Confiance Lightspeed
Lightspeed Systems® est votre partenaire de confiance
Sûr et sécurisé
La sécurité de l'information et la protection des données font partie intégrante de nos valeurs fondamentales. Nos équipes dédiées à la sécurité et à la conformité s'engagent à garantir la sécurité de vos informations. Lightspeed Systems applique des politiques et procédures strictes pour garantir la disponibilité, l'intégrité et la confidentialité des données clients.
État du service des systèmes Lightspeed
Accord de niveau de service (SLA)
Lightspeed Systems propose des services hébergés, notamment la gestion des appareils mobiles, le filtrage web, l'analyse des applications et la gestion des salles de classe pour les établissements scolaires. Nos services sont disponibles au moins 99,9% du temps, et nos serveurs sont surveillés en permanence pour en garantir les performances et la disponibilité.
Sécurité Lightspeed
Garanties administratives
Vérification des antécédents des employés
Tous les employés de Lightspeed Systems subissent des vérifications des antécédents et signent un accord de non-divulgation avant leur embauche.
Notification de violation de données
Si nous avons connaissance d’une violation de données, nous suivrons notre plan de réponse aux incidents et informerons nos clients sans délai injustifié.
Gestion des incidents
Nous disposons d'un plan de réponse aux incidents écrit qui détaille les processus de détection, de signalement, d'identification, d'analyse et de réponse aux incidents de sécurité affectant les réseaux Lightspeed Systems et les données clients.
Formation de sensibilisation à la confidentialité et à la sécurité des employés
Dès leur embauche et de façon continue, tous les employés sont tenus de suivre une formation sur la confidentialité et la sécurité, qui couvre les pratiques de confidentialité et les principes qui s'appliquent au traitement des informations personnelles par les employés, y compris la nécessité d'imposer des limites à l'utilisation, à l'accès, au partage et à la conservation des informations personnelles.
Nous proposons des formations sur des aspects spécifiques de la sécurité, adaptés à leurs fonctions. Par exemple, l'équipe de développement produit suit une formation sur la protection des données dès la conception et le développement de logiciels sécurisés. Les employés sont également régulièrement exposés à des e-mails d'hameçonnage.
Sélection des fournisseurs et gestion des risques
Lightspeed Systems peut utiliser des sous-traitants pour exécuter des services et n'est autorisé à accéder aux données des clients que dans la mesure nécessaire à l'exécution des services et sera lié par des accords écrits qui les obligent à fournir des niveaux stricts de protection des données requis par Lightspeed et les réglementations applicables. Voici une liste de nos sous-traitants.
Des évaluations préalables et continues des fournisseurs sont effectuées pour garantir que des pratiques appropriées de confidentialité et de sécurité des données sont en place tout au long de la relation avec le fournisseur. Les modifications apportées aux services fournis par les fournisseurs ou les modifications apportées aux contrats existants nécessitent une évaluation des risques de sécurité pour confirmer que les modifications ne présentent pas de risque supplémentaire ou excessif.
Les documents de politique et de procédure sont conformes aux cadres de confidentialité et de sécurité du NIST
Lightspeed Systems examine ses systèmes par rapport aux contrôles CIS et aux cadres NIST, et tous les risques ou lacunes identifiés sont traités en conséquence.
Nous disposons d’une équipe de gouvernance des données désignée qui organise des réunions périodiques pour garantir l’intégrité des données.
Nous avons mis en œuvre divers documents de politique au sein de l'organisation pour la protection des données, tels que, mais sans s'y limiter : le plan de réponse aux incidents, la politique de sécurité, la politique de correction des vulnérabilités, la politique des normes informatiques et la politique de suppression des données.
Continuité des activités et reprise après sinistre
Lightspeed Systems reconnaît l'importance de maintenir les fonctions critiques de l'entreprise et de protéger les systèmes et les données. Pour assurer la continuité des activités, Lightspeed a élaboré un plan de continuité des activités et de reprise après sinistre à l'échelle de l'entreprise, qui régit le programme de gestion global de toutes les fonctions.
Gestion du changement
Les politiques de gestion des changements sont documentées pour aborder la conception, le développement, l’acquisition, les tests, l’approbation et la mise en œuvre des modifications et des correctifs du système.
Sécurité Lightspeed
Garanties techniques
Audits externes
Lightspeed Systems fait l'objet d'un audit annuel SOC 2 Type II, réalisé par un organisme indépendant, attestant de sa conformité aux normes SOC 2. Lightspeed Systems respecte les critères de services de confiance de l'AICPA et a mis en place des politiques et des procédures garantissant la sécurité, la disponibilité, la confidentialité et la protection des données des services fournis à ses clients. Ces derniers peuvent obtenir une copie de notre rapport SOC 2 Type II en envoyant un courriel à [email protected]. Ce rapport leur sera transmis après signature d'un accord de confidentialité.
Notification de violation de données
Si nous apprenons une violation de données confirmée, nous suivrons notre plan de réponse aux incidents et informerons l’école sans délai indu.
Chiffrement au repos
Les données sont chiffrées au repos à l’aide du chiffrement Advanced Encryption Standard (AES).
Cryptage en transit
Les données sont cryptées pendant le transit à l'aide du protocole Transport Layer Security (TLS).
Sauvegarde des données
Nous effectuons des sauvegardes régulières des données et des systèmes. La fréquence des sauvegardes dépend du type de données et peut varier de quelques minutes à une fois par jour.
Correction des vulnérabilités
Lightspeed Systems dispose d'une politique de correction des vulnérabilités pour identifier et corriger les vulnérabilités en fonction du risque qu'elles présentent. Nous utilisons un logiciel de gestion des correctifs pour surveiller les systèmes et garantir leur déploiement.
