Systèmes Lightspeed® est votre partenaire de confiance

Sécurité et conformité

La sécurité de l'information et la protection des données font partie intégrante de nos convictions fondamentales. Nous avons des équipes dédiées à la sécurité et à la conformité, qui s'engagent à protéger vos informations. Lightspeed Systems utilise des politiques et des procédures strictes pour garantir la disponibilité, l'intégrité et la confidentialité des données client.

État du système

Nous savons que vous comptez sur les solutions Lightspeed Systems pour faire des choses incroyables, c'est pourquoi nous surveillons en permanence nos services en interne et via des services tiers. Trouvez les interruptions dans les services, les mises à jour et les annonces de maintenance ici.

Sécurité

Lightspeed Systems comprend la nécessité de protéger les données personnelles et confidentielles de nos clients, employés et partenaires. La confidentialité et la sécurité sont notre responsabilité, et nous fournissons des solutions innovantes qui améliorent, plutôt que de compromettre, la confidentialité et la sécurité des données.

Conformité

Depuis 1999, Lightspeed Systems travaille en partenariat avec des écoles du monde entier pour protéger les élèves et rendre l'apprentissage adaptable au paysage technologique en constante évolution. La nature de notre entreprise nous oblige à nous conformer aux diverses lois sur la confidentialité des données des étudiants, afin de garantir la protection des données des étudiants.

État du service Lightspeed Systems

Contrat de niveau de service (SLA)

Lightspeed Systems fournit des services hébergés, notamment la gestion des appareils mobiles, le filtrage Web, l'analyse d'applications et la gestion de classe pour les écoles. Nos services sont disponibles au moins 99,5% du temps, les serveurs étant surveillés en permanence pour les performances et la disponibilité.

captures d'écran sur les ordinateurs de bureau et les appareils mobiles pour les logiciels d'apprentissage à distance

Sécurité Lightspeed

Sauvegardes administratives

Vérification des antécédents des employés

Tous les employés de Lightspeed Systems subissent une vérification des antécédents et signent un accord de non-divulgation avant leur embauche.

La gestion des incidents

Nous avons un plan de réponse aux incidents écrit qui détaille les processus de détection, de rapport, d'identification, d'analyse et de réponse aux incidents de sécurité affectant les réseaux Lightspeed Systems et les données client.

Notification de violation de données

Si nous apprenons une violation de données, nous suivrons notre plan de réponse aux incidents et informerons nos clients sans retard indu. 

Formation sur la protection de la vie privée et la sécurité des employés

Lors de l'embauche et de façon continue, tous les employés sont tenus de suivre une formation sur la confidentialité et la sécurité, qui couvre les pratiques de confidentialité et les principes qui s'appliquent au traitement des informations personnelles par les employés, y compris la nécessité de limiter l'utilisation, l'accès, le partage et la conservation des informations personnelles information.

Nous offrons une formation sur les aspects spécifiques de la sécurité dont ils ont besoin en fonction de leurs rôles. Par exemple, l'équipe de développement de produits suit une formation sur la protection de la vie privée dès la conception et le développement de logiciels sécurisés. Les employés sont également régulièrement soumis à des e-mails de phishing.

Sélection des fournisseurs et gestion des risques

Lightspeed Systems peut utiliser des sous-traitants pour exécuter des services et n'a le droit d'accéder aux données des clients que si nécessaire pour exécuter les services et est lié par des accords écrits qui les obligent à fournir des niveaux stricts de protection des données requis par Lightspeed et les réglementations applicables. Voici une liste de nos sous-processeurs.

Des évaluations préalables à l'engagement et des évaluations continues des fournisseurs sont menées pour garantir que des pratiques appropriées de confidentialité et de sécurité des données sont en place tout au long de la relation avec le fournisseur.

  • Les changements aux services fournis par les fournisseurs ou les changements aux contrats existants nécessitent une évaluation des risques de sécurité pour confirmer que les changements ne présentent pas de risque supplémentaire ou indu.

