ライトスピードシステム® あなたの信頼できるパートナーです

セキュリティとコンプライアンス

情報セキュリティとデータ保護は、私たちの基本的な信念の不可欠な部分です。当社には専任のセキュリティおよびコンプライアンスチームがあり、お客様の情報を安全に保つことに尽力しています。 Lightspeed Systemsは、顧客データの可用性、整合性、および機密性を確保するために、厳格なポリシーと手順を採用しています。

システムステータス

Lightspeed Systemsソリューションを利用してすばらしいことを行っていることは承知しており、社内およびサードパーティのサービスを通じてサービスを継続的に監視しています。ここで、サービス、更新、およびメンテナンスの発表の中断を見つけます。

セキュリティ

Lightspeed Systemsは、お客様、従業員、およびパートナーの個人データと機密データを保護する必要性を理解しています。プライバシーとセキュリティは私たちの責任であり、データのプライバシーとセキュリティを妥協するのではなく強化する革新的なソリューションを提供します。

コンプライアンス

1999年以来、Lightspeed Systemsは世界中の学校と提携して、生徒を保護し、絶えず変化する技術的状況に学習を適応させてきました。私たちのビジネスの性質上、学生データを確実に保護するために、さまざまな学生データプライバシー法に準拠することが義務付けられています。

Lightspeed Systemsサービスステータス

サービスレベル契約(SLA)

Lightspeed Systemsは、モバイルデバイス管理、Webフィルタリング、アプリ分析、学校の教室管理などのホスト型サービスを提供します。当社のサービスは、少なくとも99.5%の時間で利用可能であり、サーバーのパフォーマンスと可用性は継続的に監視されています。

遠隔教育ソフトウェアのデスクトップおよびモバイルデバイスのスクリーンショット

Lightspeedセキュリティ

管理上のセーフガード

従業員の身元調査

Lightspeed Systemsの全従業員は、身元調査を受け、雇用前に機密保持契約に署名します。

事故管理

Lightspeed Systemsネットワークと顧客データに影響を与えるセキュリティインシデントを検出、報告、識別、分析、および対応するためのプロセスを詳述したインシデント対応計画が作成されています。

データ漏えい通知

データ漏えいを発見した場合は、インシデント対応計画に従い、遅滞なくお客様に通知します。 

従業員のプライバシーとセキュリティ意識のトレーニング

雇用時および継続的に、すべての従業員はプライバシーとセキュリティのトレーニングを実施する必要があります。これには、プライバシー慣行と、個人情報の使用、アクセス、共有、保持に制限を設ける必要性など、従業員による個人情報の取り扱いに適用される原則が含まれます。情報。

役割に基づいて、セキュリティの特定の側面に関するトレーニングを提供します。たとえば、製品開発チームは、設計によるプライバシーと安全なソフトウェア開発トレーニングを受けます。従業員には、定期的にフィッシングメールが送信されます。

ベンダーの選択とリスク管理

Lightspeed Systemsは、サブプロセッサを使用してサービスを実行でき、サービスを実行するために必要な場合にのみ顧客データにアクセスする権利があり、Lightspeedおよび適用される規制によって要求される厳格なレベルのデータ保護を提供することを要求する書面による合意に拘束されるものとします。 これが私たちのサブプロセッサのリストです。

ベンダーとの関係全体で適切なデータプライバシーとセキュリティ慣行が実施されていることを確認するために、事前契約と継続的なベンダー評価が実施されます。

  • 提供されるベンダーサービスの変更または既存の契約の変更には、変更が追加または過度のリスクを示さないことを確認するためのセキュリティリスク評価が必要です。

ポリシーと手順のドキュメントは、NISTプライバシー/セキュリティフレームワークに準拠しています

Lightspeed Systemsは、CISコントロールおよびNISTフレームワークに対してシステムをレビューし、特定されたリスクまたはギャップに応じて対処します。

データの整合性を確保するために四半期ごとの会議を開催する指定のデータガバナンスチームがあります

次のポリシードキュメントが組織全体で作成および実装されています:セキュリティポリシー、インシデント対応計画、脆弱性修復ポリシー、パッチポリシー、IT標準ポリシー、データ分類ポリシー、データ削除ポリシー、ベンダー評価ポリシー、ベンダーセキュリティ標準検証手順、パスワードポリシー、クリーンデスクポリシー、プライバシー照会ポリシー、データガバナンスポリシー、建物アクセスポリシー、PIA&DPIA手順。

Lightspeedセキュリティ

技術的保護手段

データ暗号化

データは転送中および保存時に暗号化されます。

 

