Vertrauen in Lightspeed

Lightspeed Systems® ist Ihr zuverlässiger Partner

SOC2 Type 2
Data Privacy Framework Program logo
Access 4 Learning Community badge

Sicher und geschützt

Informationssicherheit und Datenschutz sind ein wesentlicher Bestandteil unserer Grundüberzeugungen. Wir verfügen über engagierte Sicherheits- und Compliance-Teams, die sich für die Sicherheit Ihrer Informationen einsetzen. Lightspeed Systems wendet strenge Richtlinien und Verfahren an, um die Verfügbarkeit, Integrität und Vertraulichkeit von Kundendaten zu gewährleisten.

Servicestatus von Lightspeed Systems

Service Level Agreement (SLA)

Lightspeed Systems bietet gehostete Dienste wie Mobilgeräteverwaltung, Webfilterung, App-Analyse und Klassenraummanagement für Schulen. Unsere Dienste sind mindestens 99,91 Stunden pro Tag verfügbar, wobei die Server kontinuierlich auf Leistung und Verfügbarkeit überwacht werden.

Überprüfen des Systemstatus
Lesen Sie unser SLA
Lightspeed Product Suite screenshots

Lightspeed-Sicherheit

Administrative Schutzmaßnahmen

Hintergrundüberprüfungen der Mitarbeiter

Alle Mitarbeiter von Lightspeed Systems werden vor der Einstellung einer Hintergrundüberprüfung unterzogen und unterzeichnen eine Geheimhaltungsvereinbarung.

Benachrichtigung bei Datenschutzverletzungen

Wenn wir von einer Datenpanne erfahren, folgen wir unserem Incident Response Plan und benachrichtigen unsere Kunden unverzüglich.

Vorfallmanagement

Wir verfügen über einen schriftlichen Vorfallreaktionsplan, der die Prozesse zum Erkennen, Melden, Identifizieren, Analysieren und Reagieren auf Sicherheitsvorfälle, die sich auf die Netzwerke und Kundendaten von Lightspeed Systems auswirken, detailliert beschreibt.

Schulung zum Datenschutz- und Sicherheitsbewusstsein der Mitarbeiter

Bei der Einstellung und fortlaufend müssen alle Mitarbeiter eine Schulung zum Thema Datenschutz und Sicherheit absolvieren. Diese Schulung behandelt Datenschutzpraktiken und die Grundsätze, die für den Umgang der Mitarbeiter mit personenbezogenen Daten gelten, einschließlich der Notwendigkeit, die Verwendung, den Zugriff, die Weitergabe und die Aufbewahrung personenbezogener Daten einzuschränken.

Wir bieten Schulungen zu spezifischen Sicherheitsaspekten an, die sie je nach ihrer Rolle benötigen. Beispielsweise erhält das Produktentwicklungsteam Schulungen zu Datenschutz durch Design und sicherer Softwareentwicklung. Mitarbeiter werden außerdem regelmäßig mit Phishing-E-Mails konfrontiert.

Lieferantenauswahl und Risikomanagement

Lightspeed Systems kann zur Erbringung von Dienstleistungen Unterauftragsverarbeiter einsetzen und ist nur berechtigt, auf Kundendaten zuzugreifen, soweit dies zur Erbringung der Dienstleistungen erforderlich ist. Lightspeed Systems ist an schriftliche Vereinbarungen gebunden, die sie zur Einhaltung der strengen Datenschutzstandards verpflichten, die von Lightspeed und den geltenden Vorschriften gefordert werden. Hier ist eine Liste unserer Unterauftragsverarbeiter.

Um sicherzustellen, dass während der gesamten Vertragsbeziehung mit dem Lieferanten angemessene Datenschutz- und Sicherheitspraktiken eingehalten werden, werden vor der Auftragsvergabe und im laufenden Betrieb Bewertungen des Lieferanten durchgeführt. Änderungen an den von Anbietern bereitgestellten Diensten oder an bestehenden Verträgen erfordern eine Sicherheitsrisikobewertung, um zu bestätigen, dass die Änderungen kein zusätzliches oder unangemessenes Risiko darstellen.

Richtlinien- und Verfahrensdokumente entsprechen den Datenschutz-/Sicherheitsrahmen des NIST

Lightspeed Systems überprüft seine Systeme anhand der CIS Controls und NIST Frameworks und alle identifizierten Risiken oder Lücken werden entsprechend behoben.

Wir haben ein eigenes Data-Governance-Team, das regelmäßige Meetings abhält, um die Datenintegrität sicherzustellen.

Wir haben in der gesamten Organisation verschiedene Richtliniendokumente zum Datenschutz implementiert, beispielsweise (jedoch nicht beschränkt auf): Vorfallreaktionsplan, Sicherheitsrichtlinie, Richtlinie zur Behebung von Sicherheitslücken, Richtlinie zu IT-Standards und Richtlinie zur Datenlöschung.

Geschäftskontinuität und Notfallwiederherstellung

Lightspeed Systems ist sich der Bedeutung der Aufrechterhaltung kritischer Geschäftsfunktionen sowie des Schutzes von Systemen und Daten bewusst. Um die Geschäftskontinuität zu gewährleisten, hat Lightspeed einen unternehmensweiten Business-Continuity- und Disaster-Recovery-Plan entwickelt, der das gesamte Managementprogramm für alle Funktionen regelt.

Änderungsmanagement

Es werden Richtlinien zum Änderungsmanagement dokumentiert, die sich mit dem Entwurf, der Entwicklung, dem Erwerb, dem Testen, der Genehmigung und der Implementierung von Systemänderungen und Patches befassen.

Lightspeed-Sicherheit

Technische Schutzmaßnahmen

Externe Audits

Lightspeed Systems unterzieht sich jährlich einem SOC-2-Typ-II-Audit, das von einem unabhängigen Unternehmen bestätigt wird und die Einhaltung der SOC-2-Standards bestätigt. Lightspeed Systems befolgt die Trust Services Criteria des AICPA und hat Richtlinien und Prozesse implementiert, um die Sicherheit, Verfügbarkeit, Vertraulichkeit und den Datenschutz der von uns angebotenen Dienstleistungen zu gewährleisten. Kunden können eine Kopie unseres SOC-2-Typ-II-Berichts per E-Mail an [email protected] anfordern. Der Bericht wird nach Unterzeichnung einer Vertraulichkeitsvereinbarung (NDA) zugestellt.

Benachrichtigung bei Datenschutzverletzungen

Wenn wir von einer bestätigten Datenpanne erfahren, folgen wir unserem Incident-Response-Plan und benachrichtigen die Schule unverzüglich.

Verschlüsselung im Ruhezustand

Die Daten werden im Ruhezustand mit der Advanced Encryption Standard (AES)-Verschlüsselung verschlüsselt.

