Lightspeed Systems® é seu parceiro de confiança

Segurança e Conformidade

A segurança da informação e a proteção de dados são parte integrante de nossas crenças fundamentais. Temos equipes dedicadas de segurança e conformidade, que estão comprometidas em manter suas informações seguras e protegidas. Lightspeed Systems emprega políticas e procedimentos rígidos para garantir a disponibilidade, integridade e confidencialidade dos dados do cliente.

Status do sistema

Sabemos que você confia nas soluções Lightspeed Systems para fazer coisas incríveis, por isso monitoramos continuamente nossos serviços internamente e por meio de serviços de terceiros. Encontre interrupções em serviços, atualizações e anúncios de manutenção aqui.

Segurança

Lightspeed Systems entende a necessidade de salvaguardar os dados pessoais e confidenciais de nossos clientes, funcionários e parceiros. Privacidade e segurança são nossa responsabilidade, e oferecemos soluções inovadoras que melhoram, em vez de comprometer, a privacidade e a segurança dos dados.

Conformidade

Desde 1999, Lightspeed Systems tem feito parceria com escolas de todo o mundo para proteger os alunos e tornar o aprendizado adaptável ao cenário tecnológico em constante mudança. A natureza do nosso negócio nos obriga a estar em conformidade com as várias leis de privacidade de dados do aluno, para garantir que os dados do aluno sejam protegidos.

Status do serviço Lightspeed Systems

Acordo de nível de serviço (SLA)

Lightspeed Systems fornece serviços hospedados, incluindo gerenciamento de dispositivos móveis, filtragem da web, análise de aplicativos e gerenciamento de salas de aula para escolas. Nossos serviços estão disponíveis pelo menos 99,5% do tempo, com servidores sendo monitorados continuamente para desempenho e disponibilidade.

capturas de tela em computadores e dispositivos móveis para software de ensino à distância

Segurança Lightspeed

Salvaguardas Administrativas

Verificações de antecedentes de funcionários

Todos os funcionários da Lightspeed Systems passam por verificações de antecedentes e assinam um acordo de confidencialidade antes da contratação.

Gestão de Incidentes

Temos um Plano de Resposta a Incidentes por escrito que detalha os processos para detectar, relatar, identificar, analisar e responder a Incidentes de Segurança que afetam as redes Lightspeed Systems e os Dados do Cliente.

Notificação de violação de dados

Se soubermos de uma violação de dados, seguiremos nosso Plano de Resposta a Incidentes e notificaremos nossos clientes sem atrasos indevidos. 

Treinamento de Conscientização sobre Privacidade e Segurança do Funcionário

Na contratação e em uma base contínua, todos os funcionários são obrigados a realizar treinamento de privacidade e segurança, que abrange as práticas de privacidade e os princípios que se aplicam ao tratamento de informações pessoais pelos funcionários, incluindo a necessidade de colocar limitações no uso, acesso, compartilhamento e retenção de pessoal em formação.

Oferecemos treinamento em aspectos específicos de segurança que eles exigem com base em suas funções. Por exemplo, a equipe de desenvolvimento de produto passa por treinamento de privacidade desde o projeto e seguro de desenvolvimento de software. Os funcionários também estão sujeitos a emails regulares de phishing.

Seleção de fornecedores e gerenciamento de risco

Lightspeed Systems pode usar subprocessadores para executar serviços e só tem direito a acessar os dados do cliente conforme necessário para executar os Serviços e deve ser regido por acordos escritos que exigem que forneçam níveis estritos de proteção de dados exigidos por Lightspeed e regulamentos aplicáveis. Aqui está uma lista de nossos subprocessadores.

Avaliações pré-contratação e contínuas do fornecedor são realizadas para garantir a privacidade de dados e práticas de segurança adequadas em todo o relacionamento com o fornecedor.

  • Mudanças nos serviços do fornecedor fornecidos ou mudanças nos contratos existentes exigem uma avaliação de risco de segurança para confirmar que as mudanças não apresentam risco adicional ou indevido.

