Lightspeed Systems® er din betroede partner

Sikkerhed og overholdelse

Informationssikkerhed og databeskyttelse er en integreret del af vores grundlæggende overbevisninger. Vi har dedikerede sikkerheds- og overholdelsesteam, som er forpligtet til at holde dine oplysninger sikre. Lightspeed Systems anvender strenge politikker og procedurer for at sikre tilgængelighed, integritet og fortrolighed af kundedata.

Systemstatus

Vi ved, at du stoler på Lightspeed Systems-løsninger til at gøre fantastiske ting, så vi overvåger løbende vores tjenester internt og gennem tredjeparts tjenester. Find afbrydelser i tjenester, opdateringer og vedligeholdelsesmeddelelser her.

Sikkerhed

Lightspeed Systems forstår behovet for at beskytte de personlige og fortrolige data fra vores kunder, medarbejdere og partnere. Privatliv og sikkerhed er vores ansvar, og vi leverer innovative løsninger, der forbedrer, snarere end kompromis, databeskyttelse og sikkerhed.

Overholdelse

Siden 1999 har Lightspeed Systems samarbejdet med skoler rundt om i verden for at beskytte studerende og gøre læring tilpasset det stadigt skiftende teknologiske landskab. Arten af vores forretning forpligter os til at overholde de forskellige love om databeskyttelse for studerende for at sikre, at studerendes data beskyttes.

Lightspeed Systems servicestatus

Serviceniveauaftale (SLA)

Lightspeed Systems leverer hostede tjenester, inklusive styring af mobilenheder, webfiltrering, appanalyse og klasselokalstyring til skoler. Vores tjenester er tilgængelige mindst 99.5% af tiden, hvor servere løbende overvåges for ydeevne og tilgængelighed.

skærmbilleder på stationære og mobile enheder til software til fjernundervisning

Lightspeed sikkerhed

Administrative sikkerhedsforanstaltninger

Medarbejderbaggrundskontrol

Alle Lightspeed Systems-medarbejdere gennemgår baggrundskontrol og underskriver en fortrolighedsaftale inden ansættelse.

Incident Management

Vi har en skriftlig hændelsesresponsplan, der beskriver processerne til at detektere, rapportere, identificere, analysere og reagere på sikkerhedshændelser, der påvirker Lightspeed Systems-netværk og kundedata.

Meddelelse om databrud

Hvis vi får kendskab til et databrud, vil vi følge vores hændelsesplan og underrette vores kunder uden unødig forsinkelse. 

Uddannelse af medarbejderes privatliv og sikkerhed

Efter ansættelse og løbende er alle medarbejdere forpligtet til at gennemføre privatlivs- og sikkerhedstræning, der dækker fortrolighedspraksis og de principper, der gælder for medarbejderhåndtering af personlige oplysninger, herunder behovet for at begrænse brugen, adgangen til, deling og opbevaring af personlig Information.

Vi tilbyder træning om specifikke sikkerhedsaspekter, som de har brug for baseret på deres roller. For eksempel gennemgår produktudviklingsteamet privatliv ved design og sikker træning i softwareudvikling. Medarbejdere udsættes også for regelmæssige phishing-e-mails.

Valg af leverandør og risikostyring

Lightspeed Systems kan bruge underprocessorer til at udføre tjenester og har kun ret til kun at få adgang til kundedata efter behov for at udføre tjenesterne og er bundet af skriftlige aftaler, der kræver, at de leverer strenge databeskyttelsesniveauer, der kræves i Lightspeed og gældende regler. Her er en liste over vores underprocessorer.

Forudgående engagement og løbende leverandørvurderinger udføres for at sikre korrekt databeskyttelse og sikkerhedspraksis er på plads i hele leverandørforholdet.

  • Ændringer i leverede leverandørtjenester eller ændringer i eksisterende kontrakter kræver en sikkerhedsrisikovurdering for at bekræfte, at ændringerne ikke udgør yderligere eller unødig risiko.

Politik- og procedurdokumenter stemmer overens med NIST Privacy / Security Frameworks

Lightspeed Systems gennemgår sine systemer mod CIS Controls og NIST Frameworks, og eventuelle identificerede risici eller huller løses i overensstemmelse hermed.