Verschlüsselung während der Übertragung

Die Daten werden während der Übertragung mit dem Transport Layer Security (TLS)-Protokoll verschlüsselt.

Datensicherung

Wir führen regelmäßige Backups von Daten und Systemen durch. Die Backup-Intervalle sind abhängig von der Art der Daten und reichen von Minuten bis einmal täglich.

Behebung von Sicherheitslücken

Lightspeed Systems verfügt über eine Richtlinie zur Behebung von Schwachstellen, um Schwachstellen entsprechend ihrem Risiko zu identifizieren und zu beheben. Wir nutzen Patch-Management-Software, um Systeme zu überwachen und sicherzustellen, dass Patches implementiert werden.

Datenlöschung

Lightspeed Systems hat eine Richtlinie zur Datenlöschung implementiert. Unsere Lösungen nutzen gegebenenfalls automatisierte Regeln, um Daten gemäß den Richtlinien zu löschen.

Protokollierung und Überwachung

Lightspeed Systems hat Protokollierungs- und Überwachungslösungen implementiert, um mögliche Sicherheitsereignisse zu identifizieren und zu untersuchen.

Identitäts- und Zugriffskontrolle

Der Zugriff auf personenbezogene Daten ist durch Anmeldeinformationen auf diejenigen Mitarbeiter beschränkt, die diese zur Erfüllung ihrer Aufgaben benötigen. Darüber hinaus nutzt Lightspeed Systems Zugriffskontrollen wie Multi-Faktor-Authentifizierung, Single Sign-On, das Prinzip der geringsten Berechtigungen und Zugriff nach Bedarf, sichere Kennwortkontrollen und eingeschränkten Zugriff auf Administratorkonten.

Unsere Lösungen ermöglichen es Kunden, „Admin“-Rollen zu erstellen, die nur die Rechte gewähren, die zum Ausführen der erforderlichen Funktionen erforderlich sind.

Lightspeed-Sicherheit

Physische Schutzmaßnahmen

Sicherheit am Arbeitsplatz

Lightspeed Systems verfügt über die folgenden Kontrollen, um unbefugten Zugang zu unseren Büros zu verhindern:

  • Der Zugang zur Einrichtung ist auf autorisierte Personen durch die Verwendung von Schlüsseln/Schlüsselanhängern oder Zugangsausweisen beschränkt.
  • Die Büros von Lightspeed verfügen über Brandbekämpfungs- und Brandmeldesysteme bzw. -geräte sowie Notausgänge und Evakuierungswege.

Rechenzentrumssicherheit

Alle Rechenzentren, in denen Daten verarbeitet und gespeichert werden, befinden sich in den USA und sind nach SOC 2, PCI DSS und ISO 27001 zertifiziert. Lightspeed verfügt über einen Prozess zur Protokollierung, Überwachung und Reaktion auf Ereignisse und Anomalien in seinen Systemen und Lösungen. Darüber hinaus sind Lösungen zur Datensicherung und -wiederherstellung vorhanden.

Sichere Designprinzipien

Lightspeed Systems praktiziert Sicherheit durch Design. Wir nutzen einen sicheren Software-Entwicklungszyklus basierend auf OWASP-Methoden.

Unsere Systeme und Prozesse berücksichtigen die Grundpfeiler der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit.

Einhaltung

Ethik und Prinzipien der Künstlichen Intelligenz (KI) von Lightspeed Systems

Lightspeed Systems weiß, wie künstliche Intelligenz die Welt der Technologie und der Wirtschaft positiv verändern kann. Wir setzen KI verantwortungsvoll ein und achten darauf, dass sie ethisch korrekt ist, den Nutzen maximiert und unseren Kunden zugutekommt. Wir befolgen ethische Grundsätze für KI-Lösungen, die unseren Werten und professionellen Standards entsprechen und das Vertrauen unserer Kunden, Mitarbeiter, der Gemeinschaft und der Aufsichtsbehörden stärken. Wir stehen zu unserem festen Willen, im öffentlichen Interesse zu handeln, das öffentliche Vertrauen zu respektieren und unser Engagement für professionelle Exzellenz unter Beweis zu stellen. Weitere Informationen finden Sie in unserer Verantwortungsvoller Einsatz von KI.

Einhaltung

Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA)

COPPA gilt für die Online-Erhebung personenbezogener Daten von Kindern unter 13 Jahren durch Personen oder Einrichtungen der US-amerikanischen Gerichtsbarkeit. Für die Erhebung oder Verwendung personenbezogener Daten der Nutzer ist die Zustimmung der Eltern erforderlich.

  • Lightspeed Systems hält sich an den Children's Online Privacy Protection Act (COPPA), um die Online-Sicherheit von Kindern zu gewährleisten. Schülerkonten werden nur über einen verifizierten Pädagogen, eine Schule oder eine Bildungseinrichtung bereitgestellt. Pädagogen verpflichten sich, vor der Kontovergabe an Schüler die Erlaubnis der Eltern einzuholen. Bitte lesen Sie hier den COPPA-Hinweis von Lightspeed.

Wir erfüllen die folgenden unten aufgeführten COPPA-Richtlinien und stimmen Folgendem zu:

  • KEINE Online-Kontaktdaten ohne die Zustimmung eines Elternteils oder eines qualifizierten Pädagogen oder einer Bildungseinrichtung sammeln.
  • KEINE persönlich identifizierbaren Offline-Kontaktdaten sammeln.
  • Geben Sie KEINE personenbezogenen Daten ohne vorherige Zustimmung der Eltern an Dritte weiter.
  • NICHT durch die Aussicht auf ein besonderes Spiel, einen Preis oder eine andere Aktivität locken oder dazu verleiten, mehr Informationen preiszugeben, als für die Teilnahme an der Aktivität erforderlich sind.
  • KEINE Nutzung oder Weitergabe von Studenteninformationen für verhaltensorientierte Werbung an Studenten.
  • KEIN persönliches Profil eines Schülers erstellen, außer zur Unterstützung autorisierter Bildungs-/Schulzwecke.

Einhaltung

Gesetz über die Rechte und Privatsphäre der Familie im Bildungsbereich (FERPA)

Der Gesetz über die Rechte und Privatsphäre der Familie im Bildungsbereich (FERPA) ist ein Bundesgesetz zum Schutz der Privatsphäre von Schülerdaten. Das Gesetz gilt für alle Schulen, die im Rahmen eines entsprechenden Programms des US-Bildungsministeriums Fördermittel erhalten.

