Lightspeed Trust
Lightspeed Systems® on luotettu yhteistyökumppanisi
Turvallinen ja turvallinen
Tietoturva ja tietosuoja ovat olennainen osa perususkomuksiamme. Meillä on omat tietoturva- ja vaatimustenmukaisuustiimit, jotka ovat sitoutuneet pitämään tietosi turvassa. Lightspeed Systems noudattaa tiukkoja käytäntöjä ja menettelytapoja varmistaakseen asiakastietojen saatavuuden, eheyden ja luottamuksellisuuden.
Lightspeed Systems -palvelun tila
Palvelutasosopimus (SLA)
Lightspeed Systems tarjoaa isännöityjä palveluita, kuten mobiililaitteiden hallintaa, verkkosuodatusta, sovellusanalytiikkaa ja luokkahuoneiden hallintaa kouluille. Palvelumme ovat saatavilla vähintään 99.9% ajasta, ja palvelimien suorituskykyä ja saatavuutta seurataan jatkuvasti.
Lightspeed Security
Hallinnolliset suojatoimet
Työntekijöiden taustatarkastukset
Kaikki Lightspeed Systemsin työntekijät käyvät läpi taustatarkastukset ja allekirjoittavat salassapitosopimuksen ennen palkkaamista.
Tietoturvaloukkausilmoitus
Jos saamme tiedon tietoturvaloukkauksesta, noudatamme tapaussuunnitelmaamme ja ilmoitamme asiasta asiakkaillemme ilman aiheetonta viivytystä.
Tapahtumanhallinta
Meillä on kirjallinen tapaussuunnitelma, joka sisältää yksityiskohtaiset prosessit Lightspeed Systemsin verkkoihin ja asiakastietoihin vaikuttavien tietoturvatapahtumien havaitsemiseen, raportoimiseen, tunnistamiseen, analysoimiseen ja niihin reagoimiseen.
Työntekijöiden tietosuoja- ja turvallisuustietoisuuskoulutus
Palkkauksen yhteydessä ja jatkuvasti kaikkien työntekijöiden on osallistuttava tietosuoja- ja turvallisuuskoulutukseen, joka kattaa tietosuojakäytännöt ja periaatteet, jotka koskevat työntekijöiden henkilötietojen käsittelyä, mukaan lukien tarve rajoittaa henkilötietojen käyttöä, pääsyä, jakamista ja säilyttämistä.
Tarjoamme koulutusta tietyistä turvallisuusnäkökohdista, joita he tarvitsevat roolinsa perusteella. Esimerkiksi tuotekehitystiimi käy läpi yksityisyydensuojan ja suojatun ohjelmistokehityskoulutuksen. Työntekijät joutuvat myös säännöllisten tietojenkalasteluviestien kohteeksi.
Toimittajan valinta ja riskienhallinta
Lightspeed Systems voi käyttää alikäsittelijöitä palvelujen suorittamiseen, ja niillä on oikeus päästä käsiksi asiakastietoihin vain silloin, kun se on tarpeen Palveluiden suorittamiseksi, ja niitä sitovat kirjalliset sopimukset, jotka edellyttävät Lightspeedin ja sovellettavien säännösten edellyttämää tiukkaa tietosuojaa. Tässä on luettelo alikäsittelijöistämme.
Ennen sitoutumista ja jatkuvia toimittajan arviointeja tehdään sen varmistamiseksi, että asianmukaiset tietosuoja- ja turvallisuuskäytännöt ovat käytössä koko toimittajasuhteen ajan.
Muutokset toimittajan tarjottaviin palveluihin tai muutokset olemassa oleviin sopimuksiin edellyttävät turvallisuusriskien arviointia sen varmistamiseksi, että muutokset eivät aiheuta ylimääräistä tai kohtuutonta riskiä.
Käytäntö- ja menettelyasiakirjat ovat yhdenmukaisia NIST:n tietosuoja-/turvallisuuskehysten kanssa
Lightspeed Systems tarkistaa järjestelmänsä CIS-ohjaimien ja NIST-kehysten perusteella, ja kaikki tunnistetut riskit tai puutteet korjataan sen mukaisesti.
Meillä on nimetty Data Governance -tiimi, joka pitää säännöllisesti kokouksia varmistaakseen tietojen eheyden.
Olemme ottaneet käyttöön erilaisia tietosuojakäytäntöjä eri puolilla organisaatiota koskevia asiakirjoja, kuten, mutta ei rajoittuen: tapauksiin reagointisuunnitelma, suojauskäytäntö, haavoittuvuuden korjauskäytäntö, IT-standardien käytäntö ja tietojen poistokäytäntö.
Toiminnan jatkuvuus ja katastrofipalautus
Lightspeed Systems tunnustaa kriittisten liiketoimintatoimintojen ylläpitämisen ja järjestelmien ja tietojen suojaamisen tärkeyden. Liiketoiminnan jatkuvuuden varmistamiseksi Lightspeed on kehittänyt koko yrityksen kattavan liiketoiminnan jatkuvuus- ja katastrofipalautussuunnitelman, joka ohjaa kaikkien toimintojen yleistä hallintaohjelmaa.
Muutosten hallinta
Muutostenhallintakäytännöt on dokumentoitu järjestelmän muutosten ja korjauspäivitysten suunnitteluun, kehittämiseen, hankintaan, testaukseen, hyväksymiseen ja toteuttamiseen.
