Lightspeed Systems® è il tuo partner di fiducia

Sicurezza e conformità

La sicurezza delle informazioni e la protezione dei dati sono parte integrante delle nostre convinzioni fondamentali. Abbiamo team di sicurezza e conformità dedicati, che si impegnano a mantenere le tue informazioni sicure e protette. Lightspeed Systems utilizza politiche e procedure rigorose per garantire la disponibilità, l'integrità e la riservatezza dei dati dei clienti.

Stato del sistema

Sappiamo che ti affidi alle soluzioni Lightspeed Systems per fare cose incredibili, quindi monitoriamo continuamente i nostri servizi internamente e tramite servizi di terze parti. Trova interruzioni in servizi, aggiornamenti e annunci di manutenzione qui.

Sicurezza

Lightspeed Systems comprende la necessità di salvaguardare i dati personali e riservati dei nostri clienti, dipendenti e partner. La privacy e la sicurezza sono una nostra responsabilità e forniamo soluzioni innovative che migliorano, anziché compromettere, la privacy e la sicurezza dei dati.

Conformità

Dal 1999, Lightspeed Systems collabora con scuole di tutto il mondo per proteggere gli studenti e rendere l'apprendimento adattabile al panorama tecnologico in continua evoluzione. La natura della nostra attività ci impone di essere conformi alle varie leggi sulla privacy dei dati degli studenti, per garantire che i dati degli studenti siano salvaguardati.

Stato del servizio Lightspeed Systems

Accordo sul livello di servizio (SLA)

Lightspeed Systems fornisce servizi in hosting, tra cui la gestione dei dispositivi mobili, il filtro web, l'analisi delle app e la gestione delle classi per le scuole. I nostri servizi sono disponibili almeno il 99,5% del tempo, con i server costantemente monitorati per prestazioni e disponibilità.

screenshot su desktop e dispositivi mobili per software di apprendimento a distanza

Sicurezza Lightspeed

Salvaguardie amministrative

Controlli in background dei dipendenti

Tutti i dipendenti Lightspeed Systems vengono sottoposti a controlli dei precedenti e firmano un accordo di non divulgazione prima dell'assunzione.

Gestione degli incidenti

Abbiamo un piano di risposta agli incidenti scritto che descrive in dettaglio i processi per rilevare, segnalare, identificare, analizzare e rispondere agli incidenti di sicurezza che incidono sulle reti Lightspeed Systems e sui dati dei clienti.

Notifica di violazione dei dati

Se veniamo a conoscenza di una violazione dei dati, seguiremo il nostro Piano di risposta agli incidenti e informeremo i nostri clienti senza indebito ritardo. 

Formazione per la consapevolezza della privacy e della sicurezza dei dipendenti

Al momento dell'assunzione e su base continuativa, tutti i dipendenti sono tenuti a intraprendere una formazione sulla privacy e sulla sicurezza, che copra le pratiche sulla privacy ei principi che si applicano al trattamento dei dati personali da parte dei dipendenti, inclusa la necessità di porre limitazioni all'uso, all'accesso, alla condivisione e alla conservazione dei dati personali. informazione.

Forniamo formazione su aspetti specifici della sicurezza che richiedono in base ai loro ruoli. Ad esempio, il team di sviluppo del prodotto segue la formazione sulla privacy fin dalla progettazione e sullo sviluppo di software sicuro. I dipendenti sono inoltre soggetti a regolari e-mail di phishing.

Selezione dei fornitori e gestione dei rischi

Lightspeed Systems può utilizzare sub-processori per eseguire servizi e ha il diritto di accedere ai dati dei clienti solo se necessario per eseguire i Servizi e sarà vincolato da accordi scritti che richiedono loro di fornire rigorosi livelli di protezione dei dati richiesti da Lightspeed e dalle normative applicabili. Ecco un elenco dei nostri subprocessori.

Vengono condotte valutazioni preliminari e costanti dei fornitori per garantire che siano in atto pratiche di protezione e riservatezza dei dati adeguate durante tutto il rapporto con il fornitore.

  • Le modifiche ai servizi del fornitore forniti o le modifiche ai contratti esistenti richiedono una valutazione del rischio per la sicurezza per confermare che le modifiche non presentano rischi aggiuntivi o indebiti.

