Lightspeed Trust
Lightspeed Systems® är din betrodda partner
Säker & Säker
Informationssäkerhet och dataskydd är en integrerad del av vår övertygelse. Vi har dedikerade säkerhets- och efterlevnadsteam, som är engagerade i att hålla din information säker och säker. Lightspeed Systems använder strikta policyer och procedurer för att säkerställa tillgänglighet, integritet och konfidentialitet för kunddata.
Lightspeed Systems Servicestatus
Service Level Agreement (SLA)
Lightspeed Systems tillhandahåller värdtjänster inklusive hantering av mobila enheter, webbfiltrering, appanalys och klassrumshantering för skolor. Våra tjänster är tillgängliga minst 99.9% av tiden, med servrar som kontinuerligt övervakas för prestanda och tillgänglighet.
Lightspeed Security
Administrativa skyddsåtgärder
Anställdas bakgrundskontroller
Alla Lightspeed Systems anställda genomgår bakgrundskontroller och undertecknar ett sekretessavtal före anställning.
Meddelande om dataintrång
Om vi får reda på ett dataintrång kommer vi att följa vår Incident Response Plan och meddela våra kunder utan onödigt dröjsmål.
Incidenthantering
Vi har en skriftlig Incident Response Plan som beskriver processerna för att upptäcka, rapportera, identifiera, analysera och svara på säkerhetsincidenter som påverkar Lightspeed Systems nätverk och kunddata.
Utbildning i medvetenhet om integritet och säkerhet för anställda
Vid anställning och fortlöpande är alla anställda skyldiga att genomgå integritets- och säkerhetsutbildning, som täcker sekretesspraxis och de principer som gäller för anställdas hantering av personlig information, inklusive behovet av att sätta begränsningar för att använda, komma åt, dela och behålla personlig information.
Vi tillhandahåller utbildning om specifika aspekter av säkerhet som de kräver utifrån sina roller. Till exempel genomgår produktutvecklingsteamet integritetsdesign och säker mjukvaruutvecklingsutbildning. Anställda utsätts också för regelbundna nätfiskemail.
Leverantörsval och riskhantering
Lightspeed Systems kan använda underprocessorer för att utföra tjänster och har endast rätt att få tillgång till kunddata endast efter behov för att utföra tjänsterna och ska vara bundna av skriftliga avtal som kräver att de tillhandahåller strikta nivåer av dataskydd som krävs enligt Lightspeed och tillämpliga regler. Här är en lista över våra underbehandlare.
Förengagemang och pågående leverantörsbedömningar genomförs för att säkerställa att korrekt datasekretess och säkerhetspraxis finns på plats under hela leverantörsrelationen. Ändringar av tillhandahållna leverantörstjänster eller ändringar av befintliga kontrakt kräver en säkerhetsriskbedömning för att bekräfta att ändringarna inte innebär ytterligare eller onödig risk.
Policy- och procedurdokument överensstämmer med NIST:s sekretess-/säkerhetsramverk
Lightspeed Systems granskar sina system mot CIS Controls och NIST Frameworks, och alla identifierade risker eller luckor åtgärdas därefter.
Vi har ett utsett Data Governance-team som håller regelbundna möten för att säkerställa dataintegritet.
Vi har implementerat olika policydokument över hela organisationen för dataskydd, såsom, men inte begränsat till: Incident Response Plan, Säkerhetspolicy, Vulnerability Remediation Policy, IT Standard Policy och Data Deletion Policy.
Verksamhetskontinuitet och katastrofåterställning
Lightspeed Systems inser vikten av att underhålla affärskritiska funktioner och skydda system och data. För att säkerställa kontinuitet i verksamheten har Lightspeed utvecklat en företagsomfattande plan för affärskontinuitet och katastrofåterställning som styr det övergripande ledningsprogrammet för alla funktioner.
Change Management
Förändringshanteringspolicyer är dokumenterade för att hantera design, utveckling, förvärv, testning, godkännande och implementering av systemändringar och patchar.
Lightspeed Security
Tekniska säkerhetsåtgärder
Externa revisioner
Lightspeed Systems genomgår en årlig SOC 2 Typ II-revision, som verifieras av ett oberoende företag för att säkerställa att vi uppfyller SOC 2-standarderna. Lightspeed Systems följer AICPA:s kriterier för förtroendetjänster och har etablerade policyer och processer för att säkerställa säkerhet, tillgänglighet, konfidentialitet och integritet för de tjänster vi tillhandahåller våra kunder. Kunder kan begära en kopia av vår SOC 2 Typ 2-rapport genom att mejla [email protected], och rapporten kommer att tillhandahållas efter att ett sekretessavtal har undertecknats.
Meddelande om dataintrång
Om vi får reda på ett bekräftat dataintrång kommer vi att följa vår Incident Response Plan och meddela skolan utan onödigt dröjsmål.
Kryptering i vila
Data krypteras i vila med Advanced Encryption Standard (AES) kryptering.
Kryptering i transit
Data krypteras under överföring med TLS-protokollet (Transport Layer Security).
Säkerhetskopiering av data
Vi gör regelbundna säkerhetskopieringar av data och system. Säkerhetskopieringsintervallen är beroende av typen av data och sträcker sig från minuter till en gång per dag.
Sårbarhetssanering
Lightspeed Systems har en policy för vulnerability Remediation för att identifiera och åtgärda sårbarheter i enlighet med risken de utgör. Vi använder mjukvara för patchhantering för att övervaka system och säkerställa att patchar implementeras.