Les documents de politique et de procédure s'alignent sur les cadres de confidentialité / sécurité du NIST

Lightspeed Systems examine ses systèmes par rapport aux contrôles CIS et aux cadres NIST, et tous les risques ou lacunes identifiés sont traités en conséquence.

Nous avons une équipe de gouvernance des données désignée qui tient des réunions trimestrielles pour assurer l'intégrité des données

Les documents de politique suivants ont été institués et mis en œuvre dans toute l'organisation: politique de sécurité, plan de réponse aux incidents, politique de correction des vulnérabilités, politique de correctifs, politique de normes informatiques, politique de classification des données, politique de suppression des données, politique d'évaluation des fournisseurs, procédure de vérification des normes de sécurité des fournisseurs, mot de passe Politique, politique de bureau propre, politique d'enquête sur la confidentialité, politique de gouvernance des données, politique d'accès au bâtiment et procédure PIA et DPIA.

Sécurité Lightspeed

Sauvegardes techniques

Cryptage des données

Les données sont cryptées en transit et au repos.

 

Conservation et suppression des données

Lightspeed Systems a mis en place une politique de conservation des données. Le cas échéant, nos solutions utilisent des règles automatisées pour purger les données conformément à la politique.

 

Sauvegarde de données

Nous effectuons des sauvegardes régulières des données et des systèmes. Les intervalles de sauvegarde dépendent du type de données et vont de quelques minutes à une fois par jour.

Correction des vulnérabilités

Lightspeed Systems dispose d'une politique de correction des vulnérabilités pour identifier et corriger les vulnérabilités en fonction du risque qu'elles présentent. Nous utilisons un logiciel de gestion des correctifs pour surveiller les systèmes et assurer la mise en œuvre des correctifs.

 

Protection contre les logiciels malveillants

Lightspeed Systems a mis en place des solutions anti-malware et anti-spam pour protéger les serveurs et les postes de travail.

 

Journalisation et surveillance

Lightspeed Systems a déployé des solutions de journalisation et de surveillance pour identifier et enquêter sur d'éventuels événements de sécurité.

contrôle d'identité et d'accès

L'accès aux informations personnelles est limité par les identifiants de connexion aux employés qui en ont besoin pour accomplir leurs fonctions. En outre, Lightspeed Systems utilise des contrôles d'accès tels que l'authentification multifacteur, l'authentification unique, le moindre privilège et l'accès au besoin, des contrôles de mot de passe solides et un accès restreint aux comptes administratifs.

Nos solutions permettent aux clients de créer des rôles «Admin» qui ne fournissent que les droits nécessaires pour exécuter les fonctions requises.

Sécurité Lightspeed

Sauvegardes physiques

sécurité au travail

Lightspeed Systems maintient les contrôles suivants conçus pour empêcher l'accès non autorisé à nos bureaux:

  • L'accès aux installations est limité aux personnes autorisées par l'utilisation de clés / porte-clés ou de badges d'accès.
  • Les bureaux Lightspeed disposent de systèmes ou de dispositifs d'extinction et de détection d'incendie ainsi que de sorties de secours et d'itinéraires d'évacuation.

sécurité du centre de données

Tous les centres de données où les données sont traitées et stockées sont situés aux États-Unis et détiennent les certifications SOC 2, HIPPA, PCI DSS et ISO 27001. Lightspeed dispose d'un processus en place pour consigner, surveiller et répondre aux événements et anomalies dans ses systèmes et solutions. Des solutions de sauvegarde et de récupération des données sont également en place.

Principes de conception sécurisée

Lightspeed Systems pratique la sécurité dès la conception. Nous utilisons un cycle de vie de développement logiciel sécurisé basé sur Méthodologies OWASP.

  • Nos systèmes et processus prennent en compte les piliers fondamentaux de la sécurité de l'information: confidentialité, intégrité et disponibilité.

Contactez-nous si vous suspectez une faille de sécurité dans Lightspeed Systems

Contactez-nous si vous suspectez une faille de sécurité dans Lightspeed Systems

Conformité

Loi sur la protection de la vie privée en ligne des enfants (COPPA)

COPPA s'applique à la collecte en ligne d'informations personnelles par des personnes ou entités sous juridiction américaine sur des enfants de moins de 13 ans. Le consentement parental est requis pour la collecte ou l'utilisation de toute information personnelle des utilisateurs.

