Lightspeed Systems® er din pålitelige partner

Sikkerhet og samsvar

Informasjonssikkerhet og databeskyttelse er en integrert del av kjernen vår. Vi har dedikerte sikkerhets- og overholdelsesteam som er forpliktet til å holde informasjonen din sikker. Lightspeed Systems bruker strenge retningslinjer og prosedyrer for å sikre tilgjengeligheten, integriteten og konfidensialiteten til kundedata.

System status

Vi vet at du stoler på Lightspeed Systems-løsninger for å gjøre fantastiske ting, så vi overvåker kontinuerlig våre tjenester internt og gjennom tredjeparts tjenester. Finn avbrudd i tjenester, oppdateringer og vedlikeholdsmeldinger her.

Sikkerhet

Lightspeed Systems forstår behovet for å beskytte de personlige og konfidensielle dataene til våre kunder, ansatte og partnere. Personvern og sikkerhet er vårt ansvar, og vi tilbyr innovative løsninger som forbedrer, snarere enn kompromiss, personvern og sikkerhet.

Samsvar

Siden 1999 har Lightspeed Systems samarbeidet med skoler rundt om i verden for å beskytte studenter og gjøre læring tilpasset det stadig skiftende teknologiske landskapet. Virksomheten vår forplikter oss til å være i samsvar med de ulike personvernlovene for studentene, for å sikre at studentdata blir beskyttet.

Lightspeed Systems-tjenestestatus

Service Level Agreement (SLA)

Lightspeed Systems tilbyr hostede tjenester, inkludert administrering av mobilenheter, nettfiltrering, appanalyse og klasseromsadministrasjon for skoler. Våre tjenester er tilgjengelige minst 99.5% av tiden, med servere som kontinuerlig overvåkes for ytelse og tilgjengelighet.

skjermbilder på stasjonære og mobile enheter for programvare for fjernundervisning

Lightspeed sikkerhet

Administrative sikkerhetstiltak

Bakgrunnssjekker for ansatte

Alle Lightspeed Systems-ansatte gjennomgår bakgrunnskontroller og signerer en taushetsavtale før ansettelse.

Hendelsesstyring

Vi har en skriftlig hendelsesresponsplan som beskriver prosessene for å oppdage, rapportere, identifisere, analysere og svare på sikkerhetshendelser som påvirker Lightspeed Systems-nettverk og kundedata.

Melding om brudd på data

Hvis vi får vite om brudd på dataene, vil vi følge vår hendelsesplan og varsle kundene våre uten unødig forsinkelse. 

Opplæring i ansattes personvern og sikkerhet

Ved ansettelse og kontinuerlig er alle ansatte pålagt å gjennomføre personvern- og sikkerhetsopplæring, som dekker personvernpraksis og prinsippene som gjelder ansattes håndtering av personlig informasjon, inkludert behovet for å begrense bruk, tilgang, deling og oppbevaring av personlig informasjon.

Vi tilbyr opplæring om spesifikke aspekter av sikkerhet som de trenger ut fra deres roller. For eksempel gjennomgår produktutviklingsteamet personvern ved design og sikker opplæring i programvareutvikling. Ansatte blir også utsatt for regelmessige phishing-e-poster.

Leverandørvalg og risikostyring

Lightspeed Systems kan bruke underbehandlere for å utføre tjenester og har bare rett til å få tilgang til kundedata bare etter behov for å utføre tjenestene og skal være bundet av skriftlige avtaler som krever at de gir strenge nivåer av databeskyttelse som kreves av Lightspeed og gjeldende forskrifter. Her er en liste over underprosessorer.

Forhåndsengasjement og pågående leverandørvurderinger gjennomføres for å sikre riktig personvern og sikkerhetspraksis er på plass gjennom hele leverandørforholdet.

  • Endringer i leverte leverandørtjenester eller endringer i eksisterende kontrakter krever en sikkerhetsrisikovurdering for å bekrefte at endringene ikke utgjør ytterligere eller unødig risiko.