Radering av data
Lightspeed Systems har implementerat en dataraderingspolicy. Där det är lämpligt använder våra lösningar automatiserade regler för att rensa data enligt policy.
Loggning och övervakning
Lightspeed Systems har implementerat loggnings- och övervakningslösningar för att identifiera och undersöka möjliga säkerhetshändelser.
Identitets- och åtkomstkontroll
Tillgången till personlig information begränsas genom inloggningsuppgifter till de anställda som kräver det för att utföra sina arbetsuppgifter. Dessutom använder Lightspeed Systems åtkomstkontroller som Multi-Factor Authentication, Single Sign-On, minsta privilegium och åtkomst vid behov, starka lösenordskontroller och begränsad åtkomst till administrativa konton.
Våra lösningar tillåter kunder att skapa "Admin"-roller som endast ger de rättigheter som behövs för att utföra de nödvändiga funktionerna.
Lightspeed Security
Fysiska skyddsåtgärder
Säkerhet på arbetsplatsen
Lightspeed Systems upprätthåller följande kontroller utformade för att förhindra obehörig åtkomst till våra kontor:
- Tillgång till anläggningen är begränsad till behöriga personer genom att använda nycklar/nyckelbrickor eller åtkomstbrickor.
- Lightspeed-kontor har brandsläckning och branddetekteringssystem eller -anordningar samt nödutgångar och evakueringsvägar.
Datacentersäkerhet
Alla datacenter där data bearbetas och lagras finns i USA och har certifieringar enligt SOC 2, PCI DSS och ISO 27001. Lightspeed har en process på plats för att logga, övervaka och reagera på händelser och avvikelser i sina system och lösningar. Lösningar för säkerhetskopiering och återställning av data finns också på plats.
Säkra designprinciper
Lightspeed Systems utövar säkerhet genom design. Vi använder en säker mjukvaruutvecklingslivscykel baserad på OWASP metoder.
Våra system och processer tar hänsyn till informationssäkerhetens kärnpelare: Konfidentialitet, Integritet och Tillgänglighet.
Efterlevnad
Lightspeed Systems Artificiell Intelligence (AI) etik och principer
Lightspeed Systems vet hur artificiell intelligence kan förändra teknikens och affärsvärlden till det bättre. Vi använder AI på ett ansvarsfullt sätt och ser till att det är etiskt samtidigt som vi maximerar fördelarna och servar våra kunder. Vi följer etiska principer för AI-lösningar som matchar våra värderingar och professionella standarder, och som bygger upp förtroendet hos våra kunder, människor, samhällen och tillsynsmyndigheter. Vi är fasta i vårt åtagande att agera i allmänhetens intresse, respektera allmänhetens förtroende och visa vårt engagemang för professionell excellens. För mer information, se vår Ansvarsfull användning av AI.
Efterlevnad
Children's Online Privacy Protection Act (COPPA)
COPPA gäller onlineinsamling av personlig information av personer eller enheter under amerikansk jurisdiktion om barn under 13 år. Föräldrarnas samtycke krävs för insamling eller användning av personlig information om användarna.
- Lightspeed Systems följer Children's Online Privacy Protection Act (COPPA) för att säkerställa barns säkerhet online. Elevkonton tillhandahålls endast via en verifierad lärare, skola eller utbildningsorganisation. Lärare samtycker till att inhämta föräldrars tillstånd innan konton utfärdas till elever. Läs Lightspeeds COPPA-meddelande här.
Vi uppfyller följande COPPA-riktlinjer som anges nedan och godkänner:
- Samla INTE in kontaktinformation online utan samtycke från antingen en förälder eller en kvalificerad lärare eller utbildningsinstitution.
- Samla INTE in personligt identifierbar offlinekontaktinformation.
- Dela INTE ut någon personligt identifierbar information till tredje part utan förälders samtycke.
- INTE locka av utsikten till ett speciellt spel, pris eller annan aktivitet eller att avslöja mer information än vad som behövs för att delta i aktiviteten.
- Använd eller avslöja INTE elevinformation för beteendeinriktning av annonser till elever.
- Bygg INTE en personlig profil av en elev annat än för att stödja auktoriserade utbildnings-/skoleändamål.
Efterlevnad
Family Educational Rights & Privacy Act (FERPA)
De Family Educational Rights and Privacy Act (FERPA) är en federal lag som skyddar integriteten för studenternas utbildningsregister. Lagen gäller för alla skolor som får medel under ett tillämpligt program från det amerikanska utbildningsdepartementet.
- Även om FERPA gäller skolor och inte företag, kan Lightspeed Systems utses till "skoltjänsteman" och som sådan följer vi FERPA:s krav och har åtagit oss att skydda elevernas integritet, vilken anförtros oss av skoldistrikten. Skoldistrikten kontrollerar all elevinformation och vi arbetar under deras ledning. Enligt FERPA har föräldrar eller berättigade elever rätt att få tillgång till, inspektera, granska och korrigera elevregister och Lightspeed följer dessa rättigheter när vi får en verifierad skriftlig begäran från skoldistriktet.
- Observera att Lightspeed Systems inte har någon direkt kontakt med elever eller föräldrar.
