Lightspeed Systems® is uw vertrouwde partner

Beveiliging en naleving

Informatiebeveiliging en gegevensbescherming vormen een integraal onderdeel van onze kernovertuigingen. We hebben toegewijde beveiligings- en complianceteams, die zich inzetten om uw informatie veilig en beveiligd te houden. Lightspeed Systems hanteert strikte beleidsregels en procedures om de beschikbaarheid, integriteit en vertrouwelijkheid van klantgegevens te waarborgen.

Systeem status

We weten dat u op Lightspeed Systems-oplossingen vertrouwt om geweldige dingen te doen, dus we monitoren onze services continu intern en via services van derden. Vind hier onderbrekingen in services, updates en onderhoudsaankondigingen.

Veiligheid

Lightspeed Systems begrijpt de noodzaak om de persoonlijke en vertrouwelijke gegevens van onze klanten, medewerkers en partners te beschermen. Privacy en beveiliging zijn onze verantwoordelijkheid en we bieden innovatieve oplossingen die gegevensprivacy en -beveiliging verbeteren in plaats van ze in gevaar te brengen.

Nakoming

Sinds 1999 werkt Lightspeed Systems samen met scholen over de hele wereld om studenten te beschermen en leren aanpasbaar te maken aan het steeds veranderende technologische landschap. De aard van ons bedrijf verplicht ons om te voldoen aan de verschillende privacywetten voor studentgegevens om ervoor te zorgen dat de gegevens van studenten worden beschermd.

Lightspeed Systems Servicestatus

Service Level Agreement (SLA)

Lightspeed Systems biedt gehoste services, waaronder beheer van mobiele apparaten, webfiltering, app-analyse en klasbeheer voor scholen. Onze services zijn minimaal 99.5% van de tijd beschikbaar, waarbij servers continu worden gecontroleerd op prestaties en beschikbaarheid.

screenshots op desktop en mobiele apparaten voor software voor afstandsonderwijs

Lightspeed-beveiliging

Administratieve waarborgen

Achtergrondcontroles van werknemers

Alle medewerkers van Lightspeed Systems ondergaan antecedentenonderzoeken en ondertekenen een geheimhoudingsverklaring voordat ze worden aangenomen.

Probleembehandeling

We hebben een geschreven incidentresponsplan waarin de processen worden beschreven voor het detecteren, rapporteren, identificeren, analyseren en reageren op beveiligingsincidenten die invloed hebben op Lightspeed Systems-netwerken en klantgegevens.

Melding van inbreuk op gegevens

Als we een datalek ontdekken, volgen we ons Incident Response Plan en stellen we onze klanten zonder onnodige vertraging op de hoogte. 

Training voor bewustmaking van privacy en beveiliging van medewerkers

Bij aanwerving en op doorlopende basis zijn alle werknemers verplicht om privacy- en veiligheidstraining te volgen, waarin privacypraktijken en de principes die van toepassing zijn op de omgang door werknemers van persoonlijke informatie, inclusief de noodzaak om beperkingen te stellen aan het gebruik, de toegang, het delen en het bewaren van persoonlijke gegevens, worden behandeld. informatie.

We geven training over specifieke aspecten van beveiliging die ze nodig hebben op basis van hun rollen. Het productontwikkelingsteam ondergaat bijvoorbeeld privacy by design en veilige softwareontwikkelingstraining. Medewerkers krijgen ook regelmatig te maken met phishing-e-mails.

Leveranciersselectie en risicobeheer

Lightspeed Systems kan subverwerkers gebruiken om diensten uit te voeren en hebben alleen recht op toegang tot klantgegevens alleen als dat nodig is om de Diensten uit te voeren, en zijn gebonden aan schriftelijke overeenkomsten die vereisen dat ze strikte niveaus van gegevensbescherming bieden die vereist zijn door Lightspeed en toepasselijke regelgeving. Hier is een lijst van onze subverwerkers.

Pre-engagement en doorlopende leveranciersbeoordelingen worden uitgevoerd om ervoor te zorgen dat de juiste gegevensprivacy- en beveiligingspraktijken worden toegepast gedurende de hele leveranciersrelatie.

  • Wijzigingen in geleverde leveranciersdiensten of wijzigingen in bestaande contracten vereisen een veiligheidsrisicobeoordeling om te bevestigen dat de wijzigingen geen extra of onnodig risico vormen.

