Fiducia della velocità della luce

Lightspeed Systems® è il tuo partner di fiducia

SOC2 Type 2
Data Privacy Framework Program logo
Access 4 Learning Community badge

Sicuro e protetto

La sicurezza delle informazioni e la protezione dei dati sono parte integrante delle nostre convinzioni fondamentali. Abbiamo team dedicati alla sicurezza e alla conformità, che si impegnano a mantenere le tue informazioni al sicuro e protette. Lightspeed Systems impiega rigide politiche e procedure per garantire la disponibilità, l'integrità e la riservatezza dei dati dei clienti.

Stato del servizio Lightspeed Systems

Contratto di servizio (SLA)

Lightspeed Systems fornisce servizi ospitati tra cui gestione dei dispositivi mobili, filtraggio web, analisi delle app e gestione delle classi per le scuole. I nostri servizi sono disponibili almeno il 99,9% del tempo, con server costantemente monitorati per prestazioni e disponibilità.

Controllare lo stato del sistema
Leggi il nostro SLA
Lightspeed Product Suite screenshots

Sicurezza Lightspeed

Tutele amministrative

Verifiche dei precedenti dei dipendenti

Tutti i dipendenti di Lightspeed Systems vengono sottoposti a controlli dei precedenti e firmano un accordo di non divulgazione prima dell'assunzione.

Notifica di violazione dei dati

Se veniamo a conoscenza di una violazione dei dati, seguiremo il nostro piano di risposta agli incidenti e informeremo i nostri clienti senza indebito ritardo.

Gestione degli incidenti

Disponiamo di un piano di risposta agli incidenti scritto che descrive in dettaglio i processi per rilevare, segnalare, identificare, analizzare e rispondere agli incidenti di sicurezza che hanno un impatto sulle reti di Lightspeed Systems e sui dati dei clienti.

Formazione sulla consapevolezza della privacy e della sicurezza dei dipendenti

Al momento dell'assunzione e su base continuativa, tutti i dipendenti sono tenuti a seguire una formazione sulla privacy e sulla sicurezza, che riguarda le pratiche in materia di privacy e i principi che si applicano alla gestione delle informazioni personali da parte dei dipendenti, inclusa la necessità di porre limitazioni all'uso, all'accesso, alla condivisione e alla conservazione delle informazioni personali.

Forniamo formazione su aspetti specifici della sicurezza di cui hanno bisogno in base ai loro ruoli. Ad esempio, il team di sviluppo prodotto segue una formazione sulla privacy by design e sullo sviluppo di software sicuro. I dipendenti sono anche sottoposti a regolari e-mail di phishing.

Selezione dei fornitori e gestione del rischio

Lightspeed Systems può avvalersi di sub-responsabili per l'esecuzione dei servizi e ha il diritto di accedere ai dati dei clienti solo nella misura necessaria all'esecuzione dei Servizi e sarà vincolata da accordi scritti che impongono loro di fornire i rigorosi livelli di protezione dei dati richiesti da Lightspeed e dalle normative applicabili. Ecco un elenco dei nostri sub-responsabili.

Vengono condotte valutazioni preventive e continue dei fornitori per garantire che vengano adottate adeguate pratiche di riservatezza e sicurezza dei dati durante l'intera durata del rapporto con il fornitore. Le modifiche ai servizi forniti dai fornitori o le modifiche ai contratti esistenti richiedono una valutazione del rischio per la sicurezza, per confermare che le modifiche non presentino rischi aggiuntivi o eccessivi.

I documenti di politica e procedura sono allineati con i quadri di privacy/sicurezza del NIST

Lightspeed Systems esamina i propri sistemi in base ai controlli CIS e ai framework NIST e affronta di conseguenza eventuali rischi o lacune identificati.

Disponiamo di un team dedicato alla governance dei dati che tiene riunioni periodiche per garantire l'integrità dei dati.

Abbiamo implementato vari documenti normativi in tutta l'organizzazione per la protezione dei dati, tra cui, a titolo esemplificativo ma non esaustivo: piano di risposta agli incidenti, politica di sicurezza, politica di correzione delle vulnerabilità, politica sugli standard IT e politica di eliminazione dei dati.

Continuità aziendale e ripristino di emergenza

Lightspeed Systems riconosce l'importanza di mantenere le funzioni aziendali critiche e di proteggere sistemi e dati. Per garantire la continuità aziendale, Lightspeed ha sviluppato un Business Continuity and Disaster Recovery Plan a livello aziendale che regola il programma di gestione complessivo per tutte le funzioni.

Gestione del cambiamento

Le policy di gestione delle modifiche sono documentate per affrontare la progettazione, lo sviluppo, l'acquisizione, il collaudo, l'approvazione e l'implementazione delle modifiche e delle patch del sistema.

Sicurezza Lightspeed

Misure di sicurezza tecniche

Revisioni esterne

Lightspeed Systems si sottopone a un audit annuale SOC 2 Tipo II, verificato da una società indipendente che ne verifica la conformità agli standard SOC 2. Lightspeed Systems rispetta i criteri dei servizi fiduciari dell'AICPA e ha definito politiche e processi per garantire la sicurezza, la disponibilità, la riservatezza e la privacy dei servizi che forniamo ai nostri clienti. I clienti possono richiedere una copia del nostro report SOC 2 Tipo 2 inviando un'e-mail a [email protected]; il report verrà fornito previa firma di un accordo di riservatezza (NDA).

Notifica di violazione dei dati

Se veniamo a conoscenza di una violazione dei dati confermata, seguiremo il nostro Piano di risposta agli incidenti e informeremo la Scuola senza indebito ritardo.

Crittografia a riposo

I dati vengono crittografati a riposo utilizzando la crittografia Advanced Encryption Standard (AES).

Crittografia in transito

I dati vengono crittografati durante il transito utilizzando il protocollo Transport Layer Security (TLS).