Efterlevnad
New York Education Law 2-D
Skollagen § 2-d trädde i kraft i april 2014. Stadgans fokus var att främja integritet och säkerhet för personligt identifierbar information (PII) för elever och vissa PII relaterade till klassrumslärare och rektorer. Lightspeed Systems följer NY ED Law 2-D och Föräldrars rättigheter, vilket kräver följande:
- En elevs personligt identifierbara information (PII) kan inte säljas eller släppas för något kommersiellt syfte;
- Rätten att inspektera och granska det fullständiga innehållet i studentens utbildningsregister som lagras eller underhålls av en utbildningsbyrå;
- Skyddsåtgärder förknippade med branschstandarder och bästa praxis inklusive men inte begränsat till kryptering, brandväggar och lösenordsskydd måste finnas på plats när student-PII lagras eller överförs;
- Att meddelas i enlighet med tillämpliga lagar och förordningar om ett brott eller obehörig utlämnande av PII inträffar;
- Föräldrar har rätt att få klagomål om eventuella intrång i elevdata behandlade;
- Utbildningsbyråarbetare som hanterar PII kommer att få utbildning om tillämpliga statliga och federala lagar, policyer och skyddsåtgärder i samband med industristandarder och bästa praxis som skyddar PII;
- Utbildningsbyråkontrakt med leverantörer som tar emot PII kommer att ta upp lagstadgade och lagstadgade datasekretess- och säkerhetskrav.
Efterlevnad
Student Data Privacy Consortium (SDPC) och National Data Privacy Agreement (NDPA)
SDPC släppte den första Nationellt dataskyddsavtal (NDPA) att effektivisera ansökningskontrakt och ställa gemensamma förväntningar mellan skolor/distrikt och marknadsplatsleverantörer.
- Lightspeed samarbetar med skoldistrikt i alla deltagande stater för att säkerställa att vi har avtal om databehandling och integritet på plats.
- Skoldistrikt som vill skriva under SDPC och NDPA med oss uppmanas att skicka e-post [email protected].
- De SDPC är ett unikt samarbete mellan skolor, distrikt, regionala, territorier och statliga myndigheter, beslutsfattare, branschorganisationer och marknadsplatsleverantörer som tar itu med verkliga, anpassningsbara och implementerbara lösningar på växande datasekretessproblem.
Efterlevnad
California Consumer Privacy Act (CCPA)
De California Privacy Rights Act (CPRA) ändrar och utökar California Consumer Privacy Act (CCPA). CPRA trädde i kraft den 1 januari 2023. CCPA ändrades för att skydda personuppgifterna för anställda i Kalifornien (B2E) och kontakter från företag till företag (B2B) och kräver att alla organisationer som samlar in data från Kalifornien tillämpar mer omfattande skydd, såsom integritetsriskbedömningar, dataminimering och lagringspolicyer. CPRA fokuserar nu från transparenta datarelationer och offentliggörande av anställdas rättigheter till bättre datarelationer efterlevnad och ökad medvetenhet om integritetsrisker relaterade till datainsamling och bearbetning – och redovisning av all data kopplad till anställda, företag och invånare i Kalifornien.
Vem skyddar California Privacy Rights Act?
Varje individ som är anställd i Kalifornien och en tjänsteleverantör/leverantör, entreprenör, konsult, sökande, frilansare och distansarbetare kan rimligen identifieras.
Anställda och B2B-datarättigheter:
- Rätt att veta: Anställda, entreprenörer och tjänsteleverantörer har rätt att veta vilken data som samlas in och hanteras med rätt att få tillgång till kopior av "specifika delar av personlig information."
- Rätt till tillgång: I likhet med konsumenter kommer anställda att kunna skicka in en begäran om tillgång till datasubjekt (DSAR) till sin arbetsgivare för tillgång till deras information, med vissa undantag.
- Rätt att använda och avslöja: Rätten att begära att en verksamhet begränsar eller stoppar användningen och utlämnandet av känsliga personuppgifter.
- Rätt att rätta: Rätten att begära att verksamheten korrigerar felaktiga uppgifter.
- Rätt att välja bort: Rätten att välja bort att få personlig information såld eller delad.
- Rätt till eftergift: Rätten att inte bli vedergälld för att ha utövat några datarättigheter.
Lightspeed Systems har följande procedurer på plats för att säkerställa efterlevnad av CCPA och CPRA:
- Begäran om åtkomst för datasubjekt: Registrerade kan utöva sina rättigheter genom att skicka e-post till vårt integritetsteam ([email protected])
- Datamapping: Kartläggning, inventering och klassificering av all data
- Dataminimering: Vi behandlar endast uppgifter som är adekvata, relevanta och begränsade till vad som är nödvändigt för syftet med de uppgifter som används.
- Datalagringspolicyer: Vi har implementerat datalagringspolicyer för alla våra produkter och processer. Uppgifter bevaras inte längre än vad som rimligen är nödvändigt för att utföra behandlingsaktiviteten
- Integritetskonsekvensbedömningar: Vi gör riskbedömningar av alla våra produkter och processer för att säkerställa integritet och säkerhet genom design.
Efterlevnad
General Data Protection Regulation (GDPR)
De General Data Protection Regulation (GDPR) fastställer regler för insamling, användning, lagring och överföring av personuppgifter för individer i Europeiska unionen och, via Storbritanniens GDPR, i Storbritannien). Det gäller när personuppgifter behandlas i EU och Storbritannien eller när varor/tjänster erbjuds till invånare i EU och Storbritannien.