  • Lightspeed Systems est conforme à la loi sur la protection de la vie privée en ligne des enfants (COPPA, pour garantir la sécurité des enfants en ligne. Les comptes étudiants sont fournis uniquement par un enseignant, une école ou une organisation éducative vérifiés. Les enseignants acceptent d'obtenir l'autorisation parentale avant de délivrer des comptes aux étudiants. 

Nous respectons les directives COPPA suivantes énumérées ci-dessous et nous nous engageons à:

  • NE PAS recueillir des informations de contact en ligne sans le consentement d'un parent ou d'un éducateur qualifié ou d'un établissement d'enseignement.
  • NE PAS recueillir des informations de contact hors ligne personnellement identifiables.
  • NE PAS distribuer à des tiers toute information personnellement identifiable sans le consentement préalable des parents.
  • NE PAS séduire par la perspective d'un jeu spécial, d'un prix ou d'une autre activité ou de divulguer plus d'informations que nécessaire pour participer à l'activité.
  • NE PAS utiliser ou divulguer des informations sur les élèves pour le ciblage comportemental des publicités destinées aux élèves.
  • NE PAS construire un profil personnel d'un élève autrement qu'à des fins éducatives / scolaires autorisées.

Conformité

Loi sur les droits à l'éducation de la famille et la vie privée (FERPA)

le Loi sur les droits à l'éducation de la famille et la vie privée (FERPA) est une loi fédérale qui protège la confidentialité des dossiers scolaires des élèves. La loi s'applique à toutes les écoles qui reçoivent des fonds dans le cadre d'un programme applicable du département américain de l'éducation.

  • Bien que FERPA s'applique aux écoles et non aux entreprises, Lightspeed Systems peut être désigné comme `` responsable de l'école '' et à ce titre, nous nous conformons aux exigences de la FERPA et nous nous engageons à protéger la confidentialité des informations des étudiants, qui nous sont confiées par les districts scolaires. . Les districts scolaires contrôlent toutes les données des élèves et nous procédons sous leur direction. En vertu de la FERPA, les parents ou les élèves éligibles ont le droit d'accéder, d'inspecter, d'examiner et de rectifier les dossiers des élèves et Lightspeed se conforme à ces droits lorsque nous recevons une demande écrite vérifiée du district scolaire.
  • Veuillez noter que Lightspeed Systems n'a aucun contact direct avec les élèves ou les parents.

Conformité

New York Education Law 2-D

Loi sur l'éducation § 2-d est entré en vigueur en avril 2014. L'objectif de la loi était de favoriser la confidentialité et la sécurité des informations personnelles identifiables (PII) des élèves et de certaines PII liées aux enseignants et aux directeurs.

Lightspeed Systems est conforme à la loi 2-D NY ED et à la Déclaration des droits des parents, ce qui nécessite les éléments suivants:

  • Les informations personnelles identifiables (PII) d'un étudiant ne peuvent pas être vendues ou divulguées à des fins commerciales;
  • Le droit d'inspecter et d'examiner le contenu complet du dossier scolaire de l'élève stocké ou conservé par une agence éducative;
  • Des sauvegardes associées aux normes de l'industrie et aux meilleures pratiques, y compris, mais sans s'y limiter, le cryptage, les pare-feu et la protection par mot de passe doivent être en place lorsque les informations personnelles des étudiants sont stockées ou transférées;
  • Être notifié conformément aux lois et réglementations applicables en cas de violation ou de divulgation non autorisée de PII;
  • Les parents ont le droit de recevoir des plaintes concernant d'éventuelles violations des données des élèves;
  • Les travailleurs des agences éducatives qui gèrent les PII recevront une formation sur les lois, politiques et mesures de protection des États et fédérales applicables, associées aux normes de l'industrie et aux meilleures pratiques qui protègent les PII;
  • Les contrats d'agence éducative avec les fournisseurs qui reçoivent des PII répondront aux exigences légales et réglementaires en matière de confidentialité et de sécurité des données.

