Lightspeed Trust

Lightspeed Systems® er din betroede partner

SOC2 Type 2
Data Privacy Framework Program logo
Access 4 Learning Community badge

Sikker og sikker

Informationssikkerhed og databeskyttelse er en integreret del af vores kerneoverbevisning. Vi har dedikerede sikkerheds- og overholdelsesteams, som er forpligtet til at holde dine oplysninger sikre og sikre. Lightspeed Systems anvender strenge politikker og procedurer for at sikre tilgængelighed, integritet og fortrolighed af kundedata.

Lightspeed Systems Servicestatus

Service Level Agreement (SLA)

Lightspeed Systems leverer hostede tjenester, herunder administration af mobilenheder, webfiltrering, appanalyse og klasseværelsesstyring til skoler. Vores tjenester er tilgængelige mindst 99.9% af tiden, med servere, der løbende overvåges for ydeevne og tilgængelighed.

Tjek systemstatus
Læs vores SLA
Lightspeed Product Suite screenshots

Lightspeed Sikkerhed

Administrative sikkerhedsforanstaltninger

Medarbejderbaggrundstjek

Alle Lightspeed Systems medarbejdere gennemgår baggrundstjek og underskriver en tavshedspligt før ansættelse.

Underretning om databrud

Hvis vi får kendskab til et databrud, vil vi følge vores Incident Response Plan og underrette vores kunder uden unødig forsinkelse.

Hændelseshåndtering

Vi har en skriftlig Incident Response Plan, som beskriver processerne til at opdage, rapportere, identificere, analysere og reagere på sikkerhedshændelser, der påvirker Lightspeed Systems netværk og kundedata.

Medarbejdertræning i privatlivs- og sikkerhedsbevidsthed

Ved ansættelse og løbende er alle medarbejdere forpligtet til at gennemføre privatlivs- og sikkerhedsuddannelse, som dækker privatlivspraksis og de principper, der gælder for medarbejders håndtering af personoplysninger, herunder behovet for at lægge begrænsninger på brug, adgang til, deling og opbevaring af personoplysninger.

Vi tilbyder undervisning i specifikke aspekter af sikkerhed, som de kræver baseret på deres roller. For eksempel gennemgår produktudviklingsteamet privacy by design og sikker softwareudviklingsuddannelse. Medarbejdere bliver også udsat for regelmæssige phishing-e-mails.

Leverandørudvælgelse og risikostyring

Lightspeed Systems kan bruge underdatabehandlere til at udføre tjenester og er kun berettiget til at få adgang til kundedata kun efter behov for at udføre tjenesterne og skal være bundet af skriftlige aftaler, der kræver, at de leverer strenge niveauer af databeskyttelse, der kræves af Lightspeed og gældende regler. Her er en liste over vores underbehandlere.

Forudgående og løbende leverandørvurderinger udføres for at sikre, at korrekt databeskyttelse og sikkerhedspraksis er på plads i hele leverandørforholdet. Ændringer i leverandørtjenester eller ændringer i eksisterende kontrakter kræver en sikkerhedsrisikovurdering for at bekræfte, at ændringerne ikke udgør yderligere eller unødig risiko.

Politik og proceduredokumenter stemmer overens med NIST Privacy/Security Frameworks

Lightspeed Systems gennemgår sine systemer i forhold til CIS Controls og NIST Frameworks, og eventuelle identificerede risici eller huller behandles i overensstemmelse hermed.

Vi har et udpeget Data Governance-team, der afholder periodiske møder for at sikre dataintegritet.

Vi har implementeret forskellige politiske dokumenter på tværs af organisationen for databeskyttelse, såsom, men ikke begrænset til: Incident Response Plan, Sikkerhedspolitik, Sårbarhedsafhjælpningspolitik, IT-standardpolitik og datasletningspolitik.

Forretningskontinuitet og katastrofeberedskab

Lightspeed Systems anerkender vigtigheden af at opretholde kritiske forretningsfunktioner og beskytte systemer og data. For at sikre forretningskontinuitet har Lightspeed udviklet en virksomhedsdækkende Business Continuity and Disaster Recovery Plan, der styrer det overordnede ledelsesprogram for alle funktioner.

Forandringsledelse

Forandringsstyringspolitikker er dokumenteret for at adressere design, udvikling, erhvervelse, test, godkendelse og implementering af systemændringer og patches.

Lightspeed Sikkerhed

Tekniske sikkerhedsforanstaltninger

Ekstern revision

Lightspeed Systems gennemgår en årlig SOC 2 Type II-revision, der verificeres af et uafhængigt firma, som bekræfter, at vi opfylder SOC 2-standarderne. Lightspeed Systems følger AICPA's Trust Services Criteria og har etableret politikker og processer for at sikre sikkerheden, tilgængeligheden, fortroligheden og privatlivets fred for de tjenester, vi leverer til vores kunder. Kunder kan anmode om en kopi af vores SOC 2 Type 2-rapport ved at sende en e-mail til [email protected], og rapporten vil blive leveret efter underskrivelse af en fortrolighedsaftale.

Underretning om databrud

Hvis vi får kendskab til et bekræftet databrud, vil vi følge vores hændelsesplan og underrette skolen uden unødig forsinkelse.

Kryptering i hvile

Data krypteres i hvile ved hjælp af Advanced Encryption Standard (AES) kryptering.

Kryptering i transit

Data krypteres under overførsel ved hjælp af Transport Layer Security (TLS) protokol.

Data backup

Vi udfører løbende backup af data og systemer. Sikkerhedskopieringsintervaller er afhængige af typen af data og spænder fra minutter til én gang om dagen.