Hur GDPR gäller för Lightspeed
- Primär roll: För produkter som levereras till skolor och distrikt agerar Lightspeed Systems som ”personuppgiftsbehandlare” – och behandlar endast personuppgifter enligt den ”personuppgiftsansvariges” (skolans) dokumenterade instruktioner.
- Barnens uppgifter: Eftersom våra kunder är utbildningsinstitutioner utformar vi våra tjänster för att respektera höjda förväntningar på minderårigas uppgifter och följa den personuppgiftsansvariges valda rättsliga grund (t.ex. berättigade intressen eller samtycke som hanteras av institutionen).
Vårt GDPR-program:
- Laglig, rättvis och transparent behandling
- Vi behandlar personuppgifter lagligt och rättvist, med tydliga syftesförklaringar i kundavtal och produktdokumentation.
- Transparens: Personuppgiftsansvariga får information, som beskrivs i vår integritetspolicy och våra databehandlingsavtal, som beskriver kategorier av data, syften, mottagare (inklusive underbiträden) och lagring.
- Roller & ansvar
- Personuppgiftsbehandlarens skyldigheter: Vi följer den personuppgiftsansvariges instruktioner, säkerställer sekretess, bistår med förfrågningar från registrerade, stöder DPIA och implementerar lämplig säkerhet.
- Databehandlingsavtal (DPA): Vårt DPA (inklusive EU:s standardkontraktsklausuler och brittiska IDTA) reglerar behandling, säkerhet, support vid dataintrång, revisioner och underbiträden. Begäran om att verkställa DPA kan göras via e-post till [email protected]
- Dataminimering och ändamålsbegränsning
- Minimering: Vi samlar in och behandlar endast det som är nödvändigt för att leverera och säkra tjänsten.
- Strikt ändamålsbestämt användningsområde: Ingen användning för reklam eller orelaterad profilering; ingen försäljning av personuppgifter.
- Datamappning och klassificering
- Vi upprätthåller en levande datainventering och klassificering kopplad till system, syften, lagringsplatser och rättsliga grunder.
- Register över behandling (artikel 30 ”ROPA”): Vi för en ROPA för både personuppgiftsbehandlare och begränsade personuppgiftsansvariga, inklusive kategorier av registrerade/uppgifter, mottagare, lagring och säkerhetsåtgärder.
- Datalagring och kassering
- Vi lagrar personuppgifter endast så länge det behövs för att uppfylla avtalsenliga och rättsliga skyldigheter, och raderar eller anonymiserar sedan på ett säkert sätt.
- Av registeransvarig verifierade begäranden om radering av data uppfylls inom de angivna tidsfristerna, såsom specificeras i utfärdade dataskyddsavtal.
- Säkerhet vid behandling
- Organisatoriska och tekniska kontroller: rollbaserad åtkomstkontroll, MFA, lägsta behörighet, loggning och övervakning, sårbarhetshantering, kryptering under överföring (TLS) och i vila (AES) samt säker SDLC med ändringskontroll.
- Säkerhetsriskbedömningar för leverantörer, avtalsenliga säkerhetskrav och regelbundna granskningar av underleverantörer.
- Inbyggd integritet och skydd som standard
- Vi integrerar integritet i produktdesignen – standardavstängda eller begränsade datafunktioner, maskering där det är möjligt och konfigurationsalternativ som låter personuppgiftsansvariga skräddarsy datainsamling efter sina behov.
- DPIA, PIA och AIA
- Vi utför konsekvensbedömningar för integritet, dataskydd och AI för nya eller väsentligt ändrade funktioner som kan utgöra en förhöjd risk (t.ex. innehållsanalys, övervakningsfunktioner).
- Vi bistår personuppgiftsansvariga i deras DPIA:er med produktinformation, skyddsåtgärder och riskreduceringar.
- Stöd för registrerade personers rättigheter
- Vi hjälper personuppgiftsansvariga att uppfylla förfrågningar från registrerade inom EU/Storbritannien inom lagstadgade tidsfrister:
- Åtkomst, rättelse, radering, begränsning
- Portabilitet (i förekommande fall)
- Invändning mot viss behandling
- Återkallelse av samtycke (där den personuppgiftsansvarige använder samtycke som grund)
- Vi hjälper personuppgiftsansvariga att uppfylla förfrågningar från registrerade inom EU/Storbritannien inom lagstadgade tidsfrister:
- Internationella överföringar
- Vårt databehandlingsavtal innehåller EU:s standardavtalsklausuler och det brittiska internationella dataöverföringsavtalet för överföringar utanför EU/Storbritannien.
- Lightspeed Systems är också certifierat enligt EU-USA + Storbritanniens utvidgade ramverk för dataskydd
- Incident- och intrångshantering
- Om en säkerhetsincident som påverkar personuppgifter inträffar meddelar vi den personuppgiftsansvarige utan onödigt dröjsmål, tillhandahåller detaljer om incidenten och åtgärdsinformation och samarbetar så att de personuppgiftsansvariga kan uppfylla eventuella anmälningar från tillsynsmyndigheter och registrerade (t.ex. 72-timmarsregeln för personuppgiftsansvariga).
- Underbiträden och leverantörsstyrning
- Vi upprätthåller och delar en aktuell lista över underleverantörer och kräver skriftligt tillstånd, skyldigheter att lämna ut personuppgifter, säkerhetskontroller, sekretess och radering vid upphörande av tjänsten.