Backup dei dati

Eseguiamo backup regolari di dati e sistemi. Gli intervalli di backup dipendono dal tipo di dati e vanno da minuti a una volta al giorno.

Rimedio alla vulnerabilità

Lightspeed Systems ha una politica di Vulnerability Remediation per identificare e correggere le vulnerabilità in base al rischio che presentano. Utilizziamo software di gestione delle patch per monitorare i sistemi e garantire che le patch siano implementate.

Cancellazione dei dati

Lightspeed Systems ha implementato una Data Deletion Policy. Ove appropriato, le nostre soluzioni utilizzano regole automatizzate per eliminare i dati in base alla policy.

Registrazione e monitoraggio

Lightspeed Systems ha implementato soluzioni di registrazione e monitoraggio per identificare e indagare su possibili eventi di sicurezza.

Controllo dell'identità e degli accessi

L'accesso alle informazioni personali è limitato tramite credenziali di accesso ai dipendenti che ne hanno bisogno per svolgere le proprie mansioni lavorative. Inoltre, Lightspeed Systems utilizza controlli di accesso quali Multi-Factor Authentication, Single Sign-On, privilegi minimi e accesso in base alle necessità, controlli di password rigorosi e accesso limitato agli account amministrativi.

Le nostre soluzioni consentono ai clienti di creare ruoli di "amministratore" che forniscono solo i diritti necessari per eseguire le funzioni richieste.

Sicurezza Lightspeed

Misure di sicurezza fisiche

Sicurezza sul posto di lavoro

Lightspeed Systems adotta i seguenti controlli volti a impedire l'accesso non autorizzato ai nostri uffici:

  • L'accesso alla struttura è limitato alle persone autorizzate mediante l'uso di chiavi/telecomandi o badge di accesso.
  • Gli uffici di Lightspeed sono dotati di sistemi o dispositivi di estinzione e rilevamento incendi, nonché di uscite di emergenza e vie di evacuazione.

Sicurezza del centro dati

Tutti i data center in cui i dati vengono elaborati e archiviati si trovano negli Stati Uniti e sono certificati SOC 2, PCI DSS e ISO 27001. Lightspeed dispone di un processo per registrare, monitorare e rispondere a eventi e anomalie nei suoi sistemi e soluzioni. Sono inoltre disponibili soluzioni di backup e ripristino dei dati.

Principi di progettazione sicura

Lightspeed Systems pratica la sicurezza tramite la progettazione. Utilizziamo un ciclo di vita di sviluppo software sicuro basato su Metodologie OWASP.

I nostri sistemi e processi tengono conto dei pilastri fondamentali della sicurezza informatica: riservatezza, integrità e disponibilità.

Conformità

Lightspeed Systems Intelligence Artificiale (AI) Etica e principi

Lightspeed Systems sa come l'intelligenza artificiale può cambiare in meglio il mondo della tecnologia e del business. Utilizziamo l'intelligenza artificiale in modo responsabile, assicurandoci che sia etica, massimizzandone i benefici e servendo i nostri clienti. Seguiamo principi etici per soluzioni di intelligenza artificiale che corrispondono ai nostri valori e standard professionali e che creano la fiducia dei nostri clienti, persone, comunità e regolatori. Siamo fermi nel nostro impegno ad agire nell'interesse pubblico, rispettare la fiducia pubblica e dimostrare il nostro impegno per l'eccellenza professionale. Per maggiori informazioni, consulta il nostro Uso responsabile dell'intelligenza artificiale.

Conformità

Legge sulla protezione della privacy online dei bambini (COPPA)

COPPA si applica alla raccolta online di informazioni personali da parte di persone o entità sotto la giurisdizione degli Stati Uniti su bambini di età inferiore a 13 anni. Il consenso dei genitori è richiesto per la raccolta o l'uso di qualsiasi informazione personale degli utenti.

  • Lightspeed Systems rispetta il Children's Online Privacy Protection Act (COPPA), per garantire la sicurezza online dei minori. Gli account degli studenti vengono forniti solo tramite un educatore, una scuola o un ente educativo verificato. Gli educatori si impegnano a ottenere l'autorizzazione dei genitori prima di rilasciare account agli studenti. Si prega di leggere l'informativa COPPA di Lightspeed qui.

Rispettiamo le linee guida COPPA elencate di seguito e accettiamo:

  • NON raccogliere informazioni di contatto online senza il consenso di un genitore, di un educatore qualificato o di un istituto scolastico.
  • NON raccogliere informazioni di contatto offline che consentano l'identificazione personale.
  • NON distribuire a terzi informazioni personali identificabili senza il previo consenso dei genitori.
  • NON farsi sedurre dalla prospettiva di un gioco speciale, un premio o un'altra attività o divulgare più informazioni di quelle necessarie per partecipare all'attività.
  • NON utilizzare o divulgare informazioni sugli studenti per pubblicità mirate basate sul comportamento degli studenti.
  • NON creare un profilo personale di uno studente se non per supportare scopi educativi/scolastici autorizzati.

Conformità

Legge sui diritti educativi e sulla privacy della famiglia (FERPA)

IL Legge sui diritti educativi e sulla privacy della famiglia (FERPA) è una legge federale che protegge la privacy dei registri scolastici degli studenti. La legge si applica a tutte le scuole che ricevono fondi nell'ambito di un programma applicabile del Dipartimento dell'Istruzione degli Stati Uniti.

  • Sebbene il FERPA si applichi alle scuole e non alle aziende, Lightspeed Systems può essere designata come "Funzionario Scolastico" e, in quanto tale, rispettiamo i requisiti del FERPA e ci impegniamo a proteggere la privacy delle informazioni degli studenti, che ci vengono affidate dai Distretti Scolastici. I Distretti Scolastici hanno il controllo di tutti i dati degli studenti e procediamo sotto la loro direzione. Ai sensi del FERPA, i genitori o gli studenti idonei hanno il diritto di accedere, ispezionare, rivedere e rettificare i registri degli studenti e Lightspeed rispetta tali diritti quando riceve una richiesta scritta verificata dal Distretto Scolastico.
  • Si prega di notare che Lightspeed Systems non ha alcun contatto diretto con studenti o genitori.