Udbedring af sårbarhed

Lightspeed Systems har en sårbarhedspolitik til at identificere og afhjælpe sårbarheder i henhold til den risiko, de udgør. Vi bruger patch management software til at overvåge systemer og sikre, at patches er implementeret.

Sletning af data

Lightspeed Systems har implementeret en datasletningspolitik. Hvor det er relevant, bruger vores løsninger automatiserede regler til at rense data i henhold til politikken.

Logføring og overvågning

Lightspeed Systems har implementeret log- og overvågningsløsninger for at identificere og undersøge mulige sikkerhedshændelser.

Identitets- og adgangskontrol

Adgang til personlige oplysninger er begrænset via login-legitimationsoplysninger til de medarbejdere, der kræver det for at udføre deres jobfunktioner. Derudover bruger Lightspeed Systems adgangskontroller såsom Multi-Factor Authentication, Single Sign-On, mindst privilegium og adgang efter behov, stærke adgangskoder og begrænset adgang til administrative konti.

Vores løsninger giver kunderne mulighed for at oprette 'Admin'-roller, der kun giver de nødvendige rettigheder til at udføre de nødvendige funktioner.

Lightspeed Sikkerhed

Fysiske sikkerhedsforanstaltninger

Sikkerhed på arbejdspladsen

Lightspeed Systems opretholder følgende kontroller designet til at forhindre uautoriseret adgang til vores kontorer:

  • Facilitetsadgang er begrænset til autoriserede personer ved brug af nøgler/nøgler eller adgangsmærker.
  • Lightspeed-kontorer har brandsluknings- og branddetekteringssystemer eller -anordninger samt nødudgange og evakueringsruter.

Datacentersikkerhed

Alle datacentre, hvor data behandles og lagres, er placeret i USA og har SOC 2-, PCI DSS- og ISO 27001-certificeringer. Lightspeed har en proces på plads til at logge, overvåge og reagere på hændelser og uregelmæssigheder i sine systemer og løsninger. Der er også løsninger til sikkerhedskopiering og gendannelse af data.

Sikkert designprincipper

Lightspeed Systems praktiserer sikkerhed ved design. Vi bruger en sikker softwareudviklingslivscyklus baseret på OWASP metoder.

Vores systemer og processer tager højde for informationssikkerhedens kernepiller: Fortrolighed, Integritet og Tilgængelighed.

Overholdelse

Lightspeed Systems Artificial Intelligence (AI) etik og principper

Lightspeed Systems ved, hvordan kunstig intelligence kan ændre verden af teknologi og forretning til det bedre. Vi bruger kunstig intelligens på en ansvarlig måde og sikrer, at den er etisk, samtidig med at vi maksimerer fordelene og betjener vores kunder. Vi følger etiske principper for AI-løsninger, der matcher vores værdier og professionelle standarder, og som opbygger tilliden hos vores kunder, mennesker, lokalsamfund og regulatorer. Vi er faste i vores forpligtelse til at handle i offentlighedens interesse, respektere offentlighedens tillid og vise vores forpligtelse til professionel ekspertise. For mere information, se venligst vores Ansvarlig brug af AI.

Overholdelse

Children's Online Privacy Protection Act (COPPA)

COPPA gælder for onlineindsamling af personlige oplysninger fra personer eller enheder under amerikansk jurisdiktion om børn under 13 år. Forældres samtykke er påkrævet for indsamling eller brug af personlige oplysninger om brugerne.

  • Lightspeed Systems overholder Children's Online Privacy Protection Act (COPPA) for at sikre børns online sikkerhed. Elevkonti udstedes kun gennem en verificeret underviser, skole eller uddannelsesorganisation. Undervisere accepterer at indhente forældretilladelse, før de udsteder konti til elever. Læs venligst Lightspeeds COPPA-meddelelse her.

Vi opfylder følgende COPPA-retningslinjer anført nedenfor og accepterer:

  • Indsaml IKKE online kontaktoplysninger uden samtykke fra enten en forælder eller en kvalificeret underviser eller uddannelsesinstitution.
  • Indsaml IKKE personligt identificerbare offline kontaktoplysninger.
  • IKKE distribuere nogen personlig identificerbar information til tredjeparter uden forudgående samtykke fra forældrene.
  • IKKE lokke ved udsigten til et særligt spil, præmie eller anden aktivitet eller til at afsløre mere information end nødvendigt for at deltage i aktiviteten.
  • IKKE bruge eller videregive elevoplysninger til adfærdsmålretning af annoncer til elever.
  • Opbyg IKKE en personlig profil af en elev andet end til støtte for autoriserede uddannelses-/skoleformål.

Overholdelse

Family Educational Rights & Privacy Act (FERPA)

De Family Educational Rights and Privacy Act (FERPA) er en føderal lov, der beskytter privatlivets fred for studerendes uddannelsesoptegnelser. Loven gælder for alle skoler, der modtager midler under et relevant program fra det amerikanske undervisningsministerium.

  • Selvom FERPA gælder for skoler og ikke virksomheder, kan Lightspeed Systems blive udpeget som "skoleansvarlig", og som sådan overholder vi FERPA-kravene og har forpligtet os til at beskytte privatlivets fred for elevernes oplysninger, som er betroet os af skoledistrikterne. Skoledistrikterne har kontrol over alle elevdata, og vi handler under deres ledelse. I henhold til FERPA har forældre eller berettigede elever ret til at få adgang til, inspicere, gennemgå og rette elevjournaler, og Lightspeed overholder disse rettigheder, når vi modtager en verificeret skriftlig anmodning fra skoledistriktet.
  • Bemærk venligst, at Lightspeed Systems ikke har nogen direkte kontakt med elever eller forældre.