Vi har et udpeget datastyringsteam, der afholder kvartalsmøder for at sikre dataintegriteten

Følgende politiske dokumenter er blevet indført og implementeret på tværs af organisationen: Sikkerhedspolitik, hændelsesplan, sårbarhedsafhjælpningspolitik, patch-politik, it-standardpolitik, dataklassificeringspolitik, politik for sletning af data, leverandørvurderingspolitik, procedure for verifikationssikkerhedsstandarder, adgangskode Politik, Clean Desk-politik, Privatlivspolitik, Data Governance Policy, Building Access Policy og PIA & DPIA Procedure.

Lightspeed sikkerhed

Tekniske sikkerhedsforanstaltninger

Datakryptering

Data krypteres under transit og i hvile.

 

Datalagring og sletning

Lightspeed Systems har implementeret en datalagringspolitik. Hvor det er relevant, bruger vores løsninger automatiserede regler til at rense data i henhold til politikken.

 

Backup af data

Vi udfører regelmæssig sikkerhedskopiering af data og systemer. Backupintervaller afhænger af datatypen og spænder fra minutter til en gang om dagen.

Afhjælpning af sårbarhed

Lightspeed Systems har en politik for sårbarhedsoprydning, der identificerer og afhjælper sårbarheder i henhold til den risiko, de udgør. Vi bruger patch management software til at overvåge systemer og sikre, at patches implementeres.

 

Beskyttelse mod malware

Lightspeed Systems har på plads anti-malware og anti-spam løsninger til at beskytte servere og arbejdsstationer.

 

Logning og overvågning

Lightspeed Systems har implementeret logning og overvågningsløsninger til at identificere og undersøge mulige sikkerhedshændelser.

identitet og adgangskontrol

Adgang til personlige oplysninger er begrænset gennem loginoplysninger til de ansatte, der har brug for det for at udføre deres jobfunktioner. Derudover bruger Lightspeed Systems adgangskontrol såsom Multi-Factor Authentication, Single Sign-On, mindst privilegium og adgang efter behov, stærke adgangskodekontrol og begrænset adgang til administrative konti.

Vores løsninger giver kunderne mulighed for at oprette 'Admin' -roller, der kun giver de nødvendige rettigheder til at udføre de krævede funktioner.

Lightspeed sikkerhed

Fysiske sikkerhedsforanstaltninger

sikkerhed på arbejdspladsen

Lightspeed Systems opretholder følgende kontrolelementer designet til at forhindre uautoriseret adgang til vores kontorer:

  • Adgang til faciliteter er begrænset til autoriserede personer ved hjælp af nøgler / nøgleringe eller adgangsbrikker.
  • Lightspeed-kontorer har brandbekæmpelses- og branddetekteringssystemer eller enheder samt nødudgange og evakueringsveje.

datacentrets sikkerhed

Alle datacentre, hvor data behandles og gemmes, er placeret i USA og har SOC 2, HIPPA, PCI DSS og ISO 27001-certificeringer. Lightspeed har en proces på plads til at logge, overvåge og reagere på begivenheder og anomalier i dets systemer og løsninger. Løsninger til sikkerhedskopiering og gendannelse af data er også på plads.

Sikre designprincipper

Lightspeed Systems praktiserer sikkerhed ved design. Vi bruger en Secure Software Development Lifecycle baseret på OWASP-metoder.

  • Vores systemer og processer tager højde for kernens søjler i informationssikkerhed: fortrolighed, integritet og tilgængelighed.

Kontakt os, hvis du har mistanke om en sikkerhedssårbarhed inden for Lightspeed Systems

Kontakt os, hvis du har mistanke om en sikkerhedssårbarhed inden for Lightspeed Systems

Overholdelse

Børns Online Privacy Protection Act (COPPA)

COPPA gælder online-indsamling af personlige oplysninger af personer eller enheder under amerikansk jurisdiktion om børn under 13 år. Forældres samtykke er påkrævet for indsamling eller brug af personlige oplysninger fra brugerne.