Beleids- en proceduredocumenten zijn in overeenstemming met de NIST Privacy / Security Frameworks

Lightspeed Systems toetst zijn systemen aan de CIS Controls en NIST Frameworks, en alle geïdentificeerde risico's of hiaten worden dienovereenkomstig aangepakt.

We hebben een speciaal Data Governance-team dat driemaandelijkse vergaderingen houdt om de gegevensintegriteit te waarborgen

De volgende beleidsdocumenten zijn opgesteld en geïmplementeerd in de hele organisatie: Beveiligingsbeleid, Incident Response Plan, Kwetsbaarheidsbeleid, Patchbeleid, IT-normenbeleid, Gegevensclassificatiebeleid, Gegevensverwijderingsbeleid, Vendor Assessment Policy, Vendor Security Standards Verification Procedure, Password Beleid, Clean Desk-beleid, Privacy-aanvraagbeleid, Data Governance-beleid, Gebouwtoegangsbeleid en PIA & DPIA-procedure.

Lightspeed-beveiliging

Technische waarborgen

Data encryptie

Gegevens worden tijdens het transport en in rust versleuteld.

 

Bewaring en verwijdering van gegevens

Lightspeed Systems heeft een beleid voor het bewaren van gegevens geïmplementeerd. Waar van toepassing maken onze oplossingen gebruik van geautomatiseerde regels om gegevens op te schonen in overeenstemming met het beleid.

 

Reservekopie van gegevens

We maken regelmatig back-ups van gegevens en systemen. Back-upintervallen zijn afhankelijk van het type gegevens en variëren van minuten tot eenmaal per dag.

Herstel van kwetsbaarheden

Lightspeed Systems heeft een beleid voor het herstellen van kwetsbaarheden om kwetsbaarheden te identificeren en te verhelpen op basis van het risico dat ze vormen. We gebruiken patchbeheersoftware om systemen te bewaken en ervoor te zorgen dat patches worden geïmplementeerd.

 

Malware bescherming

Lightspeed Systems beschikt over antimalware- en antispamoplossingen om servers en werkstations te beschermen.

 

Logboekregistratie en monitoring

Lightspeed Systems heeft logging- en monitoringoplossingen ingezet om mogelijke beveiligingsgebeurtenissen te identificeren en te onderzoeken.

identiteits- en toegangscontrole

Toegang tot persoonlijke informatie is beperkt via inloggegevens tot die werknemers die deze nodig hebben om hun werk uit te voeren. Bovendien maakt Lightspeed Systems gebruik van toegangscontroles zoals Multi-Factor Authentication, Single Sign-On, de minste privileges en toegang indien nodig, sterke wachtwoordcontroles en beperkte toegang tot beheerdersaccounts.

Met onze oplossingen kunnen klanten 'Admin'-rollen creëren die alleen de rechten bieden die nodig zijn om de vereiste functies uit te voeren.

Lightspeed-beveiliging

Fysieke waarborgen

veiligheid op de werkplek

Lightspeed Systems handhaaft de volgende controles die zijn ontworpen om ongeautoriseerde toegang tot onze kantoren te voorkomen:

  • Toegang tot de faciliteit is beperkt tot geautoriseerde personen door gebruik van sleutels / sleutelhangers of toegangsbadges.
  • Lightspeed-kantoren hebben brandbestrijdings- en branddetectiesystemen of -apparatuur, evenals nooduitgangen en evacuatieroutes.

datacenter beveiliging

Alle datacenters waar gegevens worden verwerkt en opgeslagen, bevinden zich in de Verenigde Staten en zijn in het bezit van SOC 2-, HIPPA-, PCI DSS- en ISO 27001-certificeringen. Lightspeed heeft een proces om gebeurtenissen en anomalieën in zijn systemen en oplossingen te loggen, bewaken en erop te reageren. Er zijn ook oplossingen voor gegevensback-up en -herstel.

Veilige ontwerpprincipes

Lightspeed Systems past beveiliging bij ontwerp toe. We gebruiken een Secure Software Development Lifecycle op basis van de OWASP-methodologieën.

  • Onze systemen en processen houden rekening met de belangrijkste pijlers van informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid.

Neem contact met ons op als u een beveiligingsprobleem binnen Lightspeed Systems vermoedt

Neem contact met ons op als u een beveiligingsprobleem binnen Lightspeed Systems vermoedt

Nakoming

Children's Online Privacy Protection Act (COPPA)

COPPA is van toepassing op het online verzamelen van persoonlijke informatie door personen of entiteiten onder Amerikaanse jurisdictie over kinderen jonger dan 13 jaar. Ouderlijke toestemming is vereist voor het verzamelen of gebruiken van persoonlijke informatie van de gebruikers.