- Utbildning, styrning och ansvarsskyldighet
- Integritets- och säkerhetsutbildning för relevant personal, återkommande informationsprogram och dokumenterade policyer/standarder.
- Interna revisioner och kontrolltester för att bevisa efterlevnad.
- EU:s och Storbritanniens artikel 27-representanter
- EU-representant – EDPO EU: Avenue Huart Hamoir 71, 1030 Bryssel, Belgien
- online-förfrågningsformulär:https://edpo.com/gdpr-data-request/
- Storbritanniens representant – EDPO UK: 8 Northumberland Avenue, LondonWC2N 5BY, Storbritannien
- EU-representant – EDPO EU: Avenue Huart Hamoir 71, 1030 Bryssel, Belgien
- Utsedd dataskyddsombud (DPO) – John Genter, [email protected]
Efterlevnad
Singapores personuppgiftsskyddslag 2012
De Singapores personuppgiftsskyddslag (PDPA) från 2012 etablerar en grundläggande skyddsnivå för personuppgifter inom Singapore, vilket ger "individer" (enligt lagstiftningen) ökad kontroll över hur deras personuppgifter samlas in, används och avslöjas av organisationer.
Dataskyddsskyldigheter enligt Singapore PDPA
Lightspeed Systems har åtagit sig att uppfylla de stipulerade skyldigheterna enligt följande:
- Ansvarighet: Vi har utvecklat dataskyddspolicyer och uppmuntrar en ansvarskultur genom regelbunden utbildning.
- Underrättelse: Vi informerar användarna om de syften som är avsedda för att samla in, använda eller avslöja deras personuppgifter som beskrivs i vår Sekretesspolicy.
- Samtycke: Vi förlitar oss på samtycke från de utbildningsinstitutioner (kunder) som vi betjänar innan vi samlar in, använder eller avslöjar personuppgifter. Uppgifterna används för det ändamål för vilket samtycke gavs, och kunderna har möjlighet att när som helst återkalla samtycke.
- Syftesbegränsning: Vi samlar in, använder eller avslöjar personlig information för de syften som har kommunicerats till våra kunder.
- Datanoggrannhet: Vi säkerställer att personlig information är korrekt och fullständig.
- Dataskydd: Vi har implementerat de säkerhetsåtgärder som krävs för att skydda personuppgifter från obehörig åtkomst, insamling, användning och avslöjande
- Datalagring: Uppgifterna bevaras så länge det är nödvändigt för att utföra bearbetningsaktiviteten.
- Dataöverföringsbegränsning: Gränsöverskridande dataöverföringar görs till länder som har dataskyddslagar med standarder som liknar de som beskrivs i PDPA (såvida de inte är undantagna av PDPC).
- Rättigheter för den registrerade: Individer har rätt att begära tillgång, rättelse och radering av sina personuppgifter på begäran. Dessutom har individer rätt till dataportabilitet och att välja bort att deras data samlas in, används eller avslöjas.
- Meddelande om dataintrång: I händelse av ett dataintrång kommer Lightspeed Systems att informera sina kunder utan onödigt dröjsmål.
Efterlevnad
Filippinernas dataskyddslag från 2012 (Republikens lag nr 10173)
De Filippinernas dataskyddslag från 2012 (DPA) och dess Tillämpningsregler och förordningar (IRR) upprätta ett ramverk för skydd av personuppgifter inom den offentliga och privata sektorn. Lagen verkställs av National Privacy Commission (NPC) och gäller alla enheter som samlar in, lagrar, behandlar eller överför personuppgifter om individer i Filippinerna.
Lightspeed Systems har åtagit sig att följa Filippinernas dataskyddslag från 2012 genom att säkerställa laglig, rättvis och transparent behandling av personuppgifter; begränsa användningen till legitima utbildningsändamål; skydda data genom branschledande säkerhetsåtgärder; och upprätthålla ansvarsskyldighet, samtycke och registrerades rättigheter i linje med NPC:s riktlinjer och globala integritetsstandarder.
Lightspeed Systems tillhandahåller utbildningsteknik och digitala säkerhetslösningar till skolor och utbildningsinstitutioner globalt. Vid behandling av data för dessa institutioners räkning agerar Lightspeed Systems som "personuppgiftsbehandlare" enligt dataskyddslagen (DPA), medan skolorna eller utbildningsinstitutionerna agerar som "personuppgiftsansvariga".
Lightspeed säkerställer att all behandling av filippinska personuppgifter följer de principer och krav som anges i DPA och NPC-riktlinjerna enligt följande:
- Laglig och rättvis behandling – Alla personuppgifter samlas in och behandlas lagligt, rättvist och transparent, med uttryckligt tillstånd från skolan eller utbildningsinstitutionen. Behandlingen är begränsad till legitima utbildnings- och säkerhetsändamål, såsom att skydda elever online, hantera klassrumsaktiviteter och tillhandahålla teknisk support. Inga uppgifter används för marknadsföring, profilering eller något annat syfte som inte är relaterade till utbildningsfunktioner.
- Ändamålsbegränsning – Data behandlas endast för de ändamål som uttryckligen anges i Lightspeeds avtal med kundinstitutioner och i enlighet med dessa institutioners integritetspolicyer. Data behandlas inte vidare på sätt som är oförenliga med dessa ursprungliga ändamål.