Conformità

Diritto dell'istruzione di New York 2-D

Legge sull'istruzione § 2-d è entrato in vigore nell'aprile 2014. L'obiettivo dello statuto era quello di promuovere la privacy e la sicurezza delle informazioni di identificazione personale (PII) degli studenti e di alcune PII relative agli insegnanti e ai presidi delle classi. Lightspeed Systems è conforme alla legge NY ED 2-D e alla Carta dei diritti dei genitori, che richiede quanto segue:

  • Le informazioni personali identificabili (PII) di uno studente non possono essere vendute o divulgate per scopi commerciali;
  • Il diritto di ispezionare e rivedere il contenuto completo del registro scolastico dello studente archiviato o mantenuto da un'agenzia educativa;
  • Quando vengono archiviate o trasferite informazioni personali identificabili (PII) degli studenti, devono essere adottate misure di sicurezza associate agli standard del settore e alle migliori pratiche, tra cui, a titolo esemplificativo ma non esaustivo, crittografia, firewall e protezione tramite password;
  • Essere avvisati, in conformità alle leggi e ai regolamenti applicabili, in caso di violazione o divulgazione non autorizzata di dati personali identificabili;
  • I genitori hanno il diritto di far valere i propri reclami in merito a possibili violazioni dei dati degli studenti;
  • Gli operatori delle agenzie educative che gestiscono dati personali identificabili riceveranno una formazione sulle leggi statali e federali applicabili, sulle politiche e sulle misure di sicurezza associate agli standard del settore e alle migliori pratiche che proteggono i dati personali identificabili;
  • I contratti delle agenzie educative con i fornitori che ricevono informazioni personali identificabili dovranno soddisfare i requisiti normativi e statutari in materia di privacy e sicurezza dei dati.

Conformità

Consorzio per la privacy dei dati degli studenti (SDPC) e Accordo nazionale sulla privacy dei dati (NDPA)

L'SDPC ha rilasciato il primo Accordo nazionale sulla privacy dei dati (NDPA) per semplificare la contrattualizzazione delle applicazioni e definire aspettative comuni tra scuole/distretti e fornitori del mercato.

  • Lightspeed sta collaborando con i distretti scolastici di tutti gli Stati partecipanti per garantire l'esistenza di Accordi sulla privacy e l'elaborazione dei dati.
  • I distretti scolastici che desiderano firmare con noi l'SDPC e l'NDPA sono incoraggiati a inviare un'e-mail [email protected].
  • IL SDPC è una collaborazione unica di scuole, distretti, agenzie regionali, territoriali e statali, decisori politici, organizzazioni commerciali e fornitori di mercati che affrontano soluzioni concrete, adattabili e implementabili alle crescenti preoccupazioni sulla privacy dei dati.

Conformità

Legge sulla privacy dei consumatori della California (CCPA)

IL Legge sulla privacy della California (CPRA) modifica e amplia il California Consumer Privacy Act (CCPA). Il CPRA è entrato in vigore il 1° gennaio 2023. Il CCPA è stato modificato per proteggere i dati personali dei dipendenti della California (B2E) e dei contatti business-to-business (B2B) e richiede a tutte le organizzazioni che raccolgono dati di residenti in California di applicare protezioni più estese, come valutazioni del rischio per la privacy, minimizzazione dei dati e policy di conservazione. Il CPRA ora concentra i diritti sui dati sulle relazioni b2b e sui dipendenti, dalla divulgazione trasparente dei dati a un'applicazione più rigorosa e una maggiore consapevolezza dei rischi per la privacy correlati alla raccolta e all'elaborazione dei dati, e alla contabilizzazione di tutti i dati collegati a dipendenti, aziende e residenti della California.

Chi è tutelato dal California Privacy Rights Act?
Può essere ragionevolmente identificato qualsiasi individuo che sia un dipendente residente in California e un fornitore/venditore di servizi, un appaltatore, un consulente, un candidato, un libero professionista e un lavoratore a distanza.

Diritti sui dati dei dipendenti e B2B:
  • Diritto di sapere: I dipendenti, i contraenti e i fornitori di servizi hanno il diritto di sapere quali dati vengono raccolti e gestiti e di accedere a copie di "specifiche informazioni personali".
  • Diritto di accesso: Similmente ai consumatori, i dipendenti potranno inviare una richiesta di accesso ai dati personali (DSAR) al proprio datore di lavoro per ottenere l'accesso alle proprie informazioni, con alcune eccezioni.
  • Diritto di utilizzo e divulgazione: Il diritto di richiedere a un'azienda di limitare o interrompere l'uso e la divulgazione di informazioni personali sensibili.
  • Diritto di rettifica: Il diritto di richiedere all'azienda di correggere informazioni inesatte.
  • Diritto di recesso: Il diritto di opporsi alla vendita o alla condivisione delle proprie informazioni personali.
  • Diritto alla clemenza: Il diritto a non subire ritorsioni per l'esercizio di qualsiasi diritto sui dati.
Lightspeed Systems ha adottato le seguenti procedure per garantire la conformità a CCPA e CPRA:
  • Richieste di accesso ai dati dell'interessato: gli interessati possono esercitare i propri diritti inviando un'e-mail al nostro Privacy Team ([email protected])
  • Data Mapping: mappatura, inventario e classificazione di tutti i dati
  • Minimizzazione dei dati: Elaboriamo solo dati adeguati, pertinenti e limitati a quanto necessario per le finalità per cui vengono utilizzati.
  • Politiche di conservazione dei dati: Abbiamo implementato le Politiche di Conservazione dei Dati in tutti i nostri prodotti e processi. I dati non vengono conservati per un periodo più lungo di quanto ragionevolmente necessario per soddisfare l'attività di elaborazione
  • Valutazioni di impatto sulla privacy: Effettuiamo valutazioni dei rischi su tutti i nostri prodotti e processi, per garantire la privacy e la sicurezza fin dalla progettazione.