Lightspeed Security
Tekniset suojatoimenpiteet
Ulkoiset tarkastukset
Lightspeed Systems kertoo innolla, että olemme saaneet onnistuneesti päätökseen SOC 2 Type II -tarkastuksemme 22. maaliskuuta 2024. Riippumaton yritys on vahvistanut, että täytämme SOC 2 -standardit. Lightspeed Systems noudattaa AICPA:n Trust Services -kriteerejä ja on laatinut käytännöt ja prosessit varmistaakseen asiakkaillemme tarjoamiemme palveluiden turvallisuuden, saatavuuden, käsittelyn eheyden, luottamuksellisuuden ja yksityisyyden. Asiakkaat voivat pyytää kopion SOC 2 Type 2 -raportistamme lähettämällä sähköpostia osoitteeseen [email protected], ja raportti toimitetaan NDA:n allekirjoittamisen yhteydessä.
Tietoturvaloukkausilmoitus
Jos saamme tietää vahvistetusta tietoturvaloukkauksesta, noudatamme tapaussuunnitelmaamme ja ilmoitamme siitä koululle ilman aiheetonta viivytystä.
Salaus lepotilassa
Lepotilassa olevat tiedot salataan Advanced Encryption Standard (AES) -salauksella.
Salaus siirrossa
Tiedot salataan siirron aikana TLS (Transport Layer Security) -protokollan avulla.
Tietojen varmuuskopiointi
Suoritamme säännöllisiä varmuuskopioita tiedoista ja järjestelmistä. Varmuuskopiointivälit riippuvat datatyypistä ja vaihtelevat minuuteista kerran päivässä.
Haavoittuvuuden korjaaminen
Lightspeed Systemsillä on haavoittuvuuksien korjauskäytäntö, joka tunnistaa ja korjaa haavoittuvuudet niiden aiheuttaman riskin mukaan. Käytämme korjaustiedostojen hallintaohjelmistoa järjestelmien valvontaan ja korjaustiedostojen käyttöönoton varmistamiseen.
Tietojen poistaminen
Lightspeed Systems on ottanut käyttöön tietojen poistokäytännön. Ratkaisumme käyttävät tarvittaessa automaattisia sääntöjä tietojen tyhjentämiseen käytäntöjen mukaisesti.
Kirjaaminen ja seuranta
Lightspeed Systems on ottanut käyttöön loki- ja seurantaratkaisuja mahdollisten tietoturvatapahtumien tunnistamiseksi ja tutkimiseksi.
Identity & Access Control
Pääsy henkilötietoihin on rajoitettu kirjautumistunnuksilla niille työntekijöille, jotka tarvitsevat niitä työtehtäviensä suorittamiseen. Lisäksi Lightspeed Systems käyttää pääsynvalvontaa, kuten monitekijätodennusta, kertakirjautumista, vähiten etuoikeuksia ja käyttöoikeuksia tarpeen mukaan, vahvoja salasanan hallintaa ja rajoitettua pääsyä järjestelmänvalvojatileihin.
Ratkaisumme avulla asiakkaat voivat luoda "järjestelmänvalvojan" rooleja, jotka tarjoavat vain vaadittujen toimintojen suorittamiseen tarvittavat oikeudet.
Lightspeed Security
Fyysiset suojatoimenpiteet
Työpaikan turvallisuus
Lightspeed Systems ylläpitää seuraavia ohjaimia, jotka on suunniteltu estämään luvaton pääsy toimistoihimme:
- Tiloihin pääsevät vain valtuutetut henkilöt, jotka käyttävät avaimia/avaimenperäisiä tai kulkukortteja.
- Lightspeed-toimistoissa on palontorjunta- ja palonhavaitsemisjärjestelmät tai -laitteet sekä hätäuloskäynnit ja evakuointireitit.
Tietokeskuksen turvallisuus
Kaikki datakeskukset, joissa tietoja käsitellään ja säilytetään, sijaitsevat Yhdysvalloissa ja niillä on SOC 2-, PCI DSS- ja ISO 27001 -sertifikaatit. Lightspeedillä on käytössä prosessi tapahtumien ja poikkeamien kirjaamiseksi, valvomiseksi ja niihin reagoimiseksi järjestelmissään ja ratkaisuissaan. Käytössä on myös tietojen varmuuskopiointi- ja palautusratkaisuja.
Turvallisen suunnittelun periaatteet
Lightspeed Systems harjoittaa turvallisuutta suunnittelussa. Käytämme suojattua ohjelmistokehityksen elinkaarta, joka perustuu OWASP-metodologiat.
Järjestelmämme ja prosessimme ottavat huomioon tietoturvan ydinpilarit: luottamuksellisuus, eheys ja saatavuus.
Vaatimustenmukaisuus
Lightspeed Systems Artificial Intelligence (AI) -etiikka ja periaatteet
Lightspeed Systems tietää, kuinka keinotekoinen telligence voi muuttaa teknologian ja liiketoiminnan maailmaa parempaan suuntaan. Käytämme tekoälyä vastuullisesti ja varmistamme sen eettisyyden maksimoimalla sen hyödyt ja palvelemalla asiakkaitamme. Noudatamme tekoälyratkaisujen eettisiä periaatteita, jotka vastaavat arvojamme ja ammatillisia standardejamme ja jotka rakentavat asiakkaidemme, ihmisten, yhteisöjen ja sääntelyviranomaisten luottamusta. Olemme lujasti sitoutuneet toimimaan yleisen edun mukaisesti, kunnioittamaan yleisön luottamusta ja osoittamaan sitoutumisemme ammatilliseen huippuosaamiseen. Lisätietoja saat osoitteestamme Tekoälyn vastuullinen käyttö.