Suppression des données
Lightspeed Systems a mis en place une politique de suppression des données. Le cas échéant, nos solutions utilisent des règles automatisées pour purger les données conformément à cette politique.
Journalisation et surveillance
Lightspeed Systems a déployé des solutions de journalisation et de surveillance pour identifier et enquêter sur d’éventuels événements de sécurité.
Contrôle d'identité et d'accès
L'accès aux informations personnelles est limité, par le biais d'identifiants de connexion, aux employés qui en ont besoin pour exercer leurs fonctions. De plus, Lightspeed Systems utilise des contrôles d'accès tels que l'authentification multifacteur, l'authentification unique (SSO), le principe du moindre privilège et l'accès selon les besoins, des mots de passe sécurisés et un accès restreint aux comptes administratifs.
Nos solutions permettent aux clients de créer des rôles « Administrateur » qui fournissent uniquement les droits nécessaires pour exécuter les fonctions requises.
Sécurité Lightspeed
Mesures de protection physique
Sécurité au travail
Lightspeed Systems maintient les contrôles suivants conçus pour empêcher l'accès non autorisé à nos bureaux :
- L'accès aux installations est limité aux personnes autorisées à l'aide de clés/porte-clés ou de badges d'accès.
- Les bureaux de Lightspeed disposent de systèmes ou de dispositifs d’extinction et de détection d’incendie ainsi que de sorties de secours et de voies d’évacuation.
Sécurité du centre de données
Tous les centres de données où les données sont traitées et stockées sont situés aux États-Unis et sont certifiés SOC 2, PCI DSS et ISO 27001. Lightspeed a mis en place un processus pour enregistrer, surveiller et gérer les événements et anomalies dans ses systèmes et solutions. Des solutions de sauvegarde et de récupération des données sont également en place.
Principes de conception sécurisée
Lightspeed Systems applique la sécurité dès la conception. Nous utilisons un cycle de développement logiciel sécurisé basé sur Méthodologies OWASP.
Nos systèmes et processus prennent en compte les piliers fondamentaux de la sécurité de l’information : Confidentialité, Intégrité et Disponibilité.
Conformité
Éthique et principes de l'intelligence artificielle (IA) de Lightspeed Systems
Lightspeed Systems sait comment l'intelligence artificielle peut améliorer le monde de la technologie et des affaires. Nous utilisons l'IA de manière responsable, en veillant à ce qu'elle soit éthique, tout en maximisant ses avantages et en servant nos clients. Nous suivons des principes éthiques pour des solutions d'IA qui correspondent à nos valeurs et à nos normes professionnelles, et qui renforcent la confiance de nos clients, de nos collaborateurs, de nos communautés et des autorités de réglementation. Nous sommes fermement engagés à agir dans l'intérêt public, à respecter la confiance du public et à démontrer notre engagement envers l'excellence professionnelle. Pour plus d'informations, veuillez consulter notre Utilisation responsable de l'IA.
Conformité
Loi sur la protection de la vie privée des enfants en ligne (COPPA)
COPPA S'applique à la collecte en ligne d'informations personnelles par des personnes ou entités relevant de la juridiction américaine concernant des enfants de moins de 13 ans. Le consentement parental est requis pour la collecte ou l'utilisation de toute information personnelle des utilisateurs.
- Lightspeed Systems se conforme à la loi COPPA (Children's Online Privacy Protection Act) afin de garantir la sécurité des enfants en ligne. Les comptes étudiants sont fournis uniquement par l'intermédiaire d'un enseignant, d'une école ou d'un organisme éducatif agréé. Les enseignants s'engagent à obtenir l'autorisation parentale avant de créer un compte. Veuillez lire l'avis COPPA de Lightspeed ici.
Nous respectons les directives COPPA suivantes énumérées ci-dessous et acceptons :
- NE PAS recueillir d’informations de contact en ligne sans le consentement d’un parent, d’un éducateur qualifié ou d’un établissement d’enseignement.
- NE PAS collecter d'informations de contact personnelles identifiables hors ligne.
- NE PAS distribuer à des tiers des informations personnelles identifiables sans le consentement préalable des parents.
- NE PAS se laisser séduire par la perspective d’un jeu spécial, d’un prix ou d’une autre activité, ni divulguer plus d’informations que nécessaire pour participer à l’activité.
- NE PAS utiliser ni divulguer les informations des étudiants à des fins de ciblage comportemental des publicités destinées aux étudiants.
- NE PAS créer de profil personnel sur un étudiant, sauf à des fins éducatives/scolaires autorisées.
Conformité
Loi sur les droits à l'éducation et à la vie privée de la famille (FERPA)
Le Loi sur les droits à l'éducation et à la vie privée de la famille (FERPA) Il s'agit d'une loi fédérale qui protège la confidentialité des dossiers scolaires des élèves. Elle s'applique à tous les établissements scolaires bénéficiant de fonds dans le cadre d'un programme du ministère de l'Éducation des États-Unis.
- Bien que la loi FERPA s'applique aux établissements scolaires et non aux entreprises, Lightspeed Systems peut être désignée comme ‘ responsable scolaire ’. À ce titre, nous respectons les exigences de la loi FERPA et nous nous engageons à protéger la confidentialité des informations des élèves qui nous sont confiées par les districts scolaires. Ces derniers sont responsables de toutes les données des élèves et nous agissons conformément à leurs directives. En vertu de la loi FERPA, les parents ou les élèves majeurs ont le droit d'accéder aux dossiers scolaires, de les consulter, de les examiner et de les rectifier. Lightspeed respecte ces droits lorsqu'elle reçoit une demande écrite et vérifiée du district scolaire.