  • Lightspeed Systems voldoet aan de Children's Online Privacy Protection Act (COPPA, om de online veiligheid van kinderen te waarborgen. Studentenaccounts worden alleen verstrekt via een geverifieerde docent, school of onderwijsorganisatie. Docenten stemmen ermee in om ouderlijke toestemming te verkrijgen voordat ze accounts aan studenten verstrekken). 

We voldoen aan de volgende COPPA-richtlijnen die hieronder worden vermeld en gaan akkoord met:

  • NIET online contactgegevens verzamelen zonder de toestemming van een ouder of een gekwalificeerde opvoeder of onderwijsinstelling.
  • NIET persoonlijk identificeerbare offline contactgegevens verzamelen.
  • NIET alle persoonlijk identificeerbare informatie aan derden verspreiden zonder voorafgaande toestemming van de ouders.
  • NIET verleiden door het vooruitzicht van een speciaal spel, prijs of andere activiteit of om meer informatie te onthullen dan nodig is om aan de activiteit deel te nemen.
  • NIET studenteninformatie gebruiken of openbaar maken voor gedragsgerichte advertenties op studenten.
  • NIET een persoonlijk profiel van een leerling opbouwen anders dan voor het ondersteunen van geautoriseerde onderwijs- / schooldoeleinden.

Nakoming

Family Educational Rights & Privacy Act (FERPA)

De Family Educational Rights and Privacy Act (FERPA) is een federale wet die de privacy van de onderwijsgegevens van studenten beschermt. De wet is van toepassing op alle scholen die geld ontvangen onder een toepasselijk programma van het Amerikaanse ministerie van Onderwijs.

  • Hoewel FERPA van toepassing is op scholen en niet op bedrijven, kan Lightspeed Systems worden aangeduid als een 'schoolambtenaar' en als zodanig voldoen we aan de FERPA-vereisten en hebben we ons verplicht de privacy van de informatie van studenten te beschermen, die ons is toevertrouwd door de schooldistricten. . De schooldistricten hebben de controle over alle leerlinggegevens en wij gaan onder hun leiding verder. Onder FERPA hebben ouders of in aanmerking komende studenten het recht op toegang tot, inzage, inzage en rectificatie van studentendossiers en Lightspeed voldoet aan deze rechten wanneer we een geverifieerd schriftelijk verzoek ontvangen van het schooldistrict.
  • Houd er rekening mee dat Lightspeed Systems geen direct contact heeft met leerlingen of ouders.

Nakoming

New York Education Law 2-D

Onderwijsrecht § 2-d trad in werking in april 2014. De focus van het statuut was het bevorderen van de privacy en beveiliging van persoonlijk identificeerbare informatie (PII) van studenten en bepaalde PII met betrekking tot leerkrachten en schoolhoofden.

Lightspeed Systems voldoet aan de NY ED Wet 2-D en de Ouders Bill of Rights, waarvoor het volgende vereist is:

  • De persoonlijk identificeerbare informatie (PII) van een student mag niet worden verkocht of vrijgegeven voor commerciële doeleinden;
  • Het recht op inzage en inzage in de volledige inhoud van het onderwijsdossier van de student dat is opgeslagen of bijgehouden door een onderwijsinstelling;
  • Voorzorgsmaatregelen in verband met industriestandaarden en best practices, inclusief maar niet beperkt tot versleuteling, firewalls en wachtwoordbeveiliging, moeten aanwezig zijn wanneer PII van studenten wordt opgeslagen of overgedragen;
  • Op de hoogte worden gebracht in overeenstemming met de toepasselijke wet- en regelgeving als er een schending of ongeautoriseerde vrijgave van PII plaatsvindt;
  • Ouders hebben het recht om klachten over mogelijke inbreuken op leerlinggegevens te laten behandelen;
  • Opleidingsmedewerkers die met PII omgaan, zullen training krijgen over toepasselijke staats- en federale wetten, beleidslijnen en waarborgen in verband met industriestandaarden en best practices die PII beschermen;
  • Contracten van onderwijsinstanties met leveranciers die PII ontvangen, zullen ingaan op de wettelijke en regelgevende vereisten voor gegevensprivacy en -beveiliging.