Conformité

Engagement de confidentialité des étudiants

le Engagement de confidentialité des étudiants est une déclaration publique et juridiquement exécutoire des entreprises de technologie ed pour protéger la vie privée des étudiants, construite autour d'engagements concernant la collecte, la maintenance et l'utilisation des informations personnelles des étudiants.

badge de signataire de la promesse de confidentialité des étudiants

Conformité

Student Data Privacy Consortium (SDPC) et National Data Processing Agreement (NDPA)

le SDPC est une collaboration unique d'écoles, de districts, d'agences régionales, territoriales et étatiques, de décideurs politiques, d'organisations commerciales et de fournisseurs de marché qui abordent des solutions concrètes, adaptables et implémentables aux problèmes croissants de confidentialité des données.
  • Le SDPC a publié le premier Accord national de confidentialité des données (NDPA) pour rationaliser les contrats d'application et définir des attentes communes entre les écoles / districts et les fournisseurs de marché.
  • Lightspeed travaille avec les districts scolaires de tous les États participants pour s'assurer que nous avons mis en place des accords de traitement des données.
  • Les districts scolaires qui souhaitent signer le SDPC et la NDPA avec nous sont encouragés à envoyer un courriel privacy@lightspeedsystems.com

Conformité

California Consumer Privacy Act (CCPA)

le California Consumer Privacy Act de 2018 (CCPA) donne aux consommateurs plus de contrôle sur les informations personnelles que les entreprises collectent à leur sujet.

  • Lightspeed Systems s'engage à répondre aux exigences du CCPA et à protéger vos données.
  • Notre Politique de confidentialité fournit des informations détaillées sur la manière dont Lightspeed Systems collecte et traite vos informations personnelles.

Les consommateurs californiens peuvent faire une demande conformément à leurs droits en vertu de la CCPA en nous contactant à privacy@lightspeedsystems.com

Conformité

Règlement général sur la protection des données (RGPD)

RGPD est un règlement qui oblige les entreprises à protéger les données personnelles et la vie privée des citoyens de l'UE pour les transactions qui ont lieu dans les États membres de l'UE.

  • Lightspeed Systems s'engage à répondre aux exigences de protection des données du RGPD.
  • Nous avons mis en œuvre les processus suivants pour garantir la conformité au RGPD:
    • Minimisation des données - Nous ne collectons que les données nécessaires à un but spécifique et l'utilisation est limitée à l'objectif déclaré.
    • Cartographie et classification des données - Nous maintenons un inventaire détaillé des données personnelles, puis classons ces données. Il s'agit d'un processus continu que nous travaillons constamment à l'amélioration.
    • Conservation des données - Nous ne conservons les données que le temps nécessaire pour atteindre l'objectif déclaré et pour respecter nos obligations contractuelles.Nous avons mis en œuvre les processus suivants pour garantir la conformité au RGPD:
    • Anonymisation des données
Badge de conformité GDPR
    • Nous avons un DPA avec des clauses contractuelles standard, approuvées par la Commission européenne, pour protéger le transfert de données personnelles en dehors de l'UE / du Royaume-Uni.
    • Veuillez contacter privacy@lightspeedsystems.com pour exécuter le DPA avec nous.
    • Nous avons mis en place des mesures techniques et organisationnelles appropriées pour sécuriser les données personnelles.

Conformité

Bouclier de confidentialité

le Cadres du bouclier de protection des données UE-États-Unis et Suisse-États-Unis ont été conçus par le département américain du Commerce, la Commission européenne et l'administration suisse, respectivement, pour fournir aux entreprises des deux côtés de l'Atlantique un mécanisme pour se conformer aux exigences de protection des données lors du transfert de données personnelles de l'Union européenne et de la Suisse vers les États-Unis États en faveur du commerce transatlantique.