I documenti della politica e della procedura sono in linea con i quadri sulla privacy / sicurezza del NIST

Lightspeed Systems rivede i suoi sistemi rispetto ai controlli CIS e ai quadri NIST, e qualsiasi rischio o lacuna identificata viene affrontata di conseguenza.

Abbiamo un team designato per la governance dei dati che tiene riunioni trimestrali per garantire l'integrità dei dati

I seguenti documenti di policy sono stati istituiti e implementati in tutta l'organizzazione: Security Policy, Incident Response Plan, Vulnerability Remediation Policy, Patch Policy, IT Standards Policy, Data Classification Policy, Data Elimination Policy, Vendor Assessment Policy, Vendor Security Standards Verification Procedure, Password Policy, Clean Desk Policy, Privacy Inquiry Policy, Data Governance Policy, Building Access Policy e PIA & DPIA Procedure.

Sicurezza Lightspeed

Salvaguardie tecniche

Crittografia dei dati

I dati vengono crittografati in transito e inattivi.

 

Conservazione e cancellazione dei dati

Lightspeed Systems ha implementato una politica di conservazione dei dati. Laddove appropriato, le nostre soluzioni utilizzano regole automatizzate per eliminare i dati in base alla politica.

 

Backup dei dati

Eseguiamo backup regolari di dati e sistemi. Gli intervalli di backup dipendono dal tipo di dati e vanno da minuti a una volta al giorno.

Riparazione delle vulnerabilità

Lightspeed Systems ha una politica di correzione delle vulnerabilità per identificare e correggere le vulnerabilità in base al rischio che presentano. Utilizziamo software di gestione delle patch per monitorare i sistemi e garantire l'implementazione delle patch.

 

Protezione da malware

Lightspeed Systems dispone di soluzioni anti-malware e anti-spam per proteggere server e workstation.

 

Registrazione e monitoraggio

Lightspeed Systems ha implementato soluzioni di registrazione e monitoraggio per identificare e indagare su possibili eventi di sicurezza.

identità e controllo degli accessi

L'accesso alle informazioni personali è limitato tramite le credenziali di accesso a quei dipendenti che lo richiedono per svolgere le proprie funzioni lavorative. Inoltre, Lightspeed Systems utilizza controlli di accesso come autenticazione a più fattori, Single Sign-On, privilegi minimi e accesso in base alle necessità, controlli con password complesse e accesso limitato agli account amministrativi.

Le nostre soluzioni consentono ai clienti di creare ruoli di "amministratore" che forniscono solo i diritti necessari per eseguire le funzioni richieste.

Sicurezza Lightspeed

Salvaguardie fisiche

sicurezza sul posto di lavoro

Lightspeed Systems mantiene i seguenti controlli progettati per impedire l'accesso non autorizzato ai nostri uffici:

  • L'accesso alla struttura è limitato alle persone autorizzate mediante l'uso di chiavi / portachiavi o badge di accesso.
  • Gli uffici Lightspeed dispongono di sistemi o dispositivi antincendio e di rilevazione incendi, nonché uscite di emergenza e percorsi di evacuazione.

sicurezza del data center

Tutti i data center in cui i dati vengono elaborati e archiviati si trovano negli Stati Uniti e detengono le certificazioni SOC 2, HIPPA, PCI DSS e ISO 27001. Lightspeed dispone di un processo per registrare, monitorare e rispondere a eventi e anomalie nei suoi sistemi e soluzioni. Sono disponibili anche soluzioni di backup e ripristino dei dati.

Principi di progettazione sicura

Lightspeed Systems pratica la sicurezza fin dalla progettazione. Utilizziamo un ciclo di vita di sviluppo software sicuro basato su Metodologie OWASP.

  • I nostri sistemi e processi tengono conto dei pilastri fondamentali della sicurezza delle informazioni: riservatezza, integrità e disponibilità.

Contattaci se sospetti una vulnerabilità di sicurezza all'interno di Lightspeed Systems

Contattaci se sospetti una vulnerabilità di sicurezza all'interno di Lightspeed Systems

Conformità

Legge sulla protezione della privacy online dei bambini (COPPA)

COPPA si applica alla raccolta online di informazioni personali da parte di persone o entità sotto la giurisdizione degli Stati Uniti sui minori di 13 anni. Il consenso dei genitori è richiesto per la raccolta o l'utilizzo di qualsiasi informazione personale degli utenti.

