Lightspeed Trust
Lightspeed Systems® er din betrodde partner
Trygg og sikker
Informasjonssikkerhet og databeskyttelse er en integrert del av vår kjernetro. Vi har dedikerte sikkerhets- og overholdelsesteam, som er forpliktet til å holde informasjonen din trygg og sikker. Lightspeed Systems bruker strenge retningslinjer og prosedyrer for å sikre tilgjengelighet, integritet og konfidensialitet for kundedata.
Lightspeed Systems Service Status
Service Level Agreement (SLA)
Lightspeed Systems tilbyr vertsbaserte tjenester, inkludert administrasjon av mobilenheter, nettfiltrering, appanalyse og klasseromsadministrasjon for skoler. Tjenestene våre er tilgjengelige minst 99.9% av tiden, med servere som kontinuerlig overvåkes for ytelse og tilgjengelighet.
Lightspeed Security
Administrative sikkerhetstiltak
Bakgrunnssjekker for ansatte
Alle Lightspeed Systems-ansatte gjennomgår bakgrunnssjekker og signerer en taushetserklæring før ansettelse.
Varsling om databrudd
Hvis vi får vite om et databrudd, vil vi følge vår Incident Response Plan og varsle våre kunder uten unødig forsinkelse.
Hendelseshåndtering
Vi har en skriftlig hendelsesresponsplan som beskriver prosessene for å oppdage, rapportere, identifisere, analysere og svare på sikkerhetshendelser som påvirker Lightspeed Systems-nettverk og kundedata.
Opplæring i bevissthet om personvern og sikkerhet for ansatte
Ved ansettelse og fortløpende er alle ansatte pålagt å gjennomføre personvern- og sikkerhetsopplæring, som dekker personvernpraksis og prinsippene som gjelder for ansattes håndtering av personopplysninger, inkludert behovet for å sette begrensninger på bruk, tilgang til, deling og oppbevaring av personopplysninger.
Vi gir opplæring i spesifikke aspekter ved sikkerhet som de krever basert på rollene deres. For eksempel gjennomgår produktutviklingsteamet personvern ved design og opplæring i sikker programvareutvikling. Ansatte blir også utsatt for vanlige phishing-e-poster.
Leverandørvalg og risikostyring
Lightspeed Systems kan bruke underbehandlere til å utføre tjenester og har kun rett til å få tilgang til kundedata kun etter behov for å utføre tjenestene og skal være bundet av skriftlige avtaler som krever at de gir strenge nivåer av databeskyttelse som kreves av Lightspeed og gjeldende regelverk. Her er en liste over våre underbehandlere.
Forhåndsengasjement og løpende leverandørvurderinger utføres for å sikre at riktig personvern og sikkerhetspraksis er på plass gjennom hele leverandørforholdet. Endringer i leverandørtjenester eller endringer i eksisterende kontrakter krever en sikkerhetsrisikovurdering for å bekrefte at endringene ikke utgjør ytterligere eller unødig risiko.
Retningslinjer og prosedyredokumenter er på linje med NISTs personvern-/sikkerhetsrammeverk
Lightspeed Systems vurderer systemene sine mot CIS Controls og NIST Frameworks, og eventuelle identifiserte risikoer eller hull blir adressert deretter.
Vi har et utpekt Data Governance-team som holder periodiske møter for å sikre dataintegritet.
Vi har implementert ulike policydokumenter på tvers av organisasjonen for databeskyttelse, for eksempel, men ikke begrenset til: Responsplan for hendelser, sikkerhetspolicy, retningslinjer for utbedring av sårbarheter, retningslinjer for IT-standarder og retningslinjer for sletting av data.
Forretningskontinuitet og katastrofegjenoppretting
Lightspeed Systems anerkjenner viktigheten av å opprettholde kritiske forretningsfunksjoner og beskytte systemer og data. For å sikre forretningskontinuitet har Lightspeed utviklet en bedriftsomfattende Business Continuity and Disaster Recovery Plan som styrer det overordnede styringsprogrammet for alle funksjoner.
Endringsledelse
Retningslinjer for endringsadministrasjon er dokumentert for å adressere design, utvikling, anskaffelse, testing, godkjenning og implementering av systemendringer og oppdateringer.
Lightspeed Security
Tekniske sikkerhetstiltak
Ekstern revisjon
Lightspeed Systems gjennomgår en årlig SOC 2 Type II-revisjon, som bekreftes av et uavhengig firma for å bekrefte at vi oppfyller SOC 2-standardene. Lightspeed Systems følger AICPAs kriterier for tillitstjenester og har etablert retningslinjer og prosesser for å sikre sikkerheten, tilgjengeligheten, konfidensialiteten og personvernet til tjenestene vi tilbyr kundene våre. Kunder kan be om en kopi av vår SOC 2 Type 2-rapport ved å sende en e-post til [email protected], og rapporten vil bli levert ved signering av en taushetserklæring.
Varsling om databrudd
Hvis vi får vite om et bekreftet datainnbrudd, vil vi følge vår hendelsesplan og varsle skolen uten unødig forsinkelse.
Kryptering i hvile
Data krypteres i hvile ved hjelp av Advanced Encryption Standard (AES) kryptering.
Kryptering i transitt
Data krypteres under overføring ved hjelp av Transport Layer Security (TLS)-protokollen.
Datasikkerhetskopiering
Vi utfører jevnlig sikkerhetskopiering av data og systemer. Sikkerhetskopieringsintervaller avhenger av typen data og varierer fra minutter til én gang per dag.
