Lightspeed Trust

Lightspeed Systems® er din betrodde partner

SOC2 Type 2
Data Privacy Framework Program logo
Student Privacy Pledge Certification
Access 4 Learning Community badge

Trygg og sikker

Informasjonssikkerhet og databeskyttelse er en integrert del av vår kjernetro. Vi har dedikerte sikkerhets- og overholdelsesteam, som er forpliktet til å holde informasjonen din trygg og sikker. Lightspeed Systems bruker strenge retningslinjer og prosedyrer for å sikre tilgjengelighet, integritet og konfidensialitet for kundedata.

Lightspeed Systems Service Status

Service Level Agreement (SLA)

Lightspeed Systems tilbyr vertsbaserte tjenester, inkludert administrasjon av mobilenheter, nettfiltrering, appanalyse og klasseromsadministrasjon for skoler. Tjenestene våre er tilgjengelige minst 99.9% av tiden, med servere som kontinuerlig overvåkes for ytelse og tilgjengelighet.

Lightspeed Product Suite screenshots

Lightspeed Security

Administrative sikkerhetstiltak

Bakgrunnssjekker for ansatte

Alle Lightspeed Systems-ansatte gjennomgår bakgrunnssjekker og signerer en taushetserklæring før ansettelse.

Varsling om databrudd

Hvis vi får vite om et databrudd, vil vi følge vår Incident Response Plan og varsle våre kunder uten unødig forsinkelse.

Hendelseshåndtering

Vi har en skriftlig hendelsesresponsplan som beskriver prosessene for å oppdage, rapportere, identifisere, analysere og svare på sikkerhetshendelser som påvirker Lightspeed Systems-nettverk og kundedata.

Opplæring om personvern og sikkerhet for ansatte

Ved ansettelse og fortløpende er alle ansatte pålagt å gjennomføre personvern- og sikkerhetsopplæring, som dekker personvernpraksis og prinsippene som gjelder for ansattes håndtering av personopplysninger, inkludert behovet for å sette begrensninger på bruk, tilgang til, deling og oppbevaring av personopplysninger.

Vi gir opplæring i spesifikke aspekter ved sikkerhet som de krever basert på rollene deres. For eksempel gjennomgår produktutviklingsteamet personvern ved design og opplæring i sikker programvareutvikling. Ansatte blir også utsatt for vanlige phishing-e-poster.

Leverandørvalg og risikostyring

Lightspeed Systems kan bruke underbehandlere til å utføre tjenester og har kun rett til å få tilgang til kundedata kun etter behov for å utføre tjenestene og skal være bundet av skriftlige avtaler som krever at de gir strenge nivåer av databeskyttelse som kreves av Lightspeed og gjeldende regelverk. Her er en liste over våre underbehandlere.

Forhåndsengasjement og løpende leverandørvurderinger utføres for å sikre at riktig personvern og sikkerhetspraksis er på plass gjennom hele leverandørforholdet. Endringer i leverandørtjenester eller endringer i eksisterende kontrakter krever en sikkerhetsrisikovurdering for å bekrefte at endringene ikke utgjør ytterligere eller unødig risiko.

Retningslinjer og prosedyredokumenter er på linje med NISTs personvern-/sikkerhetsrammeverk

Lightspeed Systems vurderer systemene sine mot CIS Controls og NIST Frameworks, og eventuelle identifiserte risikoer eller hull blir adressert deretter.

Vi har et utpekt Data Governance-team som holder periodiske møter for å sikre dataintegritet.

Vi har implementert ulike policydokumenter på tvers av organisasjonen for databeskyttelse, for eksempel, men ikke begrenset til: Responsplan for hendelser, sikkerhetspolicy, retningslinjer for utbedring av sårbarheter, retningslinjer for IT-standarder og retningslinjer for sletting av data.

Forretningskontinuitet og katastrofegjenoppretting

Lightspeed Systems anerkjenner viktigheten av å opprettholde kritiske forretningsfunksjoner og beskytte systemer og data. For å sikre forretningskontinuitet har Lightspeed utviklet en bedriftsomfattende Business Continuity and Disaster Recovery Plan som styrer det overordnede styringsprogrammet for alle funksjoner.