  • Lightspeed Systems è conforme al Children's Online Privacy Protection Act (COPPA, per garantire la sicurezza online dei bambini. Gli account degli studenti vengono forniti solo tramite un educatore, una scuola o un'organizzazione educativa verificati. Gli educatori accettano di ottenere l'autorizzazione dei genitori prima di rilasciare account agli studenti. 

Rispettiamo le seguenti linee guida COPPA elencate di seguito e accettiamo:

  • NON raccogliere informazioni di contatto online senza il consenso di un genitore, di un educatore qualificato o di un istituto scolastico.
  • NON raccogliere informazioni di contatto offline identificabili personalmente.
  • NON distribuire a terzi qualsiasi informazione di identificazione personale senza previo consenso dei genitori.
  • NON invogliare con la prospettiva di un gioco speciale, premio o altra attività o di divulgare più informazioni di quelle necessarie per partecipare all'attività.
  • NON utilizzare o divulgare le informazioni sugli studenti per il targeting comportamentale degli annunci pubblicitari agli studenti.
  • NON costruire un profilo personale di uno studente diverso da quello per supportare scopi educativi / scolastici autorizzati.

Conformità

Family Educational Rights & Privacy Act (FERPA)

Il Legge sui diritti educativi e sulla privacy della famiglia (FERPA) è una legge federale che protegge la privacy dei documenti relativi all'istruzione degli studenti. La legge si applica a tutte le scuole che ricevono fondi nell'ambito di un programma applicabile del Dipartimento dell'Istruzione degli Stati Uniti.

  • Sebbene FERPA si applichi alle scuole e non alle aziende, Lightspeed Systems può essere designato come un 'Funzionario scolastico' e come tale, siamo conformi ai requisiti FERPA e ci siamo impegnati a proteggere la privacy delle informazioni degli studenti, che ci viene affidata dai Distretti scolastici . I distretti scolastici hanno il controllo di tutti i dati degli studenti e noi procediamo sotto la loro direzione. Ai sensi della FERPA, i genitori o gli studenti idonei hanno il diritto di accedere, ispezionare, rivedere e rettificare i dati degli studenti e Lightspeed rispetta questi diritti quando riceviamo una richiesta scritta verificata dal distretto scolastico.
  • Si prega di notare che Lightspeed Systems non ha contatti diretti con studenti o genitori.

Conformità

Legge sull'istruzione di New York 2-D

Legge sull'istruzione § 2-d è entrato in vigore nell'aprile 2014. L'obiettivo dello statuto era quello di promuovere la privacy e la sicurezza delle informazioni di identificazione personale (PII) degli studenti e di alcune informazioni personali relative agli insegnanti e ai presidi della classe.

Lightspeed Systems è conforme alla NY ED Law 2-D e al Carta dei diritti dei genitori, che richiede quanto segue:

  • Le informazioni di identificazione personale (PII) di uno studente non possono essere vendute o rilasciate per scopi commerciali;
  • Il diritto di ispezionare e rivedere il contenuto completo del record di istruzione dello studente archiviato o mantenuto da un'agenzia educativa;
  • Quando le informazioni personali degli studenti vengono archiviate o trasferite, devono essere messe in atto misure di salvaguardia associate agli standard di settore e alle migliori pratiche, inclusi ma non limitati a crittografia, firewall e protezione tramite password;
  • Per essere informato in conformità con le leggi e i regolamenti applicabili in caso di violazione o rilascio non autorizzato di PII;
  • I genitori hanno il diritto di ricevere reclami su possibili violazioni dei dati degli studenti;
  • I lavoratori delle agenzie educative che gestiscono le PII riceveranno una formazione sulle leggi statali e federali applicabili, le politiche e le garanzie associate agli standard di settore e alle migliori pratiche che proteggono le PII;
  • I contratti dell'agenzia educativa con i fornitori che ricevono PII risponderanno ai requisiti di sicurezza e privacy dei dati legali e regolamentari.