Retningslinjer for dokumenter og prosedyrer stemmer overens med NIST Privacy / Security Frameworks

Lightspeed Systems vurderer systemene sine mot CIS Controls og NIST Frameworks, og eventuelle identifiserte risikoer eller hull blir løst i samsvar med dette.

Vi har et utpekt team for datastyring som avholder kvartalsvise møter for å sikre dataintegriteten

Følgende policy-dokumenter er blitt innført og implementert på tvers av organisasjonen: Sikkerhetspolicy, hendelsesresponsplan, sårbarhetsavhjelpingspolicy, oppdateringspolicy, IT-standardpolicy, dataklassifiseringspolicy, policy for datasletting, policy for leverandørvurdering, leverandørsikkerhetsstandarder, prosedyre for bekreftelse, passord Policy, Clean Desk Policy, Privacy Enquiry Policy, Data Governance Policy, Building Access Policy og PIA & DPIA Procedure.

Lightspeed sikkerhet

Tekniske garantier

Datakryptering

Data blir kryptert under transport og i hvile.

 

Datalagring og sletting

Lightspeed Systems har implementert en datalagringspolicy. Hvor det er hensiktsmessig, bruker våre løsninger automatiserte regler for å rense data i henhold til retningslinjene.

 

Data backup

Vi utfører regelmessige sikkerhetskopier av data og systemer. Sikkerhetskopieringsintervaller er avhengig av datatype og varierer fra minutter til en gang per dag.

Utbedring av sårbarhet

Lightspeed Systems har en policy for sårbarhetsbehandling for å identifisere og avhjelpe sårbarheter i henhold til risikoen de utgjør. Vi bruker programvare for programvarehåndtering for å overvåke systemer og sikre at oppdateringer implementeres.

 

Beskyttelse mot skadelig programvare

Lightspeed Systems har på plass anti-malware og anti-spam løsninger for å beskytte servere og arbeidsstasjoner.

 

Logging og overvåking

Lightspeed Systems har distribuert logg- og overvåkingsløsninger for å identifisere og undersøke mulige sikkerhetshendelser.

identitet og tilgangskontroll

Tilgang til personlig informasjon er begrenset gjennom påloggingsinformasjon til de ansatte som trenger det for å utføre sine jobbfunksjoner. I tillegg bruker Lightspeed Systems tilgangskontroller som multifaktorautentisering, enkel pålogging, minst privilegium og tilgang etter behov, sterke passordkontroller og begrenset tilgang til administrative kontoer.

Våre løsninger lar kundene opprette 'Admin' -roller som bare gir rettighetene som er nødvendige for å utføre de nødvendige funksjonene.

Lightspeed sikkerhet

Fysiske garantier

sikkerhet på arbeidsplassen

Lightspeed Systems opprettholder følgende kontroller designet for å forhindre uautorisert tilgang til våre kontorer:

  • Tilgang til anlegget er begrenset til autoriserte personer ved bruk av nøkler / nøkkelbrikker eller tilgangsmerker.
  • Lightspeed-kontorer har brannvern- og branndeteksjonssystemer eller enheter, samt nødutganger og evakueringsveier.

datasenterets sikkerhet

Alle datasentre der data blir behandlet og lagret er lokalisert i USA og har SOC 2, HIPPA, PCI DSS og ISO 27001 sertifiseringer. Lightspeed har en prosess på plass for å logge, overvåke og svare på hendelser og avvik i systemene og løsningene. Løsninger for sikkerhetskopiering og gjenoppretting av data er også på plass.

Sikre designprinsipper

Lightspeed Systems praktiserer sikkerhet ved design. Vi bruker en Secure Software Development Lifecycle basert på OWASP-metoder.

  • Våre systemer og prosesser tar hensyn til kjernestøttene i informasjonssikkerhet: Konfidensialitet, Integritet og tilgjengelighet.