  • Obwohl FERPA für Schulen und nicht für Unternehmen gilt, kann Lightspeed Systems als ‘Schulbeauftragter’ eingestuft werden. Daher erfüllen wir die FERPA-Bestimmungen und verpflichten uns zum Schutz der uns von den Schulbezirken anvertrauten Schülerdaten. Die Schulbezirke haben die Kontrolle über alle Schülerdaten, und wir handeln gemäß ihren Vorgaben. Gemäß FERPA haben Eltern oder volljährige Schüler das Recht, Schülerakten einzusehen, zu prüfen und zu korrigieren. Lightspeed erfüllt diese Rechte, sobald uns eine bestätigte schriftliche Anfrage des Schulbezirks vorliegt.
  • Bitte beachten Sie, dass Lightspeed Systems keinen direkten Kontakt zu Schülern oder Eltern hat.

Einhaltung

New Yorker Bildungsgesetz 2-D

Schulgesetz § 2-d trat im April 2014 in Kraft. Der Schwerpunkt des Gesetzes lag auf der Förderung der Privatsphäre und Sicherheit personenbezogener Daten (PII) von Schülern und bestimmter PII im Zusammenhang mit Klassenlehrern und Schulleitern. Lightspeed Systems entspricht dem NY ED Law 2-D und dem Bill of Rights für Eltern, was Folgendes erfordert:

  • Die personenbezogenen Daten eines Studenten dürfen nicht zu kommerziellen Zwecken verkauft oder weitergegeben werden.
  • Das Recht, den gesamten Inhalt der von einer Bildungseinrichtung gespeicherten oder verwalteten Bildungsunterlagen des Schülers einzusehen und zu überprüfen;
  • Beim Speichern oder Übertragen personenbezogener Daten von Schülern müssen Sicherheitsvorkehrungen gemäß Branchenstandards und bewährten Verfahren getroffen werden, darunter unter anderem Verschlüsselung, Firewalls und Kennwortschutz.
  • Im Falle eines Verstoßes oder einer unbefugten Freigabe personenbezogener Daten gemäß den geltenden Gesetzen und Vorschriften benachrichtigt zu werden;
  • Eltern haben das Recht, Beschwerden über mögliche Verstöße gegen den Schutz von Schülerdaten vorzubringen.
  • Mitarbeiter von Bildungsbehörden, die mit PII umgehen, werden zu den geltenden staatlichen und bundesstaatlichen Gesetzen, Richtlinien und Sicherheitsvorkehrungen im Zusammenhang mit Branchenstandards und bewährten Verfahren zum Schutz von PII geschult.
  • In den Verträgen von Bildungseinrichtungen mit Anbietern, die personenbezogene Daten erhalten, werden die gesetzlichen und behördlichen Anforderungen an Datenschutz und -sicherheit berücksichtigt.

Einhaltung

Student Data Privacy Consortium (SDPC) und National Data Privacy Agreement (NDPA)

Der SDPC veröffentlichte die erste Nationales Datenschutzabkommen (NDPA) um die Vertragsgestaltung bei Anwendungen zu rationalisieren und gemeinsame Erwartungen zwischen Schulen/Bezirken und Marktplatzanbietern festzulegen.

  • Lightspeed arbeitet mit Schulbezirken in allen teilnehmenden Staaten zusammen, um sicherzustellen, dass wir über Datenschutzvereinbarungen zur Datenverarbeitung verfügen.
  • Schulbezirke, die den SDPC und NDPA mit uns unterzeichnen möchten, werden gebeten, eine E-Mail zu senden an [email protected].
  • Der SDPC ist eine einzigartige Zusammenarbeit von Schulen, Bezirken, regionalen, territorialen und staatlichen Behörden, politischen Entscheidungsträgern, Handelsorganisationen und Marktplatzanbietern, die sich mit praxisnahen, anpassbaren und umsetzbaren Lösungen für wachsende Bedenken hinsichtlich des Datenschutzes befassen.

Einhaltung

Kalifornisches Verbraucherdatenschutzgesetz (CCPA)

Der Kalifornisches Datenschutzgesetz (CPRA) ändert und erweitert den California Consumer Privacy Act (CCPA). Der CPRA trat am 1. Januar 2023 in Kraft. Der CCPA wurde geändert, um die personenbezogenen Daten von Mitarbeitern (B2E) und Business-to-Business-Kontakten (B2B) in Kalifornien zu schützen. Er verpflichtet alle Organisationen, die Daten von Einwohnern Kaliforniens erfassen, zur Anwendung umfassenderer Schutzmaßnahmen, wie z. B. Datenschutzrisikobewertungen, Datenminimierung und Aufbewahrungsrichtlinien. Der CPRA konzentriert sich nun auf die Datenrechte von B2B-Beziehungen und Mitarbeitern – von der transparenten Datenoffenlegung über eine energischere Durchsetzung bis hin zu einem stärkeren Bewusstsein für Datenschutzrisiken im Zusammenhang mit der Datenerfassung und -verarbeitung – und auf die Berücksichtigung aller Daten, die mit Mitarbeitern, Unternehmen und Einwohnern Kaliforniens verknüpft sind.

Wen schützt der California Privacy Rights Act?
Jede Person, die ein in Kalifornien ansässiger Arbeitnehmer und ein Dienstleister/Lieferant, Auftragnehmer, Berater, Bewerber, Freiberufler oder Telearbeiter ist, kann vernünftigerweise identifiziert werden.

Datenrechte von Mitarbeitern und B2B-Unternehmen:
  • Recht auf Auskunft: Mitarbeiter, Auftragnehmer und Dienstleister haben das Recht zu erfahren, welche Daten erfasst und verwaltet werden, und das Recht auf Zugriff auf Kopien „bestimmter personenbezogener Daten“.
  • Recht auf Auskunft: Ähnlich wie Verbraucher können Arbeitnehmer mit einigen Ausnahmen bei ihrem Arbeitgeber eine Anfrage auf Auskunft über personenbezogene Daten (DSAR) einreichen, um Zugriff auf ihre Informationen zu erhalten.
  • Nutzungs- und Weitergaberecht: Das Recht, von einem Unternehmen zu verlangen, die Nutzung und Offenlegung sensibler personenbezogener Daten einzuschränken oder zu beenden.
  • Recht auf Berichtigung: Das Recht, vom Unternehmen die Korrektur unrichtiger Informationen zu verlangen.
  • Widerspruchsrecht: Das Recht, dem Verkauf oder der Weitergabe personenbezogener Daten zu widersprechen.
  • Recht auf Nachsicht: Das Recht, für die Ausübung von Datenrechten keine Vergeltungsmaßnahmen zu erleiden.
Lightspeed Systems verfügt über die folgenden Verfahren, um die Einhaltung von CCPA und CPRA sicherzustellen:
  • Auskunftsersuchen der betroffenen Person: Betroffene Personen können ihre Rechte ausüben, indem sie eine E-Mail an unser Datenschutzteam senden ([email protected])
  • Data Mapping: Mapping, Inventarisierung und Klassifizierung aller Daten
  • Datenminimierung: Wir verarbeiten nur Daten, die für die Zwecke, für die sie verwendet werden, angemessen, relevant und auf das erforderliche Maß beschränkt sind.
  • Richtlinien zur Datenaufbewahrung: Wir haben Richtlinien zur Datenaufbewahrung für alle unsere Produkte und Prozesse implementiert. Daten werden nicht länger gespeichert, als es für die Verarbeitungstätigkeit erforderlich ist.
  • Datenschutz-Folgenabschätzungen: Wir führen für alle unsere Produkte und Prozesse Risikobewertungen durch, um Datenschutz und Sicherheit durch Design zu gewährleisten.