- Veuillez noter que Lightspeed Systems n'a aucun contact direct avec les étudiants ou les parents.
Conformité
Loi sur l'éducation de New York 2-D
Loi sur l'éducation § 2-d est entrée en vigueur en avril 2014. L'objectif de la loi était de favoriser la confidentialité et la sécurité des informations personnelles identifiables (IPI) des élèves et de certaines IIP liées aux enseignants et aux directeurs d'école. Lightspeed Systems est conforme à la loi NY ED 2-D et à la Déclaration des droits des parents, ce qui nécessite les éléments suivants :
- Les informations personnelles identifiables (PII) d’un étudiant ne peuvent être vendues ou divulguées à des fins commerciales ;
- Le droit d’inspecter et d’examiner le contenu complet du dossier scolaire de l’étudiant stocké ou conservé par un organisme éducatif ;
- Des mesures de protection associées aux normes et aux meilleures pratiques de l’industrie, y compris, mais sans s’y limiter, le cryptage, les pare-feu et la protection par mot de passe, doivent être en place lorsque les informations personnelles identifiables des étudiants sont stockées ou transférées ;
- Être informé conformément aux lois et réglementations applicables en cas de violation ou de divulgation non autorisée de PII ;
- Les parents ont le droit de faire traiter leurs plaintes concernant d’éventuelles violations des données des élèves ;
- Les employés des agences éducatives qui traitent des informations personnelles identifiables recevront une formation sur les lois, politiques et garanties nationales et fédérales applicables associées aux normes de l'industrie et aux meilleures pratiques qui protègent les informations personnelles identifiables ;
- Les contrats des agences éducatives avec les fournisseurs qui reçoivent des informations personnelles identifiables répondront aux exigences légales et réglementaires en matière de confidentialité et de sécurité des données.
Conformité
Consortium de protection des données des étudiants (SDPC) et Accord national de confidentialité des données (NDPA)
Le SDPC a publié le premier Accord national sur la protection des données (NDPA) pour rationaliser la contractualisation des applications et définir des attentes communes entre les écoles/districts et les fournisseurs du marché.
- Lightspeed travaille avec les districts scolaires de tous les États participants pour garantir que nous avons mis en place des accords de confidentialité sur le traitement des données.
- Les districts scolaires qui souhaitent signer le SDPC et le NDPA avec nous sont encouragés à nous envoyer un e-mail. [email protected].
- Le SDPC est une collaboration unique d'écoles, de districts, d'agences régionales, territoriales et étatiques, de décideurs politiques, d'organisations commerciales et de fournisseurs de marché abordant des solutions concrètes, adaptables et réalisables aux préoccupations croissantes en matière de confidentialité des données.
Conformité
Loi californienne sur la protection de la vie privée des consommateurs (CCPA)
Le Loi californienne sur les droits à la vie privée (CPRA) modifie et développe la loi californienne sur la protection de la vie privée des consommateurs (CCPA). La CPRA est entrée en vigueur le 1er janvier 2023. La CCPA a été modifiée pour protéger les données personnelles des employés californiens (B2E) et des contacts interentreprises (B2B) et exige que toutes les organisations collectant des données sur les résidents californiens appliquent des protections plus étendues, telles que des évaluations des risques pour la vie privée, des politiques de minimisation et de conservation des données. La CPRA concentre désormais les droits sur les données des relations B2B et des employés – de la divulgation transparente des données à une application plus rigoureuse et une meilleure sensibilisation aux risques pour la vie privée liés à la collecte et au traitement des données – et à la comptabilisation de toutes les données liées aux employés, aux entreprises et aux résidents californiens.
Qui est protégé par la loi californienne sur les droits à la vie privée ?
Toute personne qui est un employé résident de Californie et un fournisseur de services/vendeur, un entrepreneur, un consultant, un candidat, un pigiste et un travailleur à distance peut raisonnablement être identifié.
Droits des employés et des données B2B :
- Droit de savoir : Les employés, les sous-traitants et les prestataires de services ont le droit de savoir quelles données sont collectées et gérées, avec le droit d’accéder à des copies de « éléments spécifiques d’informations personnelles ».
- Droit d'accès : Tout comme les consommateurs, les employés pourront soumettre une demande d’accès aux données personnelles (DSAR) à leur employeur pour accéder à leurs informations, à quelques exceptions près.
- Droit d'utilisation et de divulgation : Le droit de demander à une entreprise de limiter ou de cesser l’utilisation et la divulgation d’informations personnelles sensibles.
- Droit de rectification : Le droit de demander à l’entreprise de corriger des informations inexactes.
- Droit de retrait : Le droit de refuser que des informations personnelles soient vendues ou partagées.
- Droit à la clémence : Le droit de ne pas subir de représailles pour avoir exercé un quelconque droit relatif aux données.
Lightspeed Systems a mis en place les procédures suivantes pour garantir la conformité CCPA et CPRA :
- Demandes d'accès aux données des personnes concernées : les personnes concernées peuvent exercer leurs droits en envoyant un e-mail à notre équipe de confidentialité ([email protected])
- Cartographie des données : Cartographie, inventaire et classification de toutes les données
- Minimisation des données : Nous traitons uniquement les données adéquates, pertinentes et limitées à ce qui est nécessaire aux finalités pour lesquelles les données sont utilisées.
- Politiques de conservation des données : Nous avons mis en œuvre des politiques de conservation des données pour tous nos produits et processus. Les données ne sont pas conservées plus longtemps que nécessaire pour mener à bien l'activité de traitement.