Endringsledelse

Retningslinjer for endringsadministrasjon er dokumentert for å adressere design, utvikling, anskaffelse, testing, godkjenning og implementering av systemendringer og oppdateringer.

Lightspeed Security

Tekniske sikkerhetstiltak

Ekstern revisjon

Lightspeed Systems er glade for å dele at vi har fullført vår SOC 2 Type II-revisjon 22. mars 2024. Et uavhengig firma har bekreftet at vi oppfyller SOC 2-standardene. Lightspeed Systems følger AICPAs Trust Services Criteria og har etablert retningslinjer og prosesser for å sikre sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern for tjenestene vi leverer til våre kunder. Kunder kan be om en kopi av vår SOC 2 Type 2-rapport ved å sende en e-post til [email protected], og rapporten vil bli gitt ved signering av en NDA.

Varsling om databrudd

Hvis vi får vite om et bekreftet datainnbrudd, vil vi følge vår hendelsesplan og varsle skolen uten unødig forsinkelse.

Kryptering i hvile

Data krypteres i hvile ved hjelp av Advanced Encryption Standard (AES) kryptering.

Kryptering i transitt

Data krypteres under overføring ved hjelp av Transport Layer Security (TLS)-protokollen.

Datasikkerhetskopiering

Vi utfører jevnlig sikkerhetskopiering av data og systemer. Sikkerhetskopieringsintervaller avhenger av typen data og varierer fra minutter til én gang per dag.

Utbedring av sårbarhet

Lightspeed Systems har en policy for utbedring av sårbarheter for å identifisere og utbedre sårbarheter i henhold til risikoen de utgjør. Vi bruker programvare for patchadministrasjon for å overvåke systemer og sikre at patcher implementeres.

Sletting av data

Lightspeed Systems har implementert en retningslinjer for sletting av data. Der det er hensiktsmessig, bruker våre løsninger automatiserte regler for å rense data i henhold til retningslinjer.

Logging og overvåking

Lightspeed Systems har distribuert logg- og overvåkingsløsninger for å identifisere og undersøke mulige sikkerhetshendelser.

Identitet og tilgangskontroll

Tilgang til personlig informasjon er begrenset gjennom påloggingsinformasjon til de ansatte som krever det for å utføre jobbfunksjonene sine. I tillegg bruker Lightspeed Systems tilgangskontroller som Multi-Factor Authentication, Single Sign-On, minst privilegium og tilgang etter behov, sterke passordkontroller og begrenset tilgang til administrative kontoer.

Våre løsninger lar kunder opprette "Admin"-roller som bare gir rettighetene som trengs for å utføre de nødvendige funksjonene.

Lightspeed Security

Fysiske sikkerhetstiltak

Sikkerhet på arbeidsplassen

Lightspeed Systems opprettholder følgende kontroller designet for å forhindre uautorisert tilgang til våre kontorer:

  • Tilgang til fasiliteter er begrenset til autoriserte personer ved bruk av nøkler/nøkkelbrikker eller adgangsmerker.
  • Lightspeed-kontorer har brannslokkings- og branndeteksjonssystemer eller enheter samt nødutganger og evakueringsveier.

Datasentersikkerhet

Alle datasentre der data behandles og lagres, ligger i USA og har SOC 2-, PCI DSS- og ISO 27001-sertifiseringer. Lightspeed har en prosess på plass for å logge, overvåke og reagere på hendelser og avvik i systemene og løsningene sine. Løsninger for sikkerhetskopiering og gjenoppretting av data er også på plass.

Sikkert designprinsipper

Lightspeed Systems praktiserer sikkerhet ved design. Vi bruker en sikker programvareutviklingslivssyklus basert på OWASP-metoder.

Våre systemer og prosesser tar hensyn til kjernepilarene for informasjonssikkerhet: konfidensialitet, integritet og tilgjengelighet.

Overholdelse

Lightspeed Systems Artificial Intelligence (AI) etikk og prinsipper

Lightspeed Systems vet hvordan kunstig intelligence kan endre teknologi- og forretningsverdenen til det bedre. Vi bruker AI på en ansvarlig måte, og sørger for at den er etisk, samtidig som vi maksimerer fordelene og betjener kundene våre. Vi følger etiske prinsipper for AI-løsninger som samsvarer med våre verdier og profesjonelle standarder, og som bygger tilliten til våre kunder, mennesker, lokalsamfunn og regulatorer. Vi er faste i vår forpliktelse til å handle i allmennhetens interesse, respektere offentlig tillit og vise vår forpliktelse til faglig fortreffelighet. For mer informasjon, se vår Ansvarlig bruk av AI.