Conformità

Impegno per la privacy degli studenti

Il Impegno per la privacy degli studenti è una dichiarazione pubblica e legalmente applicabile da parte di società tecnologiche ed tecnologiche per salvaguardare la privacy degli studenti, costruita intorno agli impegni riguardanti la raccolta, la manutenzione e l'uso delle informazioni personali degli studenti.

distintivo del firmatario dell'impegno per la privacy dello studente

Conformità

Student Data Privacy Consortium (SDPC) e National Data Processing Agreement (NDPA)

Il SDPC è una collaborazione unica di scuole, distretti, enti regionali, territori e statali, responsabili politici, organizzazioni commerciali e fornitori di mercati che affrontano soluzioni del mondo reale, adattabili e implementabili a crescenti problemi di privacy dei dati.
  • L'SDPC ha rilasciato il primo Accordo nazionale sulla privacy dei dati (NDPA) razionalizzare la contrattazione delle domande e stabilire aspettative comuni tra scuole / distretti e fornitori di mercato.
  • Lightspeed sta collaborando con i distretti scolastici in tutti gli Stati partecipanti per garantire che siano in atto accordi sul trattamento dei dati.
  • I distretti scolastici che desiderano firmare l'SDPC e l'NDPA con noi sono incoraggiati a inviare un'email privacy@lightspeedsystems.com

Conformità

California Consumer Privacy Act (CCPA)

Il California Consumer Privacy Act del 2018 (CCPA) offre ai consumatori un maggiore controllo sulle informazioni personali che le aziende raccolgono su di loro.

  • Lightspeed Systems si impegna a soddisfare i requisiti del CCPA e a proteggere i tuoi dati.
  • Nostro politica sulla riservatezza fornisce informazioni dettagliate su come Lightspeed Systems raccoglie ed elabora le tue informazioni personali.

I consumatori della California possono presentare una richiesta in conformità ai loro diritti ai sensi del CCPA contattandoci all'indirizzo privacy@lightspeedsystems.com

Conformità

Regolamento generale sulla protezione dei dati (GDPR)

GDPR è un regolamento che impone alle aziende di proteggere i dati personali e la privacy dei cittadini dell'UE per le transazioni che avvengono all'interno degli Stati membri dell'UE.

  • Lightspeed Systems si impegna a soddisfare i requisiti di protezione dei dati del GDPR.
  • Abbiamo implementato i seguenti processi per garantire la conformità al GDPR:
    • Minimizzazione dei dati: raccogliamo solo i dati necessari per uno scopo specifico e l'uso è limitato allo scopo dichiarato.
    • Mappatura e classificazione dei dati: manteniamo un inventario dettagliato dei dati personali e quindi li classifichiamo. Questo è un processo continuo, sul quale lavoriamo costantemente per migliorare.
    • Conservazione dei dati - Conserviamo i dati solo per il tempo necessario a soddisfare lo scopo dichiarato e ad adempiere ai nostri obblighi contrattuali Abbiamo implementato i seguenti processi per garantire la conformità al GDPR:
    • Anonimizzazione dei dati
Badge di conformità GDPR
    • Abbiamo un DPA con clausole contrattuali standard, approvato dalla Commissione Europea, per proteggere il trasferimento di dati personali al di fuori dell'UE / Regno Unito.
    • Si prega di contattare privacy@lightspeedsystems.com per eseguire il DPA con noi.
    • Abbiamo implementato misure tecniche e organizzative adeguate per proteggere i dati personali.

Conformità

Scudo per la privacy

Il Framework per lo scudo per la privacy UE-USA e Svizzera-USA sono stati progettati rispettivamente dal Dipartimento del Commercio degli Stati Uniti e dalla Commissione europea e dall'amministrazione svizzera per fornire alle aziende su entrambe le sponde dell'Atlantico un meccanismo per conformarsi ai requisiti di protezione dei dati durante il trasferimento dei dati personali dall'Unione europea e dalla Svizzera negli Stati Uniti Stati a sostegno del commercio transatlantico.

 Il 16 luglio 2020 la Corte di giustizia dell'Unione europea ha emesso un giudizio dichiarando “non valida” la Decisione (UE) 2016/1250 della Commissione Europea del 12 luglio 2016 sull'adeguatezza della tutela fornita dal Privacy Shield UE-USA. A seguito di tale decisione, il quadro dello scudo per la privacy UE-USA non è più un meccanismo valido per conformarsi ai requisiti di protezione dei dati dell'UE durante il trasferimento di dati personali dall'Unione europea agli Stati Uniti. Tale decisione non solleva i partecipanti allo scudo per la privacy UE-USA dai loro obblighi ai sensi dello scudo per la privacy UE-USA.

