Lightspeed Systems® ist Ihr vertrauenswürdiger Partner

Sicherheit und Compliance

Informationssicherheit und Datenschutz sind ein wesentlicher Bestandteil unserer Grundüberzeugungen. Wir haben spezielle Sicherheits- und Compliance-Teams, die sich dafür einsetzen, dass Ihre Informationen sicher und geschützt sind. Lightspeed Systems verwendet strenge Richtlinien und Verfahren, um die Verfügbarkeit, Integrität und Vertraulichkeit von Kundendaten sicherzustellen.

Systemstatus

Wir wissen, dass Sie sich auf Lightspeed Systems-Lösungen verlassen, um erstaunliche Dinge zu tun. Daher überwachen wir unsere Dienste kontinuierlich intern und über Dienste von Drittanbietern. Hier finden Sie Unterbrechungen bei Diensten, Updates und Wartungsankündigungen.

Sicherheit

Lightspeed Systems ist sich der Notwendigkeit bewusst, die persönlichen und vertraulichen Daten unserer Kunden, Mitarbeiter und Partner zu schützen. Datenschutz und Sicherheit liegen in unserer Verantwortung und wir bieten innovative Lösungen, die den Datenschutz und die Sicherheit verbessern, anstatt sie zu gefährden.

Beachtung

Seit 1999 arbeitet Lightspeed Systems mit Schulen auf der ganzen Welt zusammen, um Schüler zu schützen und das Lernen an die sich ständig ändernde technologische Landschaft anzupassen. Die Art unseres Geschäfts verpflichtet uns, die verschiedenen Datenschutzgesetze für Studenten einzuhalten, um sicherzustellen, dass die Daten der Studenten geschützt sind.

Lightspeed Systems-Servicestatus

Service Level Agreement (SLA)

Lightspeed Systems bietet gehostete Dienste wie Verwaltung mobiler Geräte, Webfilterung, App-Analyse und Klassenraumverwaltung für Schulen. Unsere Dienste sind mindestens 99,5% der Zeit verfügbar, wobei die Server kontinuierlich auf Leistung und Verfügbarkeit überwacht werden.

Screenshots auf Desktop- und Mobilgeräten für Fernlernsoftware

Lightspeed-Sicherheit

Administrative Schutzmaßnahmen

Hintergrundüberprüfungen der Mitarbeiter

Alle Lightspeed Systems-Mitarbeiter werden vor der Einstellung einer Zuverlässigkeitsüberprüfung unterzogen und unterzeichnen eine Geheimhaltungsvereinbarung.

Incident Management

Wir haben einen schriftlichen Incident Response Plan, der die Prozesse zum Erkennen, Melden, Identifizieren, Analysieren und Reagieren auf Sicherheitsvorfälle, die sich auf Lightspeed Systems-Netzwerke und Kundendaten auswirken, detailliert beschreibt.

Benachrichtigung über Datenverletzungen

Wenn wir von einem Datenverstoß erfahren, befolgen wir unseren Incident Response Plan und benachrichtigen unsere Kunden unverzüglich. 

Schulung zum Schutz der Privatsphäre und Sicherheit von Mitarbeitern

Bei der Einstellung und fortlaufend müssen alle Mitarbeiter eine Datenschutz- und Sicherheitsschulung absolvieren, die die Datenschutzpraktiken und die Grundsätze für den Umgang mit personenbezogenen Daten von Mitarbeitern abdeckt, einschließlich der Notwendigkeit, die Verwendung, den Zugriff, die Weitergabe und die Aufbewahrung persönlicher Daten einzuschränken Information.

Wir bieten Schulungen zu bestimmten Sicherheitsaspekten an, die sie aufgrund ihrer Rollen benötigen. Zum Beispiel unterzieht sich das Produktentwicklungsteam einer Schulung zum Schutz der Privatsphäre und einer sicheren Softwareentwicklung. Die Mitarbeiter sind außerdem regelmäßigen Phishing-E-Mails ausgesetzt.