Overholdelse

Children's Online Privacy Protection Act (COPPA)

COPPA gjelder for online innsamling av personlig informasjon fra personer eller enheter under amerikansk jurisdiksjon om barn under 13 år. Foreldresamtykke kreves for innsamling eller bruk av personlig informasjon om brukerne.

  • Lightspeed Systems overholder Children's Online Privacy Protection Act (COPPA) for å sikre barns sikkerhet på nett. Elevkontoer gis kun gjennom en verifisert lærer, skole eller utdanningsorganisasjon. Lærere samtykker i å innhente foreldrenes tillatelse før de utsteder kontoer til elever. Vennligst les Lightspeeds COPPA-varsel her.

Vi oppfyller følgende COPPA-retningslinjer oppført nedenfor og godtar:

  • IKKE samle inn kontaktinformasjon på nettet uten samtykke fra enten en forelder eller en kvalifisert lærer eller utdanningsinstitusjon.
  • samle IKKE personlig identifiserbar offline kontaktinformasjon.
  • IKKE distribuer personlig identifiserbar informasjon til tredjeparter uten samtykke fra foreldrene på forhånd.
  • IKKE lokke av utsiktene til et spesielt spill, premie eller annen aktivitet eller å røpe mer informasjon enn det som er nødvendig for å delta i aktiviteten.
  • IKKE bruk eller utlever studentinformasjon for adferdsmålretting av annonser til studenter.
  • IKKE bygg en personlig profil av en student annet enn for å støtte autoriserte utdannings-/skoleformål.

Overholdelse

Family Educational Rights & Privacy Act (FERPA)

De Family Educational Rights and Privacy Act (FERPA) er en føderal lov som beskytter personvernet til studentopplæringsposter. Loven gjelder for alle skoler som mottar midler under et gjeldende program fra det amerikanske utdanningsdepartementet.

  • Selv om FERPA gjelder skoler og ikke bedrifter, kan Lightspeed Systems bli utpekt som en "skoleoffisiell", og som sådan er vi i samsvar med FERPA-kravene og har forpliktet oss til å beskytte studentenes personvern.
    informasjon, som er betrodd oss av skoledistriktene. Skoledistriktene har kontroll over alle elevdata, og vi fortsetter under deres ledelse. Under FERPA har foreldre eller kvalifiserte studenter rett til tilgang,
    inspisere, gjennomgå og korrigere studentposter og Lightspeed overholder disse rettighetene når vi får en bekreftet skriftlig forespørsel fra skoledistriktet.
  • Vær oppmerksom på at Lightspeed Systems ikke har direkte kontakt med elever eller foreldre.

Overholdelse

New York Education Law 2-D

Opplæringsloven § 2-d trådte i kraft i april 2014. Vedtektenes fokus var å fremme personvern og sikkerhet for personlig identifiserbar informasjon (PII) for elever og visse PII relatert til klasseromslærere og rektorer. Lightspeed Systems overholder NY ED Law 2-D og Foreldres rettighetserklæring, som krever følgende:

  • En elevs personlig identifiserbare informasjon (PII) kan ikke selges eller frigis til kommersielle formål;
  • Retten til å inspisere og gjennomgå det fullstendige innholdet i studentens utdanningsjournal lagret eller vedlikeholdt av et utdanningsbyrå;
  • Sikkerhetstiltak knyttet til bransjestandarder og beste praksis, inkludert, men ikke begrenset til, kryptering, brannmurer og passordbeskyttelse må være på plass når student-PII lagres eller overføres;
  • Å bli varslet i samsvar med gjeldende lover og forskrifter hvis et brudd eller uautorisert utgivelse av PII oppstår;
  • Foreldre har rett til å få behandlet klager på mulige brudd på elevdata;
  • Utdanningsbyråarbeidere som håndterer PII vil motta opplæring i gjeldende statlige og føderale lover, retningslinjer og sikkerhetstiltak knyttet til industristandarder og beste praksis som beskytter PII;
  • Utdanningsbyråkontrakter med leverandører som mottar PII vil ta opp lovpålagte og regulatoriske krav til personvern og sikkerhet.