Overholdelse

New York Education Law 2-D

Uddannelseslovens § 2-d trådte i kraft i april 2014. Vedtægtens fokus var at fremme privatlivets fred og sikkerhed for personligt identificerbare oplysninger (PII) om elever og visse PII relateret til klasselærere og rektorer. Lightspeed Systems overholder NY ED Law 2-D og Forældres rettighedserklæring, som kræver følgende:

  • En studerendes personligt identificerbare oplysninger (PII) kan ikke sælges eller frigives til noget kommercielt formål;
  • Retten til at inspicere og gennemgå det komplette indhold af den studerendes uddannelsesjournal, der opbevares eller vedligeholdes af et uddannelsesbureau;
  • Sikkerhedsforanstaltninger forbundet med industristandarder og bedste praksis, herunder, men ikke begrænset til, kryptering, firewalls og adgangskodebeskyttelse skal være på plads, når elev-PII gemmes eller overføres;
  • At blive underrettet i overensstemmelse med gældende love og regler, hvis der sker et brud eller uautoriseret frigivelse af PII;
  • Forældre har ret til at få behandlet klager over mulige brud på elevdata;
  • Uddannelsesbureaumedarbejdere, der håndterer PII, vil modtage træning i gældende statslige og føderale love, politikker og sikkerhedsforanstaltninger forbundet med industristandarder og bedste praksis, der beskytter PII;
  • Uddannelsesbureaukontrakter med leverandører, der modtager PII, vil omhandle lovpligtige og regulatoriske databeskyttelses- og sikkerhedskrav.

Overholdelse

Student Data Privacy Consortium (SDPC) og National Data Privacy Agreement (NDPA)

SDPC udgav den første National Data Privacy Agreement (NDPA) at strømline ansøgningskontrakter og opstille fælles forventninger mellem skoler/distrikter og markedspladsudbydere.

  • Lightspeed samarbejder med skoledistrikter i alle deltagende stater for at sikre, at vi har aftaler om databehandling på plads.
  • Skoledistrikter, der gerne vil underskrive SDPC og NDPA med os, opfordres til at e-maile [email protected].
  • De SDPC er et unikt samarbejde mellem skoler, distrikter, regionale, territorier og statslige agenturer, politiske beslutningstagere, handelsorganisationer og markedspladsudbydere, der adresserer den virkelige verden, tilpasningsdygtige og implementerbare løsninger på voksende bekymringer om databeskyttelse.

Overholdelse

California Consumer Privacy Act (CCPA)

De California Privacy Rights Act (CPRA) ændrer og udvider California Consumer Privacy Act (CCPA). CPRA trådte i kraft den 1. januar 2023. CCPA blev ændret for at beskytte personoplysninger om ansatte i Californien (B2E) og business-to-business (B2B) kontakter og kræver, at alle organisationer, der indsamler data fra beboere i Californien, anvender mere omfattende beskyttelse, såsom risikovurderinger af privatlivets fred, dataminimering og opbevaringspolitikker. CPRA fokuserer nu fra gennemsigtige datarelationer og åbenhed om medarbejdere. håndhævelse og større bevidsthed om privatlivsrisici relateret til dataindsamling og -behandling - og redegørelse for alle data knyttet til californiske medarbejdere, virksomheder og beboere.

Hvem beskytter California Privacy Rights Act?
Enhver person, der er en medarbejder bosat i Californien og en tjenesteudbyder/leverandør, entreprenør, konsulent, ansøger, freelancer og fjernmedarbejder kan med rimelighed identificeres.

Medarbejder- og B2B-datarettigheder:
  • Ret til at vide: Medarbejdere, entreprenører og tjenesteudbydere har ret til at vide, hvilke data der indsamles og administreres med retten til at få adgang til kopier af "specifikke stykker personlige oplysninger."
  • Ret til adgang: I lighed med forbrugere vil medarbejdere være i stand til at indsende en anmodning om adgang til datasubjekter (DSAR) til deres arbejdsgiver for at få adgang til deres oplysninger, med nogle undtagelser.
  • Ret til at bruge og videregive: Retten til at anmode om, at en virksomhed begrænser eller standser brugen og videregivelsen af følsomme personoplysninger.
  • Ret til at rette: Retten til at anmode om, at virksomheden retter urigtige oplysninger.
  • Ret til at fravælge: Retten til at fravælge at få personlige oplysninger solgt eller delt.
  • Ret til bødefritagelse: Retten til ikke at blive gengældt for at udøve datarettigheder.
Lightspeed Systems har følgende procedurer på plads for at sikre CCPA & CPRA overholdelse:
  • Anmodninger om adgang til datasubjekter: Datasubjekter kan udøve deres rettigheder ved at sende en e-mail til vores privatlivsteam ([email protected])
  • Data Mapping: Kortlægning, opgørelse og klassificering af alle data
  • Dataminimering: Vi behandler kun data, der er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt for formålet med de data, der bruges.
  • Politikker for dataopbevaring: Vi har implementeret dataopbevaringspolitikker på tværs af alle vores produkter og processer. Data opbevares ikke længere end rimeligt nødvendigt for at udføre behandlingsaktiviteten
  • Vurderinger af indvirkning på privatlivets fred: Vi udfører risikovurderinger af alle vores produkter og processer for at sikre privatliv og sikkerhed ved design.