データの保持と削除

Lightspeed Systemsはデータ保持ポリシーを実装しています。必要に応じて、当社のソリューションは自動化されたルールを利用して、ポリシーに従ってデータをパージします。

 

データバックアップ

データとシステムの定期的なバックアップを実行します。バックアップ間隔はデータの種類によって異なり、数分から1日1回の範囲です。

脆弱性の修復

Lightspeed Systemsには、脆弱性が存在するリスクに応じて脆弱性を特定して修正するための脆弱性修正ポリシーがあります。パッチ管理ソフトウェアを使用してシステムを監視し、パッチが実装されていることを確認します。

 

マルウェア保護

Lightspeed Systemsは、サーバーとワークステーションを保護するためのマルウェア対策およびスパム対策ソリューションを導入しています。

 

ロギングとモニタリング

Lightspeed Systemsは、発生する可能性のあるセキュリティイベントを特定および調査するために、ロギングおよびモニタリングソリューションを導入しました。

IDとアクセス制御

個人情報へのアクセスは、ログイン資格情報を通じて、職務を遂行するためにそれを必要とする従業員に制限されます。さらに、Lightspeed Systemsは、多要素認証、シングルサインオン、必要に応じた最小特権とアクセス、強力なパスワード制御、管理者アカウントへのアクセス制限などのアクセス制御を利用します。

当社のソリューションにより、お客様は、必要な機能を実行するために必要な権限のみを提供する「管理者」の役割を作成できます。

Lightspeedセキュリティ

物理的セーフガード

職場のセキュリティ

Lightspeed Systemsは、オフィスへの不正アクセスを防止するために設計された次のコントロールを維持しています。

  • 施設へのアクセスは、キー/キーフォブまたはアクセスバッジを使用して許可された個人に制限されます。
  • Lightspeedのオフィスには、消火および火災検知のシステムまたはデバイス、非常口および避難経路があります。

データセンターのセキュリティ

データが処理および保存されるすべてのデータセンターは米国にあり、SOC 2、HIPPA、PCI DSS、およびISO27001の認証を保持しています。 Lightspeedには、システムとソリューションのイベントと異常をログに記録し、監視し、対応するためのプロセスがあります。データのバックアップとリカバリのソリューションも用意されています。

安全な設計原則

Lightspeed Systemsは、設計によりセキュリティを実践しています。に基づく安全なソフトウェア開発ライフサイクルを利用します OWASP方法論.

  • 当社のシステムとプロセスは、情報セキュリティの中核となる柱である機密性、完全性、可用性を考慮に入れています。

Lightspeed Systems内のセキュリティの脆弱性が疑われる場合は、お問い合わせください

Lightspeed Systems内のセキュリティの脆弱性が疑われる場合は、お問い合わせください

コンプライアンス

児童オンラインプライバシー保護法(COPPA)

COPPA 13歳未満の子供に関する米国の管轄下にある個人または団体による個人情報のオンライン収集に適用されます。ユーザーの個人情報の収集または使用には、保護者の同意が必要です。

  • Lightspeed Systemsは、児童オンラインプライバシー保護法(COPPA、子供のオンラインの安全を確保するため)に準拠しています。学生のアカウントは、確認済みの教育者、学校、または教育機関を通じてのみ提供されます。教育者は、学生にアカウントを発行する前に保護者の許可を得ることに同意します。 

以下のCOPPAガイドラインを満たし、以下に同意します。

  • ない 親または資格のある教育者または教育機関の同意なしにオンライン連絡先情報を収集します。
  • ない 個人を特定できるオフラインの連絡先情報を収集します。
  • ない 事前の保護者の同意なしに、個人を特定できる情報を第三者に配布する。
  • ない 特別なゲーム、賞品、またはその他の活動の見通しによって、または活動に参加するために必要な以上の情報を漏らすように誘惑します。
  • ない 学生への広告の行動ターゲティングのために学生情報を使用または開示する。
  • ない 認可された教育/学校の目的をサポートする以外の目的で、学生の個人プロファイルを作成します。

コンプライアンス

家族教育の権利とプライバシー法(FERPA)

ザ・ 家族教育の権利とプライバシー法(FERPA) は、学生の教育記録のプライバシーを保護する連邦法です。この法律は、米国教育省の該当するプログラムの下で資金を受け取るすべての学校に適用されます。