Kontakt oss hvis du mistenker et sikkerhetsproblem innen Lightspeed Systems

Kontakt oss hvis du mistenker et sikkerhetsproblem innen Lightspeed Systems

Samsvar

Children's Online Privacy Protection Act (COPPA)

COPPA gjelder online innsamling av personlig informasjon av personer eller enheter under amerikansk jurisdiksjon om barn under 13 år. Foreldres samtykke kreves for innsamling eller bruk av personlig informasjon fra brukerne.

  • Lightspeed Systems overholder Children's Online Privacy Protection Act (COPPA, for å sikre online sikkerhet for barn. Studentkontoer leveres kun gjennom en verifisert lærer, skole eller utdanningsorganisasjon. Lærere er enige om å få foreldrenes tillatelse før de utsteder kontoer til studenter. 

Vi oppfyller følgende COPPA-retningslinjer listet opp nedenfor og godtar:

  • IKKE samle online kontaktinformasjon uten samtykke fra verken en forelder eller en kvalifisert lærer eller utdanningsinstitusjon.
  • IKKE samle personlig identifiserbar offline kontaktinformasjon.
  • IKKE distribuere personlig identifiserbar informasjon til tredjeparter uten forutgående samtykke fra foreldrene.
  • IKKE lokke av utsikten til et spesielt spill, premie eller annen aktivitet eller å røpe mer informasjon enn det som er nødvendig for å delta i aktiviteten.
  • IKKE bruke eller avsløre studentinformasjon for atferdsmålretting av annonser til studenter.
  • IKKE bygge en personlig profil for en student annet enn for å støtte autoriserte utdannings- / skoleformål.

Samsvar

Familielæringsloven og personvernloven (FERPA)

De Lov om familierettigheter og personvern (FERPA) er en føderal lov som beskytter personvernet til studentutdanningsposter. Loven gjelder alle skoler som mottar midler under et gjeldende program fra US Department of Education.

  • Selv om FERPA gjelder skoler og ikke bedrifter, kan Lightspeed Systems bli utpekt som en 'skolemedarbeider', og som sådan overholder vi FERPA-kravene og har forpliktet oss til å beskytte personvernet til studentenes informasjon, som er betrodd oss av skoledistriktene. . Skoledistriktene har kontroll over alle studentdata, og vi fortsetter under deres ledelse. Under FERPA har foreldre eller kvalifiserte studenter rett til å få tilgang til, inspisere, gjennomgå og rette på studentposter og Lightspeed overholder disse rettighetene når vi får en bekreftet skriftlig forespørsel fra skoledistriktet.
  • Vær oppmerksom på at Lightspeed Systems ikke har direkte kontakt med studenter eller foreldre.

Samsvar

New York Education Law 2-D

Utdanningsloven § 2-d trådte i kraft i april 2014. Fokuset i vedtekten var å fremme personvern og sikkerhet for personlig identifiserbar informasjon (PII) til studenter og visse PII relatert til klasselærere og rektorer.

Lightspeed Systems overholder NY ED Law 2-D og Foreldres rettighetsregister, som krever følgende:

  • En students personlig identifiserbare informasjon (PII) kan ikke selges eller frigis for noe kommersielt formål;
  • Retten til å inspisere og gjennomgå det komplette innholdet i studentens utdanningspost som er lagret eller vedlikeholdt av et utdanningsbyrå;
  • Sikkerhetsforanstaltninger knyttet til bransjestandarder og beste fremgangsmåter, inkludert, men ikke begrenset til, kryptering, brannmurer og passordbeskyttelse må være på plass når student PII lagres eller overføres;
  • Å bli varslet i samsvar med gjeldende lover og forskrifter hvis det oppstår brudd på eller uautorisert frigjøring av PII;
  • Foreldre har rett til å få klager på mulige brudd på elevdata adressert;
  • Utdannelsesbyråarbeidere som håndterer PII, vil få opplæring i gjeldende statlige og føderale lover, retningslinjer og garantier knyttet til industristandarder og beste praksis som beskytter PII;
  • Utdanningsbyråkontrakter med leverandører som mottar PII, vil adressere lovbestemte og regulatoriske personvern- og sikkerhetskrav.