 Le 16 juillet 2020, la Cour de justice de l'Union européenne a publié un jugement déclarant «invalide» la décision (UE) 2016/1250 de la Commission européenne du 12 juillet 2016 sur l'adéquation de la protection fournie par le bouclier de protection des données UE-États-Unis. À la suite de cette décision, le cadre du bouclier de protection des données UE-États-Unis n'est plus un mécanisme valide pour se conformer aux exigences de l'UE en matière de protection des données lors du transfert de données à caractère personnel de l'Union européenne vers les États-Unis. Cette décision ne libère pas les participants au bouclier de protection des données UE-États-Unis de leurs obligations au titre du cadre du bouclier de protection des données UE-États-Unis.

  • Lightspeed Systems continue de maintenir notre Certification Privacy Shield, qui nous lie à des principes stricts de protection des données.
  • Nous avons intégré les clauses contractuelles types de l'UE dans notre DPA, pour tenir compte des transferts de données transfrontaliers. Dans certains cas, nous nous appuyons sur le Dérogation à l'article 49 du RGPD, lorsque le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée.

Conformité

Office of Foreign Assets Control (OFAC)

L'Office of Foreign Assets Control («OFAC») du Département américain du Trésor administre et applique les sanctions économiques et commerciales fondées sur la politique étrangère américaine et les objectifs de sécurité nationale contre les pays et régimes étrangers ciblés, les terroristes, les trafiquants internationaux de stupéfiants, ceux qui se livrent à des activités liées à la prolifération des armes de destruction massive, et d'autres menaces à la sécurité nationale, à la politique étrangère ou à l'économie des États-Unis.

  • Lightspeed Systems, ses filiales et sociétés affiliées s'engagent à respecter pleinement toutes les sanctions internationales, y compris, mais sans s'y limiter, celles imposées par les États-Unis, l'Union européenne et le Royaume-Uni.
  • Les sanctions internationales sont les lois, règlements, décrets, décisions du conseil et autres mesures gouvernementales qui interdisent un large éventail de transactions commerciales et financières. La politique de Lightspeed Systems est de se conformer à toutes les sanctions internationales applicables.
  • Lightspeed Systems considère qu'un programme de conformité efficace traitant des contrôles à l'exportation avec des politiques et des procédures est une partie importante et vitale de nos opérations commerciales et de notre code de conduite éthique.
  • Nous examinons toutes les commandes internationales par rapport à diverses listes de personnes et de destinations sanctionnées et interdites avant leur acceptation. Toute commande reçue, directement ou indirectement, d'une personne sanctionnée ou destinée à une utilisation finale par une personne sanctionnée ou dans une destination sanctionnée, sera rejetée.

Les employés de Lightspeed Systems reçoivent une formation annuelle de sensibilisation à l'OFAC pour assurer la conformité.

Pour plus d'informations sur la manière dont nous traitons les données personnelles et les détails de nos services, veuillez consulter notre
Politique de confidentialité et Conditions d'utilisation.

Liste des sous-processeurs Lightspeed Systems

Nom de l'entité

Activités de sous-traitement

Emplacement de l'entité (HQ)

Amazon Web Services, Inc.

Hébergement et stockage d'applications

États Unis

Equinix

Centre de données

États Unis

LightEdge

Centre de données

États Unis

Microsoft Corporation (Microsoft Azure)

Hébergement et stockage d'applications

États Unis

Nom de l'entité

Activités de sous-traitement

Emplacement de l'entité (HQ)

Ably.io

Surveillance de présence

Royaume-Uni

DocuSign

Fournisseur de signature électronique

États Unis

Histoire complète

Analyse des produits

États Unis

Greenhouse Software Inc.

Logiciel de gestion du recrutement

États Unis

Incorta

Analyse des données

États Unis

Microsoft Corporation

Email et outils de collaboration

États Unis

À savoir

Logiciel de gestion de la paie

États Unis

NetSuite

Systèmes comptables

États Unis

Pendo.io Inc

Gestion de l'expérience logicielle

États Unis

Salesforce

Support client - Fournisseur CRM

États Unis

Twilio

Fournisseur de technologies de communication

États Unis