Overholdelse

Student Data Privacy Consortium (SDPC) og National Data Privacy Agreement (NDPA)

SDPC ga ut den første National Data Privacy Agreement (NDPA) å effektivisere søknadskontrakter og sette felles forventninger mellom skoler/distrikter og markedsplassleverandører.

  • Lightspeed samarbeider med skoledistrikter i alle deltakerstatene for å sikre at vi har personvernavtaler for databehandling på plass.
  • Skoledistrikter som ønsker å signere SDPC og NDPA med oss, oppfordres til å sende e-post [email protected].
  • De SDPC er et unikt samarbeid mellom skoler, distrikter, regionale, territorier og statlige etater, beslutningstakere, bransjeorganisasjoner og markedsplassleverandører som adresserer virkelige, tilpasningsdyktige og implementerbare løsninger på økende bekymringer om datavern.

Overholdelse

California Consumer Privacy Act (CCPA)

De California Privacy Rights Act (CPRA) endrer og utvider California Consumer Privacy Act (CCPA). CPRA trådte i kraft 1. januar 2023. CCPA ble endret for å beskytte personopplysningene til California-ansatte (B2E) og business-to-business (B2B)-kontakter, og krever at alle organisasjoner som samler inn California-data skal bruke mer omfattende beskyttelse, for eksempel personvernrisikovurderinger, dataminimering og oppbevaring av retningslinjer. CPRA fokuserer nå fra transparente dataforhold og åpenhet om ansattes rettigheter. håndhevelse og høyere bevissthet om personvernrisiko knyttet til datainnsamling og -behandling – og regnskap for all data knyttet til California-ansatte, bedrifter og innbyggere.

Hvem beskytter California Privacy Rights Act?
Enhver person som er en ansatt bosatt i California og en tjenesteleverandør/leverandør, entreprenør, konsulent, søker, frilanser og fjernarbeider kan med rimelighet identifiseres.

Ansatte- og B2B-datarettigheter:
  • Rett til å vite: Ansatte, kontraktører og tjenesteleverandører har rett til å vite hvilke data som samles inn og administreres med rett til tilgang til kopier av «spesifikke deler av personlig informasjon».
  • Rett til innsyn: I likhet med forbrukere vil ansatte kunne sende inn en datasubjekttilgangsforespørsel (DSAR) til sin arbeidsgiver for tilgang til informasjonen deres, med noen unntak.
  • Rett til å bruke og avsløre: Retten til å be om at en virksomhet begrenser eller stopper bruk og utlevering av sensitive personopplysninger.
  • Rett til å rette: Retten til å be om at virksomheten retter opp uriktige opplysninger.
  • Rett til å velge bort: Retten til å velge bort personopplysninger solgt eller delt.
  • Rett til mildhet: Retten til ikke å bli gjengjeldt for å utøve datarettigheter.
Lightspeed Systems har følgende prosedyrer på plass for å sikre samsvar med CCPA og CPRA:
  • Forespørsler om tilgang til datasubjekter: Datasubjekter kan utøve sine rettigheter ved å sende e-post til vårt personvernteam ([email protected])
  • Datakartlegging: Kartlegging, inventar og klassifisering av alle data
  • Dataminimering: Vi behandler kun data som er tilstrekkelige, relevante og begrenset til det som er nødvendig for formålet med dataene som brukes.
  • Retningslinjer for oppbevaring av data: Vi har implementert retningslinjer for oppbevaring av data på tvers av alle våre produkter og prosesser. Data oppbevares ikke lenger enn rimeligvis nødvendig for å utføre behandlingsaktiviteten
  • Personvernkonsekvensvurderinger: Vi gjennomfører risikovurderinger av alle våre produkter og prosesser, for å sikre personvern og sikkerhet ved design.

Overholdelse

General Data Protection Regulation (GDPR)

GDPR er en forskrift som pålegger virksomheter å beskytte personopplysningene og personvernet til EU-borgere for transaksjoner som skjer innenfor EUs medlemsland.