Utbedring av sårbarhet
Lightspeed Systems har en policy for utbedring av sårbarheter for å identifisere og utbedre sårbarheter i henhold til risikoen de utgjør. Vi bruker programvare for patchadministrasjon for å overvåke systemer og sikre at patcher implementeres.
Sletting av data
Lightspeed Systems har implementert en retningslinjer for sletting av data. Der det er hensiktsmessig, bruker våre løsninger automatiserte regler for å rense data i henhold til retningslinjer.
Logging og overvåking
Lightspeed Systems har distribuert logg- og overvåkingsløsninger for å identifisere og undersøke mulige sikkerhetshendelser.
Identitets- og tilgangskontroll
Tilgang til personlig informasjon er begrenset gjennom påloggingsinformasjon til de ansatte som krever det for å utføre jobbfunksjonene sine. I tillegg bruker Lightspeed Systems tilgangskontroller som Multi-Factor Authentication, Single Sign-On, minst privilegium og tilgang etter behov, sterke passordkontroller og begrenset tilgang til administrative kontoer.
Våre løsninger lar kunder opprette "Admin"-roller som bare gir rettighetene som trengs for å utføre de nødvendige funksjonene.
Lightspeed Security
Fysiske sikkerhetstiltak
Sikkerhet på arbeidsplassen
Lightspeed Systems opprettholder følgende kontroller designet for å forhindre uautorisert tilgang til våre kontorer:
- Tilgang til fasiliteter er begrenset til autoriserte personer ved bruk av nøkler/nøkkelbrikker eller adgangsmerker.
- Lightspeed-kontorer har brannslokkings- og branndeteksjonssystemer eller enheter samt nødutganger og evakueringsveier.
Datasentersikkerhet
Alle datasentre der data behandles og lagres, ligger i USA og har SOC 2-, PCI DSS- og ISO 27001-sertifiseringer. Lightspeed har en prosess på plass for å logge, overvåke og reagere på hendelser og avvik i systemene og løsningene sine. Løsninger for sikkerhetskopiering og gjenoppretting av data er også på plass.
Sikkert designprinsipper
Lightspeed Systems praktiserer sikkerhet ved design. Vi bruker en sikker programvareutviklingslivssyklus basert på OWASP-metoder.
Våre systemer og prosesser tar hensyn til kjernepilarene for informasjonssikkerhet: konfidensialitet, integritet og tilgjengelighet.
Overholdelse
Lightspeed Systems Artificial Intelligence (AI) etikk og prinsipper
Lightspeed Systems vet hvordan kunstig intelligence kan endre teknologi- og forretningsverdenen til det bedre. Vi bruker AI på en ansvarlig måte, og sørger for at den er etisk, samtidig som vi maksimerer fordelene og betjener kundene våre. Vi følger etiske prinsipper for AI-løsninger som samsvarer med våre verdier og profesjonelle standarder, og som bygger tilliten til våre kunder, mennesker, lokalsamfunn og regulatorer. Vi er faste i vår forpliktelse til å handle i allmennhetens interesse, respektere offentlig tillit og vise vår forpliktelse til faglig fortreffelighet. For mer informasjon, se vår Ansvarlig bruk av AI.
Overholdelse
Children's Online Privacy Protection Act (COPPA)
COPPA gjelder for online innsamling av personlig informasjon fra personer eller enheter under amerikansk jurisdiksjon om barn under 13 år. Foreldresamtykke kreves for innsamling eller bruk av personlig informasjon om brukerne.
- Lightspeed Systems overholder Children's Online Privacy Protection Act (COPPA) for å sikre barns sikkerhet på nett. Elevkontoer gis kun gjennom en verifisert lærer, skole eller utdanningsorganisasjon. Lærere samtykker i å innhente foreldrenes tillatelse før de utsteder kontoer til elever. Vennligst les Lightspeeds COPPA-varsel her.
Vi oppfyller følgende COPPA-retningslinjer oppført nedenfor og godtar:
- IKKE samle inn kontaktinformasjon på nettet uten samtykke fra enten en forelder eller en kvalifisert lærer eller utdanningsinstitusjon.
- samle IKKE personlig identifiserbar offline kontaktinformasjon.
- IKKE distribuer personlig identifiserbar informasjon til tredjeparter uten samtykke fra foreldrene på forhånd.
- IKKE lokke av utsiktene til et spesielt spill, premie eller annen aktivitet eller å røpe mer informasjon enn det som er nødvendig for å delta i aktiviteten.
- IKKE bruk eller utlever studentinformasjon for adferdsmålretting av annonser til studenter.
- IKKE bygg en personlig profil av en student annet enn for å støtte autoriserte utdannings-/skoleformål.
Overholdelse
Family Educational Rights & Privacy Act (FERPA)
De Family Educational Rights and Privacy Act (FERPA) er en føderal lov som beskytter personvernet til studentopplæringsposter. Loven gjelder for alle skoler som mottar midler under et gjeldende program fra det amerikanske utdanningsdepartementet.
- Selv om FERPA gjelder for skoler og ikke bedrifter, kan Lightspeed Systems bli utpekt som en ‘skoleansatt’, og som sådan overholder vi FERPAs krav og har forpliktet oss til å beskytte personvernet til elevenes informasjon, som er betrodd oss av skoledistriktene. Skoledistriktene har kontroll over alle elevdata, og vi arbeider under deres veiledning. I henhold til FERPA har foreldre eller kvalifiserte elever rett til å få tilgang til, inspisere, gjennomgå og korrigere elevjournaler, og Lightspeed overholder disse rettighetene når vi mottar en bekreftet skriftlig forespørsel fra skoledistriktet.