  • Lightspeed Systems overholder Children's Online Privacy Protection Act (COPPA, for at sikre børns online sikkerhed. Elevkonti leveres kun gennem en verificeret underviser, skole eller uddannelsesorganisation. Uddannere er enige om at få forældrenes tilladelse, før de udsteder konti til studerende. 

Vi overholder følgende COPPA-retningslinjer, der er anført nedenfor, og accepterer:

  • IKKE indsamle online kontaktoplysninger uden samtykke fra hverken en forælder eller en kvalificeret underviser eller uddannelsesinstitution.
  • IKKE indsamle personligt identificerbare offline kontaktoplysninger.
  • IKKE distribuere personligt identificerbare oplysninger til tredjeparter uden forudgående forældres samtykke.
  • IKKE lokke ved udsigten til et specielt spil, præmie eller anden aktivitet eller at videregive mere information, end det er nødvendigt for at deltage i aktiviteten.
  • IKKE bruge eller videregive elevoplysninger til adfærdsmæssig målretning af reklamer til studerende.
  • IKKE opbygge en personlig profil for en studerende, der ikke er til støtte for autoriserede uddannelses- / skoleformål.

Overholdelse

Familieloven om uddannelsesrettigheder og privatliv (FERPA)

Det Familieloven om uddannelsesrettigheder og privatliv (FERPA) er en føderal lov, der beskytter privatlivets fred for studerendes uddannelsesoptegnelser. Loven gælder for alle skoler, der modtager midler under et gældende program fra US Department of Education.

  • Selvom FERPA gælder for skoler og ikke virksomheder, kan Lightspeed Systems blive udpeget som en 'skolemedarbejder', og som sådan overholder vi FERPA-kravene og har forpligtet os til at beskytte de studerendes information, som er betroet os af skoledistrikterne . Skoledistrikterne har kontrol over alle elevdata, og vi fortsætter under deres ledelse. Under FERPA har forældre eller kvalificerede studerende ret til at få adgang til, inspicere, gennemgå og rette elevernes optegnelser, og Lightspeed overholder disse rettigheder, når vi modtager en verificeret skriftlig anmodning fra skoledistriktet.
  • Bemærk, at Lightspeed Systems ikke har nogen direkte kontakt med studerende eller forældre.

Overholdelse

New York Education Law 2-D

Uddannelseslov § 2-d trådte i kraft i april 2014. Fokus for statutten var at fremme privatlivets fred og sikkerhed for personligt identificerbare oplysninger (PII) for studerende og visse PII relateret til klasselærere og rektorer.

Lightspeed Systems overholder NY ED Law 2-D og the Forældre Bill of Rights, som kræver følgende:

  • En studerendes personligt identificerbare oplysninger (PII) kan ikke sælges eller frigives til noget kommercielt formål;
  • Retten til at inspicere og gennemgå det komplette indhold af den studerendes uddannelsesjournal, der er gemt eller vedligeholdt af et uddannelsesbureau;
  • Sikkerhedsforanstaltninger forbundet med industristandarder og bedste praksis inklusive, men ikke begrænset til kryptering, firewalls og adgangskodebeskyttelse skal være på plads, når student PII er gemt eller overført;
  • At blive underrettet i overensstemmelse med gældende love og regler, hvis der opstår en overtrædelse eller uautoriseret frigivelse af PII;
  • Forældre har ret til at få klager over mulige overtrædelser af studerendes data behandlet;
  • Uddannelsesbureauer, der håndterer PII, vil modtage uddannelse i gældende statslige og føderale love, politikker og sikkerhedsforanstaltninger forbundet med industristandarder og bedste praksis, der beskytter PII;
  • Uddannelsesbureaukontrakter med leverandører, der modtager PII, vil behandle lovbestemte og lovgivningsmæssige databeskyttelses- og sikkerhedskrav.

Overholdelse

Elevs privatlivspant

Det Elevs privatlivspant er en offentlig og juridisk håndhævelig erklæring fra ed tech-virksomheder for at beskytte studerendes privatliv, bygget op omkring forpligtelser vedrørende indsamling, vedligeholdelse og brug af studerendes personlige oplysninger.