Vaatimustenmukaisuus
Children's Online Privacy Protection Act (COPPA)
COPPA koskee Yhdysvaltojen lainkäyttövaltaan kuuluvien henkilöiden tai yhteisöjen alle 13-vuotiaiden lasten henkilötietojen online-keräämistä. Käyttäjien henkilötietojen keräämiseen tai käyttöön tarvitaan vanhempien suostumus.
- Lightspeed Systems noudattaa lasten verkkotietosuojalakia (COPPA) varmistaakseen lasten verkkoturvallisuuden. Oppilaiden tilejä tarjotaan vain vahvistetun kouluttajan, koulun tai oppilaitoksen kautta. Opettajat sitoutuvat hankkimaan vanhempien luvan ennen tilien myöntämistä oppilaille. Lue Lightspeedin COPPA-ilmoitus tästä.
Noudatamme seuraavia alla lueteltuja COPPA-sääntöjä ja hyväksymme:
- ÄLÄ kerää verkkoyhteystietoja ilman vanhemman tai pätevän kasvattajan tai oppilaitoksen suostumusta.
- ÄLÄ kerää henkilökohtaisesti tunnistettavia offline-yhteystietoja.
- ÄLÄ jaa kolmansille osapuolille henkilökohtaisia tunnistetietoja ilman vanhempien etukäteen antamaa lupaa.
- ÄLÄ houkuttele erityispelillä, palkinnolla tai muulla aktiviteetilla tai paljasta enemmän tietoa kuin mitä tarvitaan aktiviteetin osallistumiseen.
- ÄLÄ käytä tai paljasta opiskelijoiden tietoja mainosten käyttäytymiseen perustuvassa kohdistamisessa opiskelijoille.
- ÄLÄ rakenna opiskelijalle henkilökohtaista profiilia muuten kuin valtuutetun koulutus-/koulutarkoituksiin.
Vaatimustenmukaisuus
Family Educational Rights & Privacy Act (FERPA)
The Perhekoulutuksen oikeuksia ja yksityisyyttä koskeva laki (FERPA) on liittovaltion laki, joka suojaa opiskelijoiden koulutustietueiden yksityisyyttä. Laki koskee kaikkia kouluja, jotka saavat varoja Yhdysvaltain opetusministeriön sovellettavasta ohjelmasta.
- Vaikka FERPA koskee kouluja eikä yrityksiä, Lightspeed Systems voidaan nimetä "koulun virkamiehiksi", joten olemme FERPA-vaatimusten mukaisia ja olemme sitoutuneet suojelemaan opiskelijoiden yksityisyyttä.
tiedot, jotka koulupiirit ovat uskoneet meille. Koulupiirit hallitsevat kaikkia oppilaiden tietoja ja jatkamme heidän ohjeidensa mukaan. FERPA:n mukaan vanhemmilla tai kelvollisilla opiskelijoilla on oikeus käyttää
tarkastaa, tarkistaa ja korjata oppilaiden asiakirjat ja Lightspeed noudattaa näitä oikeuksia, kun saamme koulupiiriltä vahvistetun kirjallisen pyynnön. - Huomaa, että Lightspeed Systemsillä ei ole suoraa yhteyttä opiskelijoihin tai vanhempiin.
Vaatimustenmukaisuus
New Yorkin koulutuslaki 2-D
Koulutuslaki § 2-d tuli voimaan huhtikuussa 2014. Säännösten tavoitteena oli edistää opiskelijoiden ja tiettyjen luokanopettajiin ja rehtoriin liittyvien henkilökohtaisten tunnistetietojen yksityisyyttä ja turvallisuutta. Lightspeed Systems noudattaa NY ED:n lakia 2-D ja Vanhempien oikeudet, joka edellyttää seuraavaa:
- Opiskelijan henkilökohtaisesti tunnistettavia tietoja (PII) ei saa myydä tai luovuttaa mihinkään kaupalliseen tarkoitukseen;
- Oikeus tarkastaa ja tarkastaa oppilaitoksen tallentaman tai ylläpitämän opiskelijan koulutusasiakirjan täydellinen sisältö;
- Alan standardeihin ja parhaisiin käytäntöihin liittyvien suojatoimien, mukaan lukien mutta ei rajoittuen salaukseen, palomuuriin ja salasanasuojaukseen, on oltava käytössä, kun opiskelijan henkilökohtaisia tunnistetietoja tallennetaan tai siirretään.
- Saat ilmoituksen sovellettavien lakien ja määräysten mukaisesti, jos henkilökohtaisia tunnistetietoja rikotaan tai luovutetaan luvatta;
- Vanhemmilla on oikeus saada valitus mahdollisista opiskelijatietojen loukkauksista;
- Henkilökohtaisia tunnistetietoja käsittelevät koulutustoimistotyöntekijät saavat koulutusta sovellettavista osavaltion ja liittovaltion laeista, politiikoista ja suojatoimista, jotka liittyvät henkilökohtaisia tunnistetietoja suojaaviin alan standardeihin ja parhaisiin käytäntöihin.