- Vær oppmerksom på at Lightspeed Systems ikke har direkte kontakt med elever eller foreldre.
Overholdelse
New York Education Law 2-D
Opplæringsloven § 2-d trådte i kraft i april 2014. Vedtektenes fokus var å fremme personvern og sikkerhet for personlig identifiserbar informasjon (PII) for elever og visse PII relatert til klasseromslærere og rektorer. Lightspeed Systems overholder NY ED Law 2-D og Foreldres rettighetserklæring, som krever følgende:
- En elevs personlig identifiserbare informasjon (PII) kan ikke selges eller frigis til kommersielle formål;
- Retten til å inspisere og gjennomgå det fullstendige innholdet i studentens utdanningsjournal lagret eller vedlikeholdt av et utdanningsbyrå;
- Sikkerhetstiltak knyttet til bransjestandarder og beste praksis, inkludert, men ikke begrenset til, kryptering, brannmurer og passordbeskyttelse må være på plass når student-PII lagres eller overføres;
- Å bli varslet i samsvar med gjeldende lover og forskrifter hvis et brudd eller uautorisert utgivelse av PII oppstår;
- Foreldre har rett til å få behandlet klager på mulige brudd på elevdata;
- Utdanningsbyråarbeidere som håndterer PII vil motta opplæring i gjeldende statlige og føderale lover, retningslinjer og sikkerhetstiltak knyttet til industristandarder og beste praksis som beskytter PII;
- Utdanningsbyråkontrakter med leverandører som mottar PII vil ta opp lovpålagte og regulatoriske krav til personvern og sikkerhet.
Overholdelse
Student Data Privacy Consortium (SDPC) og National Data Privacy Agreement (NDPA)
SDPC ga ut den første National Data Privacy Agreement (NDPA) å effektivisere søknadskontrakter og sette felles forventninger mellom skoler/distrikter og markedsplassleverandører.
- Lightspeed samarbeider med skoledistrikter i alle deltakerstatene for å sikre at vi har personvernavtaler for databehandling på plass.
- Skoledistrikter som ønsker å signere SDPC og NDPA med oss, oppfordres til å sende e-post [email protected].
- De SDPC er et unikt samarbeid mellom skoler, distrikter, regionale, territorier og statlige etater, beslutningstakere, bransjeorganisasjoner og markedsplassleverandører som adresserer virkelige, tilpasningsdyktige og implementerbare løsninger på økende bekymringer om datavern.
Overholdelse
California Consumer Privacy Act (CCPA)
De California Privacy Rights Act (CPRA) endrer og utvider California Consumer Privacy Act (CCPA). CPRA trådte i kraft 1. januar 2023. CCPA ble endret for å beskytte personopplysningene til California-ansatte (B2E) og business-to-business (B2B)-kontakter, og krever at alle organisasjoner som samler inn California-data skal bruke mer omfattende beskyttelse, for eksempel personvernrisikovurderinger, dataminimering og oppbevaring av retningslinjer. CPRA fokuserer nå fra transparente dataforhold og åpenhet om ansattes rettigheter. håndhevelse og høyere bevissthet om personvernrisiko knyttet til datainnsamling og -behandling – og regnskap for all data knyttet til California-ansatte, bedrifter og innbyggere.
Hvem beskytter California Privacy Rights Act?
Enhver person som er en ansatt bosatt i California og en tjenesteleverandør/leverandør, entreprenør, konsulent, søker, frilanser og fjernarbeider kan med rimelighet identifiseres.
Ansatte- og B2B-datarettigheter:
- Rett til å vite: Ansatte, kontraktører og tjenesteleverandører har rett til å vite hvilke data som samles inn og administreres med rett til tilgang til kopier av «spesifikke deler av personlig informasjon».
- Rett til innsyn: I likhet med forbrukere vil ansatte kunne sende inn en datasubjekttilgangsforespørsel (DSAR) til sin arbeidsgiver for tilgang til informasjonen deres, med noen unntak.
- Rett til å bruke og avsløre: Retten til å be om at en virksomhet begrenser eller stopper bruk og utlevering av sensitive personopplysninger.
- Rett til å rette: Retten til å be om at virksomheten retter opp uriktige opplysninger.
- Rett til å velge bort: Retten til å velge bort personopplysninger solgt eller delt.
- Rett til mildhet: Retten til ikke å bli gjengjeldt for å utøve datarettigheter.
Lightspeed Systems har følgende prosedyrer på plass for å sikre samsvar med CCPA og CPRA:
- Forespørsler om tilgang til datasubjekter: Datasubjekter kan utøve sine rettigheter ved å sende e-post til vårt personvernteam ([email protected])
- Datakartlegging: Kartlegging, inventar og klassifisering av alle data
- Dataminimering: Vi behandler kun data som er tilstrekkelige, relevante og begrenset til det som er nødvendig for formålet med dataene som brukes.
- Retningslinjer for oppbevaring av data: Vi har implementert retningslinjer for oppbevaring av data på tvers av alle våre produkter og prosesser. Data oppbevares ikke lenger enn rimeligvis nødvendig for å utføre behandlingsaktiviteten
- Personvernkonsekvensvurderinger: Vi gjennomfører risikovurderinger av alle våre produkter og prosesser, for å sikre personvern og sikkerhet ved design.
Overholdelse
General Data Protection Regulation (GDPR)
De General Data Protection Regulation (GDPR) setter regler for innsamling, bruk, lagring og overføring av personopplysninger om enkeltpersoner i EU og, via Storbritannias GDPR, i Storbritannia). Det gjelder når personopplysninger behandles i EU og Storbritannia, eller når varer/tjenester tilbys innbyggere i EU og Storbritannia.