  • Lightspeed Systems continua a mantenere il nostro Certificazione Privacy Shield, che ci lega a rigorosi principi di protezione dei dati.
  • Abbiamo incorporato le clausole contrattuali standard dell'UE nel nostro DPA, per tenere conto dei trasferimenti di dati transfrontalieri. In alcuni casi, ci affidiamo a Deroga dell'articolo 49 del GDPR, laddove il trasferimento sia necessario per l'esecuzione di un contratto tra l'interessato e il titolare del trattamento o per l'attuazione di misure precontrattuali adottate su richiesta dell'interessato.

Conformità

Office of Foreign Assets Control (OFAC)

L'Office of Foreign Assets Control ("OFAC") del Dipartimento del Tesoro degli Stati Uniti amministra e applica sanzioni economiche e commerciali basate sulla politica estera degli Stati Uniti e sugli obiettivi di sicurezza nazionale contro paesi e regimi stranieri presi di mira, terroristi, trafficanti di narcotici internazionali, coloro che sono coinvolti in attività legate alla proliferazione di armi di distruzione di massa, e altre minacce alla sicurezza nazionale, alla politica estera o all'economia degli Stati Uniti.

  • Lightspeed Systems, le sue società sussidiarie e affiliate si impegnano a rispettare pienamente tutte le sanzioni internazionali comprese, a titolo esemplificativo ma non esaustivo, quelle imposte dagli Stati Uniti, dall'Unione Europea e dal Regno Unito.
  • Le sanzioni internazionali sono le leggi, i regolamenti, gli ordini esecutivi, le decisioni del consiglio e altre azioni governative che vietano un'ampia gamma di transazioni commerciali e finanziarie. È politica di Lightspeed Systems rispettare tutte le sanzioni internazionali applicabili.
  • Lightspeed Systems considera un programma di conformità efficace che affronta i controlli delle esportazioni con politiche e procedure una parte importante e vitale delle nostre operazioni aziendali e del codice di condotta etico.
  • Esaminiamo tutti gli ordini internazionali rispetto a vari elenchi di persone e destinazioni sanzionate e vietate prima dell'accettazione. Qualsiasi ordine ricevuto, direttamente o indirettamente, da una persona sanzionata o destinato all'uso finale da parte di una persona sanzionata o in una destinazione sanzionata, sarà respinto.

I dipendenti Lightspeed Systems ricevono una formazione annuale sulla consapevolezza dell'OFAC per garantire la conformità.

Per informazioni più dettagliate su come gestiamo i dati personali e i dettagli dei nostri Servizi, fare riferimento al nostro
politica sulla riservatezza e Condizioni d'uso.

Lightspeed Systems Subprocessor List

Nome dell'entità

Attività di sottoprocesso

Posizione entità (HQ)

Amazon Web Services, Inc.

Hosting e archiviazione di applicazioni

stati Uniti

Equinix

Banca dati

stati Uniti

LightEdge

Banca dati

stati Uniti

Microsoft Corporation (Microsoft Azure)

Hosting e archiviazione di applicazioni

stati Uniti

Nome dell'entità

Attività di sottoprocesso

Posizione entità (HQ)

Ably.io

Monitoraggio della presenza

Regno Unito

DocuSign

Fornitore di firme elettroniche

stati Uniti

La storia completa

Analisi del prodotto

stati Uniti

Greenhouse Software Inc.

Software per la gestione delle assunzioni

stati Uniti

Incorta

Analisi dei dati

stati Uniti

Microsoft Corporation

Email e strumenti di collaborazione

stati Uniti

Vale a dire

Software per la gestione delle buste paga

stati Uniti

NetSuite

Sistemi contabili

stati Uniti

Pendo.io Inc

Gestione dell'esperienza software

stati Uniti

Salesforce

Assistenza clienti - Provider CRM

stati Uniti

Twilio

Fornitore di tecnologia delle comunicazioni

stati Uniti