Lieferantenauswahl & Risikomanagement

Lightspeed Systems darf Subprozessoren zur Erbringung von Diensten verwenden und ist nur berechtigt, nur dann auf Kundendaten zuzugreifen, wenn dies zur Erbringung der Dienste erforderlich ist. Es ist an schriftliche Vereinbarungen gebunden, nach denen strenge Datenschutzbestimmungen gemäß Lightspeed und den geltenden Vorschriften erforderlich sind. Hier ist eine Liste unserer Subprozessoren.

Pre-Engagement und laufende Lieferantenbewertungen werden durchgeführt, um sicherzustellen, dass während der gesamten Lieferantenbeziehung angemessene Datenschutz- und Sicherheitspraktiken vorhanden sind.

  • Änderungen an den bereitgestellten Anbieterservices oder Änderungen an bestehenden Verträgen erfordern eine Bewertung des Sicherheitsrisikos, um zu bestätigen, dass die Änderungen kein zusätzliches oder unangemessenes Risiko darstellen.

Richtlinien- und Verfahrensdokumente stimmen mit den NIST-Datenschutz- / Sicherheitsrahmen überein

Lightspeed Systems überprüft seine Systeme anhand der CIS-Kontrollen und der NIST-Frameworks, und alle erkannten Risiken oder Lücken werden entsprechend angegangen.

Wir haben ein spezielles Data Governance-Team, das vierteljährliche Meetings abhält, um die Datenintegrität sicherzustellen

Die folgenden Richtliniendokumente wurden im gesamten Unternehmen eingerichtet und implementiert: Sicherheitsrichtlinie, Incident Response Plan, Richtlinie zur Behebung von Sicherheitslücken, Patch-Richtlinie, Richtlinie zu IT-Standards, Richtlinie zur Datenklassifizierung, Richtlinie zum Löschen von Daten, Richtlinie zur Bewertung von Anbietern, Verfahren zur Überprüfung von Anbietersicherheitsstandards, Kennwort Richtlinien, Clean Desk-Richtlinien, Richtlinien für Datenschutzanfragen, Richtlinien für die Datenverwaltung, Richtlinien für den Gebäudezugriff und PIA- und DPIA-Verfahren.

Lightspeed-Sicherheit

Technische Schutzmaßnahmen

Datenverschlüsselung

Die Daten werden während des Transports und in Ruhe verschlüsselt.

 

Vorratsdatenspeicherung und -löschung

Lightspeed Systems hat eine Richtlinie zur Vorratsdatenspeicherung implementiert. Gegebenenfalls verwenden unsere Lösungen automatisierte Regeln, um Daten gemäß den Richtlinien zu löschen.

 

Datensicherung

Wir führen regelmäßige Sicherungen von Daten und Systemen durch. Die Sicherungsintervalle hängen von der Art der Daten ab und reichen von Minuten bis einmal pro Tag.

Behebung von Sicherheitslücken

Lightspeed Systems verfügt über eine Richtlinie zur Behebung von Sicherheitslücken, mit der Sicherheitslücken entsprechend dem von ihnen ausgehenden Risiko identifiziert und behoben werden können. Wir verwenden Patch-Management-Software, um Systeme zu überwachen und sicherzustellen, dass Patches implementiert werden.

 

Malware Schutz

Lightspeed Systems verfügt über Anti-Malware- und Anti-Spam-Lösungen zum Schutz von Servern und Workstations.

 

Protokollierung und Überwachung

Lightspeed Systems hat Protokollierungs- und Überwachungslösungen bereitgestellt, um mögliche Sicherheitsereignisse zu identifizieren und zu untersuchen.

