Lightspeed Systems® es tu socio de confianza

Seguridad y cumplimiento

La seguridad de la información y la protección de datos es una parte integral de nuestras creencias fundamentales. Contamos con equipos de seguridad y cumplimiento dedicados, que están comprometidos a mantener su información segura y protegida. Lightspeed Systems emplea políticas y procedimientos estrictos para garantizar la disponibilidad, integridad y confidencialidad de los datos del cliente.

Estado del sistema

Sabemos que confía en las soluciones Lightspeed Systems para hacer cosas increíbles, por lo que monitoreamos continuamente nuestros servicios internamente y a través de servicios de terceros. Encuentre aquí las interrupciones en los servicios, las actualizaciones y los anuncios de mantenimiento.

Seguridad

Lightspeed Systems comprende la necesidad de proteger los datos personales y confidenciales de nuestros clientes, empleados y socios. La privacidad y la seguridad son nuestra responsabilidad, y brindamos soluciones innovadoras que mejoran, en lugar de comprometer, la privacidad y seguridad de los datos.

Conformidad

Desde 1999, Lightspeed Systems se ha asociado con escuelas de todo el mundo para proteger a los estudiantes y hacer que el aprendizaje sea adaptable al panorama tecnológico en constante cambio. La naturaleza de nuestro negocio nos obliga a cumplir con las diversas leyes de privacidad de datos de los estudiantes, para garantizar que los datos de los estudiantes estén protegidos.

Estado del servicio Lightspeed Systems

Acuerdo de nivel de servicio (SLA)

Lightspeed Systems proporciona servicios alojados que incluyen administración de dispositivos móviles, filtrado web, análisis de aplicaciones y administración de aulas para escuelas. Nuestros servicios están disponibles al menos el 99.5% del tiempo, y los servidores se monitorean continuamente para verificar su rendimiento y disponibilidad.

capturas de pantalla en dispositivos de escritorio y móviles para software de aprendizaje a distancia

Seguridad Lightspeed

Salvaguardias administrativas

Verificación de antecedentes de los empleados

Todos los empleados de Lightspeed Systems se someten a verificaciones de antecedentes y firman un acuerdo de no divulgación antes de ser contratados.

Administracion de incidentes

Contamos con un plan de respuesta a incidentes escrito que detalla los procesos para detectar, informar, identificar, analizar y responder a los incidentes de seguridad que afectan las redes Lightspeed Systems y los datos del cliente.

Notificación de violación de datos

Si nos enteramos de una violación de datos, seguiremos nuestro Plan de respuesta a incidentes y notificaremos a nuestros clientes sin demoras indebidas. 

Capacitación de concienciación sobre la seguridad y la privacidad de los empleados

En el momento de la contratación y de forma continua, todos los empleados deben recibir capacitación sobre privacidad y seguridad, que cubre las prácticas de privacidad y los principios que se aplican al manejo de información personal por parte de los empleados, incluida la necesidad de imponer limitaciones al uso, acceso, intercambio y retención de información personal. información.

Brindamos capacitación sobre aspectos específicos de seguridad que requieren en función de sus roles. Por ejemplo, el equipo de desarrollo de productos se somete a una formación sobre privacidad por diseño y desarrollo de software seguro. Los empleados también están sujetos a correos electrónicos de phishing regulares.

Selección de proveedores y gestión de riesgos

Lightspeed Systems puede usar subprocesadores para realizar servicios y solo tiene derecho a acceder a los datos del cliente solo cuando sea necesario para realizar los Servicios y estará sujeto a acuerdos escritos que les exijan proporcionar niveles estrictos de protección de datos requeridos por Lightspeed y las regulaciones aplicables. Aquí hay una lista de nuestros subprocesadores.

Se llevan a cabo evaluaciones previas y continuas de los proveedores para garantizar que existan prácticas adecuadas de privacidad y seguridad de los datos en toda la relación con el proveedor.

  • Los cambios en los servicios proporcionados por el proveedor o los cambios en los contratos existentes requieren una evaluación de riesgos de seguridad para confirmar que los cambios no presentan riesgos adicionales o indebidos.

Los documentos de políticas y procedimientos se alinean con los marcos de privacidad / seguridad del NIST

Lightspeed Systems revisa sus sistemas contra los controles CIS y los marcos NIST, y cualquier riesgo o brecha identificados se aborda en consecuencia.

Contamos con un equipo de gobernanza de datos designado que celebra reuniones trimestrales para garantizar la integridad de los datos.

Los siguientes documentos de políticas se han instituido e implementado en toda la organización: Política de seguridad, Plan de respuesta a incidentes, Política de corrección de vulnerabilidades, Política de parches, Política de estándares de TI, Política de clasificación de datos, Política de eliminación de datos, Política de evaluación de proveedores, Procedimiento de verificación de estándares de seguridad de proveedores, Contraseña Política, Política de escritorio limpio, Política de acceso al edificio y Procedimiento de PIA y DPIA.