Os documentos de política e procedimento se alinham com as estruturas de privacidade / segurança do NIST

O Lightspeed Systems analisa seus sistemas em relação aos controles CIS e estruturas NIST, e quaisquer riscos ou lacunas identificados são tratados em conformidade.

Temos uma equipe designada de governança de dados que realiza reuniões trimestrais para garantir a integridade dos dados

Os seguintes documentos de política foram instituídos e implementados em toda a organização: Política de Segurança, Plano de Resposta a Incidentes, Política de Remediação de Vulnerabilidade, Política de Patch, Política de Padrões de TI, Política de Classificação de Dados, Política de Exclusão de Dados, Política de Avaliação de Fornecedor, Procedimento de Verificação de Padrões de Segurança do Fornecedor, Senha Política, Política de Clean Desk, Política de Consulta de Privacidade, Política de Governança de Dados, Política de Acesso ao Edifício e Procedimento PIA e DPIA.

Segurança Lightspeed

Salvaguardas Técnicas

Criptografia de dados

Os dados são criptografados em trânsito e em repouso.

 

Retenção e exclusão de dados

Lightspeed Systems implementou uma Política de Retenção de Dados. Quando apropriado, nossas soluções utilizam regras automatizadas para limpar dados de acordo com a política.

 

Backup de dados

Fazemos backups regulares de dados e sistemas. Os intervalos de backup dependem do tipo de dados e variam de minutos a uma vez por dia.

Correção de vulnerabilidade

Lightspeed Systems tem uma política de remediação de vulnerabilidade para identificar e corrigir vulnerabilidades de acordo com o risco que representam. Utilizamos software de gerenciamento de patch para monitorar sistemas e garantir que os patches sejam implementados.

 

Proteção contra malware

Lightspeed Systems implementou soluções anti-malware e anti-spam para proteger servidores e estações de trabalho.

 

Registro e monitoramento

Lightspeed Systems implantou soluções de registro e monitoramento para identificar e investigar possíveis eventos de segurança.

identidade e controle de acesso

O acesso às informações pessoais é limitado por meio de credenciais de login aos funcionários que precisam delas para o desempenho de suas funções. Além disso, Lightspeed Systems utiliza controles de acesso como Autenticação Multi-Factor, Single Sign-On, privilégio mínimo e acesso conforme necessário, controles de senha fortes e acesso restrito a contas administrativas.

Nossas soluções permitem que os clientes criem funções de 'Admin' que fornecem apenas os direitos necessários para executar as funções exigidas.

Segurança Lightspeed

Salvaguardas Físicas

segurança do local de trabalho

Lightspeed Systems mantém os seguintes controles projetados para impedir o acesso não autorizado aos nossos escritórios:

  • O acesso às instalações é limitado a indivíduos autorizados pelo uso de chaves / porta-chaves ou crachás de acesso.
  • Os escritórios Lightspeed têm sistemas ou dispositivos de supressão e detecção de incêndio, bem como saídas de emergência e rotas de evacuação.

segurança do data center

Todos os data centers onde os dados são processados e armazenados estão localizados nos Estados Unidos e possuem as certificações SOC 2, HIPPA, PCI DSS e ISO 27001. Lightspeed possui um processo para registrar, monitorar e responder a eventos e anomalias em seus sistemas e soluções. Soluções de backup e recuperação de dados também estão disponíveis.

Princípios de Design Seguro

Lightspeed Systems pratica a segurança por design. Utilizamos um Ciclo de Vida de Desenvolvimento de Software Seguro com base no Metodologias OWASP.

  • Nossos sistemas e processos levam em consideração os pilares centrais da segurança da informação: Confidencialidade, Integridade e Disponibilidade.