Identität & Zugangskontrolle

Der Zugriff auf personenbezogene Daten wird durch Anmeldeinformationen auf diejenigen Mitarbeiter beschränkt, die diese zur Erfüllung ihrer Aufgaben benötigen. Darüber hinaus verwendet Lightspeed Systems Zugriffskontrollen wie Multi-Faktor-Authentifizierung, Single Sign-On, geringste Berechtigungen und Zugriff nach Bedarf, strenge Kennwortkontrollen und eingeschränkten Zugriff auf Administratorkonten.

Mit unseren Lösungen können Kunden Administratorrollen erstellen, die nur die Rechte bereitstellen, die zur Ausführung der erforderlichen Funktionen erforderlich sind.

Lightspeed-Sicherheit

Physische Schutzmaßnahmen

Sicherheit am Arbeitsplatz

Lightspeed Systems verwaltet die folgenden Kontrollen, um den unbefugten Zugriff auf unsere Büros zu verhindern:

  • Der Zugang zur Einrichtung ist auf autorisierte Personen beschränkt, die Schlüssel / Schlüsselanhänger oder Zugangsausweise verwenden.
  • Lightspeed-Büros verfügen über Brandbekämpfungs- und Brandmeldesysteme oder -geräte sowie Notausgänge und Evakuierungswege.

Sicherheit von Rechenzentren

Alle Rechenzentren, in denen Daten verarbeitet und gespeichert werden, befinden sich in den USA und sind nach SOC 2, HIPPA, PCI DSS und ISO 27001 zertifiziert. Lightspeed verfügt über einen Prozess zum Protokollieren, Überwachen und Reagieren auf Ereignisse und Anomalien in seinen Systemen und Lösungen. Datensicherungs- und Wiederherstellungslösungen sind ebenfalls vorhanden.

Grundsätze für sicheres Design

Lightspeed Systems übt Sicherheit durch Design aus. Wir verwenden einen sicheren Softwareentwicklungs-Lebenszyklus basierend auf dem OWASP-Methoden.

  • Unsere Systeme und Prozesse berücksichtigen die Grundpfeiler der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit.

Kontaktieren Sie uns, wenn Sie eine Sicherheitslücke in Lightspeed Systems vermuten

Kontaktieren Sie uns, wenn Sie eine Sicherheitslücke in Lightspeed Systems vermuten

Beachtung

Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA)

COPPA gilt für die Online-Erfassung personenbezogener Daten durch Personen oder Organisationen unter US-amerikanischer Gerichtsbarkeit über Kinder unter 13 Jahren. Für die Erhebung oder Verwendung personenbezogener Daten der Nutzer ist die Zustimmung der Eltern erforderlich.

  • Lightspeed Systems entspricht dem Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA), um die Online-Sicherheit von Kindern zu gewährleisten. Studentenkonten werden nur von einem geprüften Pädagogen, einer Schule oder einer Bildungsorganisation bereitgestellt. Pädagogen erklären sich damit einverstanden, die Erlaubnis der Eltern einzuholen, bevor sie Konten an Studenten ausstellen. 

Wir erfüllen die folgenden unten aufgeführten COPPA-Richtlinien und stimmen zu:

  • NICHT Sammeln Sie Online-Kontaktinformationen ohne die Zustimmung eines Elternteils oder eines qualifizierten Erziehers oder einer Bildungseinrichtung.
  • NICHT Sammeln Sie persönlich identifizierbare Offline-Kontaktinformationen.
  • NICHT Weitergabe personenbezogener Daten ohne vorherige Zustimmung der Eltern an Dritte.
  • NICHT durch die Aussicht auf ein spezielles Spiel, einen Preis oder eine andere Aktivität zu locken oder mehr Informationen preiszugeben, als für die Teilnahme an der Aktivität erforderlich sind.
  • NICHT Verwenden oder Offenlegen von Schülerinformationen für das Verhaltens-Targeting von Werbung für Schüler.
  • NICHT Erstellen Sie ein persönliches Profil eines Schülers, das nicht zur Unterstützung autorisierter Bildungs- / Schulzwecke dient.