Seguridad Lightspeed

Salvaguardias técnicas

Cifrado de datos

Los datos se cifran en tránsito y en reposo.

 

Retención y eliminación de datos

Lightspeed Systems ha implementado una Política de retención de datos. Cuando corresponde, nuestras soluciones utilizan reglas automatizadas para depurar datos de acuerdo con la política.

 

Copias de seguridad

Realizamos copias de seguridad periódicas de datos y sistemas. Los intervalos de respaldo dependen del tipo de datos y van desde minutos hasta una vez al día.

Corrección de vulnerabilidades

Lightspeed Systems tiene una política de corrección de vulnerabilidades para identificar y remediar las vulnerabilidades de acuerdo con el riesgo que presentan. Utilizamos software de administración de parches para monitorear los sistemas y asegurarnos de que se implementen.

 

Protección de malware

Lightspeed Systems ha implementado soluciones anti-malware y anti-spam para proteger servidores y estaciones de trabajo.

 

Registro y monitoreo

Lightspeed Systems ha implementado soluciones de registro y monitoreo para identificar e investigar posibles eventos de seguridad.

control de identidad y acceso

El acceso a la información personal está limitado mediante credenciales de inicio de sesión a aquellos empleados que lo requieran para realizar sus funciones laborales. Además, Lightspeed Systems utiliza controles de acceso como autenticación multifactor, inicio de sesión único, privilegios mínimos y acceso según sea necesario, controles de contraseña estrictos y acceso restringido a cuentas administrativas.

Nuestras soluciones permiten a los clientes crear roles de 'Admin' que brindan solo los derechos necesarios para realizar las funciones requeridas.

Seguridad Lightspeed

Salvaguardias físicas

seguridad laboral

Lightspeed Systems mantiene los siguientes controles diseñados para evitar el acceso no autorizado a nuestras oficinas:

  • El acceso a las instalaciones está limitado a personas autorizadas mediante el uso de llaves / llaveros o tarjetas de acceso.
  • Las oficinas del Lightspeed cuentan con sistemas o dispositivos de supresión y detección de incendios, así como salidas de emergencia y rutas de evacuación.

seguridad del centro de datos

Todos los centros de datos donde se procesan y almacenan los datos están ubicados en los Estados Unidos y cuentan con las certificaciones SOC 2, HIPPA, PCI DSS e ISO 27001. Lightspeed cuenta con un proceso para registrar, monitorear y responder a eventos y anomalías en sus sistemas y soluciones. También existen soluciones de respaldo y recuperación de datos.

Principios de diseño seguro

Lightspeed Systems practica la seguridad por diseño. Utilizamos un ciclo de vida de desarrollo de software seguro basado en Metodologías OWASP.

  • Nuestros sistemas y procesos tienen en cuenta los pilares centrales de la seguridad de la información: confidencialidad, integridad y disponibilidad.

Contáctenos si sospecha una vulnerabilidad de seguridad dentro de Lightspeed Systems

Contáctenos si sospecha una vulnerabilidad de seguridad dentro de Lightspeed Systems

Conformidad

Ley de protección de la privacidad infantil en línea (COPPA)

COPPA se aplica a la recopilación en línea de información personal por personas o entidades bajo la jurisdicción de los EE. UU. sobre niños menores de 13 años. Se requiere el consentimiento de los padres para la recopilación o el uso de cualquier información personal de los usuarios.

  • Lightspeed Systems cumple con la Ley de Protección de la Privacidad Infantil en Línea (COPPA, para garantizar la seguridad en línea de los niños. Las cuentas de los estudiantes se proporcionan solo a través de un educador, escuela u organización educativa verificada. Los educadores aceptan obtener el permiso de los padres antes de emitir cuentas a los estudiantes. 

Cumplimos con las siguientes pautas de COPPA que se enumeran a continuación y aceptamos:

  • NO recopilar información de contacto en línea sin el consentimiento de los padres o de un educador o institución educativa calificada.
  • NO recopilar información de contacto fuera de línea de identificación personal.
  • NO distribuir a terceros cualquier información de identificación personal sin el consentimiento previo de los padres.
  • NO tentar por la perspectiva de un juego especial, premio u otra actividad o para divulgar más información de la necesaria para participar en la actividad.
  • NO usar o divulgar información de los estudiantes para la orientación conductual de los anuncios a los estudiantes.
  • NO construir un perfil personal de un estudiante que no sea para apoyar propósitos educativos / escolares autorizados.