Nakoming

Privacybelofte voor studenten

De Privacybelofte voor studenten is een openbare en wettelijk afdwingbare verklaring van technische bedrijven om de privacy van studenten te beschermen, gebouwd rond verplichtingen met betrekking tot het verzamelen, onderhouden en gebruiken van persoonlijke informatie van studenten.

  • Lightspeed Systems heeft het Privacybelofte voor studenten om verantwoord rentmeesterschap uit te voeren en de persoonlijke gegevens van studenten op de juiste manier te gebruiken.
ondertekeningsbadge voor privacy van studenten

Nakoming

Student Data Privacy Consortium (SDPC) en National Data Processing Agreement (NDPA)

De SDPC is een unieke samenwerking van scholen, districten, regionale, territoria en overheidsinstanties, beleidsmakers, handelsorganisaties en marktplaatsaanbieders die zich bezighouden met real-world, aanpasbare en implementeerbare oplossingen voor groeiende zorgen over gegevensprivacy.
  • De SDPC heeft de eerste vrijgegeven Nationale gegevensprivacyovereenkomst (NDPA) om applicatiecontracten te stroomlijnen en gemeenschappelijke verwachtingen te scheppen tussen scholen / districten en marktplaatsaanbieders.
  • Lightspeed werkt samen met schooldistricten in alle deelnemende staten om ervoor te zorgen dat we gegevensverwerkingsovereenkomsten hebben.
  • Schooldistricten die de SDPC en NDPA met ons willen ondertekenen, worden aangemoedigd om te e-mailen privacy@lightspeedsystems.com

Nakoming

California Consumer Privacy Act (CCPA)

De California Consumer Privacy Act van 2018 (CCPA) geeft consumenten meer controle over de persoonlijke informatie die bedrijven over hen verzamelen.

  • Lightspeed Systems zet zich in om te voldoen aan de vereisten van de CCPA en om uw gegevens te beschermen.
  • Onze Privacybeleid geeft gedetailleerde informatie over hoe Lightspeed Systems uw persoonlijke gegevens verzamelt en verwerkt.

Consumenten in Californië kunnen een verzoek indienen op grond van hun rechten onder de CCPA door contact met ons op te nemen op privacy@lightspeedsystems.com

Nakoming

Algemene verordening gegevensbescherming (AVG)

AVG is een verordening die bedrijven verplicht om de persoonlijke gegevens en privacy van EU-burgers te beschermen voor transacties die plaatsvinden binnen EU-lidstaten.

  • Lightspeed Systems zet zich in om te voldoen aan de gegevensbeschermingsvereisten van de AVG.
  • We hebben de volgende processen geïmplementeerd om naleving van de AVG te garanderen:
    • Gegevensminimalisatie - We verzamelen alleen gegevens die nodig zijn voor een specifiek doel en het gebruik is beperkt tot het aangegeven doel.
    • Gegevenstoewijzing en classificatie - We houden een gedetailleerde inventaris van persoonlijke gegevens bij en classificeren die gegevens vervolgens. Dit is een continu proces, waar we continu aan werken.
    • Bewaren van gegevens - We bewaren gegevens alleen zolang als nodig is om het vermelde doel te bereiken en om aan onze contractuele verplichtingen te voldoen We hebben de volgende processen geïmplementeerd om naleving van de AVG te waarborgen:
    • Anonimisering van gegevens
GDPR-nalevingsbadge
    • We hebben een DPA met standaardcontractbepalingen, goedgekeurd door de Europese Commissie, om de overdracht van persoonsgegevens buiten de EU / VK te beschermen.
    • Neem contact op met privacy@lightspeedsystems.com om de DPA met ons uit te voeren.
    • We hebben passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligen.

Nakoming

Privacyschild

De Kaders voor het EU-VS- en Zwitsers-VS-privacyschild zijn ontworpen door het Amerikaanse ministerie van Handel en respectievelijk de Europese Commissie en de Zwitserse overheid om bedrijven aan beide zijden van de Atlantische Oceaan een mechanisme te bieden om te voldoen aan de vereisten inzake gegevensbescherming bij het overdragen van persoonsgegevens van de Europese Unie en Zwitserland naar de Verenigde Staten. Staten ter ondersteuning van transatlantische handel.

 Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie een oordeel het "ongeldig" verklaren van Besluit (EU) 2016/1250 van de Europese Commissie van 12 juli 2016 betreffende de toereikendheid van de bescherming die wordt geboden door het EU-VS-privacyschild. Als gevolg van dat besluit is het EU-US Privacy Shield Framework niet langer een geldig mechanisme om te voldoen aan de EU-vereisten inzake gegevensbescherming bij de overdracht van persoonsgegevens van de Europese Unie naar de Verenigde Staten. Dat besluit ontslaat deelnemers aan het EU-VS-privacyschild niet van hun verplichtingen uit hoofde van het EU-VS-privacyschildkader.

  • Lightspeed Systems blijft onze Privacy Shield-certificering, wat ons bindt aan strikte principes voor gegevensbescherming.
  • We hebben de EU-modelcontractbepalingen in onze DPA opgenomen om rekening te houden met grensoverschrijdende gegevensoverdrachten. In sommige gevallen vertrouwen we op de AVG Artikel 49 afwijking, wanneer de doorgifte noodzakelijk is voor de uitvoering van een contract tussen de betrokkene en de verantwoordelijke voor de verwerking of voor de uitvoering van precontractuele maatregelen die op verzoek van de betrokkene zijn genomen.

Nakoming

Office of Foreign Assets Control (OFAC)

Het Office of Foreign Assets Control ("OFAC") van het Amerikaanse ministerie van Financiën beheert en handhaaft economische en handelssancties op basis van het buitenlands beleid van de VS en nationale veiligheidsdoelen tegen gerichte buitenlandse landen en regimes, terroristen, internationale drugshandelaren, degenen die betrokken zijn bij activiteiten in verband met de verspreiding van massavernietigingswapens, en andere bedreigingen voor de nationale veiligheid, het buitenlands beleid of de economie van de Verenigde Staten.

  • Lightspeed Systems, haar dochterondernemingen en aangesloten maatschappijen zijn toegewijd aan volledige naleving van alle internationale sancties, inclusief maar niet beperkt tot die opgelegd door de Verenigde Staten, de Europese Unie en het Verenigd Koninkrijk.
  • Internationale sancties zijn de wetten, voorschriften, uitvoeringsbesluiten, besluiten van de raad en andere overheidsmaatregelen die een breed scala aan commerciële en financiële transacties verbieden. Het is het beleid van Lightspeed Systems om alle toepasselijke internationale sancties na te leven.
  • Lightspeed Systems beschouwt een effectief nalevingsprogramma dat exportcontroles aanpakt met beleid en procedures als een belangrijk, essentieel onderdeel van onze bedrijfsactiviteiten en ethische gedragscode.
  • We screenen alle internationale bestellingen op verschillende lijsten van gesanctioneerde en verboden personen en bestemmingen voordat ze worden geaccepteerd. Elke bestelling, direct of indirect, ontvangen van een gesanctioneerde persoon of bedoeld voor uiteindelijk eindgebruik door gesanctioneerde persoon of op een gesanctioneerde bestemming, zal worden afgewezen.

Lightspeed Systems-medewerkers krijgen een jaarlijkse OFAC-bewustmakingstraining om naleving te waarborgen.

Voor meer gedetailleerde informatie over hoe we omgaan met persoonlijke gegevens en de details van onze Services, verwijzen wij u naar onze
Privacybeleid en Gebruiksvoorwaarden.

Lightspeed Systems Subprocessorlijst

Entiteitsnaam

Subverwerkingsactiviteiten

Entiteitslocatie (HQ)

Amazon Web Services, Inc.

Hosting en opslag van applicaties

Verenigde Staten

Equinix

Datacenter

Verenigde Staten

LightEdge

Datacenter

Verenigde Staten

Microsoft Corporation (Microsoft Azure)

Hosting en opslag van applicaties

Verenigde Staten

Entiteitsnaam

Subverwerkingsactiviteiten

Entiteitslocatie (HQ)

Ably.io

Aanwezigheidscontrole

Verenigd Koningkrijk

DocuSign

Aanbieder van elektronische handtekeningen

Verenigde Staten

Hele verhaal

Productanalyse

Verenigde Staten

Greenhouse Software Inc.

Software voor wervingsbeheer

Verenigde Staten

Incorta

Gegevensanalyse

Verenigde Staten

Microsoft Corporation

Tools voor e-mail en samenwerking

Verenigde Staten

Namelijk

Salarisbeheersoftware

Verenigde Staten

NetSuite

Boekhoudsystemen

Verenigde Staten

Pendo.io Inc.

Beheer van software-ervaringen

Verenigde Staten

Verkoopsteam

Klantenservice - CRM-provider

Verenigde Staten

Twilio

Aanbieder van communicatietechnologie

Verenigde Staten