Conformità

Regolamento generale sulla protezione dei dati (GDPR)

IL Regolamento generale sulla protezione dei dati (GDPR) stabilisce le regole per la raccolta, l'utilizzo, l'archiviazione e il trasferimento dei dati personali degli individui nell'Unione Europea e, tramite GDPR del Regno Unito, nel Regno Unito). Si applica quando i dati personali vengono elaborati nell'UE e nel Regno Unito o quando beni/servizi vengono offerti a residenti nell'UE e nel Regno Unito.

Come si applica il GDPR a Lightspeed

  • Ruolo primario: Per i prodotti consegnati a scuole e distretti, Lightspeed Systems agisce in qualità di "Responsabile del trattamento dei dati", elaborando i dati personali solo in base alle istruzioni documentate del "Titolare del trattamento dei dati" (la scuola).
  • Dati dei bambini: Poiché i nostri clienti sono istituti scolastici, progettiamo i nostri servizi in modo da rispettare le elevate aspettative relative ai dati dei minori e seguire la base giuridica scelta dal Titolare del trattamento dei dati (ad esempio, interessi legittimi o consenso gestito dall'istituto).

Il nostro programma GDPR:

  • Trattamento lecito, equo e trasparente
    • Trattiamo i dati personali in modo lecito e corretto, con chiare dichiarazioni di intenti nei contratti con i clienti e nella documentazione dei prodotti.
    • Trasparenza: i titolari del trattamento ricevono informazioni, dettagliate nella nostra Informativa sulla privacy e negli Accordi sul trattamento dei dati, che descrivono le categorie di dati, le finalità, i destinatari (inclusi i sub-responsabili) e la conservazione.
  • Ruoli e responsabilità
    • Obblighi del responsabile del trattamento: seguiamo le istruzioni del titolare del trattamento, garantiamo la riservatezza, forniamo assistenza alle richieste degli interessati, supportiamo le DPIA e implementiamo misure di sicurezza appropriate.
    • Contratto di elaborazione dati (DPA): il nostro DPA (inclusi gli SCC dell'UE e l'IDTA del Regno Unito) regola l'elaborazione, la sicurezza, il supporto in caso di violazione, gli audit e i sub-responsabili. Le richieste di sottoscrizione del DPA possono essere inoltrate via email all'indirizzo [email protected]
  • Minimizzazione dei dati e limitazione dello scopo
    • Minimizzazione: raccogliamo ed elaboriamo solo ciò che è necessario per fornire e garantire il servizio.
    • Utilizzo strettamente finalizzato: nessun utilizzo per scopi pubblicitari o profilazione non correlata; nessuna vendita di dati personali.
  • Mappatura e classificazione dei dati
    • Manteniamo un inventario e una classificazione dei dati aggiornati, collegati a sistemi, scopi, posizioni di archiviazione e basi giuridiche.
    • Registri del trattamento (art. 30 “ROPA”): conserviamo un ROPA sia per il responsabile del trattamento che per i titolari limitati, comprese le categorie di interessati/dati, destinatari, conservazione e misure di sicurezza.
  • Conservazione e smaltimento dei dati
    • Conserviamo i dati personali solo per il tempo necessario a soddisfare gli obblighi contrattuali e legali, dopodiché li eliminiamo in modo sicuro o li rendiamo anonimi.
    • Le richieste di cancellazione dei dati verificate dal titolare del trattamento vengono soddisfatte entro i tempi stabiliti, come specificato nei DPA sottoscritti.
  • Sicurezza del trattamento
    • Controlli organizzativi e tecnici: controllo degli accessi basato sui ruoli, MFA, privilegi minimi, registrazione e monitoraggio, gestione delle vulnerabilità, crittografia in transito (TLS) e a riposo (AES) e SDLC sicuro con controllo delle modifiche.
    • Valutazioni dei rischi per la sicurezza dei fornitori, requisiti di sicurezza contrattuali e revisioni periodiche dei sub-responsabili.
  • Privacy by Design e by Default
    • Integriamo la privacy nella progettazione del prodotto: funzionalità di dati predefinite o con ambito definito, mascheramento ove possibile e opzioni di configurazione che consentono ai responsabili del trattamento di personalizzare la raccolta dati in base alle proprie esigenze.
  • DPIA, PIA e AIA
    • Effettuiamo valutazioni dell'impatto sulla privacy, valutazioni dell'impatto sulla protezione dei dati e valutazioni dell'impatto sull'intelligenza artificiale per funzionalità nuove o sostanzialmente modificate che potrebbero presentare rischi elevati (ad esempio, analisi dei contenuti, funzionalità di monitoraggio).
    • Assistiamo i titolari del trattamento nelle loro DPIA con informazioni sui prodotti, misure di salvaguardia e mitigazioni dei rischi.
  • Supporto per i diritti degli interessati
    • Aiutiamo i titolari del trattamento a soddisfare le richieste degli interessati UE/Regno Unito entro i termini previsti dalla legge:
      • Accesso, Rettifica, Cancellazione, Limitazione
      • Portabilità (ove applicabile)
      • Opposizione a determinati trattamenti
      • Revoca del consenso (quando il titolare del trattamento utilizza il consenso come base)
  • Trasferimenti internazionali
    • Il nostro Contratto di elaborazione dati include le clausole contrattuali standard dell'UE e l'Accordo di trasferimento dati internazionale del Regno Unito per i trasferimenti al di fuori dell'UE/Regno Unito.
    • Lightspeed Systems è inoltre certificata secondo la Quadro di estensione sulla privacy dei dati UE-USA + Regno Unito
  • Gestione degli incidenti e delle violazioni
    • Se si verifica un incidente di sicurezza che interessa i dati personali, informiamo il titolare del trattamento senza indebito ritardo, forniamo dettagli sull'incidente e informazioni sulla soluzione e collaboriamo affinché i titolari del trattamento possano ottemperare a tutte le notifiche dell'autorità di vigilanza e degli interessati (ad esempio, la regola delle 72 ore per i titolari del trattamento).
  • Sub-responsabili e governance dei fornitori
    • Manteniamo e condividiamo un elenco aggiornato dei sub-responsabili del trattamento e richiediamo un'autorizzazione scritta, obblighi di flusso, controlli di sicurezza, riservatezza ed eliminazione al termine del servizio.
  • Formazione, governance e responsabilità
    • Formazione sulla privacy e sulla sicurezza per il personale interessato, programmi di sensibilizzazione ricorrenti e policy/standard documentati.
    • Verifiche e controlli interni per dimostrare la conformità.
  • Rappresentanti dell'articolo 27 dell'UE e del Regno Unito
    • Rappresentante UE – EDPO UE: Avenue Huart Hamoir 71, 1030 Bruxelles, Belgio
    • Rappresentante del Regno Unito – EDPO Regno Unito: 8 Northumberland Avenue, Londra WC2N 5BY, Regno Unito
  • Responsabile della protezione dei dati designato (RPD) – John Genter, [email protected]