Einhaltung

Datenschutz-Grundverordnung (DSGVO)

Der Datenschutz-Grundverordnung (DSGVO) legt Regeln für die Erhebung, Verwendung, Speicherung und Übermittlung personenbezogener Daten von Einzelpersonen in der Europäischen Union fest und über die UK DSGVO, im Vereinigten Königreich). Es gilt, wenn personenbezogene Daten in der EU und im Vereinigten Königreich verarbeitet werden oder wenn Waren/Dienstleistungen Einwohnern der EU und des Vereinigten Königreichs angeboten werden.

Wie die DSGVO auf Lightspeed zutrifft

  • Hauptrolle: Bei Produkten, die an Schulen und Bezirke geliefert werden, fungiert Lightspeed Systems als „Datenverarbeiter“ und verarbeitet personenbezogene Daten nur auf dokumentierte Anweisung des „Datenverantwortlichen“ (der Schule).
  • Daten von Kindern: Da es sich bei unseren Kunden um Bildungseinrichtungen handelt, gestalten wir unsere Dienste so, dass sie den erhöhten Erwartungen an die Daten von Minderjährigen gerecht werden und der vom Datenverantwortlichen gewählten Rechtsgrundlage (z. B. berechtigte Interessen oder von der Einrichtung verwaltete Einwilligung) folgen.

Unser DSGVO-Programm:

  • Rechtmäßige, faire und transparente Verarbeitung
    • Wir verarbeiten personenbezogene Daten rechtmäßig und fair und legen in Kundenverträgen und Produktdokumentationen klare Zweckbestimmungen fest.
    • Transparenz: Verantwortliche erhalten in unserer Datenschutzrichtlinie und unseren Datenverarbeitungsvereinbarungen detaillierte Informationen zu Datenkategorien, Zwecken, Empfängern (einschließlich Unterauftragsverarbeitern) und Aufbewahrung.
  • Rollen und Verantwortlichkeiten
    • Pflichten des Auftragsverarbeiters: Wir befolgen die Anweisungen des Verantwortlichen, gewährleisten Vertraulichkeit, helfen bei Anfragen betroffener Personen, unterstützen Datenschutz-Folgenabschätzungen und implementieren angemessene Sicherheitsmaßnahmen.
    • Datenverarbeitungsvereinbarung (DPA): Unsere DPA (einschließlich EU-Standardvertragsklauseln und UK-IDTA) regelt Verarbeitung, Sicherheit, Unterstützung bei Datenschutzverletzungen, Audits und Unterauftragsverarbeiter. Anfragen zur Umsetzung der DPA können per E-Mail an [email protected] gestellt werden.
  • Datenminimierung & Zweckbindung
    • Minimierung: Wir erheben und verarbeiten nur das, was zur Bereitstellung und Sicherung des Dienstes erforderlich ist.
    • Strikte Zweckbindung: Keine Nutzung für Werbung oder zweckfremdes Profiling; kein Verkauf personenbezogener Daten.
  • Datenzuordnung und -klassifizierung
    • Wir führen eine lebendige Dateninventur und -klassifizierung verknüpft mit Systemen, Zwecken, Speicherorten und Rechtsgrundlagen.
    • Verzeichnis der Verarbeitung (Art. 30 „ROPA“): Wir führen ein ROPA sowohl für den Auftragsverarbeiter- als auch für den eingeschränkten Verantwortlichen-Kontext, einschließlich der Kategorien der betroffenen Personen/Daten, der Empfänger, der Aufbewahrungs- und Sicherheitsmaßnahmen.
  • Datenaufbewahrung und -entsorgung
    • Wir speichern personenbezogene Daten nur so lange, wie es zur Erfüllung vertraglicher und gesetzlicher Verpflichtungen erforderlich ist, und löschen oder anonymisieren sie anschließend sicher.
    • Vom Verantwortlichen überprüfte Datenlöschungsanfragen werden innerhalb der festgelegten Fristen erfüllt, wie in den ausgeführten DPAs angegeben.
  • Sicherheit der Verarbeitung
    • Organisatorische und technische Kontrollen: rollenbasierte Zugriffskontrolle, MFA, geringste Berechtigung, Protokollierung und Überwachung, Schwachstellenmanagement, Verschlüsselung während der Übertragung (TLS) und im Ruhezustand (AES) sowie sicherer SDLC mit Änderungskontrolle.
    • Sicherheitsrisikobewertungen der Anbieter, vertragliche Sicherheitsanforderungen und regelmäßige Überprüfungen der Unterauftragsverarbeiter.
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
    • Wir integrieren den Datenschutz in das Produktdesign – standardmäßig deaktivierte oder eingeschränkte Datenfunktionen, Maskierung, wo möglich, und Konfigurationsoptionen, mit denen Verantwortliche die Datenerfassung an ihre Bedürfnisse anpassen können.
  • DPIAs, PIAs und AIAs
    • Wir führen Datenschutz-Folgenabschätzungen, Datenschutz-Folgenabschätzungen und KI-Folgenabschätzungen für neue oder wesentlich geänderte Funktionen durch, die ein erhöhtes Risiko bergen können (z. B. Inhaltsanalyse, Überwachungsfunktionen).
    • Wir unterstützen Verantwortliche bei ihren Datenschutz-Folgenabschätzungen mit Produktinformationen, Sicherheitsvorkehrungen und Risikominderungen.
  • Unterstützung bei den Rechten betroffener Personen
    • Wir unterstützen Verantwortliche bei der Erfüllung von Anfragen betroffener Personen aus der EU/dem Vereinigten Königreich innerhalb der gesetzlichen Fristen:
      • Zugriff, Berichtigung, Löschung, Einschränkung
      • Portabilität (sofern zutreffend)
      • Widerspruch gegen bestimmte Verarbeitungen
      • Widerruf der Einwilligung (wenn der Verantwortliche die Einwilligung als Grundlage verwendet)
  • Internationale Übertragungen
  • Vorfall- und Verletzungsmanagement
    • Wenn ein Sicherheitsvorfall auftritt, der personenbezogene Daten betrifft, benachrichtigen wir den Verantwortlichen unverzüglich, stellen Einzelheiten zum Vorfall und Informationen zur Behebung bereit und arbeiten zusammen, damit die Verantwortlichen alle Benachrichtigungen der Aufsichtsbehörden und der betroffenen Personen erfüllen können (z. B. die 72-Stunden-Regel für Verantwortliche).
  • Unterauftragsverarbeiter und Lieferanten-Governance
    • Wir führen und teilen eine aktuelle Liste der Unterauftragsverarbeiter und verlangen eine schriftliche Genehmigung, Weitergabeverpflichtungen, Sicherheitskontrollen, Vertraulichkeit und Löschung am Ende des Dienstes.
  • Schulung, Governance und Rechenschaftspflicht
    • Datenschutz- und Sicherheitsschulungen für das entsprechende Personal, regelmäßige Sensibilisierungsprogramme und dokumentierte Richtlinien/Standards.
    • Interne Audits und Kontrolltests zum Nachweis der Konformität.
  • Vertreter der EU und des Vereinigten Königreichs gemäß Artikel 27
    • EU-Vertreter – EDPO EU: Avenue Huart Hamoir 71, 1030 Brüssel, Belgien
    • UK-Vertreter – EDPO UK: 8 Northumberland Avenue, LondonWC2N 5BY, UK
  • Benannter Datenschutzbeauftragter (DSB) – John Genter, [email protected]