Conformidad

Ley de Privacidad y Derechos Educativos de la Familia (FERPA)

los Ley de Privacidad y Derechos Educativos de la Familia (FERPA) es una ley federal que protege la privacidad de los registros educativos de los estudiantes. La ley se aplica a todas las escuelas que reciben fondos en virtud de un programa aplicable del Departamento de Educación de EE. UU.

  • Aunque FERPA se aplica a las escuelas y no a las empresas, Lightspeed Systems puede ser designado como un 'Funcionario de la escuela' y, como tal, cumplimos con los requisitos de FERPA y nos hemos comprometido a proteger la privacidad de la información de los estudiantes, que nos es confiada por los distritos escolares. . Los distritos escolares tienen el control de todos los datos de los estudiantes y procedemos bajo su dirección. Bajo FERPA, los padres o estudiantes elegibles tienen el derecho de acceder, inspeccionar, revisar y rectificar los registros de los estudiantes y Lightspeed cumple con estos derechos cuando recibimos una solicitud por escrito verificada del Distrito Escolar.
  • Tenga en cuenta que Lightspeed Systems no tiene contacto directo con estudiantes o padres.

Conformidad

Ley de Educación de Nueva York 2-D

Ley de educación § 2-d entró en vigor en abril de 2014. El objetivo del estatuto era fomentar la privacidad y seguridad de la información de identificación personal (PII) de los estudiantes y cierta PII relacionada con los maestros y directores de aula.

Lightspeed Systems cumple con la Ley 2-D de NY ED y la Declaración de derechos de los padres, que requiere lo siguiente:

  • La información de identificación personal (PII) de un estudiante no se puede vender ni divulgar para ningún propósito comercial;
  • El derecho a inspeccionar y revisar el contenido completo del expediente educativo del estudiante almacenado o mantenido por una agencia educativa;
  • Las salvaguardas asociadas con los estándares de la industria y las mejores prácticas, que incluyen, entre otras, el cifrado, los cortafuegos y la protección con contraseña, deben estar vigentes cuando se almacena o transfiere la PII del estudiante;
  • Ser notificado de acuerdo con las leyes y regulaciones aplicables si ocurre una violación o divulgación no autorizada de PII;
  • Los padres tienen derecho a que se aborden las quejas sobre posibles violaciones de los datos de los estudiantes;
  • Los trabajadores de agencias educativas que manejan PII recibirán capacitación sobre las leyes, políticas y salvaguardas estatales y federales aplicables asociadas con los estándares de la industria y las mejores prácticas que protegen la PII;
  • Los contratos de agencias educativas con proveedores que reciben PII abordarán los requisitos de seguridad y privacidad de datos legales y reglamentarios.

Conformidad

Compromiso de privacidad del estudiante

los Compromiso de privacidad del estudiante es una declaración pública y legalmente exigible de las empresas de tecnología educativa para salvaguardar la privacidad de los estudiantes, basada en compromisos relacionados con la recopilación, el mantenimiento y el uso de la información personal de los estudiantes.

insignia de firmante del compromiso de privacidad del estudiante

Conformidad

Consorcio de Privacidad de Datos de Estudiantes (SDPC) y Acuerdo Nacional de Procesamiento de Datos (NDPA)

los SDPC es una colaboración única de escuelas, distritos, agencias regionales, territoriales y estatales, formuladores de políticas, organizaciones comerciales y proveedores de mercados que abordan soluciones del mundo real, adaptables e implementables para los crecientes problemas de privacidad de datos.
  • El SDPC lanzó el primer Acuerdo nacional de privacidad de datos (NDPA) para agilizar la contratación de aplicaciones y establecer expectativas comunes entre las escuelas / distritos y los proveedores del mercado.
  • Lightspeed está trabajando con distritos escolares en todos los estados participantes para garantizar que tengamos acuerdos de procesamiento de datos en vigor.
  • Se anima a los distritos escolares que deseen firmar el SDPC y el NDPA con nosotros a enviar un correo electrónico privacy@lightspeedsystems.com

Conformidad

Ley de privacidad del consumidor de California (CCPA)

los Ley de privacidad del consumidor de California de 2018 (CCPA) brinda a los consumidores más control sobre la información personal que las empresas recopilan sobre ellos.

  • Lightspeed Systems se compromete a cumplir con los requisitos de la CCPA y proteger sus datos.
  • Nuestra Política de privacidad proporciona información detallada sobre cómo Lightspeed Systems recopila y procesa su información personal.

Los consumidores de California pueden realizar una solicitud de conformidad con sus derechos según la CCPA comunicándose con nosotros en privacy@lightspeedsystems.com

Conformidad

Reglamento general de protección de datos (GDPR)

GDPR es una regulación que requiere que las empresas protejan los datos personales y la privacidad de los ciudadanos de la UE para las transacciones que ocurren dentro de los estados miembros de la UE.