Contacte-nos se suspeitar de uma vulnerabilidade de segurança no Lightspeed Systems

Contacte-nos se suspeitar de uma vulnerabilidade de segurança no Lightspeed Systems

Conformidade

Lei de proteção à privacidade on-line infantil (COPPA)

COPPA aplica-se à coleta online de informações pessoais por pessoas ou entidades sob jurisdição dos Estados Unidos sobre crianças menores de 13 anos. O consentimento dos pais é necessário para a coleta ou uso de quaisquer informações pessoais dos usuários.

  • Lightspeed Systems está em conformidade com a Lei de Proteção à Privacidade On-line das Crianças (COPPA, para garantir a segurança on-line das crianças. As contas dos alunos são fornecidas apenas por um educador, escola ou organização educacional verificada.) Os educadores concordam em obter permissão dos pais antes de emitir contas para os alunos. 

Atendemos às seguintes diretrizes da COPPA listadas abaixo e concordamos em:

  • NÃO coletar informações de contato online sem o consentimento de um dos pais, de um educador qualificado ou de uma instituição educacional.
  • NÃO coletar informações de contato offline de identificação pessoal.
  • NÃO distribuir a terceiros qualquer informação pessoalmente identificável sem consentimento prévio dos pais.
  • NÃO Atrair pela perspectiva de um jogo especial, prêmio ou outra atividade ou divulgar mais informações do que as necessárias para participar da atividade.
  • NÃO usar ou divulgar informações do aluno para direcionamento comportamental de anúncios para alunos.
  • NÃO construir um perfil pessoal de um aluno que não seja para apoiar fins educacionais / escolares autorizados.

Conformidade

Lei dos Direitos Educacionais e Privacidade da Família (FERPA)

o Lei dos Direitos Educacionais e Privacidade da Família (FERPA) é uma lei federal que protege a privacidade dos registros educacionais dos alunos. A lei se aplica a todas as escolas que recebem fundos de um programa aplicável do Departamento de Educação dos EUA.

  • Embora a FERPA se aplique a escolas e não a empresas, Lightspeed Systems pode ser designado como um 'funcionário da escola' e, como tal, estamos em conformidade com os requisitos da FERPA e nos comprometemos a proteger a privacidade das informações dos alunos, que nos são confiadas pelos distritos escolares . Os distritos escolares estão no controle de todos os dados dos alunos e nós procedemos sob sua direção. De acordo com o FERPA, os pais ou alunos qualificados têm o direito de acessar, inspecionar, revisar e retificar os registros do aluno e Lightspeed cumpre esses direitos quando recebemos uma solicitação por escrito verificada do Distrito Escolar.
  • Observe que Lightspeed Systems não tem contato direto com alunos ou pais.

Conformidade

Lei de Educação de Nova York 2-D

Lei da Educação § 2-d entrou em vigor em abril de 2014. O foco do estatuto era promover a privacidade e a segurança das informações de identificação pessoal (PII) dos alunos e de certas PII relacionadas aos professores e diretores da classe.

Lightspeed Systems está em conformidade com a Lei 2-D de NY ED e o Declaração de Direitos dos Pais, que requer o seguinte:

  • As informações de identificação pessoal (PII) de um aluno não podem ser vendidas ou liberadas para fins comerciais;
  • O direito de inspecionar e revisar o conteúdo completo do registro educacional do aluno armazenado ou mantido por uma agência educacional;
  • As salvaguardas associadas aos padrões da indústria e às melhores práticas, incluindo, mas não se limitando a, criptografia, firewalls e proteção por senha devem estar em vigor quando as PII do aluno forem armazenadas ou transferidas;
  • Ser notificado de acordo com as leis e regulamentos aplicáveis se ocorrer uma violação ou divulgação não autorizada de PII;
  • Os pais têm o direito de receber reclamações sobre possíveis violações de dados dos alunos;
  • Trabalhadores de agências educacionais que lidam com PII receberão treinamento sobre leis estaduais e federais aplicáveis, políticas e salvaguardas associadas aos padrões do setor e melhores práticas que protegem PII;
  • Os contratos de agências educacionais com fornecedores que recebem PII abordarão os requisitos legais e regulamentares de privacidade e segurança de dados.