Overholdelse

Generel databeskyttelsesforordning (GDPR)

De Generel databeskyttelsesforordning (GDPR) fastsætter regler for indsamling, brug, opbevaring og overførsel af personoplysninger om fysiske personer i Den Europæiske Union og via UK GDPR, i Storbritannien). Det gælder, når personoplysninger behandles i EU og Storbritannien, eller når varer/tjenesteydelser tilbydes til indbyggere i EU og Storbritannien.

Sådan gælder GDPR for Lightspeed

  • Primær rolle: For produkter leveret til skoler og distrikter fungerer Lightspeed Systems som "databehandler" – og behandler kun personoplysninger i henhold til den "dataansvarliges" (skolens) dokumenterede instruktioner.
  • Børns data: Da vores kunder er uddannelsesinstitutioner, designer vi vores tjenester til at respektere øgede forventninger til mindreåriges data og følge den dataansvarliges valgte retsgrundlag (f.eks. legitime interesser eller samtykke administreret af institutionen).

Vores GDPR-program:

  • Lovlig, retfærdig og gennemsigtig behandling
    • Vi behandler personoplysninger lovligt og retfærdigt med klare formålserklæringer i kundekontrakter og produktdokumentation.
    • Gennemsigtighed: Dataansvarlige modtager oplysninger, som er beskrevet i vores privatlivspolitik og databehandleraftaler, der beskriver datakategorier, formål, modtagere (herunder underdatabehandlere) og opbevaring.
  • Roller og ansvar
    • Databehandlerforpligtelser: Vi følger den dataansvarliges instruktioner, sikrer fortrolighed, bistår med anmodninger fra registrerede, understøtter DPIA'er og implementerer passende sikkerhed.
    • Databehandleraftalen (DPA): Vores DPA (herunder EU's standardkontraktsklausuler og UK IDTA) regulerer behandling, sikkerhed, support i forbindelse med brud, revisioner og underdatabehandlere. Anmodninger om at udføre DPA'en kan fremsættes ved at sende en e-mail til [email protected]
  • Dataminimering og formålsbegrænsning
    • Minimering: Vi indsamler og behandler kun det, der er nødvendigt for at levere og sikre tjenesten.
    • Strengt formål: Ingen brug til reklame eller urelateret profilering; intet salg af personoplysninger.
  • Datakortlægning og klassificering
    • Vi vedligeholder en levende dataopgørelse og klassificering knyttet til systemer, formål, lagringssteder og retsgrundlag.
    • Behandlingsregistre (artikel 30 “ROPA”): Vi opbevarer en ROPA for både databehandler- og begrænsede dataansvarlige, herunder kategorier af registrerede/data, modtagere, opbevaring og sikkerhedsforanstaltninger.
  • Dataopbevaring og -bortskaffelse
    • Vi opbevarer kun personoplysninger så længe det er nødvendigt for at opfylde kontraktlige og juridiske forpligtelser, og sletter eller anonymiserer derefter på sikker vis.
    • Anmodninger om sletning af data verificeret af den dataansvarlige opfyldes inden for de fastsatte tidsfrister, som beskrevet i de udfærdigede databeskyttelsesaftaler.
  • Sikkerhed ved behandling
    • Organisatoriske og tekniske kontroller: rollebaseret adgangskontrol, MFA, least privilege, logging og overvågning, sårbarhedsstyring, kryptering under transport (TLS) og kryptering i hvile (AES) samt sikker SDLC med ændringskontrol.
    • Risikovurderinger af leverandørsikkerhed, kontraktlige sikkerhedskrav og periodiske gennemgange af underdatabehandlere.
  • Privatliv gennem design og som standard
    • Vi integrerer privatliv i produktdesign – standard deaktiverede eller begrænsede datafunktioner, maskering hvor det er muligt, og konfigurationsmuligheder, der giver dataansvarlige mulighed for at skræddersy dataindsamling til deres behov.
  • DPIA'er, PIA'er og AIA'er
    • Vi udfører konsekvensanalyser af privatlivets fred, konsekvensanalyser af databeskyttelse og konsekvensanalyser af kunstig intelligens for nye eller væsentligt ændrede funktioner, der kan udgøre en forhøjet risiko (f.eks. indholdsanalyse, overvågningsfunktioner).
    • Vi hjælper dataansvarlige i deres DPIA'er med produktinformation, sikkerhedsforanstaltninger og risikoreduktion.
  • Support til den registreredes rettigheder
    • Vi hjælper dataansvarlige med at opfylde anmodninger fra registrerede i EU/UK inden for de lovpligtige tidsfrister:
      • Adgang, berigtigelse, sletning, begrænsning
      • Bærbarhed (hvor relevant)
      • Indsigelse mod visse behandlinger
      • Tilbagetrækning af samtykke (hvor den dataansvarlige bruger samtykke som grundlag)
  • Internationale overførsler
    • Vores databehandleraftale indeholder EU's standardkontraktbestemmelser og den britiske internationale dataoverførselsaftale for overførsler uden for EU/Storbritannien.
    • Lightspeed Systems er også certificeret i henhold til EU-US + UK-udvidelsens ramme for databeskyttelse
  • Hændelses- og brudhåndtering
    • Hvis der opstår en sikkerhedshændelse, der påvirker personoplysninger, underretter vi den dataansvarlige uden unødig forsinkelse, giver oplysninger om hændelsen og afhjælpningsoplysninger og samarbejder, så de dataansvarlige kan overholde eventuelle meddelelser fra tilsynsmyndigheder og registrerede (f.eks. 72-timersreglen for dataansvarlige).
  • Underdatabehandlere og leverandørstyring
    • Vi vedligeholder og deler en aktuel liste over underdatabehandlere og kræver skriftlig tilladelse, forpligtelser til at videregive data, sikkerhedskontroller, fortrolighed og sletning ved tjenestens ophør.
  • Uddannelse, styring og ansvarlighed
    • Privatlivs- og sikkerhedstræning for relevant personale, tilbagevendende oplysningsprogrammer og dokumenterede politikker/standarder.
    • Interne revisioner og kontroltest for at dokumentere overholdelse af regler.
  • EU's og UK's artikel 27-repræsentanter
    • EU-repræsentant – EDPO EU: Avenue Huart Hamoir 71, 1030 Bruxelles, Belgien
    • UK-repræsentant – EDPO UK: 8 Northumberland Avenue, London WC2N 5BY, Storbritannien
  • Udpeget databeskyttelsesrådgiver (DPO) – John Genter, [email protected]