Beachtung

Familienerziehungsrecht und Datenschutzgesetz (FERPA)

Das Gesetz über Familienerziehungsrechte und Datenschutz (FERPA) ist ein Bundesgesetz, das die Privatsphäre von Aufzeichnungen über die Ausbildung von Studenten schützt. Das Gesetz gilt für alle Schulen, die Mittel im Rahmen eines anwendbaren Programms des US-Bildungsministeriums erhalten.

  • Obwohl FERPA für Schulen und nicht für Unternehmen gilt, kann Lightspeed Systems als „Schulbeamter“ bezeichnet werden. Daher erfüllen wir die FERPA-Anforderungen und haben uns verpflichtet, die Privatsphäre der Schülerinformationen zu schützen, die uns von den Schulbezirken anvertraut werden . Die Schulbezirke haben die Kontrolle über alle Schülerdaten und wir gehen unter ihrer Leitung vor. Gemäß FERPA haben Eltern oder berechtigte Schüler das Recht, auf Schülerunterlagen zuzugreifen, diese einzusehen, zu überprüfen und zu korrigieren, und Lightspeed erfüllt diese Rechte, wenn wir eine bestätigte schriftliche Anfrage vom Schulbezirk erhalten.
  • Bitte beachten Sie, dass Lightspeed Systems keinen direkten Kontakt zu Schülern oder Eltern hat.

Beachtung

New Yorker Bildungsgesetz 2-D

Bildungsgesetz § 2-d trat im April 2014 in Kraft. Der Schwerpunkt des Gesetzes lag auf der Förderung der Privatsphäre und Sicherheit von personenbezogenen Daten (PII) von Schülern und bestimmten PII in Bezug auf Klassenlehrer und Schulleiter.

Lightspeed Systems entspricht dem NY ED Law 2-D und dem Eltern Bill of Rights, was Folgendes erfordert:

  • Die personenbezogenen Daten (PII) eines Schülers können nicht für kommerzielle Zwecke verkauft oder freigegeben werden.
  • Das Recht, den vollständigen Inhalt der von einer Bildungsagentur gespeicherten oder gepflegten Bildungsakte des Schülers einzusehen und zu überprüfen;
  • Sicherheitsvorkehrungen im Zusammenhang mit Industriestandards und Best Practices, einschließlich, aber nicht beschränkt auf Verschlüsselung, Firewalls und Kennwortschutz, müssen vorhanden sein, wenn PII von Schülern gespeichert oder übertragen werden.
  • In Übereinstimmung mit den geltenden Gesetzen und Vorschriften benachrichtigt zu werden, wenn ein Verstoß oder eine nicht autorisierte Freigabe von PII auftritt;
  • Eltern haben das Recht, Beschwerden über mögliche Verstöße gegen Schülerdaten zu erhalten.
  • Mitarbeiter von Bildungsagenturen, die mit personenbezogenen Daten umgehen, erhalten Schulungen zu geltenden staatlichen, bundesstaatlichen Gesetzen, Richtlinien und Schutzmaßnahmen im Zusammenhang mit Industriestandards und Best Practices zum Schutz personenbezogener Daten.
  • Verträge von Bildungsagenturen mit Anbietern, die personenbezogene Daten erhalten, berücksichtigen die gesetzlichen und behördlichen Datenschutz- und Sicherheitsanforderungen.

Beachtung

Versprechen zum Schutz der Privatsphäre von Studenten

Das Versprechen zum Schutz der Privatsphäre von Studenten ist eine öffentliche und rechtlich durchsetzbare Erklärung von ed tech-Unternehmen zum Schutz der Privatsphäre von Schülern, die sich auf Verpflichtungen hinsichtlich der Erfassung, Pflege und Verwendung personenbezogener Daten von Schülern stützt.