Conformidade

Compromisso de privacidade do aluno

o Compromisso de privacidade do aluno é uma declaração pública e legalmente aplicável por empresas de tecnologia educacional para salvaguardar a privacidade do aluno, construída em torno de compromissos relativos à coleta, manutenção e uso de informações pessoais do aluno.

emblema de signatário do compromisso de privacidade do aluno

Conformidade

Student Data Privacy Consortium (SDPC) e National Data Processing Agreement (NDPA)

o SDPC é uma colaboração única de escolas, distritos, regionais, territórios e agências estaduais, formuladores de políticas, organizações comerciais e fornecedores de mercado que abordam soluções do mundo real, adaptáveis e implementáveis para preocupações crescentes de privacidade de dados.
  • O SDPC lançou o primeiro Acordo Nacional de Privacidade de Dados (NDPA) para agilizar a contratação de aplicativos e definir expectativas comuns entre escolas / distritos e provedores de mercado.
  • Lightspeed está trabalhando com distritos escolares em todos os estados participantes para garantir que temos acordos de processamento de dados em vigor.
  • Os distritos escolares que gostariam de assinar o SDPC e NDPA conosco são incentivados a enviar e-mail privacy@lightspeedsystems.com

Conformidade

Lei de Privacidade do Consumidor da Califórnia (CCPA)

Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) dá aos consumidores mais controle sobre as informações pessoais que as empresas coletam sobre eles.

  • Lightspeed Systems está empenhada em cumprir os requisitos da CCPA e proteger seus dados.
  • Nosso Política de Privacidade fornece informações detalhadas sobre como Lightspeed Systems coleta e processa suas informações pessoais.

Os consumidores da Califórnia podem fazer uma solicitação de acordo com seus direitos sob o CCPA entrando em contato conosco em privacy@lightspeedsystems.com

Conformidade

Regulamento geral de proteção de dados (GDPR)

GDPR é um regulamento que exige que as empresas protejam os dados pessoais e a privacidade dos cidadãos da UE para transações que ocorram dentro de estados membros da UE.

  • Lightspeed Systems está empenhada em cumprir os requisitos de proteção de dados do GDPR.
  • Implementamos os seguintes processos para garantir a conformidade com o GDPR:
    • Minimização de dados - Nós apenas coletamos dados necessários para uma finalidade específica e o uso é limitado à finalidade declarada.
    • Mapeamento e classificação de dados - mantemos um inventário detalhado de dados pessoais e, em seguida, classificamos esses dados. Este é um processo contínuo, que trabalhamos constantemente para melhorar.
    • Retenção de dados - mantemos os dados apenas pelo tempo necessário para cumprir o propósito declarado e cumprir nossas obrigações contratuais. Implementamos os seguintes processos para garantir a conformidade com o GDPR:
    • Anonimização de dados
Selo de conformidade GDPR
    • Temos um DPA com cláusulas contratuais padrão, aprovado pela Comissão Europeia, para proteger a transferência de dados pessoais para fora da UE / Reino Unido.
    • Entre em contato com privacy@lightspeedsystems.com para executar o DPA conosco.
    • Implementamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais.

Conformidade

Privacy Shield

o Estruturas de proteção de privacidade UE-EUA e Suíça-EUA foram concebidos pelo Departamento de Comércio dos Estados Unidos e pela Comissão Europeia e pela Administração Suíça, respectivamente, para fornecer às empresas dos dois lados do Atlântico um mecanismo para cumprir os requisitos de proteção de dados ao transferir dados pessoais da União Europeia e da Suíça para os Estados Unidos Estados em apoio ao comércio transatlântico.

 Em 16 de julho de 2020, o Tribunal de Justiça da União Europeia emitiu uma julgamento declarar como “inválida” a Decisão da Comissão Europeia (UE) 2016/1250, de 12 de julho de 2016, sobre a adequação da proteção fornecida pelo Privacy Shield UE-EUA. Como resultado dessa decisão, a Estrutura de Proteção de Privacidade da UE-EUA não é mais um mecanismo válido para cumprir os requisitos de proteção de dados da UE ao transferir dados pessoais da União Europeia para os Estados Unidos. Essa decisão não isenta os participantes do Privacy Shield UE-EUA de suas obrigações no âmbito da Estrutura do Privacy Shield UE-EUA.