Conformità

Legge sulla protezione dei dati personali di Singapore del 2012

IL Legge sulla protezione dei dati personali di Singapore (PDPA) del 2012 stabilisce un livello fondamentale di protezione dei dati personali all'interno di Singapore, garantendo agli "individui" (come specificato dalla legislazione) un maggiore controllo su come i loro dati personali vengono raccolti, utilizzati e divulgati dalle organizzazioni.

Obblighi di protezione dei dati ai sensi del Singapore PDPA

Lightspeed Systems si impegna a rispettare gli obblighi stipulati come segue:

  • Responsabilità: Abbiamo sviluppato politiche di protezione dei dati e incoraggiamo una cultura di responsabilità attraverso una formazione regolare.
  • Notifica: Informiamo gli utenti sulle finalità previste per la raccolta, l'utilizzo o la divulgazione dei loro dati personali come dettagliato nel nostro politica sulla riservatezza.
  • Consenso: Facciamo affidamento sul consenso ottenuto dagli istituti scolastici (clienti) che serviamo, prima di raccogliere, utilizzare o divulgare dati personali. I dati vengono utilizzati per lo scopo per cui è stato concesso il consenso e i clienti hanno la possibilità di revocare il consenso in qualsiasi momento.
  • Limitazione dello scopo: Raccogliamo, utilizziamo o divulghiamo informazioni personali per gli scopi comunicati ai nostri clienti.
  • Precisione dei dati: Garantiamo che i dati personali siano accurati e completi.
  • Protezione dei dati: Abbiamo implementato le misure di sicurezza richieste per proteggere i dati personali da accessi, raccolte, utilizzi e divulgazioni non autorizzati
  • Conservazione dei dati: I dati vengono conservati per tutto il tempo necessario all’esecuzione dell’attività di trattamento.
  • Limitazione del trasferimento dei dati: I trasferimenti transfrontalieri di dati vengono effettuati verso paesi che dispongono di leggi sulla protezione dei dati con standard simili a quelli delineati nel PDPA (salvo esenzioni previste dal PDPC).
  • Diritti dell'interessato: Gli individui hanno il diritto di richiedere l'accesso, la correzione e la cancellazione delle proprie informazioni personali su richiesta. Inoltre, gli individui hanno il diritto alla portabilità dei dati e di rinunciare alla raccolta, all'uso o alla divulgazione dei propri dati.
  • Notifica di violazione dei dati: In caso di violazione dei dati, Lightspeed Systems informerà i propri clienti senza indebito ritardo.

Conformità

Legge sulla privacy dei dati delle Filippine del 2012 (Legge della Repubblica n. 10173)

IL Legge sulla privacy dei dati delle Filippine del 2012 (DPA) e il suo Norme e regolamenti attuativi (IRR) Stabilire un quadro normativo per la protezione dei dati personali nei settori pubblico e privato. La legge è applicata dalla Commissione Nazionale per la Privacy (NPC) e si applica a qualsiasi entità che raccolga, archivi, elabori o trasmetta dati personali di individui nelle Filippine.

Lightspeed Systems si impegna a rispettare il Philippines Data Privacy Act del 2012 garantendo un trattamento lecito, equo e trasparente dei dati personali; limitando l'uso a legittimi scopi educativi; salvaguardando i dati attraverso misure di sicurezza all'avanguardia nel settore; e mantenendo la responsabilità, il consenso e i diritti degli interessati in linea con le linee guida dell'NPC e gli standard globali sulla privacy.

Lightspeed Systems fornisce tecnologie didattiche e soluzioni per la sicurezza digitale a scuole e istituti scolastici in tutto il mondo. Nel trattamento dei dati per conto di tali istituti, Lightspeed Systems agisce in qualità di "Responsabile del trattamento dei dati" ai sensi del Data Privacy Act (DPA), mentre le scuole o gli istituti scolastici agiscono in qualità di "Titolari del trattamento dei dati".