- Koulutustoimistosopimukset henkilökohtaisia tunnistetietoja vastaanottavien toimittajien kanssa koskevat lakisääteisiä tietosuoja- ja turvallisuusvaatimuksia.
Vaatimustenmukaisuus
Opiskelijoiden tietosuojakonsortio (SDPC) ja kansallinen tietosuojasopimus (NDPA)
SDPC julkaisi ensimmäisen National Data Privacy Agreement (NDPA) virtaviivaistaa sovellussopimusten tekemistä ja asettaa yhteisiä odotuksia koulujen/piirien ja markkinapaikan tarjoajien välille.
- Lightspeed tekee yhteistyötä koulupiirien kanssa kaikissa osallistuvissa osavaltioissa varmistaakseen, että meillä on käytössä tietosuojasopimukset tietojenkäsittelyn osalta.
- Koulupiirejä, jotka haluavat allekirjoittaa SDPC- ja NDPA-sopimuksen kanssamme, kehotetaan lähettämään sähköpostia [email protected].
- The SDPC on koulujen, piirien, alueellisten, alueiden ja valtion virastojen, poliittisten päättäjien, kauppajärjestöjen ja markkinapaikan tarjoajien ainutlaatuinen yhteistyö, jossa käsitellään todellisia, mukautuvia ja toteutettavia ratkaisuja kasvaviin tietosuojaongelmiin.
Vaatimustenmukaisuus
California Consumer Privacy Act (CCPA)
The California Privacy Rights Act (CPRA) muuttaa ja laajentaa California Consumer Privacy Actia (CCPA). CPRA tuli voimaan 1.1.2023. CCPA:ta muutettiin Kalifornian työntekijöiden (B2E) ja yritysten välisten (B2B) kontaktien henkilötietojen suojaamiseksi, ja se edellyttää, että kaikki Kalifornian asukkaiden tietoja keräävät organisaatiot soveltavat laajempia suojatoimia, kuten tietosuojariskin arviointeja, tiedon minimointia ja säilytyskäytäntöjä. ja parempi tietoisuus tietosuojariskeistä, jotka liittyvät tietojen keräämiseen ja käsittelyyn – sekä Kalifornian työntekijöihin, yrityksiin ja asukkaisiin liittyvien tietojen huomioon ottaminen.
Ketä Kalifornian tietosuojalaki suojaa?
Jokainen Kaliforniassa asuva työntekijä ja palveluntarjoaja/toimittaja, urakoitsija, konsultti, hakija, freelance-työntekijä ja etätyöntekijä voidaan kohtuudella tunnistaa.
Työntekijä- ja B2B-tietooikeudet:
- Oikeus tietää: Työntekijöillä, urakoitsijoilla ja palveluntarjoajilla on oikeus tietää, mitä tietoja kerätään ja käsitellään, ja heillä on oikeus saada kopioita "tietyistä henkilötiedoista".
- Käyttöoikeus: Kuten kuluttajat, työntekijät voivat esittää työnantajalleen rekisteröidyn pääsypyynnön (DSAR) saadakseen pääsyn tietoihinsa joitakin poikkeuksia lukuun ottamatta.
- Oikeus käyttää ja paljastaa: Oikeus pyytää liiketoiminnan rajoittamista tai lopettamista arkaluonteisten henkilötietojen käytön ja paljastamisen.
- Oikeus korjata: Oikeus vaatia yritystä oikaisemaan virheelliset tiedot.
- Oikeus kieltäytyä: Oikeus kieltäytyä henkilötietojen myymisestä tai jakamisesta.
- Oikeus sakoista vapauttamiseen: Oikeus olla saamatta kostoa tietoihin liittyvien oikeuksien käyttämisestä.
Lightspeed Systemsillä on seuraavat menettelyt CCPA- ja CPRA-vaatimustenmukaisuuden varmistamiseksi:
- Rekisteröidyn pääsypyynnöt: Rekisteröidyt voivat käyttää oikeuksiaan lähettämällä sähköpostia tietosuojatiimiimme ([email protected])
- Data Mapping: Kaikkien tietojen kartoitus, inventointi ja luokittelu
- Tietojen minimointi: Käsittelemme vain tietoja, jotka ovat riittäviä, olennaisia ja rajoitettu siihen, mikä on tarpeen käytettävän tiedon tarkoituksen kannalta.
- Tietojen säilytyskäytännöt: Olemme ottaneet käyttöön tietojen säilytyskäytännöt kaikissa tuotteissamme ja prosesseissamme. Tietoja ei säilytetä pidempään kuin on kohtuudella tarpeen käsittelyn suorittamiseksi
- Tietosuojavaikutusten arvioinnit: Suoritamme riskiarviointeja kaikille tuotteillemme ja prosesseillemme varmistaaksemme yksityisyyden ja turvallisuuden.
Vaatimustenmukaisuus
Yleinen tietosuoja-asetus (GDPR)
GDPR on asetus, joka vaatii yrityksiä suojelemaan EU-kansalaisten henkilötietoja ja yksityisyyttä EU:n jäsenvaltioissa tapahtuvissa liiketoimissa.