  • FERPAは企業ではなく学校に適用されますが、Lightspeed Systemsは「学校関係者」として指定される場合があるため、FERPA要件に準拠し、学区から委託された生徒の情報のプライバシーの保護に取り組んでいます。 。学区はすべての生徒データを管理しており、私たちは彼らの指示の下で進めます。 FERPAの下では、保護者または資格のある生徒は生徒の記録にアクセス、検査、確認、修正する権利があり、学区から確認済みの書面による要求を受け取った場合、Lightspeedはこれらの権利を遵守します。
  • Lightspeed Systemsは生徒や保護者と直接接触しないことに注意してください。

コンプライアンス

ニューヨーク教育法2-D

教育法§2-d この法律の焦点は、生徒の個人情報(PII)と、教室の教師や校長に関連する特定のPIIのプライバシーとセキュリティを促進することでした。

Lightspeed Systemsは、NY ED Law2-Dおよび 親の権利章典、これには以下が必要です。

  • 学生の個人情報(PII)は、商業目的で販売または公開することはできません。
  • 教育機関によって保存または維持されている学生の教育記録の完全な内容を検査および確認する権利。
  • 学生のPIIを保存または転送するときは、暗号化、ファイアウォール、パスワード保護などの業界標準とベストプラクティスに関連する保護手段を講じる必要があります。
  • PIIの違反または不正なリリースが発生した場合、適用される法律および規制に従って通知を受けること。
  • 保護者は、生徒のデータの侵害の可能性について苦情を申し立てる権利があります。
  • PIIを扱う教育機関の労働者は、PIIを保護する業界標準とベストプラクティスに関連する、該当する州および連邦の法律、ポリシー、およびセーフガードに関するトレーニングを受けます。
  • PIIを受け取るベンダーとの教育機関契約は、法定および規制データのプライバシーとセキュリティの要件に対応します。

コンプライアンス

学生のプライバシーの誓約

ザ・ 学生のプライバシーの誓約 は、学生の個人情報の収集、保守、および使用に関する取り組みを中心に構築された、学生のプライバシーを保護するための教育工学企業による公的かつ法的に強制力のある声明です。

  • Lightspeed Systemsは署名しました 学生のプライバシーの誓約 責任あるスチュワードシップと学生の個人情報の適切な使用を実行するため。
学生のプライバシー誓約署名者バッジ

コンプライアンス

学生データプライバシーコンソーシアム(SDPC)および全国データ処理契約(NDPA)

ザ・ SDPC は、学校、学区、地域、準州、州の機関、政策立案者、業界団体、市場プロバイダーのユニークなコラボレーションであり、増大するデータプライバシーの懸念に対する現実の、適応性のある、実装可能なソリューションに取り組んでいます。
  • SDPCは最初にリリースしました National Data Privacy Agreement(NDPA) アプリケーションの契約を合理化し、学校/地区と市場プロバイダーの間で共通の期待を設定します。
  • Lightspeedは、参加しているすべての州の学区と協力して、データ処理契約を確実に締結しています。
  • 私たちと一緒にSDPCとNDPAに署名したい学区は、電子メールを送信することをお勧めします プライバシー@ lightspeedsystems.com

コンプライアンス

カリフォルニア消費者プライバシー法(CCPA)

ザ・ 2018年のカリフォルニア消費者プライバシー法 (CCPA)は、企業が収集する個人情報を消費者がより細かく制御できるようにします。

  • Lightspeed Systemsは、CCPAの要件を満たし、データを保護することをお約束します。
  • 私たちの 個人情報保護方針 Lightspeed Systemsがお客様の個人情報を収集および処理する方法に関する詳細情報を提供します。

カリフォルニア州の消費者は、CCPAに基づく権利に従って、次のURLに連絡してリクエストを行うことができます。 プライバシー@ lightspeedsystems.com

コンプライアンス

一般データ保護規則(GDPR)

GDPR は、EU加盟国内で発生する取引について、EU市民の個人データとプライバシーを保護することを企業に要求する規制です。.