Samsvar

Studenters personvernløfte

De Studenters personvernløfte er en offentlig og juridisk håndhevbar uttalelse fra ed tech-selskaper for å ivareta studenters privatliv, bygget rundt forpliktelser angående innsamling, vedlikehold og bruk av studentens personlige informasjon.

  • Lightspeed Systems har signert Studenters personvernløfte å utføre ansvarlig forvaltning og hensiktsmessig bruk av studentens personlige informasjon.
student personvern løfte signator merket

Samsvar

Student Data Privacy Consortium (SDPC) og National Data Processing Agreement (NDPA)

De SDPC er et unikt samarbeid mellom skoler, distrikter, regionale, territorier og statlige byråer, politiske beslutningstakere, handelsorganisasjoner og markedsleverandører som adresserer virkelige, tilpasningsdyktige og implementerbare løsninger for økende bekymring for personvern.
  • SDPC ga ut den første Nasjonal personvernavtale (NDPA) for å effektivisere søknadskontraktering og sette felles forventninger mellom skoler / distrikter og markedsleverandører.
  • Lightspeed jobber med skolekretser i alle deltakende stater for å sikre at vi har databehandlingsavtaler på plass.
  • Skolekretser som ønsker å signere SDPC og NDPA hos oss, oppfordres til å sende en e-post privacy@lightspeedsystems.com

Samsvar

California Consumer Privacy Act (CCPA)

De California Consumer Privacy Act of 2018 (CCPA) gir forbrukerne mer kontroll over personlig informasjon som bedrifter samler inn om dem.

  • Lightspeed Systems er forpliktet til å oppfylle kravene i CCPA og beskytte dataene dine.
  • Våre Personvernregler gir detaljert informasjon om hvordan Lightspeed Systems samler inn og behandler din personlige informasjon.

Forbrukere i California kan komme med en forespørsel i henhold til deres rettigheter under CCPA ved å kontakte oss på privacy@lightspeedsystems.com

Samsvar

Generell databeskyttelsesforordning (GDPR)

GDPR er en forskrift som krever at bedrifter beskytter personopplysningene og personvernet til EU-borgere for transaksjoner som skjer i EU-land.

  • Lightspeed Systems er forpliktet til å oppfylle databeskyttelseskravene i GDPR.
  • Vi har implementert følgende prosesser for å sikre GDPR-overholdelse:
    • Dataminimalisering - Vi samler bare inn data som er nødvendige for et bestemt formål, og bruken er begrenset til det oppgitte formålet.
    • Datakartlegging og klassifisering - Vi fører en detaljert oversikt over personopplysninger, og klassifiserer deretter dataene. Dette er en kontinuerlig prosess, som vi hele tiden jobber med å forbedre.
    • Datalagring - Vi beholder data bare så lenge det er nødvendig for å oppfylle det oppgitte formålet og for å oppfylle våre kontraktsforpliktelser. Vi har implementert følgende prosesser for å sikre GDPR-overholdelse:
    • Data anonymisering
GDPR-merket
    • Vi har en DPA med standard avtaleklausuler, godkjent av EU-kommisjonen, for å beskytte overføring av personopplysninger utenfor EU / Storbritannia.
    • Ta kontakt med privacy@lightspeedsystems.com å utføre DPA med oss.
    • Vi har implementert egnede tekniske og organisatoriske tiltak for å sikre personopplysninger.

Samsvar

Privacy Shield

De EU-US og Swiss-US Privacy Shield Frameworks ble designet av det amerikanske handelsdepartementet og henholdsvis EU-kommisjonen og den sveitsiske administrasjonen for å gi selskaper på begge sider av Atlanterhavet en mekanisme for å overholde databeskyttelseskravene når de overfører personopplysninger fra EU og Sveits til USA. Stater som støtter transatlantisk handel.