Lightspeed Systems er forpliktet til å oppfylle kravene til databeskyttelse i GDPR. Vi har implementert følgende prosesser for å sikre overholdelse av GDPR:

  • Dataminimering: Vi samler kun inn data som er nødvendige for et bestemt formål, og bruken er begrenset til det angitte formålet.
  • Datakartlegging og klassifisering: Vi opprettholder en detaljert oversikt over personopplysninger, og klassifiserer deretter disse dataene. Dette er en kontinuerlig prosess, som vi hele tiden jobber med å forbedre.
  • Artikkel 30-rapport: Vi opprettholder registreringer av behandlingsaktiviteter under vårt ansvar, i henhold til GDPR-kravene.
  • Oppbevaring av data: Vi beholder data bare så lenge det er nødvendig for å oppfylle det angitte formålet og for å oppfylle våre kontraktsmessige forpliktelser.
  • Dataanonymisering og pseudonymisering.
  • Personvernkonsekvensvurderinger og databeskyttelseskonsekvensvurderinger av våre prosesser og nye produktfunksjoner.
  • Dataoverføringer over landegrensene: Vi har en DPA som er integrert med EUs standardkontraktsklausuler og Storbritannias internasjonale dataoverføringsavtale, godkjent av EU-kommisjonen og UK Information Commissioner's Office, for å beskytte overføringen av personopplysninger utenfor EU og Storbritannia. Ta kontakt med [email protected]å utføre DPA med oss.

Overholdelse

Singapore lov om beskyttelse av personopplysninger 2012

De Singapore lov om beskyttelse av personopplysninger (PDPA) av 2012 etablerer et grunnleggende beskyttelsesnivå for personopplysninger i Singapore, og gir "individer" (som spesifisert av lovgivningen) økt kontroll over hvordan deres personopplysninger samles inn, brukes og avsløres av organisasjoner.

Databeskyttelsesforpliktelser under Singapore PDPA

Lightspeed Systems er forpliktet til å oppfylle de fastsatte forpliktelsene som følger:

  • Ansvarlighet: Vi har utviklet retningslinjer for databeskyttelse og oppmuntrer til en ansvarskultur gjennom regelmessig opplæring.
  • Melding: Vi informerer brukere om formålene som er ment for å samle inn, bruke eller avsløre deres personlige data som beskrevet i vår Personvernerklæring.
  • Tillatelse: Vi er avhengige av samtykke innhentet fra utdanningsinstitusjonene (kundene) som vi betjener, før vi samler inn, bruker eller avslører personopplysninger. Data brukes til formålet samtykket ble gitt til, og kundene har muligheten til å trekke tilbake samtykket når som helst.
  • Formålsbegrensning: Vi samler inn, bruker eller avslører personlig informasjon for de formålene som er blitt kommunisert til våre kunder.
  • Datanøyaktighet: Vi sikrer at personopplysninger er nøyaktige og fullstendige.
  • Databeskyttelse: Vi har implementert nødvendige sikkerhetstiltak for å beskytte personopplysninger mot uautorisert tilgang, innsamling, bruk og avsløring
  • Oppbevaring av data: Data oppbevares så lenge det er nødvendig for å utføre behandlingsaktiviteten.
  • Dataoverføringsbegrensning: Grenseoverskridende dataoverføringer gjøres til land som har databeskyttelseslover med standarder som ligner de som er skissert i PDPA (med mindre de er unntatt av PDPC).
  • Datasubjektets rettigheter: Enkeltpersoner har rett til å be om innsyn, retting og sletting av sine personlige opplysninger på forespørsel. I tillegg har enkeltpersoner rett til dataportabilitet og til å velge bort dataene deres blir samlet inn, brukt eller avslørt.
  • Varsling om databrudd: I tilfelle et datainnbrudd vil Lightspeed Systems informere sine kunder uten unødig forsinkelse.

Overholdelse

Australian Privacy Act (1988)

De Australian Privacy Act 1988  regulerer håndteringen av personopplysninger i Australia. Denne lovgivningen tjener som grunnlaget for datainnsamling og styringspolitikk over hele landet. Loven skisserer 13 Australske personvernprinsipper (APPer) for å administrere bruken personlig og sensitiv informasjon

Hvem gjelder personvernloven for?