- Datasäkerhet – Lightspeed implementerar organisatoriska, fysiska och tekniska skyddsåtgärder för att säkerställa konfidentialitet, integritet och tillgänglighet för personuppgifter. Viktiga åtgärder inkluderar, men är inte begränsade till, kryptering under överföring (TLS 1.2+) och i vila (AES-256), rollbaserade åtkomstkontroller, SOC 2 Type II-miljöer, kontinuerlig övervakning och protokoll för incidenthantering.
- Datalagring – Lightspeed lagrar endast data så länge som det är nödvändigt för att uppfylla avtalsenliga eller rättsliga skyldigheter. Om inte annat anges av kunden gäller standardlagringsperioder – 90 dagar efter att licensen upphört – varefter data raderas eller anonymiseras på ett säkert sätt. Lightspeed Systems kommer inte att försöka återidentifiera anonymiserade data.
- Rättigheter för den registrerade – I enlighet med dataskyddsavtalet stöder Lightspeed fullt utövande av registrerades rättigheter genom sina kundinstitutioner, inklusive:
- Rätt att bli informerad – transparens i datainsamling och användning
- Rätt till tillgång och rättelse – möjligheten att granska eller korrigera information
- Rätt till radering eller blockering – radering eller begränsning av uppgifter är inte längre nödvändig
- Rätt till dataportabilitet – tillgång till data i portabelt format
- Rätt att invända och återkalla samtycke – möjlighet att invända mot eller återkalla samtycke för specifika behandlingsaktiviteter
- Rätt att lämna in ett klagomål – hos Nationella integritetskommissionen (NPC)
- Samtycke och transparens – Lightspeed behandlar data enligt laglig behörighet och samtycke som inhämtats av utbildningsinstitutionen. Kunderna informeras om arten, syftet och omfattningen av databehandlingen genom tydliga integritetsmeddelanden och databehandlingsavtal. Ingen behandling sker utan tillstånd eller ett berättigat utbildningssyfte.
- Ansvarsskyldighet och styrning – Lightspeed upprätthåller ett omfattande ramverk för integritets- och säkerhetsstyrning som leds av dess dataskyddsombud (DPO), John Genter ([email protected]Företaget för register över behandlingsaktiviteter, genomför regelbundna konsekvensbedömningar för integritetsskydd och utför due diligence gentemot leverantörer för att säkerställa att alla underleverantörer uppfyller likvärdiga standarder.
- Hantering av dataintrång – Lightspeed upprätthåller en formell plan för incidenthantering och intrångshantering i linje med NPC-cirkulär 16-03. Vid personuppgiftsintrång:
- Den berörda registeransvarige (skolan/institutionen) underrättas utan onödigt dröjsmål.
- Lightspeed samarbetar med kontrollanten för att uppfylla alla obligatoriska meddelanden till NPC:n inom det obligatoriska 72-timmarsfönstret.
- Analys av grundorsaker, åtgärdande och korrigerande åtgärder dokumenteras och granskas.
- Gränsöverskridande dataöverföringar – Där personuppgifter överförs utanför Filippinerna (t.ex. till Lightspeeds säkra amerikanska molninfrastruktur) skyddas sådana överföringar genom kryptering och säkra kommunikationsprotokoll, avtalsenliga skyddsåtgärder som överensstämmer med NPC-cirkulär 16-01och bindande avtal om underbiträden som säkerställer sekretess, säkerhet och raderingsskyldigheter. Överföringar är begränsade till ändamål som godkänts av den personuppgiftsansvarige.
Efterlevnad
Australian Privacy Act (1988)
De Australian Privacy Act 1988 reglerar hanteringen av personuppgifter i Australien. Denna lagstiftning fungerar som grunden för datainsamling och hanteringspolicyer över hela landet. Lagen beskriver 13 Australiensiska integritetsprinciper (APP) för att hantera användningen personlig och känslig information
Vem gäller integritetslagen?
Integritetslagen gäller för australiensiska myndigheter och organisationer med en årlig omsättning på över 3 miljoner AUD som hanterar personlig information om australiensiska invånare.
Fundamental Principles of Australian Privacy Act (1988)
Lightspeed Systems har åtagit sig att uppfylla de dataskyddskrav som beskrivs i Australiens sekretessprinciper enligt följande:
- Öppen och transparent hantering av personlig information – Vi är transparenta med hur vi hanterar personlig information. Vår Sekretesspolicy detaljer om hur vi samlar in, använder, avslöjar, överför och lagrar information
- Anonymitet och pseudonymitet – Lightspeed Systems använder anonymisering och pseudonymisering för att skydda individers identitet där så är möjligt, förutom under omständigheter som kräver en personlig identitet för att behandla uppgifterna.
- Insamling av begärd personlig information – Vi tillämpar dataminimering och ändamålsbegränsning och samlar endast in data som är nödvändiga för att uppfylla den begärda tjänsten och det primära syftet. Om ett fall någonsin uppstod där vi behövde använda uppgifterna för ett sekundärt syfte kommer vi att meddela våra kunder och inhämta deras samtycke.
- Hantering av oönskad personlig information – Vi har automatisk blockering för oönskad information. För cookies på våra webbplatser har vi konfigurerat vår Cookie Banner med en opt-in som standardinställning för alla cookies förutom de absolut nödvändiga cookies.