Hvordan GDPR gjelder for Lightspeed
- Primær rolle: For produkter levert til skoler og distrikter fungerer Lightspeed Systems som en «databehandler» – og behandler kun personopplysninger i henhold til den «databehandlerens» (skolens) dokumenterte instruksjoner.
- Barnas data: Fordi kundene våre er utdanningsinstitusjoner, utformer vi tjenestene våre for å respektere økte forventninger til mindreåriges data og følge den behandlingsansvarliges valgte rettslige grunnlag (f.eks. legitime interesser eller samtykke forvaltet av institusjonen).
Vårt GDPR-program:
- Lovlig, rettferdig og transparent behandling
- Vi behandler personopplysninger lovlig og rettferdig, med klare formålserklæringer i kundekontrakter og produktdokumentasjon.
- Åpenhet: Behandlingsansvarlige mottar informasjon, beskrevet i vår personvernerklæring og databehandleravtaler, som beskriver datakategorier, formål, mottakere (inkludert underdatabehandlere) og oppbevaring.
- Roller og ansvar
- Databehandlerens forpliktelser: Vi følger den behandlingsansvarliges instruksjoner, sikrer konfidensialitet, bistår med forespørsler fra registrerte, støtter DPIA-er og implementerer passende sikkerhet.
- Databehandleravtalen vår (DPA): Vår DPA (inkludert EUs standardkontraktsklausuler og britisk IDTA) regulerer behandling, sikkerhet, støtte ved brudd, revisjoner og underdatabehandlere. Forespørsler om å utføre DPA-en kan sendes ved å sende en e-post til [email protected]
- Dataminimering og formålsbegrensning
- Minimering: Vi samler inn og behandler kun det som er nødvendig for å levere og sikre tjenesten.
- Bruk til strenge formål: Ingen bruk til reklame eller urelatert profilering; intet salg av personopplysninger.
- Datakartlegging og klassifisering
- Vi opprettholder et levende dataregister og klassifisering knyttet til systemer, formål, lagringssteder og juridiske grunnlag.
- Behandlingsregistre (art. 30 «ROPA»): Vi oppbevarer en ROPA for både databehandler- og begrenset behandlingsansvarlig, inkludert kategorier av registrerte/data, mottakere, oppbevaring og sikkerhetstiltak.
- Dataoppbevaring og -avhending
- Vi oppbevarer kun personopplysninger så lenge det er nødvendig for å oppfylle kontraktsmessige og juridiske forpliktelser, og sletter eller anonymiserer deretter på en sikker måte.
- Forespørsler om sletting av data bekreftet av behandlingsansvarlig blir oppfylt innenfor de fastsatte tidsfristene, som beskrevet i utarbeidede databehandleravtaler.
- Sikkerhet ved behandling
- Organisatoriske og tekniske kontroller: rollebasert tilgangskontroll, MFA, minste privilegium, logging og overvåking, sårbarhetshåndtering, kryptering under overføring (TLS) og i ro (AES), og sikker SDLC med endringskontroll.
- Risikovurderinger av leverandørsikkerhet, kontraktsmessige sikkerhetskrav og periodiske gjennomganger av underdatabehandlere.
- Personvern gjennom design og som standard
- Vi integrerer personvern i produktdesign – standard deaktiverte eller begrensede datafunksjoner, maskering der det er mulig, og konfigurasjonsalternativer som lar kontrollører skreddersy datainnsamlingen til sine behov.
- DPIA-er, PIA-er og AIA-er
- Vi utfører konsekvensanalyser av personvern, databeskyttelse og AI-konsekvensanalyser for nye eller vesentlig endrede funksjoner som kan utgjøre økt risiko (f.eks. innholdsanalyse, overvåkingsfunksjoner).
- Vi bistår behandlingsansvarlige i deres DPIA-er med produktinformasjon, sikkerhetstiltak og risikoredusering.
- Støtte for rettigheter for registrerte
- Vi bistår behandlingsansvarlige med å oppfylle forespørsler om data fra registrerte i EU/Storbritannia innenfor lovbestemte tidsfrister:
- Tilgang, retting, sletting, begrensning
- Portabilitet (der det er aktuelt)
- Innsigelse mot visse behandlinger
- Tilbaketrekking av samtykke (der den behandlingsansvarlige bruker samtykke som grunnlag)
- Vi bistår behandlingsansvarlige med å oppfylle forespørsler om data fra registrerte i EU/Storbritannia innenfor lovbestemte tidsfrister:
- Internasjonale overføringer
- Vår databehandleravtale inkluderer EUs standardkontraktsklausuler og den britiske internasjonale dataoverføringsavtalen for overføringer utenfor EU/Storbritannia.
- Lightspeed Systems er også sertifisert under EU-USA + Storbritannias utvidede rammeverk for personvern
- Hendelses- og bruddhåndtering
- Hvis det oppstår en sikkerhetshendelse som påvirker personopplysninger, varsler vi den behandlingsansvarlige uten unødig forsinkelse, gir hendelsesdetaljer og informasjon om utbedring, og samarbeider slik at behandlingsansvarlige kan oppfylle eventuelle varsler fra tilsynsmyndigheter og registrerte (f.eks. 72-timersregelen for behandlingsansvarlige).
- Underdatabehandlere og leverandørstyring
- Vi vedlikeholder og deler en oppdatert liste over underdatabehandlere, og krever skriftlig autorisasjon, forpliktelser til nedbetaling, sikkerhetskontroller, konfidensialitet og sletting ved tjenestens slutt.