- Évaluations des incidences sur la vie privée : Nous effectuons des évaluations des risques de tous nos produits et processus, afin de garantir la confidentialité et la sécurité dès la conception.
Conformité
Règlement général sur la protection des données (RGPD)
Le Règlement général sur la protection des données (RGPD) définit les règles de collecte, d'utilisation, de stockage et de transfert des données personnelles des personnes physiques dans l'Union européenne et, via RGPD au Royaume-Uni, au Royaume-Uni). Elle s'applique lorsque des données personnelles sont traitées dans l'UE et au Royaume-Uni ou lorsque des biens/services sont proposés aux résidents de l'UE et du Royaume-Uni.
Comment le RGPD s'applique à Lightspeed
- Rôle principal : Pour les produits livrés aux écoles et aux districts, Lightspeed Systems agit en tant que « processeur de données » - traitant les données personnelles uniquement selon les instructions documentées du « responsable du traitement des données » (l'école).
- Données sur les enfants : Parce que nos clients sont des établissements d'enseignement, nous concevons nos services de manière à respecter les attentes accrues en matière de données des mineurs et à suivre la base légale choisie par le responsable du traitement des données (par exemple, les intérêts légitimes ou le consentement géré par l'établissement).
Notre programme RGPD :
- Traitement légal, équitable et transparent
- Nous traitons les données personnelles de manière légale et équitable, avec des déclarations d'objectifs claires dans les contrats clients et la documentation produit.
- Transparence : les responsables du traitement reçoivent des informations, détaillées dans notre politique de confidentialité et nos accords de traitement des données, décrivant les catégories de données, les finalités, les destinataires (y compris les sous-traitants) et la conservation.
- Rôles et responsabilités
- Obligations du sous-traitant : nous suivons les instructions du responsable du traitement, garantissons la confidentialité, aidons les personnes concernées par les demandes, soutenons les analyses d'impact sur la protection des données et mettons en œuvre une sécurité appropriée.
- Accord sur le traitement des données (ATD) : Notre ATD (y compris les clauses contractuelles types de l'UE et l'IDTA du Royaume-Uni) régit le traitement, la sécurité, l'assistance en cas de violation, les audits et les sous-traitants. Les demandes d'exécution de l'ATD peuvent être adressées par courriel à [email protected].
- Minimisation des données et limitation des finalités
- Minimisation : Nous collectons et traitons uniquement ce qui est nécessaire pour fournir et sécuriser le service.
- Utilisation strictement réservée : Aucune utilisation à des fins publicitaires ou de profilage non pertinent ; aucune vente de données personnelles.
- Cartographie et classification des données
- Nous maintenons un inventaire et une classification des données vivantes liées aux systèmes, aux finalités, aux lieux de stockage et aux bases juridiques.
- Registres de traitement (art. 30 « ROPA ») : Nous conservons un ROPA pour les contextes de sous-traitant et de responsable de traitement limité, y compris les catégories de personnes concernées/données, les destinataires, la conservation et les mesures de sécurité.
- Conservation et élimination des données
- Nous conservons les données personnelles uniquement aussi longtemps que nécessaire pour répondre aux obligations contractuelles et légales, puis nous les supprimons ou les anonymisons en toute sécurité.
- Le responsable du traitement a vérifié que les demandes de suppression de données sont satisfaites dans les délais impartis, comme détaillé dans les accords de protection des données exécutés.
- Sécurité du traitement
- Contrôles organisationnels et techniques : contrôle d'accès basé sur les rôles, MFA, moindre privilège, journalisation et surveillance, gestion des vulnérabilités, chiffrement en transit (TLS) et au repos (AES) et SDLC sécurisé avec contrôle des modifications.
- Évaluations des risques de sécurité des fournisseurs, exigences de sécurité contractuelles et examens périodiques des sous-traitants.
- Confidentialité dès la conception et par défaut
- Nous intégrons la confidentialité dans la conception des produits : fonctionnalités de données par défaut ou limitées, masquage lorsque cela est possible et options de configuration qui permettent aux contrôleurs d'adapter la collecte de données à leurs besoins.
- DPIA, PIA et AIA
- Nous effectuons des évaluations d'impact sur la vie privée, des évaluations d'impact sur la protection des données et des évaluations d'impact sur l'IA pour les fonctionnalités nouvelles ou sensiblement modifiées qui peuvent présenter un risque élevé (par exemple, l'analyse de contenu, les fonctionnalités de surveillance).
- Nous aidons les responsables du traitement dans leurs analyses d'impact sur la protection des données (AIPD) avec des informations sur les produits, des garanties et des mesures d'atténuation des risques.
- Assistance relative aux droits des personnes concernées
- Nous aidons les responsables du traitement à répondre aux demandes des personnes concernées de l'UE/du Royaume-Uni dans les délais légaux :
- Accès, rectification, effacement, restriction
- Portabilité (le cas échéant)
- Opposition à certains traitements
- Retrait du consentement (lorsque le responsable du traitement utilise le consentement comme base)
- Nous aidons les responsables du traitement à répondre aux demandes des personnes concernées de l'UE/du Royaume-Uni dans les délais légaux :
- Transferts internationaux
- Notre accord de traitement des données comprend les clauses contractuelles types de l'UE et l'accord international de transfert de données du Royaume-Uni pour les transferts en dehors de l'UE/du Royaume-Uni.