Overholdelse

Singapore lov om beskyttelse af personoplysninger fra 2012

De Singapores lov om beskyttelse af personoplysninger (PDPA) af 2012 etablerer et grundlæggende beskyttelsesniveau for persondata i Singapore, hvilket giver "individer" (som specificeret af lovgivningen) øget kontrol over, hvordan deres personlige data indsamles, bruges og videregives af organisationer.

Databeskyttelsesforpligtelser i henhold til Singapore PDPA

Lightspeed Systems er forpligtet til at opfylde de fastsatte forpligtelser som følger:

  • Ansvarlighed: Vi har udviklet databeskyttelsespolitikker og tilskynder til en ansvarlighedskultur gennem regelmæssig træning.
  • Notifikation: Vi informerer brugerne om de formål, der er beregnet til at indsamle, bruge eller videregive deres personlige data som beskrevet i vores Privatlivspolitik.
  • Samtykke: Vi er afhængige af samtykke opnået fra de uddannelsesinstitutioner (kunder), som vi betjener, før vi indsamler, bruger eller videregiver personlige data. Data bruges til det formål, der er givet samtykke til, og kunderne har til enhver tid mulighed for at trække samtykket tilbage.
  • Formålsbegrænsning: Vi indsamler, bruger eller videregiver personlige oplysninger til de formål, der er blevet kommunikeret til vores kunder.
  • Datanøjagtighed: Vi sikrer, at personlige oplysninger er nøjagtige og fuldstændige.
  • Databeskyttelse: Vi har implementeret de nødvendige sikkerhedsforanstaltninger for at beskytte personlige data mod uautoriseret adgang, indsamling, brug og videregivelse
  • Dataopbevaring: Data opbevares så længe det er nødvendigt for at udføre behandlingsaktiviteten.
  • Dataoverførselsbegrænsning: Grænseoverskridende dataoverførsler foretages til lande, der har databeskyttelseslove med standarder svarende til dem, der er skitseret i PDPA (medmindre de er undtaget af PDPC).
  • Datasubjektets rettigheder: Enkeltpersoner har ret til at anmode om adgang, rettelse og sletning af deres personlige oplysninger efter anmodning. Derudover har enkeltpersoner ret til dataportabilitet og til at fravælge, at deres data indsamles, bruges eller videregives.
  • Underretning om databrud: I tilfælde af et databrud vil Lightspeed Systems informere sine kunder uden unødig forsinkelse.

Overholdelse

Filippinernes databeskyttelseslov fra 2012 (Republiklov nr. 10173)

De Filippinernes lov om databeskyttelse fra 2012 (DPA) og dens Implementeringsregler og -forskrifter (IRR) etablere en ramme for beskyttelse af personoplysninger i den offentlige og private sektor. Loven håndhæves af den nationale kommission for databeskyttelse (NPC) og gælder for enhver enhed, der indsamler, lagrer, behandler eller overfører personoplysninger om enkeltpersoner i Filippinerne.

Lightspeed Systems er forpligtet til at overholde den filippinske lov om databeskyttelse fra 2012 ved at sikre lovlig, retfærdig og transparent behandling af personoplysninger; begrænse brugen til legitime uddannelsesmæssige formål; beskytte data gennem brancheførende sikkerhedsforanstaltninger; og opretholde ansvarlighed, samtykke og registreredes rettigheder i overensstemmelse med NPC's vejledning og globale privatlivsstandarder.

Lightspeed Systems leverer uddannelsesteknologi og digitale sikkerhedsløsninger til skoler og uddannelsesinstitutioner globalt. Når Lightspeed Systems behandler data på vegne af disse institutioner, fungerer virksomheden som "databehandler" i henhold til databeskyttelsesloven (DPA), mens skolerne eller uddannelsesinstitutionerne fungerer som "dataansvarlige".

Lightspeed sikrer, at alle behandlingsaktiviteter, der involverer filippinske personoplysninger, overholder de principper og krav, der er fastsat i DPA- og NPC-vejledningen som følger:

  • Lovlig og retfærdig behandling – Alle personoplysninger indsamles og behandles lovligt, retfærdigt og transparent med udtrykkelig tilladelse fra skolen eller uddannelsesinstitutionen. Behandling er begrænset til legitime uddannelsesmæssige og sikkerhedsmæssige formål, såsom at beskytte elever online, administrere klasseaktiviteter og yde teknisk support. Ingen data bruges til markedsføring, profilering eller andre formål, der ikke er relateret til uddannelsesmæssige funktioner.
  • Formålsbegrænsning – Data behandles kun til de formål, der udtrykkeligt er angivet i Lightspeeds aftaler med kundeinstitutioner, og i overensstemmelse med disse institutioners privatlivsmeddelelser. Data behandles ikke yderligere på måder, der er uforenelige med disse oprindelige formål.
  • Datasikkerhed – Lightspeed implementerer organisatoriske, fysiske og tekniske sikkerhedsforanstaltninger for at sikre fortrolighed, integritet og tilgængelighed af personoplysninger. Nøgleforanstaltninger omfatter, men er ikke begrænset til, kryptering under transit (TLS 1.2+) og i hvile (AES-256), rollebaseret adgangskontrol, SOC 2 Type II-miljøer, kontinuerlig overvågning og protokoller til håndtering af hændelser.
  • Dataopbevaring – Lightspeed opbevarer kun data så længe det er nødvendigt for at opfylde kontraktlige eller juridiske forpligtelser. Medmindre andet er angivet af kunden, gælder standardopbevaringsperioder - 90 dage efter licensophør - hvorefter data slettes eller anonymiseres sikkert. Lightspeed Systems vil ikke forsøge at identificere anonymiserede data igen.
  • Rettigheder for den registrerede – I overensstemmelse med databeskyttelsesloven understøtter Lightspeed fuld udøvelse af den registreredes rettigheder gennem sine kundeinstitutioner, herunder:
    • Ret til at blive informeret – gennemsigtighed i dataindsamling og -brug
    • Ret til indsigt og berigtigelse – muligheden for at gennemgå eller rette oplysninger
    • Ret til sletning eller blokering – sletning eller begrænsning af data er ikke længere nødvendig
    • Ret til dataportabilitet – adgang til data i portabelt format
    • Ret til at gøre indsigelse og trække samtykke tilbage – muligheden for at gøre indsigelse mod eller tilbagekalde samtykke til specifikke behandlingsaktiviteter
    • Ret til at indgive en klage – hos National Privacy Commission (NPC)
  • Samtykke og gennemsigtighed – Lightspeed behandler data under den lovlige myndighed og samtykke, der er indhentet af uddannelsesinstitutionen. Kunderne informeres om arten, formålet og omfanget af databehandlingen gennem klare privatlivsmeddelelser og databehandleraftaler (DPA'er). Ingen behandling finder sted uden tilladelse eller et legitimt uddannelsesmæssigt formål.
  • Ansvarlighed og styring – Lightspeed opretholder en omfattende ramme for styring af privatlivets fred og sikkerhed, der ledes af sin databeskyttelsesansvarlige (DPO), John Genter ([email protected]). Virksomheden fører registre over behandlingsaktiviteter, udfører regelmæssige vurderinger af indvirkningen på privatlivets fred og udfører due diligence overfor leverandørerne for at sikre, at alle underdatabehandlere opfylder tilsvarende standarder.
  • Håndtering af databrud – Lightspeed opretholder en formel plan for håndtering af hændelser og brud, der er i overensstemmelse med NPC-cirkulære 16-03. I tilfælde af brud på persondatasikkerheden:
    • Den berørte dataansvarlige (skole/institution) underrettes uden unødig forsinkelse.
    • Lightspeed samarbejder med controlleren for at opfylde enhver obligatorisk meddelelse til NPC'en inden for det krævede 72-timers vindue.
    • Analyse af rodårsager, afhjælpning og korrigerende handlinger dokumenteres og gennemgås.
  • Grænseoverskridende dataoverførsler – Hvor personoplysninger overføres uden for Filippinerne (f.eks. til Lightspeeds sikre amerikanske cloudinfrastruktur), er sådanne overførsler beskyttet gennem kryptering og sikre kommunikationsprotokoller, kontraktlige sikkerhedsforanstaltninger i overensstemmelse med NPC-cirkulære 16-01og bindende underdatabehandleraftaler, der sikrer fortrolighed, sikkerhed og sletningsforpligtelser. Overførsler er begrænset til formål, der er godkendt af den dataansvarlige.

Overholdelse

Australian Privacy Act (1988)

De Australian Privacy Act 1988  regulerer håndteringen af personoplysninger i Australien. Denne lovgivning tjener som grundlaget for dataindsamling og forvaltningspolitikker i hele landet. Loven skitserer 13 Australske privatlivsprincipper (APP'er) til styring af brugen personlige og følsomme oplysninger

Hvem gælder privatlivsloven for?

Privacy Act gælder for australske regeringsagenturer og organisationer med en årlig omsætning på over 3 millioner AUD, der håndterer australske indbyggeres personlige oplysninger.

Fundamental Principles of the Australian Privacy Act (1988)

Lightspeed Systems er forpligtet til at opfylde databeskyttelseskravene skitseret australske privatlivsprincipper som følger:

  • Åben og gennemsigtig håndtering af personoplysninger – Vi er gennemsigtige omkring den måde, vi håndterer personlige oplysninger på. Vores Privatlivspolitik detaljer, hvordan vi indsamler, bruger, videregiver, overfører og opbevarer oplysninger
  • Anonymitet og pseudonymitet – Lightspeed Systems anvender anonymisering og pseudonymisering for at beskytte enkeltpersoners identitet, hvor det er muligt, undtagen under omstændigheder, der kræver en personlig identitet for at behandle dataene.
  • Indsamling af efterspurgte personoplysninger – Vi praktiserer dataminimering og formålsbegrænsning og indsamler kun data, der er nødvendige for at opfylde den ønskede service og det primære formål. Hvis der nogensinde opstod en sag, hvor vi var nødt til at bruge dataene til et sekundært formål, vil vi underrette vores kunder og indhente deres samtykke.
  • Håndtering af uopfordrede personoplysninger – Vi har automatisk blokering for uopfordrede oplysninger. For cookies på vores hjemmesider har vi konfigureret vores cookiebanner med en opt-in som standardindstilling for alle cookies undtagen de strengt nødvendige cookies.
  • Meddelelse om indsamling af personoplysninger – Uddannelsesinstitutionerne får besked om de elev- og personaledata, der indsamles. Dette er nærmere beskrevet i de databehandleraftaler, som vi indgår med vores kunder. Vi opretholder også et dataskema for hvert af vores produkter, som beskriver de indsamlede data, og hvorfor de indsamles.
  • Brug eller videregivelse af personlige oplysninger – Vi bruger personoplysninger, der er relevante for det oprindelige formål, hvortil oplysningerne blev indsamlet. Se venligst afsnittet 'Tredjeparter: Hvordan vi kan dele dine data' i vores Privatlivspolitik for at få flere detaljer om de omstændigheder, hvorunder data kan videregives.
  • Direkte markedsføring – Vi praktiserer ikke direkte markedsføring til elever/forældre. Markedsføring er kun rettet mod uddannelsesinstitutioner, og de har en klar og synlig mulighed for at fravælge al markedsføringskommunikation.
  • Grænseoverskridende videregivelse af personoplysninger – Grænseoverskridende data videregives kun med organisationer, der overholder de australske privatlivsprincipper, og ved gennemførelse af en databehandlingsaftale, der binder dem til den påkrævede privatlivs- og sikkerhedspraksis.
  • Vedtagelse, brug eller offentliggørelse af regeringsrelaterede identifikatorer – Vi bruger ikke en regeringsrelateret identifikator som vores egen eller afslører en identifikator for en person, medmindre vi er autoriseret til at gøre det i henhold til loven, eller identifikatoren er nødvendig for at bekræfte personens identitet.
  • Kvaliteten af personlige oplysninger – Vi har systemer på plads for at sikre, at kvaliteten af de modtagne personlige oplysninger er nøjagtige, fuldstændige og opdaterede.
  • Sikkerhed af personlige oplysninger – Vi anvender administrative, tekniske og fysiske sikkerhedsforanstaltninger, der kræves for databeskyttelse, som beskrevet på denne side.
  • Adgang til personlige oplysninger – Enkeltpersoner har ret til at få adgang til deres personlige oplysninger, som angivet i vores Privatlivspolitik under afsnittet "Grænseoverskridende databeskyttelse".
  • Rettelse af personoplysninger – Enkeltpersoner har ret til at rette deres personlige oplysninger, som anført i vores Privatlivspolitik under afsnittet "Grænseoverskridende databeskyttelse".

Overholdelse

Brasiliens generelle lov om databeskyttelse (LGPD)

De Lei Geral de Proteção de Dados (LGPD), kendt på engelsk som General Data Protection Law, er den juridiske ramme, der er etableret for at regulere indsamling og brug af personoplysninger i Brasilien. Denne lov trådte i kraft den 16. august 2020, og dens håndhævelse overvåges af Autoridade Nacional de Proteção de Dados (ANPD), eller den nationale databeskyttelsesmyndighed.

 

Hvem gælder den brasilianske databeskyttelseslov for?

Lightspeed Systems er forpligtet til at overholde LGPD-principperne som følger:

  • Formål: Personoplysninger behandles til legitime, specifikke og udtrykkelige formål, der er meddelt den registrerede, uden efterfølgende uforenelig behandling.
  • Tilstrækkelighed: Personoplysninger behandles i overensstemmelse med de formål, der er oplyst til den registrerede, under hensyntagen til den pågældende behandlings kontekst.
  • Nødvendighed: Personoplysninger behandles i det minimale omfang, der er nødvendigt for at opnå de relevante formål, og anvender kun passende, forholdsmæssige og ikke-overdrevne data.
  • Gratis adgang: Registrerede har ret til nemt og gratis at forespørge om midlerne til og varigheden af behandlingen samt integriteten af deres personoplysninger.
  • Datakvalitet: Registrerede har ret til nøjagtige, klare, relevante og opdaterede oplysninger, som er nødvendige for at opnå de relevante formål.
  • Gennemsigtighed: Registrerede har ret til klare, nøjagtige og lettilgængelige oplysninger om behandlingsaktiviteter og de respektive behandlingsagenter (dataansvarlige og databehandlere), samtidig med at kommercielle og industrielle hemmeligheder beskyttes.
  • Sikkerhed: Lightspeed Systems har implementeret de nødvendige tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger mod uautoriseret adgang og utilsigtede eller ulovlige hændelser som ødelæggelse, tab, ændring, kommunikation eller formidling, som beskrevet på vores tillidsside.
  • Forebyggelse: Der er truffet forebyggende foranstaltninger for at mindske risici forbundet med behandling af personoplysninger, som beskrevet på vores tillidsside.
  • Ikke-diskrimination: Personoplysninger behandles ikke til diskriminerende formål, ej heller på nogen ulovlig eller misbrugende måde.
  • Ansvarlighed: Der er implementeret effektive foranstaltninger til at overholde kravene til beskyttelse af personoplysninger, og disse forbedres løbende som reaktion på det skiftende miljø.

LGPD giver de registrerede følgende primære rettigheder:

  • at få bekræftelse på eksistensen af behandling af personoplysninger;
  • at få adgang til deres personoplysninger;
  • at rette ufuldstændige, unøjagtige eller forældede data;
  • at få unødvendige, overdrevne eller ikke-overensstemmende personoplysninger anonymiseret, blokeret eller slettet;
  • dataportabilitet;
  • sletning af personoplysninger behandlet med den registreredes samtykke, undtagen i de tilfælde, der er fastsat i artikel 16 i denne lov
  • at blive informeret om tredjeparter, som deres data er blevet delt med;
  • at blive informeret om muligheden for at nægte at videregive personoplysninger og de deraf følgende konsekvenser; og
  • at trække deres samtykke tilbage.