- Opplæring, styring og ansvarlighet
- Personvern- og sikkerhetsopplæring for relevant personell, regelmessige bevissthetsprogrammer og dokumenterte retningslinjer/standarder.
- Interne revisjoner og kontrolltesting for å dokumentere samsvar.
- EU og Storbritannias artikkel 27-representanter
- EU-representant – EDPO EU: Avenue Huart Hamoir 71, 1030 Brussel, Belgia
- nettbasert forespørselsskjema:https://edpo.com/gdpr-data-request/
- Storbritannias representant – EDPO UK: 8 Northumberland Avenue, LondonWC2N 5BY, Storbritannia
- EU-representant – EDPO EU: Avenue Huart Hamoir 71, 1030 Brussel, Belgia
- Utpekt personvernombud (DPO) – John Genter, [email protected]
Overholdelse
Singapore lov om beskyttelse av personopplysninger 2012
De Singapore lov om beskyttelse av personopplysninger (PDPA) av 2012 etablerer et grunnleggende beskyttelsesnivå for personopplysninger i Singapore, og gir "individer" (som spesifisert av lovgivningen) økt kontroll over hvordan deres personopplysninger samles inn, brukes og avsløres av organisasjoner.
Databeskyttelsesforpliktelser under Singapore PDPA
Lightspeed Systems er forpliktet til å oppfylle de fastsatte forpliktelsene som følger:
- Ansvarlighet: Vi har utviklet retningslinjer for databeskyttelse og oppmuntrer til en ansvarskultur gjennom regelmessig opplæring.
- Melding: Vi informerer brukere om formålene som er ment for å samle inn, bruke eller avsløre deres personlige data som beskrevet i vår Personvernerklæring.
- Tillatelse: Vi er avhengige av samtykke innhentet fra utdanningsinstitusjonene (kundene) som vi betjener, før vi samler inn, bruker eller avslører personopplysninger. Data brukes til formålet samtykket ble gitt til, og kundene har muligheten til å trekke tilbake samtykket når som helst.
- Formålsbegrensning: Vi samler inn, bruker eller avslører personlig informasjon for de formålene som er blitt kommunisert til våre kunder.
- Datanøyaktighet: Vi sikrer at personopplysninger er nøyaktige og fullstendige.
- Databeskyttelse: Vi har implementert nødvendige sikkerhetstiltak for å beskytte personopplysninger mot uautorisert tilgang, innsamling, bruk og avsløring
- Oppbevaring av data: Data oppbevares så lenge det er nødvendig for å utføre behandlingsaktiviteten.
- Dataoverføringsbegrensning: Grenseoverskridende dataoverføringer gjøres til land som har databeskyttelseslover med standarder som ligner de som er skissert i PDPA (med mindre de er unntatt av PDPC).
- Datasubjektets rettigheter: Enkeltpersoner har rett til å be om innsyn, retting og sletting av sine personlige opplysninger på forespørsel. I tillegg har enkeltpersoner rett til dataportabilitet og til å velge bort dataene deres blir samlet inn, brukt eller avslørt.
- Varsling om databrudd: I tilfelle et datainnbrudd vil Lightspeed Systems informere sine kunder uten unødig forsinkelse.
Overholdelse
Filippinenes personvernlov av 2012 (republikklov nr. 10173)
De Filippinenes personvernlov fra 2012 (DPA) og dens Implementeringsregler og forskrifter (IRR) etablere et rammeverk for beskyttelse av personopplysninger i offentlig og privat sektor. Loven håndheves av National Privacy Commission (NPC) og gjelder for enhver enhet som samler inn, lagrer, behandler eller overfører personopplysninger om enkeltpersoner på Filippinene.
Lightspeed Systems er forpliktet til å overholde den filippinske personvernloven av 2012 ved å sikre lovlig, rettferdig og transparent behandling av personopplysninger; begrense bruken til legitime utdanningsformål; beskytte data gjennom bransjeledende sikkerhetstiltak; og opprettholde ansvarlighet, samtykke og rettigheter for den registrerte i samsvar med NPC-retningslinjer og globale personvernstandarder.
Lightspeed Systems leverer utdanningsteknologi og digitale sikkerhetsløsninger til skoler og utdanningsinstitusjoner globalt. Når Lightspeed Systems behandler data på vegne av disse institusjonene, fungerer selskapet som en «databehandler» i henhold til personvernloven (DPA), mens skolene eller utdanningsinstitusjonene fungerer som «datakontrollører».
Lightspeed sørger for at all behandling av filippinske personopplysninger er i samsvar med prinsippene og kravene som er angitt i DPA- og NPC-veiledningen som følger:
- Lovlig og rettferdig behandling – Alle personopplysninger samles inn og behandles lovlig, rettferdig og transparent, med uttrykkelig tillatelse fra skolen eller utdanningsinstitusjonen. Behandlingen er begrenset til legitime utdannings- og sikkerhetsformål, som å beskytte elever på nett, administrere klasseromsaktiviteter og tilby teknisk støtte. Ingen data brukes til markedsføring, profilering eller andre formål som ikke er relatert til utdanningsfunksjoner.
- Formålsbegrensning – Data behandles kun for de formålene som er uttrykkelig angitt i Lightspeeds avtaler med kundeinstitusjoner og i samsvar med disse institusjonenes personvernerklæringer. Data behandles ikke videre på måter som er uforenlige med disse opprinnelige formålene.