- Lightspeed Systems est également certifié selon la Cadre de protection des données étendu UE-États-Unis + Royaume-Uni
- Gestion des incidents et des violations
- Si un incident de sécurité affectant les données personnelles se produit, nous en informons le responsable du traitement sans délai injustifié, fournissons les détails de l'incident et les informations de correction, et coopérons afin que les responsables du traitement puissent répondre à toutes les notifications de l'autorité de contrôle et des personnes concernées (par exemple, la règle des 72 heures pour les responsables du traitement).
- Sous-traitants et gouvernance des fournisseurs
- Nous maintenons et partageons une liste actuelle de sous-traitants et exigeons une autorisation écrite, des obligations de transfert, des contrôles de sécurité, la confidentialité et la suppression à la fin du service.
- Formation, gouvernance et responsabilité
- Formation sur la confidentialité et la sécurité pour le personnel concerné, programmes de sensibilisation récurrents et politiques/normes documentées.
- Audits internes et tests de contrôles pour prouver la conformité.
- Représentants de l'UE et du Royaume-Uni au titre de l'article 27
- Représentant UE – EDPO UE : Avenue Huart Hamoir 71, 1030 Bruxelles, Belgique
- formulaire de demande en ligne :https://edpo.com/gdpr-data-request/
- Représentant du Royaume-Uni – EDPO Royaume-Uni : 8 Northumberland Avenue, Londres WC2N 5BY, Royaume-Uni
- Représentant UE – EDPO UE : Avenue Huart Hamoir 71, 1030 Bruxelles, Belgique
- Délégué à la protection des données désigné (DPD) – Jean Genter, [email protected]
Conformité
Loi de Singapour sur la protection des données personnelles de 2012
Le Loi de Singapour sur la protection des données personnelles (PDPA) de 2012 établit un niveau fondamental de protection des données personnelles à Singapour, accordant aux « individus » (tels que spécifiés par la législation) un contrôle accru sur la manière dont leurs données personnelles sont collectées, utilisées et divulguées par les organisations.
Obligations en matière de protection des données en vertu de la loi PDPA de Singapour
Lightspeed Systems s'engage à respecter les obligations stipulées comme suit :
- Responsabilité:Nous avons développé des politiques de protection des données et encourageons une culture de responsabilité par le biais de formations régulières.
- Notification: Nous informons les utilisateurs des finalités prévues pour la collecte, l'utilisation ou la divulgation de leurs données personnelles comme détaillé dans notre politique de confidentialité.
- Consentement: Nous nous appuyons sur le consentement des établissements d'enseignement (clients) que nous servons avant de collecter, d'utiliser ou de divulguer des données personnelles. Les données sont utilisées aux fins pour lesquelles le consentement a été accordé, et les clients ont la possibilité de retirer leur consentement à tout moment.
- Limitation de l'objectif : Nous recueillons, utilisons ou divulguons des renseignements personnels aux fins qui ont été communiquées à nos clients.
- Exactitude des données : Nous garantissons que les informations personnelles sont exactes et complètes.
- Protection des données : Nous avons mis en œuvre les mesures de sécurité requises pour protéger les données personnelles contre tout accès, collecte, utilisation et divulgation non autorisés.
- Conservation des données : Les données sont conservées aussi longtemps que nécessaire pour mener à bien l’activité de traitement.
- Limitation du transfert de données : Les transferts de données transfrontaliers sont effectués vers des pays dotés de lois sur la protection des données avec des normes similaires à celles décrites dans le PDPA (sauf exemption par le PDPC).
- Droits des personnes concernées : Les personnes ont le droit de demander l'accès, la rectification et la suppression de leurs informations personnelles sur simple demande. De plus, elles ont le droit à la portabilité des données et à la possibilité de refuser la collecte, l'utilisation ou la divulgation de leurs données.
- Notification de violation de données : En cas de violation de données, Lightspeed Systems informera ses clients sans délai injustifié.
Conformité
Loi philippine de 2012 sur la protection des données (loi de la République n° 10173)
Le Loi philippine sur la protection des données de 2012 (DPA) et son Règles et règlements d'application (IRR) Établir un cadre pour la protection des données personnelles dans les secteurs public et privé. La loi est appliquée par la Commission nationale de la protection de la vie privée (NPC) et s'applique à toute entité qui collecte, stocke, traite ou transmet des données personnelles de particuliers aux Philippines.
Lightspeed Systems s'engage à respecter la loi philippine sur la confidentialité des données de 2012 en garantissant un traitement légal, équitable et transparent des données personnelles ; en limitant l'utilisation à des fins éducatives légitimes ; en protégeant les données grâce à des mesures de sécurité de pointe ; et en maintenant la responsabilité, le consentement et les droits des personnes concernées conformément aux directives du NPC et aux normes mondiales de confidentialité.
Lightspeed Systems fournit des technologies éducatives et des solutions de sécurité numérique aux écoles et établissements d'enseignement du monde entier. Lorsqu'elle traite des données pour le compte de ces établissements, Lightspeed Systems agit en qualité de « sous-traitant de données » au sens de la loi sur la protection des données (LPD), tandis que les écoles ou établissements d'enseignement agissent en qualité de « responsables du traitement des données ».
Lightspeed garantit que toutes les activités de traitement impliquant des données personnelles philippines sont conformes aux principes et aux exigences énoncés par les directives du DPA et du NPC comme suit :
- Traitement licite et équitable – Toutes les données personnelles sont collectées et traitées de manière légale, équitable et transparente, avec l'autorisation explicite de l'école ou de l'établissement d'enseignement. Le traitement est limité à des fins pédagogiques et de sécurité légitimes, telles que la protection des élèves en ligne, la gestion des activités en classe et le support technique. Aucune donnée n'est utilisée à des fins de marketing, de profilage ou à toute autre fin non liée à l'enseignement.