Personvernloven gjelder for australske myndigheter og organisasjoner med en årlig omsetning på over 3 millioner AUD som håndterer personopplysninger til australske innbyggere.

Fundamental Principles of the Australian Privacy Act (1988)

Lightspeed Systems er forpliktet til å oppfylle databeskyttelseskravene skissert australske personvernprinsipper som følger:

  • Åpen og transparent håndtering av personopplysninger – Vi er transparente om måten vi behandler personopplysninger på. Vår Personvernerklæring detaljer hvordan vi samler inn, bruker, avslører, overfører og lagrer informasjon
  • Anonymitet og pseudonymitet – Lightspeed Systems bruker anonymisering og pseudonymisering for å beskytte enkeltpersoners identitet der det er mulig, bortsett fra omstendigheter som krever en personlig identitet for å behandle dataene.
  • Innsamling av etterspurte personopplysninger – Vi praktiserer dataminimering og formålsbegrensning, og samler kun inn data som er nødvendige for å oppfylle den forespurte tjenesten og det primære formålet. Hvis det noen gang skulle oppstå en sak hvor vi trengte å bruke dataene til et sekundært formål, vil vi varsle kundene våre og innhente deres samtykke.
  • Håndtering av uønsket personlig informasjon – Vi har automatisk blokkering for uønsket informasjon. For informasjonskapsler på nettsidene våre har vi konfigurert vårt informasjonskapselbanner med en opt-in som standardinnstilling for alle informasjonskapsler bortsett fra de strengt nødvendige informasjonskapslene.
  • Melding om innsamling av personopplysninger – Utdanningsinstitusjonene blir varslet om student- og personaldata som samles inn. Dette er beskrevet i databehandlingsavtalene som vi inngår med våre kunder. Vi opprettholder også en dataplan for hvert av produktene våre, som beskriver dataene som samles inn og hvorfor de samles inn.
  • Bruk eller utlevering av personlig informasjon – Vi bruker personopplysninger som er relevante for det opprinnelige formålet opplysningene ble samlet inn for. Vennligst se delen "Tredjeparter: Hvordan vi kan dele dine data" i vår Personvernerklæring for å få flere detaljer om omstendighetene der data kan bli utlevert.
  • Direkte markedsføring – Vi driver ikke med direkte markedsføring til elever/foreldre. Markedsføring er kun rettet mot utdanningsinstitusjoner og de er utstyrt med en klar og synlig mulighet til å velge bort all markedskommunikasjon.
  • Grenseoverskridende utlevering av personopplysninger – Grenseoverskridende data blir bare avslørt med organisasjoner som overholder de australske personvernprinsippene, og ved gjennomføring av en databehandlingsavtale som binder dem til den nødvendige personvern- og sikkerhetspraksisen.
  • Adopsjon, bruk eller avsløring av myndighetsrelaterte identifikatorer – Vi bruker ikke en myndighetsrelatert identifikator som vår egen, eller avslører en identifikator for en person, med mindre vi er autorisert til å gjøre det av loven, eller identifikatoren er nødvendig for å bekrefte identiteten til individet.
  • Kvaliteten på personlig informasjon – Vi har systemer på plass for å sikre at kvaliteten på den mottatte personlige informasjonen er nøyaktig, fullstendig og oppdatert.
  • Sikkerhet for personlig informasjon – Vi bruker administrative, tekniske og fysiske sikkerhetstiltak som kreves for databeskyttelse, som beskrevet på denne siden.
  • Tilgang til personlig informasjon – Enkeltpersoner har rett til å få tilgang til sine personlige opplysninger, som angitt i vår Personvernerklæring under "Databeskyttelse på tvers av landegrenser".
  • Retting av personopplysninger – Enkeltpersoner har rett til å korrigere sine personopplysninger, som angitt i vår Personvernerklæring under "Databeskyttelse på tvers av landegrenser".

Overholdelse

Brasils generelle personvernlov (LGPD)

De Lei Geral de Proteção de Dados (LGPD), kjent på engelsk som General Data Protection Law, er det juridiske rammeverket som er etablert for å regulere innsamling og bruk av personopplysninger i Brasil. Denne loven trådte i kraft 16. august 2020, og håndhevingen av den overvåkes av Autoridade Nacional de Proteção de Dados (ANPD), eller den nasjonale databeskyttelsesmyndigheten.

