.1.c)

Article 4

4. Kategorije zadevnih oseb

Zadevne osebe so: (a) uporabniki, ki jih je Upravljavec podatkov pooblastil za dostop do Aegirex; (b) po potrebi prejemniki delitev skrivnosti, ki so jih ti uporabniki sprožili; (c) kontakti, navedeni na računih, izstavljenih Upravljavcu podatkov.

Article 5

5. Časi hranjenja

Podatki se hranijo naslednje čase:

Uporabniški račun: dokler je račun aktiven, odstranjen v 30 dneh po izrecni zahtevi ali prekinitvi.
Skrivnosti: dokler jih uporabnik ne odstrani. Brisanje nepovratno in takojšnje ob uporabniški akciji.
Revizijski logi: 13 mesecev (doba, ki jo priporoča CNIL za sledljivost), nato anonimizirano arhiviranje.
Podatki za izstavljanje računov: 10 let (zakonska obveznost gospodarskega zakonika L123-22).
Tehnični aplikacijski logi (razen revizije): 30 dni rolling, samodejna anonimizacija IP nato.

Article 6

6. Dovoljeni naslednji podizvajalci

Upravljavec podatkov izrecno pooblašča Obdelovalca za uporabo naslednjih naslednjih podizvajalcev:

Podizvajalec	Namen	Država obdelave
Brevo SAS	Pošiljanje transakcijske e-pošte (obvestila, preverjanje e-pošte).	FR
Stancer SAS	Obdelava spletnih plačil.	FR
Gostitelj (določiti v pogodbi)	Gostovanje aplikacijske infrastrukture in baz podatkov.	FR / EU

Vsaka sprememba naslednjega podizvajalca je predmet obvestila Upravljavcu podatkov z najmanj 30-dnevnim predhodnim obvestilom, ki mu omogoča uveljaviti utemeljeno pravico do ugovora.

Article 7

7. Tehnični in organizacijski varnostni ukrepi

Obdelovalec uvaja naslednje ukrepe (indikativen, neizčrpen seznam):

Šifriranje od konca do konca skrivnosti (OpenPGP.js v6, krivulje ECC curve25519, AES-256-GCM SEIPDv2).
Izpeljava ključev iz glavnega gesla prek Argon2id (5 prehodov, 256 MiB, parallelism 4).
Kriptografska revizijska veriga HMAC-SHA-256 preverljiva, zaznavanje v O(1) vsake spremembe.
Obvezen TLS 1.3 v transportu, HSTS preload, certifikati Let's Encrypt ali Buypass samodejno obnovljeni.
Dvostopenjska avtentikacija (TOTP RFC 6238 + e-pošta) s šifriranimi obnovitvenimi kodami.
Dnevne šifrirane varnostne kopije, hranjene 30 dni, četrtletno preizkušeno obnavljanje.
Letni penetracijski test PASSI revizorja (od V1.0 GA).

Article 8

8. Obvestilo o kršitvah podatkov

V skladu s členom 33 GDPR Obdelovalec obvesti Upravljavca podatkov o vsaki kršitvi osebnih podatkov v 48 urah od trenutka, ko je za kršitev izvedel. Obvestilo določa naravo, obseg, verjetne posledice in sprejete ali načrtovane ukrepe.

Article 9

9. Pravice zadevnih oseb

Obdelovalec zagotavlja Upravljavcu podatkov orodja, ki omogočajo odzivanje na zahteve zadevnih oseb (pravica do dostopa, popravka, izbrisa, prenosljivosti, ugovora) neposredno iz uporabniškega vmesnika. Za vsako zahtevo, ki ni pokrita z vmesnikom, Obdelovalec pomaga Upravljavcu v 5 delovnih dneh.

Article 10

10. Vrnitev / brisanje ob koncu pogodbe

Ob koncu pogodbe (prekinitev, nepodaljšanje) ima Upravljavec podatkov 30 dni za izvoz svojih podatkov prek izvirne funkcionalnosti izvoza prenosljivosti. Po tem času se vsi podatki Upravljavca nepovratno odstranijo iz produkcijskih baz. Šifrirane varnostne kopije se očistijo v naslednjih 90 dneh (standardna rotacija hranjenja).

Article 11

11. Prenos izven Evropske unije

Noben prenos podatkov v tretje države izven EU/EGP se ne izvaja. Obdelovalec ne uporablja ponudnikov, podvrženih CLOUD Act (US), FISA Section 702 ali enakovrednim jurisdikcijam. Če bi tak prenos v prihodnosti postal tehnično nujen, bi moral Obdelovalec pridobiti izrecno in predhodno soglasje Upravljavca podatkov.

Article 12

12. Revizija in sodelovanje

Upravljavec podatkov lahko pooblasti neodvisnega revizorja (na svoje stroške) za preverjanje skladnosti Obdelovalca z zavezami tega DPA, ob pridržku razumnega 15-dnevnega predhodnega obvestila in zaveze o zaupnosti. Obdelovalec na zahtevo prav tako zagotovi vse dokumente, ki dokazujejo skladnost (register obdelav, poročila pentestov itd.). Za vsako zahtevo: dpo@aegirex.eu.

Démarrer

Besoin de la version
signée et personnalisée ?

Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.

Demander la version signée Voir la politique de confidentialité

RGPD natif, Art. 28 conforme

Zero-knowledge : l'éditeur ne lit pas vos secrets

Hébergement France, juridiction française

Code AGPL-3.0 auditable de bout en bout

Sous-traitants UE uniquement, listés à l'Art. 6