Einhaltung

Singapurisches Gesetz zum Schutz personenbezogener Daten 2012

Der Singapur-Gesetz zum Schutz personenbezogener Daten (PDPA) von 2012 schafft ein grundlegendes Schutzniveau für personenbezogene Daten in Singapur und gewährt „Einzelpersonen“ (wie in der Gesetzgebung festgelegt) mehr Kontrolle darüber, wie ihre personenbezogenen Daten von Organisationen erfasst, verwendet und weitergegeben werden.

Datenschutzverpflichtungen gemäß dem PDPA von Singapur

Lightspeed Systems verpflichtet sich, die festgelegten Verpflichtungen wie folgt zu erfüllen:

  • Rechenschaftspflicht: Wir haben Datenschutzrichtlinien entwickelt und fördern durch regelmäßige Schulungen eine Kultur der Verantwortung.
  • Benachrichtigung: Wir informieren die Nutzer über die Zwecke der Erhebung, Verwendung oder Weitergabe ihrer personenbezogenen Daten, wie in unserer Datenschutzrichtlinie.
  • Zustimmung: Wir benötigen die Einwilligung der von uns betreuten Bildungseinrichtungen (Kunden), bevor wir personenbezogene Daten erheben, verwenden oder weitergeben. Die Daten werden für den Zweck verwendet, für den die Einwilligung erteilt wurde. Die Kunden haben die Möglichkeit, die Einwilligung jederzeit zu widerrufen.
  • Zweckbeschränkung: Wir erheben, verwenden oder geben personenbezogene Daten für die Zwecke weiter, die unseren Kunden mitgeteilt wurden.
  • Datengenauigkeit: Wir stellen sicher, dass die personenbezogenen Daten richtig und vollständig sind.
  • Datenschutz: Wir haben die erforderlichen Sicherheitsmaßnahmen ergriffen, um personenbezogene Daten vor unbefugtem Zugriff, Erfassung, Verwendung und Offenlegung zu schützen
  • Datenspeicherung: Die Daten werden so lange gespeichert, wie dies zur Erfüllung der Verarbeitungstätigkeit erforderlich ist.
  • Datenübertragungsbeschränkung: Grenzüberschreitende Datenübertragungen erfolgen in Länder, deren Datenschutzgesetze ähnliche Standards wie die im PDPA festgelegten haben (sofern keine Ausnahme vom PDPC vorliegt).
  • Rechte der betroffenen Person: Einzelpersonen haben das Recht, auf Anfrage Zugriff auf ihre personenbezogenen Daten sowie deren Korrektur und Löschung zu verlangen. Darüber hinaus haben Einzelpersonen das Recht auf Datenübertragbarkeit und können der Erhebung, Nutzung oder Weitergabe ihrer Daten widersprechen.
  • Benachrichtigung bei Datenlecks: Im Falle einer Datenpanne informiert Lightspeed Systems seine Kunden unverzüglich.

Einhaltung

Philippinisches Datenschutzgesetz von 2012 (Republikgesetz Nr. 10173)

Der Philippinisches Datenschutzgesetz von 2012 (DPA) und seine Durchführungsbestimmungen und -vorschriften (IRR) Schaffung eines Rahmens für den Schutz personenbezogener Daten im öffentlichen und privaten Sektor. Das Gesetz wird von der National Privacy Commission (NPC) durchgesetzt und gilt für alle Unternehmen, die personenbezogene Daten von Einzelpersonen auf den Philippinen erheben, speichern, verarbeiten oder übermitteln.

Lightspeed Systems verpflichtet sich zur Einhaltung des philippinischen Datenschutzgesetzes von 2012, indem es eine rechtmäßige, faire und transparente Verarbeitung personenbezogener Daten gewährleistet, die Nutzung auf legitime Bildungszwecke beschränkt, die Daten durch branchenführende Sicherheitsmaßnahmen schützt und die Rechenschaftspflicht, Zustimmung und Rechte der betroffenen Person im Einklang mit den NPC-Richtlinien und globalen Datenschutzstandards wahrt.

Lightspeed Systems bietet Bildungstechnologie und digitale Sicherheitslösungen für Schulen und Bildungseinrichtungen weltweit an. Bei der Datenverarbeitung im Auftrag dieser Einrichtungen fungiert Lightspeed Systems als „Datenverarbeiter“ gemäß dem Data Privacy Act (DPA), während die Schulen oder Bildungseinrichtungen als „Datenverantwortliche“ fungieren.

Lightspeed stellt sicher, dass alle Verarbeitungsaktivitäten, die philippinische personenbezogene Daten betreffen, den Grundsätzen und Anforderungen der DPA- und NPC-Richtlinien wie folgt entsprechen:

  • Rechtmäßige und faire Verarbeitung – Alle personenbezogenen Daten werden rechtmäßig, fair und transparent erhoben und verarbeitet, mit ausdrücklicher Genehmigung der Schule oder Bildungseinrichtung. Die Verarbeitung beschränkt sich auf legitime Bildungs- und Sicherheitszwecke, wie z. B. den Online-Schutz der Schüler, die Verwaltung von Unterrichtsaktivitäten und die Bereitstellung von technischem Support. Es werden keine Daten für Marketing, Profilerstellung oder andere Zwecke verwendet, die nicht mit Bildungsfunktionen in Zusammenhang stehen.
  • Zweckbindung – Die Datenverarbeitung erfolgt ausschließlich zu den in den Vereinbarungen von Lightspeed mit Kundeninstitutionen ausdrücklich genannten Zwecken und in Übereinstimmung mit den Datenschutzhinweisen dieser Institutionen. Eine Weiterverarbeitung der Daten in einer Weise, die mit diesen ursprünglichen Zwecken unvereinbar ist, erfolgt nicht.
  • Datensicherheit – Lightspeed implementiert organisatorische, physische und technische Sicherheitsvorkehrungen, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu gewährleisten. Zu den wichtigsten Maßnahmen gehören unter anderem Verschlüsselung während der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256), rollenbasierte Zugriffskontrollen, SOC 2 Typ II-Umgebungen, kontinuierliche Überwachung und Protokolle zur Reaktion auf Vorfälle.
  • Datenaufbewahrung – Lightspeed speichert Daten nur so lange, wie es zur Erfüllung vertraglicher oder gesetzlicher Verpflichtungen erforderlich ist. Sofern vom Kunden nicht anders angegeben, gelten die Standardaufbewahrungsfristen – 90 Tage nach Beendigung der Lizenz – danach werden die Daten sicher gelöscht oder anonymisiert. Lightspeed Systems wird keine Versuche unternehmen, anonymisierte Daten zu reidentifizieren.
  • Rechte der betroffenen Person – In Übereinstimmung mit dem DPA unterstützt Lightspeed die vollständige Ausübung der Rechte der betroffenen Personen durch seine Kundeninstitutionen, einschließlich:
    • Recht auf Information – Transparenz bei der Datenerhebung und -verwendung
    • Recht auf Zugriff und Berichtigung – Möglichkeit, Informationen zu überprüfen oder zu korrigieren
    • Recht auf Löschung bzw. Sperrung – Löschung oder Einschränkung der Daten nicht mehr erforderlich
    • Recht auf Datenübertragbarkeit – Zugriff auf Daten in einem portablen Format
    • Widerspruchs- und Widerrufsrecht – Möglichkeit, Widerspruch einzulegen oder die Einwilligung für bestimmte Verarbeitungsvorgänge zu widerrufen.
    • Beschwerderecht – bei der Nationale Datenschutzkommission (NPC)
  • Zustimmung und Transparenz – Lightspeed verarbeitet Daten im Rahmen der gesetzlichen Befugnis und mit der von der Bildungseinrichtung eingeholten Zustimmung. Kunden werden durch klare Datenschutzhinweise und Datenverarbeitungsvereinbarungen (DPAs) über Art, Zweck und Umfang der Datenverarbeitung informiert. Eine Verarbeitung erfolgt nicht ohne Genehmigung oder einen legitimen Bildungszweck.
  • Rechenschaftspflicht und Governance – Lightspeed verfügt über ein umfassendes Datenschutz- und Sicherheits-Governance-Framework unter der Leitung seines Datenschutzbeauftragten (DPO), John Genter ([email protected]). Das Unternehmen führt Aufzeichnungen über die Verarbeitungsaktivitäten, führt regelmäßige Datenschutz-Folgenabschätzungen durch und führt eine Due-Diligence-Prüfung der Lieferanten durch, um sicherzustellen, dass alle Unterauftragsverarbeiter gleichwertige Standards einhalten.
  • Datenschutzverletzungsmanagement – Lightspeed verfügt über einen formellen Incident Response- und Breach Management-Plan, der auf NPC-Rundschreiben 16-03. Im Falle einer Verletzung des Schutzes personenbezogener Daten:
    • Die betroffene verantwortliche Stelle (Schule/Institution) wird unverzüglich benachrichtigt.
    • Lightspeed arbeitet mit dem Controller zusammen, um alle obligatorischen Benachrichtigungen an den NPC innerhalb des erforderlichen 72-Stunden-Fensters zu erfüllen.
    • Ursachenanalyse, Abhilfemaßnahmen und Korrekturmaßnahmen werden dokumentiert und überprüft.
  • Grenzüberschreitende Datenübertragungen – Wenn personenbezogene Daten außerhalb der Philippinen übertragen werden (z. B. an die sichere US-Cloud-Infrastruktur von Lightspeed), werden solche Übertragungen durch Verschlüsselung und sichere Kommunikationsprotokolle sowie vertragliche Sicherheitsvorkehrungen im Einklang mit NPC-Rundschreiben 16-01, und verbindliche Unterauftragsverarbeitungsvereinbarungen, die Vertraulichkeits-, Sicherheits- und Löschpflichten gewährleisten. Übertragungen sind auf die vom Verantwortlichen genehmigten Zwecke beschränkt.

Einhaltung

Australisches Datenschutzgesetz (1988)

Der Australisches Datenschutzgesetz 1988  regelt den Umgang mit persönlichen Daten in Australien. Dieses Gesetz dient als Grundlage für die Datenerfassungs- und -verwaltungsrichtlinien im ganzen Land. Das Gesetz enthält 13 Australische Datenschutzgrundsätze (APPs) zur Verwaltung der Nutzung persönliche und sensible Informationen

Für wen gilt das Datenschutzgesetz?

Das Datenschutzgesetz gilt für australische Regierungsbehörden und -organisationen mit einem Jahresumsatz von über 3 Millionen AUD, die personenbezogene Daten australischer Einwohner verarbeiten.

Grundlegende Prinzipien des australischen Datenschutzgesetzes (1988)

Lightspeed Systems verpflichtet sich, die in den australischen Datenschutzgrundsätzen dargelegten Datenschutzanforderungen wie folgt zu erfüllen:

  • Offener und transparenter Umgang mit personenbezogenen Daten – Wir sind transparent im Umgang mit personenbezogenen Daten. Unsere Datenschutzrichtlinie Einzelheiten dazu, wie wir Informationen sammeln, verwenden, offenlegen, übertragen und speichern
  • Anonymität und Pseudonymität – Lightspeed Systems nutzt Anonymisierung und Pseudonymisierung, um die Identität von Einzelpersonen nach Möglichkeit zu schützen, außer in Fällen, in denen für die Verarbeitung der Daten eine persönliche Identität erforderlich ist.
  • Erfassung angeforderter personenbezogener Daten Wir praktizieren Datenminimierung und Zweckbindung und erheben nur Daten, die zur Erfüllung der angeforderten Dienstleistung und des Hauptzwecks erforderlich sind. Sollten wir die Daten für einen sekundären Zweck verwenden müssen, benachrichtigen wir unsere Kunden und holen ihre Zustimmung ein.
  • Umgang mit unerwünschten persönlichen Informationen – Wir blockieren unerwünschte Informationen automatisch. Für Cookies auf unseren Websites haben wir unser Cookie-Banner so konfiguriert, dass für alle Cookies außer den unbedingt erforderlichen Cookies standardmäßig eine Opt-in-Option aktiviert ist.
  • Benachrichtigung über die Erhebung personenbezogener Daten Die Bildungseinrichtungen werden über die erhobenen Studierenden- und Mitarbeiterdaten informiert. Dies ist in den Datenverarbeitungsvereinbarungen, die wir mit unseren Kunden abschließen, detailliert beschrieben. Darüber hinaus führen wir für jedes unserer Produkte einen Datenplan, der die erhobenen Daten und deren Zweck detailliert beschreibt.
  • Nutzung oder Weitergabe personenbezogener Daten – Wir verwenden personenbezogene Daten, die für den ursprünglichen Zweck, für den die Informationen erhoben wurden, relevant sind. Bitte beachten Sie den Abschnitt „Dritte: Wie wir Ihre Daten weitergeben können“ in unserer Datenschutzrichtlinie um weitere Einzelheiten zu den Umständen zu erfahren, unter denen Daten offengelegt werden können.
  • Direktmarketing – Wir betreiben kein Direktmarketing an Schüler/Eltern. Das Marketing richtet sich ausschließlich an Bildungseinrichtungen, denen eine klare und deutliche Möglichkeit gegeben wird, jegliche Marketingkommunikation abzulehnen.
  • Grenzüberschreitende Offenlegung personenbezogener Daten – Grenzüberschreitende Daten werden nur an Organisationen weitergegeben, die die australischen Datenschutzgrundsätze einhalten und eine Datenverarbeitungsvereinbarung unterzeichnet haben, die sie an die erforderlichen Datenschutz- und Sicherheitspraktiken bindet.
  • Übernahme, Verwendung oder Offenlegung regierungsbezogener Kennungen – Wir verwenden keine regierungsbezogenen Kennungen als unsere eigenen und geben auch keine Kennung einer Person weiter, es sei denn, wir sind gesetzlich dazu befugt oder die Kennung wird zur Überprüfung der Identität der Person benötigt.
  • Qualität der personenbezogenen Daten – Wir verfügen über Systeme, die sicherstellen, dass die Qualität der erhaltenen personenbezogenen Daten richtig, vollständig und aktuell ist.
  • Sicherheit personenbezogener Daten – Wir ergreifen die für den Datenschutz erforderlichen administrativen, technischen und physischen Sicherheitsvorkehrungen, wie auf dieser Seite ausführlich beschrieben.
  • Zugriff auf persönliche Informationen – Einzelpersonen haben das Recht auf Zugriff auf ihre persönlichen Daten, wie in unserer Datenschutzrichtlinie im Abschnitt „Grenzüberschreitender Datenschutz“.
  • Korrektur personenbezogener Daten – Einzelpersonen haben das Recht, ihre persönlichen Daten zu korrigieren, wie in unserer Datenschutzrichtlinie im Abschnitt „Grenzüberschreitender Datenschutz“.

Einhaltung

Brasilianisches Datenschutzgesetz (LGPD)

Der Lei Geral de Proteção de Dados (LGPD)Das Datenschutz-Grundgesetz (DSGVO) ist der rechtliche Rahmen zur Regelung der Erhebung und Nutzung personenbezogener Daten in Brasilien. Es trat am 16. August 2020 in Kraft und wird von der Autoridade Nacional de Proteção de Dados (ANPD), der Nationalen Datenschutzbehörde, überwacht.

 

Für wen gilt das brasilianische Datenschutzgesetz?

Lightspeed Systems verpflichtet sich zur Einhaltung der LGPD-Grundsätze wie folgt:

  • Zweck: Personenbezogene Daten werden zu legitimen, spezifischen und eindeutigen Zwecken verarbeitet, die der betroffenen Person mitgeteilt wurden, ohne dass es anschließend zu einer unvereinbaren Verarbeitung kommt.
  • Angemessenheit: Die Verarbeitung personenbezogener Daten erfolgt gemäß den der betroffenen Person mitgeteilten Zwecken unter Berücksichtigung des Verarbeitungskontexts.
  • Notwendigkeit: Personenbezogene Daten werden nur im für die jeweiligen Zwecke erforderlichen Mindestmaß verarbeitet. Dabei werden nur geeignete, verhältnismäßige und nicht übermäßige Daten verwendet.
  • Freier Zugang: Betroffene Personen haben das Recht, sich unkompliziert und kostenlos über die Art und Dauer der Verarbeitung sowie die Integrität ihrer personenbezogenen Daten zu informieren.
  • Datenqualität: Die betroffenen Personen haben Anspruch auf genaue, klare, relevante und aktuelle Informationen, soweit dies zur Erreichung der jeweiligen Zwecke erforderlich ist.
  • Transparenz: Betroffene Personen haben das Recht auf klare, genaue und leicht zugängliche Informationen über die Verarbeitungstätigkeiten und die jeweiligen Verarbeiter (Verantwortliche und Auftragsverarbeiter) unter Wahrung der Geschäfts- und Betriebsgeheimnisse.
  • Sicherheit: Lightspeed Systems hat die notwendigen technischen und organisatorischen Maßnahmen ergriffen, um personenbezogene Daten vor unbefugtem Zugriff und versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, Übermittlung oder Verbreitung zu schützen, wie auf unserer Vertrauensseite ausführlich beschrieben.
  • Verhütung: Es wurden Präventivmaßnahmen ergriffen, um die mit der Verarbeitung personenbezogener Daten verbundenen Risiken zu mindern, wie auf unserer Vertrauensseite ausführlich beschrieben.
  • Nichtdiskriminierung: Eine Verarbeitung personenbezogener Daten erfolgt weder zu diskriminierenden Zwecken noch auf rechtswidrige oder missbräuchliche Weise.
  • Rechenschaftspflicht: Es wurden wirksame Maßnahmen zur Einhaltung der Anforderungen zum Schutz personenbezogener Daten umgesetzt und diese werden als Reaktion auf die sich entwickelnde Umgebung kontinuierlich verbessert.

Das LGPD gewährt den betroffenen Personen im Wesentlichen die folgenden Rechte:

  • eine Bestätigung darüber zu erhalten, ob personenbezogene Daten verarbeitet werden;
  • auf ihre personenbezogenen Daten zuzugreifen;
  • unvollständige, unrichtige oder veraltete Daten zu berichtigen;
  • unnötige, übermäßige oder nicht konforme personenbezogene Daten anonymisieren, sperren oder löschen zu lassen;
  • Datenübertragbarkeit;
  • Löschung personenbezogener Daten, die mit Einwilligung der betroffenen Person verarbeitet wurden, außer in den in Artikel 16 dieses Gesetzes vorgesehenen Fällen
  • darüber informiert zu werden, an welche Dritten ihre Daten weitergegeben wurden;
  • über die Möglichkeit der Ablehnung der Bereitstellung personenbezogener Daten und die damit verbundenen Folgen informiert zu werden; und
  • ihre Einwilligung zu widerrufen.