  • Lightspeed Systemsは、GDPRのデータ保護要件を満たすことに取り組んでいます。
  • GDPRに準拠するために、次のプロセスを実装しました。
    • データの最小化–特定の目的に必要なデータのみを収集し、使用は指定された目的に限定されます。
    • データのマッピングと分類–個人データの詳細なインベントリを維持し、そのデータを分類します。これは継続的なプロセスであり、常に改善に取り組んでいます。
    • データの保持–定められた目的を達成し、契約上の義務を果たすために必要な期間のみデータを保持します。GDPRに準拠するために、次のプロセスを実装しました。
    • データの匿名化
GDPRコンプライアンスバッジ
    • EU / UK以外への個人データの転送を保護するために、欧州委員会によって承認された標準契約条項付きのDPAがあります。
    • に連絡してください プライバシー@ lightspeedsystems.com 私たちと一緒にDPAを実行します。
    • 当社は、個人データを保護するために適切な技術的および組織的対策を実施しています。

コンプライアンス

プライバシーシールド

ザ・ EU-米国およびスイス-米国のプライバシーシールドフレームワーク は、米国商務省、欧州委員会、スイス政府によってそれぞれ設計され、欧州連合とスイスから米国に個人データを転送する際のデータ保護要件に準拠するメカニズムを大西洋の両側の企業に提供します。大西洋横断商取引を支持する国。

 2020年7月16日、欧州連合司法裁判所は 判定 EU-USプライバシーシールドによって提供される保護の適切性に関する2016年7月12日の欧州委員会の決定(EU)2016/1250を「無効」として宣言します。その決定の結果として、EU-USプライバシーシールドフレームワークは、欧州連合から米国に個人データを転送する際にEUデータ保護要件に準拠するための有効なメカニズムではなくなりました。この決定は、EU-USプライバシーシールドの参加者がEU-USプライバシーシールドフレームワークに基づく義務を免れるものではありません。

  • Lightspeed Systemsは引き続き プライバシーシールド認証、これは私たちを厳格なデータ保護の原則に拘束します。
  • 国境を越えたデータ転送を説明するために、EU標準契約条項をDPAに組み込んでいます。場合によっては、 GDPR第49条の非難、データ主体と管理者との間の契約の履行、またはデータ主体の要求に応じて講じられる契約前の措置の実施のために転送が必要な場合。

コンプライアンス

外国資産管理局(OFAC)

外国資産管理局(「OFAC」) 米国財務省は、米国の外交政策と国家安全保障の目標に基づいて、標的となる外国や政権、テロリスト、国際麻薬密売人、大量破壊兵器の拡散に関連する活動に従事する人々に対する経済制裁と貿易制裁を管理および施行します。および米国の国家安全保障、外交政策または経済に対するその他の脅威。

  • Lightspeed Systems、その子会社および関連会社は、米国、欧州連合、および英国によって課された制裁を含むがこれらに限定されないすべての国際的制裁を完全に遵守することを約束します。
  • 国際的な制裁とは、法律、規制、大統領命令、評議会の決定、およびその他の政府の行動であり、幅広い商取引および金融取引を禁止しています。適用されるすべての国際的制裁を遵守することがLightspeed Systemsの方針です。
  • Lightspeed Systemsは、ポリシーと手順を使用して輸出管理に対処する効果的なコンプライアンスプログラムを、当社の事業運営と倫理的行動規範の重要かつ重要な部分であると考えています。
  • 私たちは、受け入れられる前に、認可および禁止されている人と目的地のさまざまなリストに対してすべての国際注文をスクリーニングします。制裁対象者から直接的または間接的に受け取った注文、または制裁対象者による最終的な最終使用を目的とした注文、または制裁対象の目的地での注文は拒否されます。

Lightspeed Systemsの従業員は、コンプライアンスを確保するために、毎年OFAC認識トレーニングを受けています。

当社が個人データを取り扱う方法および当社のサービスの詳細の詳細については、当社の当社を参照してください。
個人情報保護方針 そして 利用規約.

Lightspeed Systemsサブプロセッサリスト

エンティティ名

サブプロセッシングアクティビティ

エンティティの場所(HQ)

アマゾンウェブサービス株式会社

アプリケーションのホスティングとストレージ

アメリカ

エクイニクス

データセンター

アメリカ

LightEdge

データセンター

アメリカ

Microsoft Corporation(Microsoft Azure)

アプリケーションのホスティングとストレージ

アメリカ

エンティティ名

サブプロセッシングアクティビティ

エンティティの場所(HQ)

Ably.io

プレゼンスモニタリング

イギリス

DocuSign

電子署名プロバイダー

アメリカ

FullStory

製品分析

アメリカ

Greenhouse Software Inc.

採用管理ソフトウェア

アメリカ

インコルタ

データ分析

アメリカ

マイクロソフト

メールとコラボレーションツール

アメリカ

つまり、

給与管理ソフトウェア

アメリカ

NetSuite

会計システム

アメリカ

Pendo.io Inc

ソフトウェアエクスペリエンス管理

アメリカ

Salesforce

カスタマーサポート–CRMプロバイダー

アメリカ

Twilio

通信技術プロバイダー

アメリカ