  • Lightspeed Systems continua a manter nosso Certificação Privacy Shield, que nos vincula a princípios estritos de proteção de dados.
  • Incorporamos as cláusulas contratuais padrão da UE em nosso DPA, para contabilizar as transferências de dados entre fronteiras. Em alguns casos, contamos com o Derrogação do artigo 49 do GDPR, se a transferência for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou para a execução de medidas pré-contratuais tomadas a pedido do titular dos dados.

Conformidade

Escritório de Controle de Ativos Estrangeiros (OFAC)

O Escritório de Controle de Ativos Estrangeiros (“OFAC”) do Departamento do Tesouro dos EUA administra e aplica sanções econômicas e comerciais com base na política externa dos EUA e nas metas de segurança nacional contra países e regimes estrangeiros, terroristas, traficantes internacionais de narcóticos, aqueles envolvidos em atividades relacionadas à proliferação de armas de destruição em massa, e outras ameaças à segurança nacional, política externa ou economia dos Estados Unidos.

  • A Lightspeed Systems, suas subsidiárias e afiliadas estão comprometidas com o cumprimento total de todas as sanções internacionais, incluindo, mas não se limitando às impostas pelos Estados Unidos, União Europeia e Reino Unido.
  • Sanções internacionais são as leis, regulamentos, ordens executivas, determinações do conselho e outras ações governamentais que proíbem uma ampla gama de transações comerciais e financeiras. É política da Lightspeed Systems cumprir todas as sanções internacionais aplicáveis.
  • A Lightspeed Systems considera um programa de conformidade eficaz que trata dos controles de exportação com políticas e procedimentos como uma parte importante e vital de nossas operações comerciais e código de conduta ética.
  • Analisamos todos os pedidos internacionais em relação a várias listas de pessoas e destinos sancionados e proibidos antes da aceitação. Qualquer pedido recebido, direta ou indiretamente, de uma pessoa sancionada ou destinado ao uso final pela pessoa sancionada ou em um destino sancionado, será rejeitado.

Os funcionários da Lightspeed Systems recebem treinamento anual de conscientização do OFAC para garantir a conformidade.

Para obter informações mais detalhadas sobre como lidamos com dados pessoais e os detalhes de nossos Serviços, consulte nosso
Política de Privacidade e Termos de uso.

Lista de subprocessadores Lightspeed Systems

Nome da entidade

Atividades de subprocessamento

Localização da Entidade (HQ)

Amazon Web Services, Inc.

Hospedagem e armazenamento de aplicativos

Estados Unidos

Equinix

Centro de dados

Estados Unidos

LightEdge

Centro de dados

Estados Unidos

Microsoft Corporation (Microsoft Azure)

Hospedagem e armazenamento de aplicativos

Estados Unidos

Nome da entidade

Atividades de subprocessamento

Localização da Entidade (HQ)

Ably.io

Monitoramento de Presença

Reino Unido

DocuSign

Provedor de assinatura eletrônica

Estados Unidos

História completa

Análise de Produto

Estados Unidos

Greenhouse Software Inc.

Software de gerenciamento de recrutamento

Estados Unidos

Incorta

Análise de dados

Estados Unidos

Corporação Microsoft

Ferramentas de e-mail e colaboração

Estados Unidos

Nomeadamente

Software de gerenciamento de folha de pagamento

Estados Unidos

NetSuite

Sistemas de Contabilidade

Estados Unidos

Pendo.io Inc

Gerenciamento de experiência de software

Estados Unidos

Força de vendas

Suporte ao cliente - Provedor de CRM

Estados Unidos

Twilio

Provedor de tecnologia de comunicação

Estados Unidos