Lightspeed Systems on sitoutunut täyttämään GDPR:n tietosuojavaatimukset. Olemme ottaneet käyttöön seuraavat prosessit varmistaaksemme GDPR:n noudattamisen:
- Tietojen minimointi: Keräämme vain tiettyä tarkoitusta varten tarpeellisia tietoja ja käyttö on rajoitettu ilmoitettuun tarkoitukseen.
- Tietojen kartoitus ja luokittelu: Ylläpidämme henkilötiedoista yksityiskohtaista luetteloa ja luokittelemme tiedot. Tämä on jatkuva prosessi, jota kehitämme jatkuvasti.
- Artiklan 30 mukainen raportti: Ylläpidämme rekisteriä käsittelytoimista vastuullamme GDPR-vaatimusten mukaisesti.
- Tietojen säilyttäminen: Säilytämme tietoja vain niin kauan kuin niitä tarvitaan mainitun tarkoituksen ja sopimusvelvoitteidemme täyttämiseksi.
- Tietojen anonymisointi ja pseudonymisointi.
- Tietosuojavaikutusten arvioinnit ja tietosuojavaikutusten arvioinnit prosesseistamme ja uusista tuoteominaisuuksistamme.
- Rajat ylittävät tiedonsiirrot: Meillä on EU:n vakiosopimuslausekkeiden ja Yhdistyneen kuningaskunnan kansainvälisen tiedonsiirtosopimuksen kanssa Euroopan komission ja Yhdistyneen kuningaskunnan Information Commissioner's Officen hyväksymä tietosuojaviranomainen, joka suojaa henkilötietojen siirtoa EU:n ja Yhdistyneen kuningaskunnan ulkopuolelle. Ota yhteyttä osoitteeseen [email protected]toteuttaa DPA kanssamme.
Vaatimustenmukaisuus
Singaporen henkilötietojen suojalaki 2012
The Singaporen henkilötietojen suojalaki (PDPA) vuodelta 2012 perustaa henkilötietojen suojan perustason Singaporessa ja antaa "yksityishenkilöille" (lainsäädännön mukaisesti) enemmän hallintaa siihen, kuinka organisaatiot keräävät, käyttävät ja paljastavat heidän henkilötietojaan.
Singaporen PDPA:n mukaiset tietosuojavelvoitteet
Lightspeed Systems on sitoutunut täyttämään asetetut velvoitteet seuraavasti:
- Vastuullisuus: Olemme kehittäneet tietosuojakäytäntöjä ja edistämme vastuullisuuden kulttuuria säännöllisellä koulutuksella.
- Ilmoitus: Ilmoitamme käyttäjille heidän henkilötietojensa keräämisen, käytön tai luovuttamisen tarkoituksista, kuten meidän on kuvattu Tietosuojakäytäntö.
- Suostumus: Luotamme palvelimiltamme oppilaitoksilta (asiakkailta) saatuun suostumukseen ennen henkilötietojen keräämistä, käyttöä tai luovuttamista. Tietoja käytetään siihen tarkoitukseen, johon suostumus on annettu, ja asiakkailla on mahdollisuus peruuttaa suostumus milloin tahansa.
- Käyttötarkoituksen rajoitus: Keräämme, käytämme tai luovutamme henkilötietoja tarkoituksiin, jotka on välitetty asiakkaillemme.
- Tietojen tarkkuus: Varmistamme, että henkilötiedot ovat tarkkoja ja täydellisiä.
- Tietosuoja: Olemme toteuttaneet tarvittavat turvatoimenpiteet henkilötietojen suojaamiseksi luvattomalta käytöltä, keräämiseltä, käytöltä ja paljastamiselta
- Tietojen säilyttäminen: Tietoja säilytetään niin kauan kuin on tarpeen käsittelyn suorittamiseksi.
- Tiedonsiirron rajoitus: Rajat ylittävät tiedonsiirrot suoritetaan maihin, joissa on tietosuojalakeja, joiden standardit ovat samankaltaisia kuin PDPA:ssa (ellei PDPC ole antanut poikkeusta).
- Rekisteröidyn oikeudet: Yksityishenkilöillä on pyynnöstä oikeus pyytää pääsy henkilötietoihinsa, niiden korjaaminen ja poistaminen. Lisäksi henkilöillä on oikeus tietojen siirrettävyyteen ja oikeus kieltäytyä tietojensa keräämisestä, käyttämisestä tai luovuttamisesta.
- Tietoturvaloukkausilmoitus: Tietomurron sattuessa Lightspeed Systems ilmoittaa asiasta asiakkailleen ilman aiheetonta viivytystä.
Vaatimustenmukaisuus
Australian Privacy Act (1988)
The Australian tietosuojalaki 1988 säätelee henkilötietojen käsittelyä Australiassa. Tämä lainsäädäntö toimii tiedonkeruu- ja tiedonhallintapolitiikan perustana koko maassa. Laissa esitetään 13 Australian tietosuojaperiaatteet (APP) käytön hallintaan henkilökohtaisia ja arkaluonteisia tietoja
Ketä tietosuojalaki koskee?
Tietosuojalaki koskee Australian valtion virastoja ja organisaatioita, joiden vuotuinen liikevaihto ylittää 3 miljoonaa Australian dollaria ja jotka käsittelevät Australian asukkaiden henkilötietoja.