Einhaltung

Data Privacy Framework (DPF) des US-Handelsministeriums

Am 10. Juli 2023 trat der Angemessenheitsbeschluss der Europäischen Kommission zum EU-US-Datenschutzrahmen (EU-US DPF) in Kraft. Der EU-US-Datenschutzrahmen (EU-US DPF) und die UK-Erweiterung zum EU-US-Datenschutzrahmen (UK-Erweiterung zum EU-US DPF) wurden vom US-Handelsministerium, der Europäischen Kommission und der britischen Regierung zur Förderung des transatlantischen Handels entwickelt, um US-Organisationen zuverlässige Mechanismen für die Übermittlung personenbezogener Daten aus der Europäischen Union/dem Europäischen Wirtschaftsraum und dem Vereinigten Königreich in die Vereinigten Staaten bereitzustellen und gleichzeitig einen Datenschutz zu gewährleisten, der mit den Gesetzen der EU und des Vereinigten Königreichs vereinbar ist. Lightspeed Systems hält sich an den EU-US-Datenschutzrahmen (EU-US DPF) und die UK-Erweiterung zum EU-US DPF, wie vom US-Handelsministerium festgelegt. Lightspeed Systems hat dem US-Handelsministerium die Einhaltung der Grundsätze des EU-US-Datenschutzrahmens (EU-US-DPF-Grundsätze) hinsichtlich der Verarbeitung personenbezogener Daten aus der Europäischen Union und dem Vereinigten Königreich unter Berufung auf den EU-US-DPF und die britische Erweiterung des EU-US-DPF bestätigt. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Datenschutzrichtlinie und den EU-US-DPF-Grundsätzen gelten die Grundsätze. Weitere Informationen zum Data Privacy Framework (DPF)-Programm und unsere Zertifizierung finden Sie unter https://www.dataprivacyframework.gov/.

Lightspeed Systems unterliegt den Untersuchungs- und Durchsetzungsbefugnissen der Federal Trade Commission (FTC).

In Übereinstimmung mit dem EU-US-DPF und der britischen Erweiterung des EU-US-DPF verpflichtet sich Lightspeed Systems zur Zusammenarbeit und Einhaltung der Empfehlungen des von den EU-Datenschutzbehörden (DPAs) und dem britischen Information Commissioner's Office (ICO) eingerichteten Gremiums in Bezug auf ungelöste Beschwerden bezüglich unseres Umgangs mit Personaldaten, die im Vertrauen auf den EU-US-DPF und die britische Erweiterung des EU-US-DPF im Rahmen des Arbeitsverhältnisses erhalten wurden.

Weitere Einzelheiten zu unserer Einhaltung des Datenschutzrahmens finden Sie im Abschnitt „Internationale Datenübertragungen“ unserer Datenschutzrichtlinie.

Einhaltung

Amt für die Kontrolle ausländischer Vermögenswerte (OFAC)

Das Office of Foreign Assets Control („OFAC“) des US-Finanzministeriums verwaltet und erzwingt Wirtschafts- und Handelssanktionen auf der Grundlage der US-Außenpolitik und der nationalen Sicherheitsziele gegen ausgewählte ausländische Länder und Regime, Terroristen, internationale Drogenhändler, Personen, die an Aktivitäten im Zusammenhang mit der Verbreitung von Massenvernichtungswaffen beteiligt sind, und andere Bedrohungen der nationalen Sicherheit, Außenpolitik oder Wirtschaft der Vereinigten Staaten.

  • Lightspeed Systems und seine Tochterunternehmen und verbundenen Unternehmen verpflichten sich zur vollständigen Einhaltung aller internationalen Sanktionen, einschließlich, aber nicht beschränkt auf die von den Vereinigten Staaten, der Europäischen Union und dem Vereinigten Königreich verhängten Sanktionen.
  • Internationale Sanktionen sind Gesetze, Verordnungen, Durchführungsverordnungen, Ratsbeschlüsse und andere Regierungsmaßnahmen, die eine breite Palette von Handels- und Finanztransaktionen verbieten. Lightspeed Systems hält sich an alle geltenden internationalen Sanktionen.
  • Lightspeed Systems betrachtet ein wirksames Compliance-Programm, das sich mit Richtlinien und Verfahren zur Exportkontrolle befasst, als einen wichtigen und wesentlichen Teil unserer Geschäftstätigkeit und unseres ethischen Verhaltenskodex.
  • Wir prüfen alle internationalen Bestellungen vor der Annahme anhand verschiedener Listen sanktionierter und verbotener Personen und Bestimmungsorte. Bestellungen, die direkt oder indirekt von einer sanktionierten Person eingehen oder für die endgültige Verwendung durch eine sanktionierte Person oder an einem sanktionierten Bestimmungsort bestimmt sind, werden abgelehnt.
  • Die Mitarbeiter von Lightspeed Systems erhalten jährlich eine OFAC-Sensibilisierungsschulung, um die Einhaltung der Vorschriften sicherzustellen.

Liste der Subprozessoren von Lightspeed Systems

Entitätsname Unterauftragsverarbeitung Standort der Einheit (Hauptsitz) Sicherheits- und Zusatzmaßnahmen
Amazon Web Services, Inc. Anwendungshosting und -speicherung Vereinigte Staaten
LightEdge Rechenzentrum Vereinigte Staaten
Microsoft Corporation E-Mail- und Collaboration-Tools Vereinigte Staaten
Entitätsname Unterauftragsverarbeitung Standort der Einheit (Hauptsitz) Sicherheits- und Zusatzmaßnahmen
Ably.io Anwesenheitsüberwachung Vereinigtes Königreich
Adobe Sign Anbieter elektronischer Signaturen Vereinigte Staaten
Datenhund Überwachung und Warnmeldungen für unsere Produkte, um sicherzustellen, dass wir Qualitätsziele und vertragliche SLAs einhalten Vereinigte Staaten
Greenhouse Software Inc. Software zur Personalbeschaffung Vereinigte Staaten
Hive-KI Textmoderation für Produktfunktionalität Vereinigte Staaten
Microsoft Corporation E-Mail- und Collaboration-Tools Vereinigte Staaten
UKG Lohn- und Gehaltsabrechnungssoftware Vereinigte Staaten
NetSuite Buchhaltungssysteme Vereinigte Staaten
OpenAI Anbieter generativer KI-Dienste für intelligence-Produktfunktionen Vereinigte Staaten
Pendo.io Inc Software Experience Management Vereinigte Staaten
Salesforce Kundensupport – CRM-Anbieter Vereinigte Staaten
Schneeflocke Produktnutzungsanalyse, Kategorisierungsdatenbank Vereinigte Staaten
Twilio Anbieter von Kommunikationstechnologie Vereinigte Staaten
Zoom, Inc. Videokonferenzanbieter Vereinigte Staaten