  • Lightspeed Systems se compromete a cumplir con los requisitos de protección de datos del RGPD.
  • Hemos implementado los siguientes procesos para garantizar el cumplimiento de GDPR:
    • Minimización de datos: solo recopilamos los datos necesarios para un propósito específico y el uso se limita al propósito establecido.
    • Mapeo y clasificación de datos: mantenemos un inventario detallado de datos personales y luego clasificamos esos datos. Este es un proceso continuo, en el que trabajamos constantemente para mejorar.
    • Retención de datos: conservamos los datos solo durante el tiempo que sea necesario para cumplir con el propósito establecido y para cumplir con nuestras obligaciones contractuales Hemos implementado los siguientes procesos para garantizar el cumplimiento de GDPR:
    • Anonimización de datos
Insignia de cumplimiento de GDPR
    • Disponemos de un DPA con Cláusulas Contractuales Estándar, aprobado por la Comisión Europea, para proteger la transferencia de datos personales fuera de la UE / Reino Unido.
    • Comuníquese con privacy@lightspeedsystems.com para ejecutar el DPA con nosotros.
    • Hemos implementado las medidas técnicas y organizativas adecuadas para proteger los datos personales.

Conformidad

Escudo de privacidad

los Marcos de protección de la privacidad UE-EE. UU. Y Suiza-EE. UU. fueron diseñados por el Departamento de Comercio de EE. UU. y la Comisión Europea y la Administración Suiza, respectivamente, para proporcionar a las empresas de ambos lados del Atlántico un mecanismo para cumplir con los requisitos de protección de datos al transferir datos personales de la Unión Europea y Suiza a los Estados Unidos. Estados en apoyo del comercio transatlántico.

 El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea emitió un juicio declarando “nula” la Decisión de la Comisión Europea (UE) 2016/1250 de 12 de julio de 2016 sobre la adecuación de la protección proporcionada por el Escudo de Privacidad UE-EE.UU. Como resultado de esa decisión, el Marco del Escudo de Privacidad UE-EE. UU. Ya no es un mecanismo válido para cumplir con los requisitos de protección de datos de la UE al transferir datos personales de la Unión Europea a los Estados Unidos. Esa decisión no exime a los participantes del Escudo de privacidad UE-EE. UU. De sus obligaciones en virtud del Marco del Escudo de privacidad UE-EE. UU.

  • Lightspeed Systems continúa manteniendo nuestro Certificación Privacy Shield, que nos vincula a estrictos principios de protección de datos.
  • Hemos incorporado las cláusulas contractuales estándar de la UE en nuestro DPA, para dar cuenta de las transferencias de datos transfronterizas. En algunos casos, confiamos en la Excepción del artículo 49 del RGPD, cuando la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la implementación de medidas precontractuales tomadas a petición del interesado.

Conformidad

Oficina de Control de Activos Extranjeros (OFAC)

La Oficina de Control de Activos Extranjeros ("OFAC") del Departamento del Tesoro de EE. UU. administra y hace cumplir las sanciones económicas y comerciales basadas en la política exterior de EE. UU. y los objetivos de seguridad nacional contra países y regímenes extranjeros objetivo, terroristas, narcotraficantes internacionales, quienes participan en actividades relacionadas con la proliferación de armas de destrucción masiva, y otras amenazas a la seguridad nacional, la política exterior o la economía de los Estados Unidos.

  • Lightspeed Systems, sus empresas subsidiarias y afiliadas están comprometidas con el pleno cumplimiento de todas las sanciones internacionales, incluidas, entre otras, las impuestas por los Estados Unidos, la Unión Europea y el Reino Unido.
  • Las sanciones internacionales son las leyes, reglamentos, órdenes ejecutivas, determinaciones del consejo y otras acciones gubernamentales que prohíben una amplia gama de transacciones comerciales y financieras. Es política de Lightspeed Systems cumplir con todas las sanciones internacionales aplicables.
  • Lightspeed Systems considera que un programa de cumplimiento efectivo que aborde los controles de exportación con políticas y procedimientos es una parte importante y vital de nuestras operaciones comerciales y código ético de conducta.
  • Examinamos todos los pedidos internacionales con varias listas de personas y destinos sancionados y prohibidos antes de la aceptación. Cualquier pedido recibido, directa o indirectamente, de una persona sancionada o destinado al uso final final por parte de una persona sancionada o en un destino sancionado, será rechazado.

Los empleados de Lightspeed Systems reciben capacitación anual de concientización de la OFAC para garantizar el cumplimiento.

Para obtener información más detallada sobre cómo manejamos los datos personales y los detalles de nuestros Servicios, consulte nuestro
Política de privacidad y Términos de Uso.

Lista de subprocesadores Lightspeed Systems