Australian Privacy Actin (1988) perusperiaatteet
Lightspeed Systems on sitoutunut täyttämään Australian tietosuojaperiaatteissa esitetyt tietosuojavaatimukset seuraavasti:
- Avoin ja läpinäkyvä henkilötietojen hallinta – Suhtaudumme avoimesti siihen, miten käsittelemme henkilötietoja. Meidän Tietosuojakäytäntö yksityiskohtaiset tiedot siitä, kuinka keräämme, käytämme, paljastamme, siirrämme ja säilytämme tietoja
- Nimettömyys ja pseudonyymi – Lightspeed Systems käyttää anonymisointia ja pseudonymisointia yksilöiden henkilöllisyyden suojaamiseksi mahdollisuuksien mukaan, paitsi tilanteissa, joissa tietojen käsittely edellyttää henkilöllisyyttä.
- Pyydettyjen henkilötietojen kerääminen – Käytämme tietojen minimointia ja käyttötarkoituksen rajoittamista ja keräämme vain tietoja, jotka ovat tarpeen pyydetyn palvelun ja ensisijaisen tarkoituksen toteuttamiseksi. Jos joskus ilmenee tapaus, jossa meidän on käytettävä tietoja toissijaiseen tarkoitukseen, ilmoitamme asiasta asiakkaillemme ja hankimme heidän suostumuksensa.
- Ei-toivottujen henkilötietojen käsittely – Meillä on automaattinen esto ei-toivotuille tiedoille. Verkkosivustojemme evästeitä varten olemme määrittäneet evästebannerimme oletusasetukseksi kaikille evästeille paitsi ehdottomasti välttämättömille evästeille.
- Ilmoitus henkilötietojen keräämisestä – Oppilaitoksille tiedotetaan kerätyistä opiskelija- ja henkilöstötiedoista. Tästä kerrotaan yksityiskohtaisesti asiakkaidemme kanssa solmimissamme tietojenkäsittelysopimuksissa. Ylläpidämme myös jokaiselle tuotteellemme dataaikataulua, joka sisältää yksityiskohtaisesti kerätyt tiedot ja miksi niitä kerätään.
- Henkilötietojen käyttö tai paljastaminen – Käytämme henkilötietoja, jotka liittyvät siihen alkuperäiseen tarkoitukseen, jota varten tiedot kerättiin. Katso "Kolmannet osapuolet: Kuinka voimme jakaa tietojasi" -osioon Tietosuojakäytäntö saadaksesi lisätietoja olosuhteista, joissa tietoja voidaan luovuttaa.
- Suoramarkkinointi – Emme harjoita suoramarkkinointia opiskelijoille/vanhemmille. Markkinointi on suunnattu vain oppilaitoksille ja niille tarjotaan selkeä ja näkyvä mahdollisuus kieltäytyä kaikesta markkinointiviestinnästä.
- Henkilötietojen rajat ylittävä luovuttaminen – Rajat ylittävät tiedot luovutetaan vain organisaatioille, jotka noudattavat Australian tietosuojaperiaatteita, ja kun ne ovat allekirjoittaneet tietojenkäsittelysopimuksen, joka sitoo ne vaadittuihin tietosuoja- ja turvallisuuskäytäntöihin.
- Hallitukseen liittyvien tunnisteiden hyväksyminen, käyttö tai paljastaminen – Emme käytä viranomaisiin liittyviä tunnisteita omaksemme, emmekä paljasta henkilön tunnistetta, ellemme ole lain mukaan valtuutettuja tekemään niin tai ellei tunnistetta tarvita henkilön henkilöllisyyden tarkistamiseen.
- Henkilötietojen laatu – Meillä on käytössä järjestelmät, joilla varmistetaan, että vastaanotettujen henkilötietojen laatu ovat tarkkoja, täydellisiä ja ajan tasalla.
- Henkilötietojen suojaus – Käytämme tietosuojan edellyttämiä hallinnollisia, teknisiä ja fyysisiä takeita, kuten tällä sivulla on kuvattu.
- Pääsy henkilötietoihin – Yksityisillä henkilöillä on oikeus päästä käsiksi henkilötietoihinsa, kuten meidän on todettu Tietosuojakäytäntö Rajat ylittävä tietosuoja -osiossa.
- Henkilötietojen korjaaminen – Yksityishenkilöillä on oikeus oikaista henkilökohtaisia tietojaan, kuten kohdassamme todetaan Tietosuojakäytäntö Rajat ylittävä tietosuoja -osiossa.
Vaatimustenmukaisuus
Brasilian yleinen tietosuojalaki (LGPD)
The Lei Geral de Proteção de Dados (LGPD), joka tunnetaan englanniksi nimellä yleinen tietosuojalaki, on Brasiliassa henkilötietojen keräämistä ja käyttöä sääntelevä oikeudellinen kehys. Tämä laki tuli voimaan 16. elokuuta 2020, ja sen täytäntöönpanoa valvoo Autoridade Nacional de Proteção de Dados (ANPD) eli kansallinen tietosuojaviranomainen.
Keitä Brasilian tietosuojalaki koskee?
Lightspeed Systems on sitoutunut noudattamaan LGPD-periaatteita seuraavasti:
- Tarkoitus: Henkilötietoja käsitellään laillisia, tiettyjä ja nimenomaisia tarkoituksia varten, jotka on ilmoitettu rekisteröidylle, ilman myöhempää yhteensopimatonta käsittelyä.
- Riittävyys: Henkilötietoja käsitellään rekisteröidylle ilmoitettujen tarkoitusten mukaisesti ottaen huomioon käsittelyn asiayhteyden.