- Limitation de la finalité – Les données sont traitées uniquement aux fins explicitement énoncées dans les accords de Lightspeed avec les institutions clientes et conformément aux déclarations de confidentialité de ces institutions. Les données ne sont pas traitées ultérieurement de manière incompatible avec ces finalités initiales.
- Sécurité des données – Lightspeed met en œuvre des mesures de protection organisationnelles, physiques et techniques pour garantir la confidentialité, l'intégrité et la disponibilité des données personnelles. Parmi les principales mesures figurent notamment le chiffrement en transit (TLS 1.2+) et au repos (AES-256), les contrôles d'accès basés sur les rôles, les environnements SOC 2 Type II, la surveillance continue et les protocoles de réponse aux incidents.
- Conservation des données – Lightspeed conserve les données uniquement pendant la durée nécessaire au respect de ses obligations contractuelles ou légales. Sauf indication contraire du client, les délais de conservation standard s'appliquent : 90 jours après la résiliation de la licence, après quoi les données sont supprimées ou anonymisées de manière sécurisée. Lightspeed Systems ne tentera pas de réidentifier les données anonymisées.
- Droits des personnes concernées – Conformément à la DPA, Lightspeed soutient le plein exercice des droits des personnes concernées par les données par l'intermédiaire de ses institutions clientes, notamment :
- Droit d'être informé – transparence dans la collecte et l'utilisation des données
- Droit d'accès et de rectification – possibilité de consulter ou de corriger les informations
- Droit à l'effacement ou au blocage – suppression ou restriction des données qui ne sont plus nécessaires
- Droit à la portabilité des données – accès aux données dans un format portable
- Droit d'opposition et de retrait du consentement – possibilité de s'opposer ou de révoquer le consentement pour des activités de traitement spécifiques
- Droit de déposer une plainte – auprès du Commission nationale de la protection de la vie privée (NPC)
- Consentement et transparence – Lightspeed traite les données en vertu de l'autorisation légale et du consentement de l'établissement d'enseignement. Les clients sont informés de la nature, de la finalité et de la portée du traitement des données par le biais d'avis de confidentialité clairs et d'accords de traitement des données (ATD). Aucun traitement n'est effectué sans autorisation ou à des fins éducatives légitimes.
- Responsabilité et gouvernance – Lightspeed maintient un cadre complet de gouvernance de la confidentialité et de la sécurité dirigé par son délégué à la protection des données (DPD), John Genter ([email protected]). La société conserve des enregistrements des activités de traitement, effectue régulièrement des évaluations de l'impact sur la vie privée et effectue une vérification diligente des fournisseurs pour garantir que tous les sous-traitants respectent des normes équivalentes.
- Gestion des violations de données – Lightspeed maintient un plan formel de réponse aux incidents et de gestion des violations aligné sur Circulaire du CNP 16-03. En cas de violation de données personnelles :
- Le responsable du traitement concerné (école/établissement) est informé sans délai injustifié.
- Lightspeed coopère avec le contrôleur pour répondre à toute notification obligatoire au NPC dans le délai requis de 72 heures.
- L’analyse des causes profondes, les mesures correctives et les actions correctives sont documentées et examinées.
- Transferts de données transfrontaliers – Lorsque des données personnelles sont transférées en dehors des Philippines (par exemple, vers l'infrastructure cloud sécurisée de Lightspeed aux États-Unis), ces transferts sont protégés par un cryptage et des protocoles de communication sécurisés, des garanties contractuelles conformes à Circulaire du CNP 16-01et des accords de sous-traitance contraignants garantissant la confidentialité, la sécurité et les obligations de suppression. Les transferts sont limités aux finalités approuvées par le responsable du traitement.
Conformité
Loi australienne sur la protection de la vie privée (1988)
Le Loi australienne sur la protection de la vie privée de 1988 réglemente le traitement des informations personnelles en Australie. Cette législation sert de base aux politiques de collecte et de gestion des données dans tout le pays. La loi décrit 13 Principes de confidentialité australiens (APP) pour gérer l'utilisation informations personnelles et sensibles
À qui s’applique la Loi sur la protection des renseignements personnels?
La loi sur la protection de la vie privée s'applique aux agences et organisations du gouvernement australien dont le chiffre d'affaires annuel dépasse 3 millions de dollars australiens et qui traitent les informations personnelles des résidents australiens.
Principes fondamentaux de la loi australienne sur la protection de la vie privée (1988)
Lightspeed Systems s'engage à respecter les exigences de protection des données décrites dans les principes de confidentialité australiens comme suit :
- Gestion ouverte et transparente des informations personnelles – Nous sommes transparents sur la façon dont nous gérons les informations personnelles. Notre politique de confidentialité détaille comment nous collectons, utilisons, divulguons, transférons et stockons les informations
- Anonymat et pseudonymat – Lightspeed Systems utilise l’anonymisation et la pseudonymisation pour protéger l’identité des individus dans la mesure du possible, sauf dans les circonstances qui nécessitent une identité personnelle pour traiter les données.
- Collecte de renseignements personnels sollicités – Nous pratiquons la minimisation des données et la limitation des finalités, et ne collectons que les données nécessaires à la réalisation du service demandé et à la finalité principale. Si nous devions utiliser les données à une fin secondaire, nous en informerions nos clients et obtiendrions leur consentement.
- Traitement des informations personnelles non sollicitées – Nous bloquons automatiquement les informations non sollicitées. Concernant les cookies sur nos sites web, nous avons configuré notre bannière de cookies avec une option d'acceptation par défaut pour tous les cookies, à l'exception des cookies strictement nécessaires.