  • Lightspeed Systems har underskrevet Elevs privatlivspant at udføre ansvarligt forvaltning og passende brug af studerendes personlige oplysninger.
studerendes fortrolighedserklæring underskriver badge

Overholdelse

Student Data Privacy Consortium (SDPC) og National Data Processing Agreement (NDPA)

Det SDPC er et unikt samarbejde mellem skoler, distrikter, regionale, territorier og statslige agenturer, politiske beslutningstagere, handelsorganisationer og markedsudbydere, der adresserer virkelige løsninger, tilpasningsdygtige og implementerbare løsninger til voksende databeskyttelsesproblemer.
  • SDPC frigav den første National Data Privacy Agreement (NDPA) at strømline applikationskontraktering og indstille fælles forventninger mellem skoler / distrikter og markedsudbydere.
  • Lightspeed arbejder med skolekvarterer i alle de deltagende stater for at sikre, at vi har aftaler om databehandling.
  • Skoledistrikter, der gerne vil underskrive SDPC og NDPA hos os, opfordres til at e-maile privacy@lightspeedsystems.com

Overholdelse

California Consumer Privacy Act (CCPA)

Det California Consumer Privacy Act of 2018 (CCPA) giver forbrugerne mere kontrol over de personlige oplysninger, som virksomhederne indsamler om dem.

  • Lightspeed Systems er forpligtet til at opfylde kravene i CCPA og beskytte dine data.
  • Vores Fortrolighedspolitik giver detaljerede oplysninger om, hvordan Lightspeed Systems indsamler og behandler dine personlige oplysninger.

Californiske forbrugere kan fremsætte en anmodning i henhold til deres rettigheder i henhold til CCPA ved at kontakte os på privacy@lightspeedsystems.com

Overholdelse

Generel databeskyttelsesforordning (GDPR)

GDPR er en forordning, der kræver, at virksomheder beskytter EU-borgernes personlige data og privatliv for transaktioner, der finder sted inden for EU-lande.

  • Lightspeed Systems er forpligtet til at opfylde databeskyttelseskravene i GDPR.
  • Vi har implementeret følgende processer for at sikre overholdelse af GDPR:
    • Dataminimering - Vi indsamler kun de nødvendige data til et specifikt formål, og brugen er begrænset til det angivne formål.
    • Datakortlægning og klassificering - Vi opretholder en detaljeret oversigt over personoplysninger og klassificerer derefter disse data. Dette er en kontinuerlig proces, som vi konstant arbejder på at forbedre.
    • Datalagring - Vi opbevarer kun data, så længe det er nødvendigt for at opfylde det angivne formål og for at opfylde vores kontraktmæssige forpligtelser Vi har implementeret følgende processer for at sikre overholdelse af GDPR:
    • Data anonymisering
GDPR overholdelse badge
    • Vi har en DPA med standardkontraktbestemmelser, godkendt af Europa-Kommissionen, for at beskytte overførslen af personoplysninger uden for EU / UK.
    • Nå ud til privacy@lightspeedsystems.com at udføre DPA med os.
    • Vi har implementeret passende tekniske og organisatoriske foranstaltninger for at sikre personlige data.

Overholdelse

Privacy Shield

Det EU-US og Swiss-US Privacy Shield Frameworks blev designet af henholdsvis det amerikanske handelsministerium og henholdsvis Europa-Kommissionen og den schweiziske administration for at give virksomheder på begge sider af Atlanterhavet en mekanisme til at overholde databeskyttelseskrav, når de overfører personoplysninger fra EU og Schweiz til USA Stater, der støtter transatlantisk handel.

 Den 16. juli 2020 udstedte Den Europæiske Unions Domstol en dom erklærer som ”ugyldig” Europa-Kommissionens beslutning (EU) 2016/1250 af 12. juli 2016 om tilstrækkeligheden af den beskyttelse, der ydes af EU-US Privacy Shield. Som et resultat af denne beslutning er EU-US Privacy Shield Framework ikke længere en gyldig mekanisme til at overholde EU-databeskyttelseskrav ved overførsel af personoplysninger fra Den Europæiske Union til USA. Denne beslutning fritager ikke deltagere i EU-US Privacy Shield for deres forpligtelser i henhold til EU-US Privacy Shield Framework.