- Meddelande om insamling av personuppgifter – Läroanstalterna informeras om de student- och personaluppgifter som samlas in. Detta beskrivs i detalj i de databehandlingsavtal som vi ingår med våra kunder. Vi upprätthåller också ett dataschema för var och en av våra produkter, som beskriver de insamlade uppgifterna och varför de samlas in.
- Användning eller avslöjande av personlig information – Vi använder personuppgifter som är relevanta för det ursprungliga syftet för vilket informationen samlades in. Se avsnittet "Tredje parter: Hur vi kan dela dina uppgifter" i vår Sekretesspolicy för att få mer information om de omständigheter under vilka uppgifter kan komma att lämnas ut.
- Direktmarknadsföring – Vi bedriver inte direktmarknadsföring till elever/föräldrar. Marknadsföring riktar sig endast till utbildningsinstitutioner och de har ett tydligt och synligt alternativ att välja bort all marknadskommunikation.
- Gränsöverskridande utlämnande av personlig information – Gränsöverskridande data avslöjas endast med organisationer som följer de australiensiska integritetsprinciperna, och vid genomförande av ett databearbetningsavtal som binder dem till de nödvändiga sekretess- och säkerhetsrutinerna.
- Antagande, användning eller avslöjande av myndighetsrelaterade identifierare – Vi använder inte en myndighetsrelaterad identifierare som vår egen, eller avslöjar en identifierare för en person, såvida vi inte har tillstånd att göra det enligt lagen, eller identifieraren behövs för att verifiera individens identitet.
- Kvaliteten på personlig information – Vi har system på plats för att säkerställa att kvaliteten på den mottagna personliga informationen är korrekt, fullständig och uppdaterad.
- Säkerhet för personlig information – Vi använder administrativa, tekniska och fysiska skyddsåtgärder som krävs för dataskydd, som beskrivs på denna sida.
- Tillgång till personlig information – Individer har rätt att få tillgång till sin personliga information, som anges i vår Sekretesspolicy under avsnittet "Gränsöverskridande dataskydd".
- Rättelse av personuppgifter – Individer har rätt att rätta sina personuppgifter, enligt vad som anges i vår Sekretesspolicy under avsnittet "Gränsöverskridande dataskydd".
Efterlevnad
Brasiliens allmänna dataskyddslag (LGPD)
De Lei Geral de Proteção de Dados (LGPD), känd på engelska som General Data Protection Law, är den rättsliga ram som upprättats för att reglera insamling och användning av personuppgifter i Brasilien. Denna lag trädde i kraft den 16 augusti 2020, och dess tillämpning övervakas av Autoridade Nacional de Proteção de Dados (ANPD), eller den nationella dataskyddsmyndigheten.
Vem gäller den brasilianska dataskyddslagen?
Lightspeed Systems har åtagit sig att följa LGPD-principerna enligt följande:
- Ändamål: Personuppgifter behandlas för legitima, specifika och uttryckliga ändamål som meddelats den registrerade, utan efterföljande oförenlig behandling.
- Lämplighet: Personuppgifter behandlas i enlighet med de ändamål som uppgetts för den registrerade, med beaktande av behandlingens sammanhang.
- Nödvändighet: Personuppgifter behandlas i den utsträckning som är nödvändig för att uppnå de relevanta ändamålen, med endast användning av lämpliga, proportionella och inte överdrivna uppgifter.
- Fri tillgång: Registrerade har rätt att enkelt och kostnadsfritt få frågor om medlen för behandlingen och varaktigheten av behandlingen samt om integriteten hos deras personuppgifter.
- Datakvalitet: Registrerade har rätt till korrekt, tydlig, relevant och aktuell information, i den utsträckning som krävs för att uppnå de relevanta syftena.
- Genomskinlighet: Registrerade har rätt till tydlig, korrekt och lättillgänglig information om behandlingsaktiviteter och respektive behandlingsombud (registeransvariga och personuppgiftsbehandlare), samtidigt som kommersiella och industriella hemligheter skyddas.
- Säkerhet: Lightspeed Systems har implementerat nödvändiga tekniska och organisatoriska åtgärder för att skydda personuppgifter från obehörig åtkomst och oavsiktliga eller olagliga händelser av förstörelse, förlust, ändring, kommunikation eller spridning, enligt beskrivningen på vår förtroendesida.
- Förebyggande: Förebyggande åtgärder har vidtagits för att minska riskerna i samband med behandling av personuppgifter, vilket beskrivs på vår förtroendesida.
- Icke-diskriminering: Personuppgifter behandlas inte i diskriminerande syfte, inte heller på något olagligt eller otillbörligt sätt.
- Ansvarighet: Effektiva åtgärder för att följa kraven på skydd av personuppgifter har implementerats och förbättras kontinuerligt som svar på den föränderliga miljön.
LGPD ger de registrerades huvudsakliga rättigheter följande:
- för att få bekräftelse på förekomsten av behandling av personuppgifter;
- att få tillgång till sina personuppgifter;
- att korrigera ofullständiga, felaktiga eller föråldrade uppgifter;
- att få onödiga, överdrivna eller icke-kompatibla personuppgifter anonymiserade, blockerade eller raderade;
- dataportabilitet;
- radering av personuppgifter som behandlats med den registrerades samtycke, med undantag för de fall som anges i artikel 16 i denna lag
- att bli informerad om tredje parter som deras uppgifter har delats med;
- att bli informerad om möjligheten att vägra att lämna ut personuppgifter och de därmed sammanhängande konsekvenserna; och
- att återkalla sitt samtycke.