 

Hvem gjelder den brasilianske personvernloven for?

Lightspeed Systems er forpliktet til å overholde LGPD-prinsippene som følger:

  • Hensikt: Personopplysninger behandles for legitime, spesifikke og eksplisitte formål som er meddelt den registrerte, uten senere uforenlig behandling.
  • Tilstrekkelighet: Personopplysninger behandles i samsvar med de formålene som er opplyst til den registrerte, tatt i betraktning konteksten for slik behandling.
  • Nødvendighet: Personopplysninger behandles i det minimale omfanget som er nødvendig for å oppnå de relevante formålene, og kun ved bruk av passende, forholdsmessige og ikke-overdrevne data.
  • Gratis tilgang: Registrerte har rett til å enkelt og kostnadsfritt stille spørsmål om behandlingsmidlene og varigheten av personopplysningene sine, samt integriteten til dem.
  • Datakvalitet: Registrerte har rett til nøyaktig, tydelig, relevant og oppdatert informasjon, slik det er nødvendig for å oppnå de relevante formålene.
  • Åpenhet: Registrerte har rett til tydelig, nøyaktig og lett tilgjengelig informasjon om behandlingsaktiviteter og de respektive behandlingsagenter (behandlingsansvarlige og databehandlere), samtidig som kommersielle og industrielle hemmeligheter beskyttes.
  • Sikkerhet: Lightspeed Systems har implementert nødvendige tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert tilgang og utilsiktede eller ulovlige hendelser med ødeleggelse, tap, endring, kommunikasjon eller formidling, som beskrevet på vår tillitsside.
  • Forebygging: Forebyggende tiltak er iverksatt for å redusere risikoer knyttet til behandling av personopplysninger, som beskrevet på vår tillitsside.
  • Ikke-diskriminering: Personopplysninger behandles ikke for diskriminerende formål, og heller ikke på noen ulovlig eller misbrukende måte.
  • Ansvarlighet: Effektive tiltak for å overholde krav til beskyttelse av personopplysninger er iverksatt og forbedres kontinuerlig som svar på det utviklende miljøet.

LGPD gir de registrerte følgende hovedrettigheter:

  • å få bekreftelse på at det foreligger behandling av personopplysninger;
  • å få tilgang til sine personopplysninger;
  • å korrigere ufullstendige, unøyaktige eller utdaterte data;
  • å få unødvendige, overdrevne eller ikke-samsvarende personopplysninger anonymisert, blokkert eller slettet;
  • dataportabilitet;
  • sletting av personopplysninger behandlet med den registrertes samtykke, unntatt i tilfellene som er fastsatt i artikkel 16 i denne loven
  • å bli informert om tredjeparter som dataene deres har blitt delt med;
  • å bli informert om muligheten til å nekte å utlevere personopplysninger og de tilhørende konsekvensene; og
  • å trekke tilbake sitt samtykke.

Overholdelse

Det amerikanske handelsdepartementets datavernramme (DPF)

10. juli 2023 trådte EU-kommisjonens beslutning om tilstrekkelighet for EU-US Data Privacy Framework (EU-US DPF) i kraft. EU-US Data Privacy Framework (EU-US DPF) og UK Extension to the EU-US Data Privacy Framework (UK Extension to the EU-US DPF), ble henholdsvis utviklet for å fremme transatlantisk handel av det amerikanske handelsdepartementet, EU-kommisjonen og den britiske regjeringen for å gi amerikanske organisasjoner pålitelige mekanismer for overføring av personopplysninger til USA fra EU og det europeiske økonomiske området, samtidig som det er beskyttet mot USA, EU og EU. EU- og britiske lover. Lightspeed Systems overholder EU-US Data Privacy Framework (EU-US DPF) og UK-utvidelsen til EU-US DPF, som fastsatt av US Department of Commerce. Lightspeed Systems har sertifisert overfor US Department of Commerce at de følger EU-US Data Privacy Framework Principles (EU-US DPF Principles) med hensyn til behandling av personopplysninger mottatt fra EU og Storbritannia i avhengighet av EU-US DPF og UK Extension to EU-US DPF. Hvis det er noen konflikt mellom vilkårene i denne personvernerklæringen og EU-US DPF-prinsippene, skal prinsippene gjelde. For å lære mer om Data Privacy Framework (DPF)-programmet, og for å se vår sertifisering, vennligst besøk https://www.dataprivacyframework.gov/.