- Datasikkerhet – Lightspeed implementerer organisatoriske, fysiske og tekniske sikkerhetstiltak for å sikre konfidensialitet, integritet og tilgjengelighet av personopplysninger. Viktige tiltak inkluderer, men er ikke begrenset til, kryptering under overføring (TLS 1.2+) og i ro (AES-256), rollebaserte tilgangskontroller, SOC 2 Type II-miljøer, kontinuerlig overvåking og protokoller for hendelsesrespons.
- Datalagring – Lightspeed oppbevarer kun data så lenge det er nødvendig for å oppfylle kontraktsmessige eller juridiske forpliktelser. Med mindre annet er spesifisert av kunden, gjelder standard oppbevaringsperioder – 90 dager etter at lisensen er avsluttet – hvoretter dataene slettes eller anonymiseres på en sikker måte. Lightspeed Systems vil ikke forsøke å identifisere anonymiserte data på nytt.
- Rettigheter for den registrerte – I samsvar med databeskyttelsesloven støtter Lightspeed full utøvelse av datasubjektets rettigheter gjennom sine kundeinstitusjoner, inkludert:
- Retten til å bli informert – åpenhet i datainnsamling og -bruk
- Rett til innsyn og retting – muligheten til å gjennomgå eller korrigere informasjon
- Rett til sletting eller blokkering – sletting eller begrensning av data er ikke lenger nødvendig
- Rett til dataportabilitet – tilgang til data i portabelt format
- Rett til å protestere og trekke tilbake samtykke – muligheten til å protestere eller tilbakekalle samtykke for spesifikke behandlingsaktiviteter
- Rett til å klage – hos Nasjonal personvernkommisjon (NPC)
- Samtykke og åpenhet – Lightspeed behandler data under lovlig myndighet og samtykke innhentet av utdanningsinstitusjonen. Kunder informeres om arten, formålet og omfanget av databehandlingen gjennom tydelige personvernerklæringer og databehandleravtaler (DPA-er). Ingen behandling skjer uten autorisasjon eller et legitimt utdanningsformål.
- Ansvarlighet og styring – Lightspeed opprettholder et omfattende rammeverk for personvern og sikkerhet, ledet av personvernombudet (DPO), John Genter ([email protected]Selskapet fører registre over behandlingsaktiviteter, gjennomfører regelmessige vurderinger av personvernkonsekvenser og utfører leverandørundersøkelser for å sikre at alle underdatabehandlere oppfyller likeverdige standarder.
- Håndtering av datainnbrudd – Lightspeed har en formell plan for hendelsesrespons og håndtering av brudd i samsvar med NPC-sirkulær 16-03. Ved brudd på personopplysninger:
- Den berørte behandlingsansvarlige (skole/institusjon) varsles uten unødig forsinkelse.
- Lightspeed samarbeider med kontrolleren for å oppfylle enhver obligatorisk varsling til NPC-en innenfor det nødvendige 72-timersvinduet.
- Analyse av rotårsaker, utbedring og korrigerende tiltak dokumenteres og gjennomgås.
- Grenseoverskridende dataoverføringer – Der personopplysninger overføres utenfor Filippinene (f.eks. til Lightspeeds sikre amerikanske skyinfrastruktur), er slike overføringer beskyttet gjennom kryptering og sikre kommunikasjonsprotokoller, kontraktsmessige sikkerhetstiltak i samsvar med NPC-sirkulær 16-01og bindende underdatabehandleravtaler som sikrer konfidensialitet, sikkerhet og slettingsforpliktelser. Overføringer er begrenset til formål godkjent av den behandlingsansvarlige.
Overholdelse
Australian Privacy Act (1988)
De Australian Privacy Act 1988 regulerer håndteringen av personopplysninger i Australia. Denne lovgivningen tjener som grunnlaget for datainnsamling og styringspolitikk over hele landet. Loven skisserer 13 Australske personvernprinsipper (APPer) for å administrere bruken personlig og sensitiv informasjon
Hvem gjelder personvernloven for?
Personvernloven gjelder for australske myndigheter og organisasjoner med en årlig omsetning på over 3 millioner AUD som håndterer personopplysninger til australske innbyggere.
Fundamental Principles of the Australian Privacy Act (1988)
Lightspeed Systems er forpliktet til å oppfylle databeskyttelseskravene skissert australske personvernprinsipper som følger:
- Åpen og transparent håndtering av personopplysninger – Vi er transparente om måten vi behandler personopplysninger på. Vår Personvernerklæring detaljer hvordan vi samler inn, bruker, avslører, overfører og lagrer informasjon
- Anonymitet og pseudonymitet – Lightspeed Systems bruker anonymisering og pseudonymisering for å beskytte enkeltpersoners identitet der det er mulig, bortsett fra omstendigheter som krever en personlig identitet for å behandle dataene.
- Innsamling av etterspurte personopplysninger – Vi praktiserer dataminimering og formålsbegrensning, og samler kun inn data som er nødvendige for å oppfylle den forespurte tjenesten og det primære formålet. Hvis det noen gang skulle oppstå en sak hvor vi trengte å bruke dataene til et sekundært formål, vil vi varsle kundene våre og innhente deres samtykke.
- Håndtering av uønsket personlig informasjon – Vi har automatisk blokkering for uønsket informasjon. For informasjonskapsler på nettsidene våre har vi konfigurert vårt informasjonskapselbanner med en opt-in som standardinnstilling for alle informasjonskapsler bortsett fra de strengt nødvendige informasjonskapslene.
