Rezydencja danych i prywatność
Autor: Zespół Aether365 Odbiorcy: Inspektorzy ochrony danych i zespoły ds. zgodności Zakres: Gdzie Aether365 przechowuje dane i przepływ danych między regionami
Gdzie przechowywane są Twoje dane
Aether365 działa w dwóch niezależnych płaszczyznach danych: EU (Sztokholm, Ireland) i US (Wirginia Północna, USA). Każdy tenant znajduje się w całości w jednym regionie - dane nigdy nie są replikowane między nimi.
Region danych wybierasz przy pierwszym logowaniu:
- Po zakończeniu rejestracji wyświetlany jest ekran Wybierz region danych.
- Wybierz Europa (EU) lub Stany Zjednoczone (US).
- Potwierdź. Wybór jest trwały - nie można go później zmienić.
Wybrany region jest zapisywany jako claim region w tokenie logowania oraz w wierszu tenanta. Każde wywołanie API aplikacji jest kierowane do endpointu API odpowiedniego regionu, a operacje administracyjne na Twoim tenancie są ograniczone do bazy danych danego regionu.
| Typ danych | Usługa przechowywania | Region |
|---|---|---|
| Wyniki skanów i znaleziska kontroli | Baza danych (PostgreSQL) | Wybrany region |
| Metadane tenanta i konta | Baza danych (PostgreSQL) | Wybrany region |
| Pliki wyników skanów | Object storage | Wybrany region |
| Sekrety aplikacji (poświadczenia) | Encrypted secrets vault | Wybrany region |
| Dzienniki dostępu | Platform logging service | Wybrany region |
| Tożsamość (pula użytkowników identity service) | Identity service | EU (pojedyncza pula globalna, tylko na podstawie claimu) |
Jakie dane przechowujemy
Dane, które zbieramy i dlaczego
| Kategoria | Dane | Cel |
|---|---|---|
| Dane konta | Adres e-mail, identyfikator tenanta Microsoft, poziom planu | Tożsamość, rozliczenia i kontrola dostępu |
| Migawki konfiguracji | Wartości odczytane z Microsoft Graph podczas skanów | Ewaluacja kontroli bezpieczeństwa |
| Wyniki skanów | Status zaliczony/niezaliczony/pominięty per kontrola, wykryte wartości, wyniki | Dostarczanie raportu zgodności |
| Metadane połączeń | Identyfikator tenanta Microsoft, znacznik czasu połączenia | Zarządzanie połączeniami tenantów |
| Ustawienia powiadomień | Adresy e-mail, adresy URL webhooków Teams | Dostarczanie powiadomień o skanach |
| Wpisy dziennika audytu | Działanie, użytkownik, znacznik czasu, adres IP | Funkcja dziennika audytu Enterprise |
Dane, których nie zbieramy
- Treści wiadomości e-mail, danych kalendarza ani żadnych treści użytkowników z Microsoft 365
- Haseł ani poświadczeń użytkowników Microsoft
- Tokenów dostępu Microsoft Graph (używane tymczasowo podczas skanów, nigdy nie są przechowywane)
- Żadnych danych z usług Microsoft 365 niepotrzebnych do ewaluacji kontroli bezpieczeństwa
- Żadnych danych przesyłanych do usług AI ani uczenia maszynowego - Twoje dane konfiguracyjne i dane skanów nigdy nie są wykorzystywane do trenowania modeli AI ani przetwarzane przez zewnętrzne narzędzia AI
Retencja danych
Dane skanów są przechowywane przez określony okres retencji, po którym są trwale usuwane z bazy danych i object storage. Usunięcie jest nieodwracalne. Krótszy okres retencji możesz skonfigurować w Ustawienia > Retencja. Skontaktuj się z support@aether365.io, aby omówić niestandardowe okresy retencji.
Usuwanie danych
Usuwanie skanu
Poszczególne skany możesz usuwać ze strony Skany. Powoduje to trwałe usunięcie rekordu skanu i wszystkich powiązanych wyników kontroli z bazy danych i object storage.
Usuwanie konta
Aby poprosić o usunięcie konta, skontaktuj się z hello@aether365.io. Wykonamy następujące kroki:
- Potwierdzimy Twoją tożsamość
- Usuniemy wszystkie dane skanów, metadane konta i ustawienia powiadomień w ciągu 30 dni
- Wyślemy e-mail z potwierdzeniem usunięcia
Usunięcie konta jest nieodwracalne.
Żądania osób, których dane dotyczą
Aby skorzystać ze swoich praw wynikających z RODO (dostęp, sprostowanie, usunięcie, przenoszenie), skontaktuj się z privacy@aether365.io. Na żądania osób, których dane dotyczą, odpowiadamy w ciągu 30 dni.
Podprzetwarzający
Aether365 korzysta z następujących podprzetwarzających w celu świadczenia usługi:
| Podprzetwarzający | Cel | Lokalizacja |
|---|---|---|
| Infrastruktura chmurowa | Hosting, przechowywanie, obliczenia, dostarczanie e-mail | EU (Sztokholm, Ireland) |
| Microsoft Azure / Entra ID | Uwierzytelnianie (OpenID Connect) | EU |
| Stripe | Przetwarzanie płatności | US / EU |
Nie sprzedajemy ani nie udostępniamy Twoich danych żadnym osobom trzecim w celach reklamowych lub marketingowych.
Umowa powierzenia przetwarzania danych
Umowa powierzenia przetwarzania danych (DPA) jest dostępna dla klientów planów Pro i Enterprise. Aby uzyskać DPA, wyślij wiadomość na adres privacy@aether365.io.