Unterzeichnerabzeichen für die Privatsphäre der Studenten

Beachtung

Student Data Privacy Consortium (SDPC) und National Data Processing Agreement (NDPA)

Das SDPC ist eine einzigartige Zusammenarbeit von Schulen, Distrikten, regionalen, territorialen und staatlichen Behörden, politischen Entscheidungsträgern, Handelsorganisationen und Marktanbietern, die sich mit realen, anpassungsfähigen und umsetzbaren Lösungen für wachsende Datenschutzbedenken befassen.
  • Der SDPC hat den ersten veröffentlicht Nationale Datenschutzvereinbarung (NDPA) Straffung der Antragsvergabe und Festlegung gemeinsamer Erwartungen zwischen Schulen / Bezirken und Marktanbietern.
  • Lightspeed arbeitet mit Schulbezirken in allen Teilnehmerstaaten zusammen, um sicherzustellen, dass Datenverarbeitungsvereinbarungen bestehen.
  • Schulbezirke, die SDPC und NDPA bei uns unterzeichnen möchten, werden gebeten, eine E-Mail zu senden privacy@lightspeedsystems.com

Beachtung

California Consumer Privacy Act (CCPA)

Das California Consumer Privacy Act von 2018 (CCPA) gibt Verbrauchern mehr Kontrolle über die persönlichen Informationen, die Unternehmen über sie sammeln.

  • Lightspeed Systems verpflichtet sich, die Anforderungen des CCPA zu erfüllen und Ihre Daten zu schützen.
  • Unser Datenschutz-Bestimmungen bietet detaillierte Informationen darüber, wie Lightspeed Systems Ihre persönlichen Daten sammelt und verarbeitet.

Verbraucher in Kalifornien können eine Anfrage gemäß ihren Rechten im Rahmen der CCPA stellen, indem sie uns unter kontaktieren privacy@lightspeedsystems.com

Beachtung

Allgemeine Datenschutzverordnung (DSGVO)

DSGVO ist eine Verordnung, nach der Unternehmen verpflichtet sind, die personenbezogenen Daten und die Privatsphäre von EU-Bürgern bei Transaktionen innerhalb der EU-Mitgliedstaaten zu schützen.

  • Lightspeed Systems verpflichtet sich, die Datenschutzanforderungen der DSGVO zu erfüllen.
  • Wir haben die folgenden Prozesse implementiert, um die Einhaltung der DSGVO sicherzustellen:
    • Datenminimierung - Wir sammeln nur Daten, die für einen bestimmten Zweck erforderlich sind, und die Verwendung ist auf den angegebenen Zweck beschränkt.
    • Datenzuordnung und -klassifizierung - Wir führen ein detailliertes Inventar personenbezogener Daten und klassifizieren diese Daten anschließend. Dies ist ein kontinuierlicher Prozess, an dessen Verbesserung wir ständig arbeiten.
    • Datenaufbewahrung - Wir bewahren Daten nur so lange auf, wie dies zur Erfüllung des angegebenen Zwecks und zur Erfüllung unserer vertraglichen Verpflichtungen erforderlich ist. Wir haben die folgenden Prozesse implementiert, um die Einhaltung der DSGVO sicherzustellen:
    • Datenanonymisierung
GDPR-Konformitätsausweis
    • Wir haben eine Datenschutzbehörde mit Standardvertragsklauseln, die von der Europäischen Kommission genehmigt wurde, um die Übermittlung personenbezogener Daten außerhalb der EU / des Vereinigten Königreichs zu schützen.
    • Bitte wenden Sie sich an privacy@lightspeedsystems.com die DPA mit uns auszuführen.
    • Wir haben geeignete technische und organisatorische Maßnahmen getroffen, um personenbezogene Daten zu sichern.