- Melding om innsamling av personopplysninger – Utdanningsinstitusjonene blir varslet om student- og personaldata som samles inn. Dette er beskrevet i databehandlingsavtalene som vi inngår med våre kunder. Vi opprettholder også en dataplan for hvert av produktene våre, som beskriver dataene som samles inn og hvorfor de samles inn.
- Bruk eller utlevering av personlig informasjon – Vi bruker personopplysninger som er relevante for det opprinnelige formålet opplysningene ble samlet inn for. Vennligst se delen "Tredjeparter: Hvordan vi kan dele dine data" i vår Personvernerklæring for å få flere detaljer om omstendighetene der data kan bli utlevert.
- Direkte markedsføring – Vi driver ikke med direkte markedsføring til elever/foreldre. Markedsføring er kun rettet mot utdanningsinstitusjoner og de er utstyrt med en klar og synlig mulighet til å velge bort all markedskommunikasjon.
- Grenseoverskridende utlevering av personopplysninger – Grenseoverskridende data blir bare avslørt med organisasjoner som overholder de australske personvernprinsippene, og ved gjennomføring av en databehandlingsavtale som binder dem til den nødvendige personvern- og sikkerhetspraksisen.
- Adopsjon, bruk eller avsløring av myndighetsrelaterte identifikatorer – Vi bruker ikke en myndighetsrelatert identifikator som vår egen, eller avslører en identifikator for en person, med mindre vi er autorisert til å gjøre det av loven, eller identifikatoren er nødvendig for å bekrefte identiteten til individet.
- Kvaliteten på personlig informasjon – Vi har systemer på plass for å sikre at kvaliteten på den mottatte personlige informasjonen er nøyaktig, fullstendig og oppdatert.
- Sikkerhet for personlig informasjon – Vi bruker administrative, tekniske og fysiske sikkerhetstiltak som kreves for databeskyttelse, som beskrevet på denne siden.
- Tilgang til personlig informasjon – Enkeltpersoner har rett til å få tilgang til sine personlige opplysninger, som angitt i vår Personvernerklæring under "Databeskyttelse på tvers av landegrenser".
- Retting av personopplysninger – Enkeltpersoner har rett til å korrigere sine personopplysninger, som angitt i vår Personvernerklæring under "Databeskyttelse på tvers av landegrenser".
Overholdelse
Brasils generelle personvernlov (LGPD)
De Lei Geral de Proteção de Dados (LGPD), kjent på engelsk som General Data Protection Law, er det juridiske rammeverket som er etablert for å regulere innsamling og bruk av personopplysninger i Brasil. Denne loven trådte i kraft 16. august 2020, og håndhevingen av den overvåkes av Autoridade Nacional de Proteção de Dados (ANPD), eller den nasjonale databeskyttelsesmyndigheten.
Hvem gjelder den brasilianske personvernloven for?
Lightspeed Systems er forpliktet til å overholde LGPD-prinsippene som følger:
- Hensikt: Personopplysninger behandles for legitime, spesifikke og eksplisitte formål som er meddelt den registrerte, uten senere uforenlig behandling.
- Tilstrekkelighet: Personopplysninger behandles i samsvar med de formålene som er opplyst til den registrerte, tatt i betraktning konteksten for slik behandling.
- Nødvendighet: Personopplysninger behandles i det minimale omfanget som er nødvendig for å oppnå de relevante formålene, og kun ved bruk av passende, forholdsmessige og ikke-overdrevne data.
- Gratis tilgang: Registrerte har rett til å enkelt og kostnadsfritt stille spørsmål om behandlingsmidlene og varigheten av personopplysningene sine, samt integriteten til dem.
- Datakvalitet: Registrerte har rett til nøyaktig, tydelig, relevant og oppdatert informasjon, slik det er nødvendig for å oppnå de relevante formålene.
- Åpenhet: Registrerte har rett til tydelig, nøyaktig og lett tilgjengelig informasjon om behandlingsaktiviteter og de respektive behandlingsagenter (behandlingsansvarlige og databehandlere), samtidig som kommersielle og industrielle hemmeligheter beskyttes.
- Sikkerhet: Lightspeed Systems har implementert nødvendige tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert tilgang og utilsiktede eller ulovlige hendelser med ødeleggelse, tap, endring, kommunikasjon eller formidling, som beskrevet på vår tillitsside.
- Forebygging: Forebyggende tiltak er iverksatt for å redusere risikoer knyttet til behandling av personopplysninger, som beskrevet på vår tillitsside.
- Ikke-diskriminering: Personopplysninger behandles ikke for diskriminerende formål, og heller ikke på noen ulovlig eller misbrukende måte.
- Ansvarlighet: Effektive tiltak for å overholde krav til beskyttelse av personopplysninger er iverksatt og forbedres kontinuerlig som svar på det utviklende miljøet.
LGPD gir de registrerte følgende hovedrettigheter:
- å få bekreftelse på at det foreligger behandling av personopplysninger;
- å få tilgang til sine personopplysninger;
- å korrigere ufullstendige, unøyaktige eller utdaterte data;
- å få unødvendige, overdrevne eller ikke-samsvarende personopplysninger anonymisert, blokkert eller slettet;
- dataportabilitet;
- sletting av personopplysninger behandlet med den registrertes samtykke, unntatt i tilfellene som er fastsatt i artikkel 16 i denne loven
- å bli informert om tredjeparter som dataene deres har blitt delt med;
- å bli informert om muligheten til å nekte å utlevere personopplysninger og de tilhørende konsekvensene; og
- å trekke tilbake sitt samtykke.