- Välttämättömyys: Henkilötietoja käsitellään vain siinä määrin kuin on tarpeen kyseisten tarkoitusten saavuttamiseksi, käyttäen ainoastaan asianmukaisia, oikeasuhteisia ja ei-liiallisia tietoja.
- Vapaa pääsy: Rekisteröidyillä on oikeus tehdä helposti ja maksutta tiedusteluja henkilötietojensa käsittelyn keinoista ja kestosta sekä niiden eheydestä.
- Tiedon laatu: Rekisteröidyillä on oikeus saada tarkkoja, selkeitä, olennaisia ja ajantasaisia tietoja, joita tarvitaan asiaankuuluvien tarkoitusten saavuttamiseksi.
- Läpinäkyvyys: Rekisteröidyillä on oikeus saada selkeät, tarkat ja helposti saatavilla olevat tiedot käsittelytoimista ja niihin liittyvistä käsittelijöistä (rekisterinpitäjistä ja käsittelijöistä) samalla suojaten liike- ja teollisia salaisuuksia.
- Turvallisuus: Lightspeed Systems on toteuttanut tarvittavat tekniset ja organisatoriset toimenpiteet suojatakseen henkilötietoja luvattomalta käytöltä sekä vahingossa tapahtuvalta tai laittomalta tuhoutumiselta, katoamiselta, muuttamiselta, luovuttamiselta tai levittämiseltä, kuten luottamussivullamme on yksityiskohtaisesti kuvattu.
- Ennaltaehkäisy: Henkilötietojen käsittelyyn liittyvien riskien lieventämiseksi on toteutettu ennaltaehkäiseviä toimenpiteitä, jotka on kuvattu yksityiskohtaisesti luottamussivullamme.
- Syrjimättömyys: Henkilötietoja ei käsitellä syrjintätarkoituksiin eikä millään laittomalla tai väärinkäyttävällä tavalla.
- Vastuullisuus: Henkilötietojen suojan vaatimusten noudattamiseksi on toteutettu tehokkaita toimenpiteitä, joita parannetaan jatkuvasti muuttuvan ympäristön mukaisesti.
LGPD tarjoaa rekisteröidyille seuraavat tärkeimmät oikeudet:
- saada vahvistus henkilötietojen käsittelyn olemassaolosta;
- päästä käsiksi henkilötietoihinsa;
- oikaista puutteellisia, virheellisiä tai vanhentuneita tietoja;
- saada tarpeettomat, liialliset tai vaatimustenvastaiset henkilötiedot anonymisoitua, estettyä tai poistettua;
- tietojen siirrettävyys;
- rekisteröidyn suostumuksella käsiteltyjen henkilötietojen poistaminen, lukuun ottamatta tämän lain 16 §:ssä säädettyjä tapauksia
- saada tietoa kolmansista osapuolista, joiden kanssa heidän tietojaan on jaettu;
- saada tietoa mahdollisuudesta kieltäytyä henkilötietojen luovuttamisesta ja siitä aiheutuvista seurauksista; ja
- peruuttamaan suostumuksensa.
Vaatimustenmukaisuus
Yhdysvaltain kauppaministeriön Data Privacy Framework (DPF)
10. heinäkuuta 2023 tuli voimaan Euroopan komission päätös EU:n ja Yhdysvaltojen välisen datan tietosuojakehyksen (EU-US DPF) riittävyydestä. Yhdysvaltain kauppaministeriö, Euroopan komissio ja Yhdistyneen kuningaskunnan hallitus ovat kehittäneet EU:n ja Yhdysvaltojen välisen tietosuojakehyksen (EU-US DPF) ja Yhdistyneen kuningaskunnan EU:n ja Yhdysvaltojen välisen tietosuojakehyksen laajennuksen (UK Extension to EU-US DPF) transatlanttisen kaupan edistämiseksi. varmistaa EU:n ja Yhdistyneen kuningaskunnan lakien mukainen tietosuoja. Lightspeed Systems noudattaa EU:n ja Yhdysvaltojen välistä tietosuojakehystä (EU-US DPF) ja Yhdistyneen kuningaskunnan EU-USA DPF:n laajennusta, kuten Yhdysvaltain kauppaministeriö on määritellyt. Lightspeed Systems on sertifioinut Yhdysvaltain kauppaministeriölle, että se noudattaa EU:n ja Yhdysvaltojen välisiä tietosuojaperiaatteita (EU-US DPF Principles) koskien Euroopan unionista ja Yhdistyneestä kuningaskunnasta saatujen henkilötietojen käsittelyä EU:n ja Yhdysvaltojen välisen DPF:n ja Yhdistyneen kuningaskunnan EU-USD DPF:n laajennuksen perusteella. Jos tämän tietosuojakäytännön ehtojen ja EU:n ja Yhdysvaltojen välisten DPF-periaatteiden välillä on ristiriitaa, periaatteet pätevät. Saat lisätietoja Data Privacy Framework (DPF) -ohjelmasta ja nähdäksesi sertifikaattimme osoitteessa https://www.dataprivacyframework.gov/.
Lightspeed Systems on Federal Trade Commissionin (FTC) tutkinta- ja täytäntöönpanovaltuuksien alainen.