Lightspeed Systems er underlagt undersøkelses- og håndhevingsmyndighetene til Federal Trade Commission (FTC).

I samsvar med EU-US DPF og UK Extension to EU-US DPF, forplikter Lightspeed Systems seg til å samarbeide og overholde henholdsvis rådene fra panelet som er opprettet av EUs databeskyttelsesmyndigheter (DPAs) og UK Information Commissioner's Office (ICO) med hensyn til uløste klager angående vår håndtering av menneskelige ressurser data mot EU-USten i EU-USten. sammenhengen i arbeidsforholdet.

For mer informasjon om vår overholdelse av rammeverket for personvern, vennligst se delen "Internasjonale dataoverføringer" i vår Personvernerklæring.

Overholdelse

Office of Foreign Assets Control (OFAC)

Office of Foreign Assets Control ("OFAC") fra det amerikanske finansdepartementet administrerer og håndhever økonomiske og handelssanksjoner basert på amerikansk utenrikspolitikk og nasjonale sikkerhetsmål mot målrettede fremmede land og regimer, terrorister, internasjonale narkotikasmuglere, de som er engasjert i aktiviteter knyttet til spredning av masseødeleggelsesvåpen, og andre trusler mot USAs nasjonale sikkerhet, utenrikspolitikk eller økonomi.

  • Lightspeed Systems, dets datterselskaper og tilknyttede selskaper er forpliktet til full overholdelse av alle internasjonale sanksjoner, inkludert men ikke begrenset til de som er pålagt av USA, EU og Storbritannia.
  • Internasjonale sanksjoner er lover, forskrifter, utøvende ordrer, rådsbeslutninger og andre statlige handlinger som forbyr et bredt spekter av kommersielle og finansielle transaksjoner. Det er Lightspeed Systems policy å overholde alle gjeldende internasjonale sanksjoner.
  • Lightspeed Systems anser et effektivt overholdelsesprogram som tar for seg eksportkontroller med retningslinjer og prosedyrer som en viktig, vital del av vår forretningsdrift og etiske oppførselskodeks.
  • Vi screener alle internasjonale bestillinger mot ulike lister over sanksjonerte og forbudte personer og destinasjoner før aksept. Enhver ordre mottatt, direkte eller indirekte, fra en sanksjonert person eller beregnet på endelig sluttbruk av sanksjonert person eller i en sanksjonert destinasjon, vil bli avvist.
  • Lightspeed Systems-ansatte mottar årlig OFAC-opplæring for å sikre overholdelse.

Lightspeed Systems underprosessorliste

Entitetsnavn Underbehandlingsaktiviteter Entity Location (HQ) Sikkerhet og tilleggstiltak
Amazon Web Services, Inc. Applikasjonshosting og lagring USA
LightEdge Datasenter USA
Microsoft Corporation E-post og samarbeidsverktøy USA
Entitetsnavn Underbehandlingsaktiviteter Entity Location (HQ) Sikkerhet og tilleggstiltak
Ably.io Tilstedeværelsesovervåking Storbritannia
Adobe Sign Leverandør av elektronisk signatur USA
FullStory Produktanalyse USA
Greenhouse Software Inc. Programvare for rekruttering USA
Hive AI Tekstmoderering for produktfunksjonalitet USA
Microsoft Corporation E-post og samarbeidsverktøy USA
UKG Programvare for lønnsstyring USA
NetSuite Regnskapssystemer USA
OpenAI Generativ AI-tjenesteleverandør for intelligence-produktfunksjoner USA
Pendo.io Inc Software Experience Management USA
Salesforce Kundestøtte – CRM-leverandør USA
Snøfnugg Produktbruksanalyse, Kategoriseringsdatabase USA
Twilio Leverandør av kommunikasjonsteknologi USA
Zoom, Inc. Leverandør av videokonferanser USA