  • Lightspeed Systems fortsætter med at vedligeholde vores Privacy Shield certificering, som binder os til strenge databeskyttelsesprincipper.
  • Vi har indarbejdet EU-standardkontraktbestemmelser i vores DPA for at tage højde for grænseoverskridende dataoverførsler. I nogle tilfælde stoler vi på GDPR artikel 49 undtagelse, hvor overførslen er nødvendig for udførelsen af en kontrakt mellem den registrerede og den dataansvarlige eller til gennemførelse af præ-kontraktlige foranstaltninger truffet på den registreredes anmodning.

Overholdelse

Kontor for kontrol med udenlandske aktiver (OFAC)

Kontoret for kontrol med udenlandske aktiver (“OFAC”) fra det amerikanske finansministerium administrerer og håndhæver økonomiske og handelsmæssige sanktioner baseret på USA's udenrigspolitik og nationale sikkerhedsmål mod målrettede udenlandske lande og regimer, terrorister, internationale narkotikahandel, dem, der er involveret i aktiviteter relateret til spredning af masseødelæggelsesvåben, og andre trusler mod De Forenede Staters nationale sikkerhed, udenrigspolitik eller økonomi.

  • Lightspeed Systems, dets datterselskaber og tilknyttede virksomheder er forpligtet til fuld overholdelse af alle internationale sanktioner, herunder men ikke begrænset til dem, der pålægges af USA, Den Europæiske Union og Det Forenede Kongerige.
  • Internationale sanktioner er love, forskrifter, bekendtgørelser, rådsbestemmelser og andre regeringshandlinger, der forbyder en bred vifte af kommercielle og finansielle transaktioner. Det er Lightspeed Systems's politik at overholde alle gældende internationale sanktioner.
  • Lightspeed Systems betragter et effektivt compliance-program, der adresserer eksportkontrol med politikker og procedurer, som en vigtig, vital del af vores forretningsdrift og etiske adfærdskodeks.
  • Vi screener alle internationale ordrer mod forskellige lister over sanktionerede og forbudte personer og destinationer inden accept. Enhver ordre, der modtages direkte eller indirekte fra en sanktioneret person eller beregnet til ultimativ slutbrug af sanktioneret person eller i en sanktioneret destination, afvises.

Lightspeed Systems-medarbejdere modtager årlig OFAC-bevidsthedstræning for at sikre overholdelse.

For mere detaljerede oplysninger om, hvordan vi håndterer personlige data og detaljerne i vores tjenester, henvises til vores
Fortrolighedspolitik og Betingelser for brug.

Lightspeed Systems underprocessorliste

Enhedsnavn

Underforarbejdningsaktiviteter

Enhedsplacering (HQ)

Amazon Web Services, Inc.

Application Hosting & Storage

Forenede Stater

Equinix

Datacenter

Forenede Stater

LightEdge

Datacenter

Forenede Stater

Microsoft Corporation (Microsoft Azure)

Application Hosting & Storage

Forenede Stater

Enhedsnavn

Underforarbejdningsaktiviteter

Enhedsplacering (HQ)

Ably.io

Overvågning af tilstedeværelse

Det Forenede Kongerige

DocuSign

Elektronisk signaturudbyder

Forenede Stater

FullStory

Produktanalyse

Forenede Stater

Greenhouse Software Inc.

Rekrutteringsstyringssoftware

Forenede Stater

Incorta

Dataanalyse

Forenede Stater

Microsoft Corporation

E-mail- og samarbejdsværktøjer

Forenede Stater

Nemlig

Software til lønstyring

Forenede Stater

NetSuite

Regnskabssystemer

Forenede Stater

Pendo.io Inc.

Management af softwareoplevelse

Forenede Stater

Salgsstyrke

Kundesupport - CRM-udbyder

Forenede Stater

Twilio

Kommunikationsudbyder

Forenede Stater