Lightspeed garantisce che tutte le attività di elaborazione che coinvolgono dati personali filippini siano conformi ai principi e ai requisiti stabiliti dalle linee guida DPA e NPC come segue:

  • Trattamento lecito e corretto – Tutti i dati personali vengono raccolti e trattati in modo lecito, corretto e trasparente, con l'esplicita autorizzazione della scuola o dell'istituto scolastico. Il trattamento è limitato a legittime finalità didattiche e di sicurezza, come la protezione degli studenti online, la gestione delle attività in classe e la fornitura di supporto tecnico. Nessun dato viene utilizzato per finalità di marketing, profilazione o per qualsiasi finalità non correlata alle funzioni didattiche.
  • Limitazione dello scopo – I dati vengono trattati esclusivamente per le finalità esplicitamente indicate negli accordi di Lightspeed con gli istituti clienti e in conformità con le informative sulla privacy di tali istituti. I dati non vengono ulteriormente trattati in modi incompatibili con tali finalità originarie.
  • Sicurezza dei dati – Lightspeed implementa misure di sicurezza organizzative, fisiche e tecniche per garantire la riservatezza, l'integrità e la disponibilità dei dati personali. Le misure chiave includono, a titolo esemplificativo ma non esaustivo, la crittografia in transito (TLS 1.2+) e a riposo (AES-256), controlli di accesso basati sui ruoli, ambienti SOC 2 Tipo II, monitoraggio continuo e protocolli di risposta agli incidenti.
  • Conservazione dei dati – Lightspeed conserva i dati solo per il tempo necessario all'adempimento degli obblighi contrattuali o legali. Salvo diversa indicazione del cliente, si applicano i periodi di conservazione standard (90 giorni dopo la scadenza della licenza), dopodiché i dati vengono eliminati in modo sicuro o resi anonimi. Lightspeed Systems non tenterà di reidentificare i dati resi anonimi.
  • Diritti dell'interessato – In conformità con il DPA, Lightspeed supporta il pieno esercizio dei diritti degli interessati attraverso le istituzioni dei suoi clienti, tra cui:
    • Diritto di essere informati – trasparenza nella raccolta e nell’uso dei dati
    • Diritto di accesso e rettifica: possibilità di rivedere o correggere le informazioni
    • Diritto alla cancellazione o al blocco – cancellazione o limitazione dei dati non più necessari
    • Diritto alla portabilità dei dati – accesso ai dati in formato portabile
    • Diritto di opposizione e revoca del consenso: possibilità di opporsi o revocare il consenso per specifiche attività di trattamento
    • Diritto di presentare un reclamo – con il Commissione nazionale per la privacy (NPC)
  • Consenso e trasparenza – Lightspeed elabora i dati in base alla legittima autorità e al consenso dell'istituto scolastico. I clienti sono informati della natura, dello scopo e dell'ambito del trattamento dei dati tramite chiare informative sulla privacy e Contratti di Trattamento dei Dati (DPA). Nessun trattamento avviene senza autorizzazione o per un legittimo scopo didattico.
  • Responsabilità e governance – Lightspeed mantiene un quadro completo di governance della privacy e della sicurezza guidato dal suo responsabile della protezione dei dati (DPO), John Genter ([email protected]). L'azienda conserva i registri delle attività di elaborazione, conduce regolarmente valutazioni dell'impatto sulla privacy ed esegue la due diligence sui fornitori per garantire che tutti i subappaltatori soddisfino standard equivalenti.
  • Gestione delle violazioni dei dati – Lightspeed mantiene un piano formale di risposta agli incidenti e di gestione delle violazioni allineato con Circolare NPC 16-03. In caso di violazione dei dati personali:
    • Il titolare del trattamento interessato (scuola/istituto) viene informato senza indebito ritardo.
    • Lightspeed collabora con il responsabile del trattamento per adempiere a qualsiasi notifica obbligatoria all'NPC entro la finestra temporale di 72 ore richiesta.
    • L'analisi delle cause profonde, la bonifica e le azioni correttive vengono documentate e riviste.
  • Trasferimenti transfrontalieri di dati – Laddove i dati personali vengano trasferiti al di fuori delle Filippine (ad esempio, all'infrastruttura cloud sicura degli Stati Uniti di Lightspeed), tali trasferimenti sono protetti tramite crittografia e protocolli di comunicazione sicuri, garanzie contrattuali coerenti con Circolare NPC 16-01e accordi vincolanti con i sub-responsabili del trattamento che garantiscano obblighi di riservatezza, sicurezza e cancellazione. I trasferimenti sono limitati alle finalità approvate dal titolare del trattamento.

Conformità

Legge australiana sulla privacy (1988)

IL Legge sulla privacy australiana del 1988  regola la gestione delle informazioni personali in Australia. Questa legislazione funge da fondamento per le politiche di raccolta e gestione dei dati in tutto il paese. La legge delinea 13 Principi sulla privacy australiani (APP) per la gestione dell'uso informazioni personali e sensibili

A chi si applica la legge sulla privacy?

Il Privacy Act si applica alle agenzie e alle organizzazioni del governo australiano con un fatturato annuo superiore a 3 milioni di dollari australiani che gestiscono informazioni personali di residenti australiani.

Principi fondamentali dell'Australian Privacy Act (1988)

Lightspeed Systems si impegna a soddisfare i requisiti di protezione dei dati delineati nei Principi australiani sulla privacy come segue:

  • Gestione aperta e trasparente delle informazioni personali – Siamo trasparenti sul modo in cui gestiamo le informazioni personali. Il nostro politica sulla riservatezza dettagli su come raccogliamo, utilizziamo, divulghiamo, trasferiamo e memorizziamo le informazioni
  • Anonimato e pseudonimato – Lightspeed Systems utilizza l'anonimizzazione e la pseudonimizzazione per proteggere l'identità degli individui ove possibile, tranne nelle circostanze che richiedono un'identità personale per elaborare i dati.
  • Raccolta di informazioni personali richieste – Pratichiamo la minimizzazione dei dati e la limitazione dello scopo, e raccogliamo solo i dati necessari per soddisfare il servizio richiesto e lo scopo primario. Se mai si presentasse un caso in cui avessimo bisogno di utilizzare i dati per uno scopo secondario, informeremo i nostri clienti e otterremo il loro consenso.
  • Gestione delle informazioni personali non richieste – Abbiamo un blocco automatico per le informazioni non richieste. Per i cookie sui nostri siti web, abbiamo configurato il nostro Cookie Banner con un opt-in come impostazione predefinita per tutti i cookie, ad eccezione dei cookie Strettamente Necessari.
  • Notifica della raccolta di informazioni personali – Gli istituti educativi vengono informati dei dati degli studenti e del personale che vengono raccolti. Ciò è dettagliato nei Contratti di elaborazione dati che sottoscriviamo con i nostri clienti. Manteniamo anche un Programma dati per ciascuno dei nostri prodotti, che specifica i dati raccolti e il motivo per cui vengono raccolti.
  • Utilizzo o divulgazione di informazioni personali – Utilizziamo dati personali pertinenti allo scopo originale per cui le informazioni sono state raccolte. Si prega di fare riferimento alla sezione "Terze parti: come potremmo condividere i tuoi dati" del nostro politica sulla riservatezza per ottenere maggiori dettagli sulle circostanze in cui i dati possono essere divulgati.
  • Marketing diretto – Non pratichiamo marketing diretto a studenti/genitori. Il marketing è rivolto solo alle istituzioni educative e viene loro fornita un'opzione chiara e visibile per rinunciare a tutte le comunicazioni di marketing.
  • Divulgazione transfrontaliera di informazioni personali – I dati transfrontalieri vengono divulgati solo alle organizzazioni che rispettano i principi australiani sulla privacy e previa stipula di un accordo di elaborazione dei dati che le vincola alle pratiche di privacy e sicurezza richieste.
  • Adozione, uso o divulgazione di identificatori governativi – Non utilizziamo identificatori governativi come nostri, né divulghiamo un identificatore di una persona, a meno che non siamo autorizzati a farlo dalla legge o l'identificatore non sia necessario per verificare l'identità dell'individuo.
  • Qualità delle informazioni personali – Abbiamo sistemi in atto per garantire che la qualità delle informazioni personali ricevute sia accurata, completa e aggiornata.
  • Sicurezza delle informazioni personali – Utilizziamo le misure di sicurezza amministrative, tecniche e fisiche richieste per la protezione dei dati, come dettagliato in questa pagina.
  • Accesso alle informazioni personali – Gli individui hanno il diritto di accedere alle proprie informazioni personali, come indicato nel nostro politica sulla riservatezza nella sezione "Protezione transfrontaliera dei dati".
  • Correzione dei dati personali – Gli individui hanno il diritto di correggere le proprie informazioni personali, come indicato nel nostro politica sulla riservatezza nella sezione "Protezione transfrontaliera dei dati".

Conformità

Legge generale sulla protezione dei dati (LGPD) del Brasile

IL Lei Geral de Proteção de Dados (LGPD), nota in italiano come Legge Generale sulla Protezione dei Dati, è il quadro giuridico istituito per regolamentare la raccolta e l'utilizzo dei dati personali in Brasile. Questa legge è entrata in vigore il 16 agosto 2020 e la sua applicazione è supervisionata dall'Autoridade Nacional de Proteção de Dados (ANPD), ovvero l'Autorità Nazionale per la Protezione dei Dati.

 

A chi si applica la legge brasiliana sulla protezione dei dati?

Lightspeed Systems si impegna a rispettare i principi LGPD come segue:

  • Scopo: I dati personali sono trattati per finalità legittime, determinate ed esplicite comunicate all'interessato, senza successivi trattamenti incompatibili.
  • Adeguatezza: Il trattamento dei dati personali avviene secondo le finalità comunicate all’interessato, tenendo conto del contesto del trattamento stesso.
  • Necessità: I dati personali vengono trattati nella misura minima necessaria al conseguimento delle finalità perseguite, utilizzando esclusivamente dati appropriati, proporzionati e non eccessivi.
  • Accesso gratuito: Gli interessati hanno il diritto di chiedere informazioni sulle modalità e la durata del trattamento nonché sull'integrità dei propri dati personali, in modo semplice e gratuito.
  • Qualità dei dati: Gli interessati hanno diritto a informazioni accurate, chiare, pertinenti e aggiornate, nella misura necessaria al raggiungimento delle finalità perseguite.
  • Trasparenza: Gli interessati hanno il diritto a informazioni chiare, accurate e facilmente accessibili sulle attività di trattamento e sui rispettivi agenti del trattamento (titolari del trattamento e responsabili del trattamento), salvaguardando al contempo i segreti commerciali e industriali.
  • Sicurezza: Lightspeed Systems ha implementato le misure tecniche e organizzative necessarie per proteggere i dati personali da accessi non autorizzati e da eventi accidentali o illeciti di distruzione, perdita, alterazione, comunicazione o diffusione, come descritto in dettaglio nella nostra pagina Trust.
  • Prevenzione: Sono state adottate misure preventive per mitigare i rischi associati al trattamento dei dati personali, come dettagliato nella nostra Pagina Trust.
  • Non discriminazione: I dati personali non vengono trattati per scopi discriminatori né in modo illecito o abusivo.
  • Responsabilità: Sono state implementate misure efficaci per conformarsi ai requisiti di protezione dei dati personali e vengono costantemente migliorate in risposta all'evoluzione del contesto.

La LGPD prevede i seguenti principali diritti per gli interessati:

  • di ottenere la conferma dell'esistenza di un trattamento di dati personali che lo riguardano;
  • di accedere ai propri dati personali;
  • di rettificare dati incompleti, inesatti o obsoleti;
  • di ottenere la trasformazione in forma anonima, il blocco o la cancellazione dei dati personali non necessari, eccessivi o non conformi;
  • portabilità dei dati;
  • cancellazione dei dati personali trattati con il consenso dell'interessato, salvo i casi previsti dall'art. 16 della presente legge
  • di essere informato sui terzi con cui sono stati condivisi i propri dati;
  • di essere informato sulla possibilità di rifiutare di fornire i dati personali e sulle relative conseguenze; e
  • di revocare il proprio consenso.