 16. juli 2020 utstedte EU-domstolen en dømmekraft erklære som ”ugyldig” EU-kommisjonens beslutning (EU) 2016/1250 av 12. juli 2016 om tilstrekkelig beskyttelse som gis av EU-US Privacy Shield. Som et resultat av denne avgjørelsen er EU-US Privacy Shield Framework ikke lenger en gyldig mekanisme for å overholde EUs databeskyttelseskrav når du overfører personopplysninger fra EU til USA. Denne avgjørelsen fritar ikke deltakerne i EU-US Privacy Shield for sine forpliktelser i henhold til EU-US Privacy Shield Framework.

  • Lightspeed Systems fortsetter å opprettholde vårt Privacy Shield-sertifisering, som binder oss til strenge databeskyttelsesprinsipper.
  • Vi har innlemmet EUs standardkontraktsklausuler i vår DPA for å redegjøre for dataoverføring på tvers av landegrensene. I noen tilfeller stoler vi på GDPR artikkel 49 unntak, der overføringen er nødvendig for utførelse av en kontrakt mellom den registrerte og den behandlingsansvarlige eller for gjennomføring av tiltak før kontrakten som er truffet på den registreredes forespørsel.

Samsvar

Office of Foreign Assets Control (OFAC)

Kontoret for kontroll av utenlandske eiendeler (“OFAC”) av det amerikanske finansdepartementet administrerer og håndhever økonomiske og handelssanksjoner basert på USAs utenrikspolitikk og nasjonale sikkerhetsmål mot målrettede utenlandske land og regimer, terrorister, internasjonale narkotikasmuglere, de som er engasjert i aktiviteter knyttet til spredning av masseødeleggelsesvåpen, og andre trusler mot USAs nasjonale sikkerhet, utenrikspolitikk eller økonomi.

  • Lightspeed Systems, dets datterselskaper og tilknyttede selskaper er forpliktet til full overholdelse av alle internasjonale sanksjoner inkludert, men ikke begrenset til, de som er pålagt av USA, EU og Storbritannia.
  • Internasjonale sanksjoner er lover, forskrifter, ordrer, rådsbestemmelser og andre myndighetshandlinger som forbyr et bredt spekter av kommersielle og finansielle transaksjoner. Det er policyen til Lightspeed Systems å overholde alle gjeldende internasjonale sanksjoner.
  • Lightspeed Systems anser et effektivt compliance-program som adresserer eksportkontroller med retningslinjer og prosedyrer som en viktig, viktig del av vår forretningsdrift og etiske etiske retningslinjer.
  • Vi screener alle internasjonale ordrer mot forskjellige lister over sanksjonerte og forbudte personer og destinasjoner før aksept. Enhver ordre mottatt, direkte eller indirekte, fra en sanksjonert person eller ment for sluttbruk av sanksjonert person eller i en sanksjonert destinasjon, vil bli avvist.

Lightspeed Systems-ansatte får årlig OFAC bevissthetstrening for å sikre samsvar.

For mer detaljert informasjon om hvordan vi håndterer personopplysninger og detaljene i våre tjenester, se vår
Personvernregler og Vilkår for bruk.

Lightspeed Systems underprosessorliste

Enhetsnavn

Underbehandlingsaktiviteter

Enhetsplassering (HQ)

Amazon Web Services, Inc.

Programvert og lagring

forente stater

Equinix

Datasenter

forente stater

LightEdge

Datasenter

forente stater

Microsoft Corporation (Microsoft Azure)

Programvert og lagring

forente stater

Enhetsnavn

Underbehandlingsaktiviteter

Enhetsplassering (HQ)

Ably.io

Tilstedeværelsesovervåking

Storbritannia

DocuSign

Elektronisk signaturleverandør

forente stater

FullStory

Produktanalyse

forente stater

Greenhouse Software Inc.

Programvare for rekruttering

forente stater

Incorta

Dataanalyse

forente stater

Microsoft Corporation

E-post og samarbeidsverktøy

forente stater

Nemlig

Programvare for lønnsadministrasjon

forente stater

NetSuite

Regnskapssystemer

forente stater

Pendo.io Inc.

Programvareopplevelsesadministrasjon

forente stater

Salesforce

Kundestøtte - CRM-leverandør

forente stater

Twilio

Kommunikasjonsteknologileverandør

forente stater