Beachtung

Datenschutzschild

Das EU-US- und Swiss-US Privacy Shield Frameworks wurden vom US-Handelsministerium und der Europäischen Kommission bzw. der Schweizer Verwaltung entwickelt, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Einhaltung der Datenschutzanforderungen bei der Übermittlung personenbezogener Daten aus der Europäischen Union und der Schweiz an die Vereinigten Staaten bereitzustellen Staaten zur Unterstützung des transatlantischen Handels.

 Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union eine Beurteilung die Entscheidung (EU) 2016/1250 der Europäischen Kommission vom 12. Juli 2016 über die Angemessenheit des vom EU-US-Datenschutzschild gewährten Schutzes als „ungültig“ zu erklären. Infolge dieser Entscheidung ist das EU-US-Datenschutzschild-Framework kein gültiger Mechanismus mehr, um die Datenschutzanforderungen der EU bei der Übermittlung personenbezogener Daten aus der Europäischen Union in die USA zu erfüllen. Diese Entscheidung entbindet die Teilnehmer am EU-US-Datenschutzschild nicht von ihren Verpflichtungen aus dem EU-US-Datenschutzschild.

  • Lightspeed Systems pflegt weiterhin unsere Privacy Shield-Zertifizierung, was uns an strenge Datenschutzgrundsätze bindet.
  • Wir haben die EU-Standardvertragsklauseln in unsere Datenschutzbehörde aufgenommen, um grenzüberschreitende Datenübertragungen zu berücksichtigen. In einigen Fällen verlassen wir uns auf die GDPR Artikel 49 Ausnahmeregelung, wenn die Übertragung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person ergriffen wurden.

Beachtung

Amt für ausländische Vermögenskontrolle (OFAC)

Das Amt für ausländische Vermögenskontrolle („OFAC“) des US-Finanzministeriums verwaltet und setzt Wirtschafts- und Handelssanktionen auf der Grundlage der US-Außenpolitik und der nationalen Sicherheitsziele gegen fremde Länder und Regime, Terroristen, internationale Drogenhändler und Personen im Zusammenhang mit der Verbreitung von Massenvernichtungswaffen durch und setzt diese durch. und andere Bedrohungen für die nationale Sicherheit, Außenpolitik oder Wirtschaft der Vereinigten Staaten.

  • Lightspeed Systems, seine Tochterunternehmen und verbundenen Unternehmen verpflichten sich zur vollständigen Einhaltung aller internationalen Sanktionen, einschließlich, aber nicht beschränkt auf die von den USA, der Europäischen Union und dem Vereinigten Königreich verhängten Sanktionen.
  • Internationale Sanktionen sind Gesetze, Verordnungen, Durchführungsverordnungen, Ratsbestimmungen und andere staatliche Maßnahmen, die ein breites Spektrum von Handels- und Finanztransaktionen verbieten. Es ist die Politik von Lightspeed Systems, alle geltenden internationalen Sanktionen einzuhalten.
  • Lightspeed Systems betrachtet ein wirksames Compliance-Programm für Exportkontrollen mit Richtlinien und Verfahren als einen wichtigen, wichtigen Bestandteil unserer Geschäftstätigkeit und unseres ethischen Verhaltenskodex.
  • Wir prüfen alle internationalen Bestellungen vor der Annahme anhand verschiedener Listen sanktionierter und verbotener Personen und Bestimmungsorte. Jede Bestellung, die direkt oder indirekt von einer sanktionierten Person eingeht oder für den endgültigen Verwendungszweck durch eine sanktionierte Person oder an einem sanktionierten Bestimmungsort bestimmt ist, wird abgelehnt.

Lightspeed Systems-Mitarbeiter erhalten ein jährliches OFAC-Sensibilisierungstraining, um die Einhaltung sicherzustellen.

Weitere Informationen zum Umgang mit personenbezogenen Daten und zu den Details unserer Dienstleistungen finden Sie in unserem
Datenschutz-Bestimmungen und Nutzungsbedingungen.

Lightspeed Systems-Subprozessorliste