EU:n ja Yhdysvaltojen DPF:n ja Yhdistyneen kuningaskunnan EU:n ja Yhdysvaltojen DPF:n laajennuksen mukaisesti Lightspeed Systems sitoutuu tekemään yhteistyötä ja noudattamaan EU:n tietosuojaviranomaisten (DPA) ja UK Information Commissioner's Officen (ICO) perustaman paneelin neuvoja koskien ratkaisemattomia valituksia, jotka koskevat EU:n henkilöresurssien käsittelyä EU-UK-USUS:n kautta saatujen henkilöresurssien tietojen käsittelystä. DPF työsuhteen yhteydessä.
Lisätietoja tietosuojakehyksen noudattamisesta on julkaisumme Kansainväliset tiedonsiirrot -osiossa. Tietosuojakäytäntö.
Vaatimustenmukaisuus
Office of Foreign Assets Control (OFAC)
Office of Foreign Assets Control ("OFAC") Yhdysvaltain valtiovarainministeriön hallitus hallinnoi ja panee täytäntöön Yhdysvaltain ulkopolitiikkaan ja kansallisiin turvallisuustavoitteisiin perustuvia taloudellisia ja kaupallisia pakotteita, joita kohdistetaan ulkomaille ja -hallituksille, terroristeille, kansainvälisille huumekauppiaille, joukkotuhoaseiden leviämiseen liittyviin toimiin ja muihin Yhdysvaltojen kansalliseen turvallisuuteen, ulkopolitiikkaan tai talouteen kohdistuviin uhkiin.
- Lightspeed Systems, sen tytäryhtiöt ja tytäryhtiöt ovat sitoutuneet noudattamaan täysin kaikkia kansainvälisiä pakotteita, mukaan lukien, mutta ei rajoittuen, Yhdysvaltojen, Euroopan unionin ja Yhdistyneen kuningaskunnan määräämät pakotteet.
- Kansainväliset sanktiot ovat lakeja, määräyksiä, toimeenpanomääräyksiä, neuvoston päätöksiä ja muita hallituksen toimia, jotka kieltävät laajan valikoiman kaupallisia ja rahoitustoimia. Lightspeed Systemsin politiikkana on noudattaa kaikkia sovellettavia kansainvälisiä pakotteita.
- Lightspeed Systems pitää tehokkaan vaatimustenmukaisuusohjelman, jossa käsitellään vientivalvontaa politiikkojen ja menettelytapojen kanssa, tärkeänä ja elintärkeänä osana liiketoimintaamme ja eettisiä käytännesääntöjämme.
- Tarkistamme kaikki kansainväliset tilaukset erilaisten sanktioitujen ja kiellettyjen henkilöiden ja kohteiden luetteloiden perusteella ennen niiden hyväksymistä. Kaikki tilaukset, jotka vastaanotetaan suoraan tai epäsuorasti sanktioidulta henkilöltä tai jotka on tarkoitettu sanktioidun henkilön lopulliseen loppukäyttöön tai sanktioituun kohteeseen, hylätään.
- Lightspeed Systemsin työntekijät saavat vuosittain OFAC-tietoisuuskoulutuksen vaatimustenmukaisuuden varmistamiseksi.
Lightspeed Systems -aliprosessoriluettelo
| Entiteetin nimi | Alikäsittelytoiminnot | Entity Location (HQ) | Turvallisuus ja lisätoimenpiteet |
|---|---|---|---|
| Amazon Web Services, Inc. | Sovellusten isännöinti ja tallennus | Yhdysvallat | |
| LightEdge | Tietokeskus | Yhdysvallat | |
| Microsoft Corporation | Sähköposti- ja yhteistyötyökalut | Yhdysvallat |
| Entiteetin nimi | Alikäsittelytoiminnot | Entity Location (HQ) | Turvallisuus ja lisätoimenpiteet |
|---|---|---|---|
| Ably.io | Läsnäolon seuranta | Yhdistynyt kuningaskunta | |
| Adobe Sign | Sähköisen allekirjoituksen tarjoaja | Yhdysvallat | |
| Koko tarina | Tuoteanalyysi | Yhdysvallat | |
| Greenhouse Software Inc. | Rekrytoinnin hallintaohjelmisto | Yhdysvallat | |
| Hive AI | Tekstin moderointi tuotteen toiminnallisuutta varten | Yhdysvallat | |
| Microsoft Corporation | Sähköposti- ja yhteistyötyökalut | Yhdysvallat | |
| UKG | Palkanlaskentaohjelmisto | Yhdysvallat | |
| NetSuite | Kirjanpitojärjestelmät | Yhdysvallat | |
| OpenAI | Generatiivinen tekoälypalvelujen tarjoaja intelligence-tuoteominaisuuksille | Yhdysvallat | |
| Pendo.io Inc | Ohjelmistokokemuksen hallinta | Yhdysvallat | |
| Salesforce | Asiakastuki – CRM-palveluntarjoaja | Yhdysvallat | |
| Lumihiutale | Tuotteen käyttöanalyysi, luokittelutietokanta | Yhdysvallat | |
| Twilio | Viestintätekniikan tarjoaja | Yhdysvallat | |
| Zoom, Inc. | Videoneuvottelujen tarjoaja | Yhdysvallat |
Suomi 
English 
English (UK) 
English (Australia) 
简体中文 
Dansk 
العربية 
Français 
Deutsch 
Italiano 
日本語 
한국어 
Norsk bokmål 
Português do Brasil 
Español 
Svenska