Conformità

Framework sulla privacy dei dati (DPF) del Dipartimento del Commercio degli Stati Uniti

Il 10 luglio 2023 è entrata in vigore la decisione di adeguatezza della Commissione europea per il Framework sulla privacy dei dati UE-USA (EU-US DPF). Il Framework sulla privacy dei dati UE-USA (EU-US DPF) e l'estensione del Regno Unito al Framework sulla privacy dei dati UE-USA (UK Extension to the EU-US DPF), sono stati rispettivamente sviluppati a sostegno del commercio transatlantico dal Dipartimento del commercio degli Stati Uniti, dalla Commissione europea e dal governo del Regno Unito per fornire alle organizzazioni statunitensi meccanismi affidabili per i trasferimenti di dati personali negli Stati Uniti dall'Unione europea/Spazio economico europeo e dal Regno Unito, garantendo al contempo una protezione dei dati coerente con le leggi dell'UE e del Regno Unito. Lightspeed Systems è conforme al Framework sulla privacy dei dati UE-USA (EU-US DPF) e all'estensione del Regno Unito al DPF UE-USA, come stabilito dal Dipartimento del commercio degli Stati Uniti. Lightspeed Systems ha certificato al Dipartimento del Commercio degli Stati Uniti di aderire ai principi del quadro normativo UE-USA sulla privacy dei dati (principi DPF UE-USA) per quanto riguarda l'elaborazione dei dati personali ricevuti dall'Unione Europea e dal Regno Unito in base al DPF UE-USA e all'estensione del Regno Unito al DPF UE-USA. In caso di conflitto tra i termini di questa informativa sulla privacy e i principi DPF UE-USA, prevarranno i principi. Per saperne di più sul programma del quadro normativo sulla privacy dei dati (DPF) e per visualizzare la nostra certificazione, visita https://www.dataprivacyframework.gov/.

Lightspeed Systems è soggetta ai poteri investigativi e di controllo della Federal Trade Commission (FTC).

In conformità con il DPF UE-USA e l'estensione del DPF UE-USA per il Regno Unito, Lightspeed Systems si impegna a collaborare e a rispettare rispettivamente i pareri del comitato istituito dalle autorità per la protezione dei dati (DPA) dell'UE e dall'Information Commissioner's Office (ICO) del Regno Unito in merito ai reclami irrisolti riguardanti la nostra gestione dei dati sulle risorse umane ricevuti in base al DPF UE-USA e all'estensione del DPF UE-USA per il Regno Unito nel contesto del rapporto di lavoro.

Per maggiori dettagli sulla nostra conformità al Framework sulla privacy dei dati, consulta la sezione "Trasferimenti internazionali di dati" del nostro politica sulla riservatezza.

Conformità

Ufficio per il controllo dei beni esteri (OFAC)

L’Ufficio per il controllo dei beni esteri (“OFAC”) del Dipartimento del Tesoro degli Stati Uniti amministra e applica sanzioni economiche e commerciali basate sulla politica estera e sugli obiettivi di sicurezza nazionale degli Stati Uniti contro paesi e regimi stranieri presi di mira, terroristi, trafficanti internazionali di stupefacenti, soggetti coinvolti in attività legate alla proliferazione di armi di distruzione di massa e altre minacce alla sicurezza nazionale, alla politica estera o all'economia degli Stati Uniti.

  • Lightspeed Systems, le sue società controllate e affiliate si impegnano a rispettare pienamente tutte le sanzioni internazionali, comprese, a titolo esemplificativo ma non esaustivo, quelle imposte dagli Stati Uniti, dall'Unione Europea e dal Regno Unito.
  • Le sanzioni internazionali sono le leggi, i regolamenti, gli ordini esecutivi, le determinazioni del consiglio e altre azioni governative che proibiscono un'ampia gamma di transazioni commerciali e finanziarie. È politica di Lightspeed Systems conformarsi a tutte le sanzioni internazionali applicabili.
  • Lightspeed Systems ritiene che un programma di conformità efficace, che affronti i controlli sulle esportazioni con politiche e procedure, sia una parte importante e vitale delle nostre operazioni aziendali e del nostro codice etico di condotta.
  • Esaminiamo tutti gli ordini internazionali in base a vari elenchi di persone e destinazioni sanzionate e proibite prima dell'accettazione. Qualsiasi ordine ricevuto, direttamente o indirettamente, da una persona sanzionata o destinato all'uso finale da parte di una persona sanzionata o in una destinazione sanzionata, verrà respinto.
  • I dipendenti di Lightspeed Systems ricevono una formazione annuale sulla consapevolezza OFAC per garantire la conformità.

Elenco dei sub-responsabili di Lightspeed Systems

Nome dell'entità Attività di sub-elaborazione Posizione dell'entità (HQ) Misure di sicurezza e supplementari
Servizi Web Amazon, Inc. Hosting e archiviazione delle applicazioni Stati Uniti
Bordo chiaro Centro dati Stati Uniti
Società Microsoft Strumenti di posta elettronica e collaborazione Stati Uniti
Nome dell'entità Attività di sub-elaborazione Posizione dell'entità (HQ) Misure di sicurezza e supplementari
Abilmente.io Monitoraggio della presenza Regno Unito
Segno di Adobe Fornitore di firma elettronica Stati Uniti
Datadog Monitoraggio e avviso per i nostri prodotti per garantire il rispetto degli obiettivi di qualità e degli SLA contrattuali Stati Uniti
Azienda Software di gestione del reclutamento Stati Uniti
Alveare AI Moderazione del testo per la funzionalità del prodotto Stati Uniti
Società Microsoft Strumenti di posta elettronica e collaborazione Stati Uniti
Regno UnitoG Software di gestione delle paghe Stati Uniti
NetSuite Sistemi contabili Stati Uniti
IA aperta Fornitore di servizi di intelligenza artificiale generativa per le funzionalità del prodotto intelligence Stati Uniti
Pendo.io Inc Gestione dell'esperienza software Stati Uniti
Forza vendita Assistenza clienti – Fornitore CRM Stati Uniti
Fiocco di neve Analisi dell'utilizzo del prodotto, database di categorizzazione Stati Uniti
Crepuscolo Fornitore di tecnologia delle comunicazioni Stati Uniti
Zoom, Inc. Fornitore di videoconferenze Stati Uniti