Overholdelse
Det amerikanske handelsdepartementets datavernramme (DPF)
10. juli 2023 trådte EU-kommisjonens beslutning om tilstrekkelighet for EU-US Data Privacy Framework (EU-US DPF) i kraft. EU-US Data Privacy Framework (EU-US DPF) og UK Extension to the EU-US Data Privacy Framework (UK Extension to the EU-US DPF), ble henholdsvis utviklet for å fremme transatlantisk handel av det amerikanske handelsdepartementet, EU-kommisjonen og den britiske regjeringen for å gi amerikanske organisasjoner pålitelige mekanismer for overføring av personopplysninger til USA fra EU og det europeiske økonomiske området, samtidig som det er beskyttet mot USA, EU og EU. EU- og britiske lover. Lightspeed Systems overholder EU-US Data Privacy Framework (EU-US DPF) og UK-utvidelsen til EU-US DPF, som fastsatt av US Department of Commerce. Lightspeed Systems har sertifisert overfor US Department of Commerce at de følger EU-US Data Privacy Framework Principles (EU-US DPF Principles) med hensyn til behandling av personopplysninger mottatt fra EU og Storbritannia i avhengighet av EU-US DPF og UK Extension to EU-US DPF. Hvis det er noen konflikt mellom vilkårene i denne personvernerklæringen og EU-US DPF-prinsippene, skal prinsippene gjelde. For å lære mer om Data Privacy Framework (DPF)-programmet, og for å se vår sertifisering, vennligst besøk https://www.dataprivacyframework.gov/.
Lightspeed Systems er underlagt undersøkelses- og håndhevingsmyndighetene til Federal Trade Commission (FTC).
I samsvar med EU-US DPF og UK Extension to EU-US DPF, forplikter Lightspeed Systems seg til å samarbeide og overholde henholdsvis rådene fra panelet som er opprettet av EUs databeskyttelsesmyndigheter (DPAs) og UK Information Commissioner's Office (ICO) med hensyn til uløste klager angående vår håndtering av menneskelige ressurser data mot EU-USten i EU-USten. sammenhengen i arbeidsforholdet.
For mer informasjon om vår overholdelse av rammeverket for personvern, vennligst se delen "Internasjonale dataoverføringer" i vår Personvernerklæring.
Overholdelse
Office of Foreign Assets Control (OFAC)
Office of Foreign Assets Control ("OFAC") fra det amerikanske finansdepartementet administrerer og håndhever økonomiske og handelssanksjoner basert på amerikansk utenrikspolitikk og nasjonale sikkerhetsmål mot målrettede fremmede land og regimer, terrorister, internasjonale narkotikasmuglere, de som er engasjert i aktiviteter knyttet til spredning av masseødeleggelsesvåpen, og andre trusler mot USAs nasjonale sikkerhet, utenrikspolitikk eller økonomi.
- Lightspeed Systems, dets datterselskaper og tilknyttede selskaper er forpliktet til full overholdelse av alle internasjonale sanksjoner, inkludert men ikke begrenset til de som er pålagt av USA, EU og Storbritannia.
- Internasjonale sanksjoner er lover, forskrifter, utøvende ordrer, rådsbeslutninger og andre statlige handlinger som forbyr et bredt spekter av kommersielle og finansielle transaksjoner. Det er Lightspeed Systems policy å overholde alle gjeldende internasjonale sanksjoner.
- Lightspeed Systems anser et effektivt overholdelsesprogram som tar for seg eksportkontroller med retningslinjer og prosedyrer som en viktig, vital del av vår forretningsdrift og etiske oppførselskodeks.
- Vi screener alle internasjonale bestillinger mot ulike lister over sanksjonerte og forbudte personer og destinasjoner før aksept. Enhver ordre mottatt, direkte eller indirekte, fra en sanksjonert person eller beregnet på endelig sluttbruk av sanksjonert person eller i en sanksjonert destinasjon, vil bli avvist.
- Lightspeed Systems-ansatte mottar årlig OFAC-opplæring for å sikre overholdelse.
Lightspeed Systems underprosessorliste
| Entitetsnavn | Underbehandlingsaktiviteter | Entity Location (HQ) | Sikkerhet og tilleggstiltak |
|---|---|---|---|
| Amazon Web Services, Inc. | Applikasjonshosting og lagring | USA | |
| LightEdge | Datasenter | USA | |
| Microsoft Corporation | E-post og samarbeidsverktøy | USA |
| Entitetsnavn | Underbehandlingsaktiviteter | Entity Location (HQ) | Sikkerhet og tilleggstiltak |
|---|---|---|---|
| Ably.io | Tilstedeværelsesovervåking | Storbritannia | |
| Adobe Sign | Leverandør av elektronisk signatur | USA | |
| Datahund | Overvåking og varsling av produktene våre for å sikre at vi oppfyller kvalitetsmål og kontraktsmessige tjenestenivåavtaler | USA | |
| Greenhouse Software Inc. | Programvare for rekruttering | USA | |
| Hive AI | Tekstmoderering for produktfunksjonalitet | USA | |
| Microsoft Corporation | E-post og samarbeidsverktøy | USA | |
| UKG | Programvare for lønnsstyring | USA | |
| NetSuite | Regnskapssystemer | USA | |
| OpenAI | Generativ AI-tjenesteleverandør for intelligence-produktfunksjoner | USA | |
| Pendo.io Inc | Software Experience Management | USA | |
| Salesforce | Kundestøtte – CRM-leverandør | USA | |
| Snøfnugg | Produktbruksanalyse, Kategoriseringsdatabase | USA | |
| Twilio | Leverandør av kommunikasjonsteknologi | USA | |
| Zoom, Inc. | Leverandør av videokonferanser | USA |