- Notification de la collecte de renseignements personnels Les établissements d'enseignement sont informés des données collectées sur les étudiants et le personnel. Ceci est détaillé dans les accords de traitement des données que nous concluons avec nos clients. Nous tenons également à jour un calendrier de traitement des données pour chacun de nos produits, détaillant les données collectées et les finalités de leur collecte.
- Utilisation ou divulgation de renseignements personnels – Nous utilisons les données personnelles pertinentes à la finalité initiale de leur collecte. Veuillez consulter la section « Tiers : Comment nous pouvons partager vos données » de notre politique de confidentialité. politique de confidentialité pour obtenir plus de détails sur les circonstances dans lesquelles les données peuvent être divulguées.
- Marketing direct – Nous ne pratiquons pas de marketing direct auprès des étudiants et des parents. Le marketing s'adresse uniquement aux établissements d'enseignement, qui disposent d'une option claire et visible pour se désinscrire de toutes les communications marketing.
- Divulgation transfrontalière de renseignements personnels – Les données transfrontalières ne sont divulguées qu’aux organisations qui respectent les principes australiens de confidentialité et qui signent un accord de traitement des données les liant aux pratiques de confidentialité et de sécurité requises.
- Adoption, utilisation ou divulgation d'identifiants liés au gouvernement – Nous n’utilisons pas d’identifiants gouvernementaux comme étant les nôtres, ni ne divulguons l’identifiant d’une personne, à moins que nous ne soyons autorisés à le faire par la loi, ou que l’identifiant soit nécessaire pour vérifier l’identité de la personne.
- Qualité des informations personnelles – Nous avons mis en place des systèmes pour garantir que la qualité des informations personnelles reçues est exacte, complète et à jour.
- Sécurité des informations personnelles – Nous utilisons les mesures de protection administratives, techniques et physiques nécessaires à la protection des données, comme détaillé sur cette page.
- Accès aux renseignements personnels – Les individus ont le droit d’accéder à leurs informations personnelles, comme indiqué dans notre politique de confidentialité dans la section « Protection des données transfrontalières ».
- Correction des informations personnelles – Les individus ont le droit de corriger leurs informations personnelles, comme indiqué dans notre politique de confidentialité dans la section « Protection des données transfrontalières ».
Conformité
Loi générale sur la protection des données du Brésil (LGPD)
Le Loi générale de protection des données (LGPD)La Loi générale sur la protection des données (LGPD) est le cadre juridique établi pour réglementer la collecte et l'utilisation des données personnelles au Brésil. Entrée en vigueur le 16 août 2020, elle est appliquée par l'Autorité nationale de protection des données (ANPD).
À qui s’applique la loi brésilienne sur la protection des données ?
Lightspeed Systems s'engage à respecter les principes LGPD comme suit :
- But: Les données personnelles sont traitées pour des finalités légitimes, déterminées et explicites communiquées à la personne concernée, sans traitement ultérieur incompatible.
- Adéquation: Les données personnelles sont traitées conformément aux finalités communiquées à la personne concernée, compte tenu du contexte de ce traitement.
- Nécessité: Les données personnelles sont traitées dans la mesure minimale nécessaire pour atteindre les objectifs visés, en utilisant uniquement des données appropriées, proportionnées et non excessives.
- Accès libre : Les personnes concernées ont le droit de s'informer facilement et gratuitement sur les moyens et la durée du traitement ainsi que sur l'intégrité de leurs données personnelles.
- Qualité des données : Les personnes concernées ont droit à des informations exactes, claires, pertinentes et à jour, comme nécessaire pour atteindre les objectifs visés.
- Transparence: Les personnes concernées ont le droit d’obtenir des informations claires, exactes et facilement accessibles concernant les activités de traitement et les agents de traitement respectifs (responsables du traitement et sous-traitants), tout en préservant les secrets commerciaux et industriels.
- Sécurité: Lightspeed Systems a mis en œuvre les mesures techniques et organisationnelles nécessaires pour protéger les données personnelles contre tout accès non autorisé et tout événement accidentel ou illicite de destruction, de perte, d'altération, de communication ou de diffusion, comme détaillé sur notre page de confiance.
- Prévention: Des mesures préventives ont été adoptées pour atténuer les risques associés au traitement des données personnelles, comme détaillé sur notre page de confiance.
- Non-discrimination : Les données personnelles ne sont pas traitées à des fins discriminatoires, ni de manière illégale ou abusive.
- Responsabilité: Des mesures efficaces visant à se conformer aux exigences en matière de protection des données personnelles ont été mises en œuvre et sont continuellement améliorées en réponse à l’évolution de l’environnement.
La LGPD prévoit les principaux droits suivants pour les personnes concernées :
- d'obtenir la confirmation de l'existence d'un traitement de données à caractère personnel ;
- d’accéder à leurs données personnelles ;
- de rectifier des données incomplètes, inexactes ou obsolètes ;
- de faire anonymiser, bloquer ou effacer les données personnelles inutiles, excessives ou non conformes ;
- portabilité des données;
- suppression des données personnelles traitées avec le consentement de la personne concernée, sauf dans les cas prévus à l'art. 16 de la présente loi
- d’être informé des tiers avec lesquels leurs données ont été partagées ;
- d'être informé de la possibilité de refuser de fournir des données personnelles et des conséquences correspondantes ; et
- de retirer leur consentement.