Overholdelse

US Department of Commerce's Data Privacy Framework (DPF)

Den 10. juli 2023 trådte Europa-Kommissionens beslutning om tilstrækkelighed til EU-US Data Privacy Framework (EU-US DPF) i kraft. EU-US Data Privacy Framework (EU-US DPF) og UK Extension to the EU-US Data Privacy Framework (UK Extension to the EU-US DPF) blev henholdsvis udviklet til fremme af transatlantisk handel af det amerikanske handelsministerium, Europa-Kommissionen og den britiske regering for at give amerikanske organisationer pålidelige mekanismer til overførsel af personlige data til USA og Den Europæiske Union, samtidig med at det beskytter USA, Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde. EU- og UK-love.Lightspeed Systems overholder EU-US Data Privacy Framework (EU-US DPF) og UK Extension til EU-US DPF, som angivet af det amerikanske handelsministerium. Lightspeed Systems har over for det amerikanske handelsministerium certificeret, at det overholder EU-US Data Privacy Framework Principles (EU-US DPF Principles) med hensyn til behandling af personoplysninger modtaget fra EU og Storbritannien i afhængighed af EU-US DPF og UK Extension to EU-US DPF. Hvis der er nogen konflikt mellem vilkårene i denne privatlivspolitik og EU-US DPF-principperne, er principperne gældende. For at lære mere om Data Privacy Framework (DPF)-programmet og for at se vores certificering, besøg venligst https://www.dataprivacyframework.gov/.

Lightspeed Systems er underlagt undersøgelses- og håndhævelsesbeføjelserne fra Federal Trade Commission (FTC).

I overensstemmelse med EU-US DPF og UK Extension to EU-US DPF forpligter Lightspeed Systems sig til henholdsvis at samarbejde og overholde rådene fra panelet oprettet af EU-databeskyttelsesmyndighederne (DPA'er) og UK Information Commissioner's Office (ICO) med hensyn til uafklarede klager vedrørende vores håndtering af menneskelige ressourcer-data i EU-USten mod EU-USten i EU-USten. sammenhængen i ansættelsesforholdet.

For flere detaljer om vores overholdelse af Data Privacy Framework, se venligst afsnittet 'Internationale dataoverførsler' i vores Privatlivspolitik.

Overholdelse

Kontoret for Foreign Assets Control (OFAC)

Kontoret for Foreign Assets Control ("OFAC") af det amerikanske finansministerium administrerer og håndhæver økonomiske og handelsmæssige sanktioner baseret på amerikansk udenrigspolitik og nationale sikkerhedsmål mod målrettede fremmede lande og regimer, terrorister, internationale narkotikasmuglere, dem, der er involveret i aktiviteter relateret til spredning af masseødelæggelsesvåben og andre trusler mod USA's nationale sikkerhed, udenrigspolitik eller økonomi.

  • Lightspeed Systems, dets datterselskaber og tilknyttede selskaber er forpligtet til fuld overholdelse af alle internationale sanktioner, inklusive men ikke begrænset til dem, der er pålagt af USA, EU og Storbritannien.
  • Internationale sanktioner er love, regler, bekendtgørelser, rådsbeslutninger og andre regeringshandlinger, som forbyder en bred vifte af kommercielle og finansielle transaktioner. Det er Lightspeed Systems politik at overholde alle gældende internationale sanktioner.
  • Lightspeed Systems anser et effektivt overholdelsesprogram, der adresserer eksportkontrol med politikker og procedurer, for at være en vigtig, vital del af vores forretningsdrift og etiske adfærdskodeks.
  • Vi screener alle internationale ordrer mod forskellige lister over sanktionerede og forbudte personer og destinationer før accept. Enhver ordre modtaget, direkte eller indirekte, fra en sanktioneret person eller beregnet til endelig slutbrug af sanktioneret person eller i en sanktioneret destination, vil blive afvist.
  • Lightspeed Systems medarbejdere modtager årlig OFAC-bevidsthedstræning for at sikre overholdelse.

Lightspeed Systems underprocessorliste

Enhedsnavn Underbehandlingsaktiviteter Enhedsplacering (hovedkvarter) Sikkerhed og supplerende foranstaltninger
Amazon Web Services, Inc. Applikationshosting og -lagring USA
LightEdge Datacenter USA
Microsoft Corporation E-mail og samarbejdsværktøjer USA
Enhedsnavn Underbehandlingsaktiviteter Enhedsplacering (hovedkvarter) Sikkerhed og supplerende foranstaltninger
Ably.io Tilstedeværelsesovervågning Storbritannien
Adobe Sign Udbyder af elektroniske signaturer USA
Datahund Overvågning og alarmering af vores produkter for at sikre, at vi opfylder kvalitetsmål og kontraktlige SLA'er USA
Greenhouse Software Inc. Software til rekruttering USA
Hive AI Tekstmoderering for produktfunktionalitet USA
Microsoft Corporation E-mail og samarbejdsværktøjer USA
UKG Software til lønstyring USA
NetSuite Regnskabssystemer USA
OpenAI Generativ AI-tjenesteudbyder til intelligence-produktfunktioner USA
Pendo.io Inc Software Experience Management USA
Salesforce Kundesupport – CRM-udbyder USA
Snefnug Produktbrugsanalyse, Kategoriseringsdatabase USA
Twilio Udbyder af kommunikationsteknologi USA
Zoom, Inc. Udbyder af videokonferencer USA