Conformité
Cadre de confidentialité des données (DPF) du Département du Commerce des États-Unis
Le 10 juillet 2023, la décision d'adéquation de la Commission européenne concernant le cadre de protection des données UE-États-Unis (DPF UE-États-Unis) est entrée en vigueur. Ce cadre et son extension britannique ont été respectivement élaborés par le ministère du Commerce des États-Unis, la Commission européenne et le gouvernement britannique pour promouvoir le commerce transatlantique. L'objectif est de fournir aux organisations américaines des mécanismes fiables pour les transferts de données personnelles vers les États-Unis depuis l'Union européenne/l'Espace économique européen et le Royaume-Uni, tout en garantissant une protection des données conforme aux lois de l'UE et du Royaume-Uni. Lightspeed Systems est conforme au cadre de protection des données UE-États-Unis (DPF UE-États-Unis) et à son extension britannique, tels que définis par le ministère du Commerce des États-Unis. Lightspeed Systems a certifié auprès du Département du Commerce des États-Unis son adhésion aux principes du Cadre de protection des données UE-États-Unis (Principes UE-États-Unis DPF) concernant le traitement des données personnelles reçues de l'Union européenne et du Royaume-Uni, conformément au DPF UE-États-Unis et à son extension britannique. En cas de conflit entre les termes de la présente politique de confidentialité et les principes UE-États-Unis DPF, ces derniers prévalent. Pour en savoir plus sur le programme DPF et consulter notre certification, veuillez consulter le site https://www.dataprivacyframework.gov/.
Lightspeed Systems est soumis aux pouvoirs d'enquête et d'application de la Federal Trade Commission (FTC).
Conformément au DPF UE-États-Unis et à l'extension britannique du DPF UE-États-Unis, Lightspeed Systems s'engage à coopérer et à se conformer respectivement aux conseils du panel établi par les autorités de protection des données de l'UE (DPA) et le Bureau du Commissaire à l'information du Royaume-Uni (ICO) concernant les plaintes non résolues concernant notre traitement des données relatives aux ressources humaines reçues en vertu du DPF UE-États-Unis et de l'extension britannique du DPF UE-États-Unis dans le cadre de la relation de travail.
Pour plus de détails sur notre conformité avec le cadre de confidentialité des données, veuillez consulter la section « Transferts internationaux de données » de notre politique de confidentialité.
Conformité
Bureau de contrôle des avoirs étrangers (OFAC)
L'Office of Foreign Assets Control (« OFAC ») Le Département du Trésor des États-Unis administre et applique des sanctions économiques et commerciales fondées sur la politique étrangère et les objectifs de sécurité nationale des États-Unis contre des pays et régimes étrangers ciblés, des terroristes, des trafiquants internationaux de stupéfiants, des personnes engagées dans des activités liées à la prolifération des armes de destruction massive et d'autres menaces à la sécurité nationale, à la politique étrangère ou à l'économie des États-Unis.
- Lightspeed Systems, ses filiales et sociétés affiliées s'engagent à respecter pleinement toutes les sanctions internationales, y compris, mais sans s'y limiter, celles imposées par les États-Unis, l'Union européenne et le Royaume-Uni.
- Les sanctions internationales sont des lois, règlements, décrets, décisions de conseil et autres mesures gouvernementales interdisant un large éventail de transactions commerciales et financières. Lightspeed Systems a pour politique de se conformer à toutes les sanctions internationales applicables.
- Lightspeed Systems considère qu'un programme de conformité efficace traitant des contrôles à l'exportation avec des politiques et des procédures constitue un élément important et vital de nos opérations commerciales et de notre code de conduite éthique.
- Nous examinons toutes les commandes internationales en fonction de diverses listes de personnes et de destinations sanctionnées et interdites avant de les accepter. Toute commande reçue, directement ou indirectement, d'une personne sanctionnée ou destinée à être utilisée par cette personne ou vers une destination sanctionnée sera rejetée.
- Les employés de Lightspeed Systems reçoivent une formation annuelle de sensibilisation à l'OFAC pour garantir la conformité.
Liste des sous-traitants de Lightspeed Systems
| Nom de l'entité | Activités de sous-traitance | Localisation de l'entité (HQ) | Mesures de sécurité et supplémentaires |
|---|---|---|---|
| Amazon Web Services, Inc. | Hébergement et stockage d'applications | États-Unis | |
| LightEdge | Centre de données | États-Unis | |
| Microsoft Corporation | Outils de messagerie et de collaboration | États-Unis |
| Nom de l'entité | Activités de sous-traitance | Localisation de l'entité (HQ) | Mesures de sécurité et supplémentaires |
|---|---|---|---|
| Ably.io | Surveillance de présence | Royaume-Uni | |
| Adobe Sign | Fournisseur de signature électronique | États-Unis | |
| Datadog | Suivi et alerte de nos produits pour garantir le respect des objectifs de qualité et des SLA contractuels | États-Unis | |
| Logiciels Greenhouse Inc. | Logiciel de gestion du recrutement | États-Unis | |
| IA de la ruche | Modération de texte pour les fonctionnalités du produit | États-Unis | |
| Microsoft Corporation | Outils de messagerie et de collaboration | États-Unis | |
| Royaume-Uni | Logiciel de gestion de la paie | États-Unis | |
| NetSuite | Systèmes comptables | États-Unis | |
| OpenAI | Fournisseur de services d'IA générative pour les fonctionnalités du produit intelligence | États-Unis | |
| Pendo.io Inc | Gestion de l'expérience logicielle | États-Unis | |
| Salesforce | Support client – Fournisseur CRM | États-Unis | |
| Flocon de neige | Analyse de l'utilisation des produits, base de données de catégorisation | États-Unis | |
| Twilio | Fournisseur de technologies de communication | États-Unis | |
| Zoom, Inc. | Fournisseur de visioconférence | États-Unis |