Efterlevnad
Det amerikanska handelsdepartementets dataskyddsramverk (DPF)
Den 10 juli 2023 trädde Europeiska kommissionens beslut om lämplighet för EU-US Data Privacy Framework (EU-US DPF) i kraft. EU-US Data Privacy Framework (EU-US DPF) och UK Extension to the EU-US Data Privacy Framework (UK Extension to the EU-US DPF) har utvecklats för att främja transatlantisk handel av USA:s handelsdepartement, Europeiska kommissionen och den brittiska regeringen för att förse amerikanska organisationer med tillförlitliga mekanismer för överföring av personuppgifter till Förenta staterna och Europeiska unionen och Europeiska unionen, samtidigt som det skyddar mot USA, Europeiska unionen och Europeiska unionen. EU- och brittiska lagar.Lightspeed Systems följer EU-US Data Privacy Framework (EU-US DPF) och Storbritanniens tillägg till EU-US DPF, som fastställts av US Department of Commerce. Lightspeed Systems har certifierat till US Department of Commerce att de följer EU-US Data Privacy Framework Principles (EU-US DPF Principles) med avseende på behandlingen av personuppgifter som erhållits från Europeiska Unionen och Storbritannien i beroende av EU-US DPF och UK Extension to EU-US DPF. Om det finns någon konflikt mellan villkoren i denna integritetspolicy och EU-US DPF-principerna ska principerna gälla. För att lära dig mer om programmet Data Privacy Framework (DPF) och för att se vår certifiering, besök https://www.dataprivacyframework.gov/.
Lightspeed Systems är föremål för undersöknings- och verkställighetsbefogenheter från Federal Trade Commission (FTC).
I överensstämmelse med EU-US DPF och UK Extension to EU-US DPF, åtar sig Lightspeed Systems att samarbeta respektive följa råden från panelen som inrättats av EU:s dataskyddsmyndigheter (DPAs) och UK Information Commissioner's Office (ICO) med avseende på olösta klagomål som rör vår hantering av personaldata som DPF mot EU-USten mottagit i EU-USten. sammanhanget för anställningsförhållandet.
För mer information om vår efterlevnad av Data Privacy Framework, vänligen läs avsnittet "Internationella dataöverföringar" i vår Sekretesspolicy.
Efterlevnad
Office of Foreign Assets Control (OFAC)
Office of Foreign Assets Control ("OFAC") från det amerikanska finansdepartementet administrerar och upprätthåller ekonomiska sanktioner och handelssanktioner baserade på USA:s utrikespolitik och nationella säkerhetsmål mot riktade främmande länder och regimer, terrorister, internationella narkotikahandlare, de som är engagerade i aktiviteter relaterade till spridning av massförstörelsevapen och andra hot mot USA:s nationella säkerhet, utrikespolitik eller ekonomi.
- Lightspeed Systems, dess dotterbolag och dotterbolag har åtagit sig att fullt ut följa alla internationella sanktioner inklusive men inte begränsat till de som införts av USA, EU och Storbritannien.
- Internationella sanktioner är lagar, förordningar, verkställande order, rådsbeslut och andra statliga åtgärder som förbjuder ett brett spektrum av kommersiella och finansiella transaktioner. Det är Lightspeed Systems policy att följa alla tillämpliga internationella sanktioner.
- Lightspeed Systems anser att ett effektivt efterlevnadsprogram som tar itu med exportkontroller med policyer och procedurer är en viktig, vital del av vår affärsverksamhet och etiska uppförandekod.
- Vi granskar alla internationella beställningar mot olika listor över sanktionerade och förbjudna personer och destinationer innan de accepteras. Varje beställning som tas emot, direkt eller indirekt, från en sanktionerad person eller avsedd för slutanvändning av sanktionerad person eller i en sanktionerad destination kommer att avvisas.
- Lightspeed Systems anställda får årlig OFAC-medvetenhetsutbildning för att säkerställa efterlevnad.
Lightspeed Systems underprocessorlista
| Entitetsnamn | Underbearbetningsaktiviteter | Entity Location (HQ) | Säkerhet och kompletterande åtgärder |
|---|---|---|---|
| Amazon Web Services, Inc. | Applikationshosting & lagring | USA | |
| LightEdge | Datacenter | USA | |
| Microsoft Corporation | E-post och samarbetsverktyg | USA |
| Entitetsnamn | Underbearbetningsaktiviteter | Entity Location (HQ) | Säkerhet och kompletterande åtgärder |
|---|---|---|---|
| Ably.io | Närvaroövervakning | Storbritannien | |
| Adobe Sign | Leverantör av elektroniska signaturer | USA | |
| Datahund | Övervakning och aviseringar för våra produkter för att säkerställa att vi uppfyller kvalitetsmål och kontraktuella SLA:er | USA | |
| Greenhouse Software Inc. | Programvara för rekrytering | USA | |
| Hive AI | Textmoderering för produktfunktionalitet | USA | |
| Microsoft Corporation | E-post och samarbetsverktyg | USA | |
| UKG | Programvara för lönehantering | USA | |
| NetSuite | Bokföringssystem | USA | |
| OpenAI | Generativ AI-tjänsteleverantör för intelligence-produktfunktioner | USA | |
| Pendo.io Inc | Software Experience Management | USA | |
| Salesforce | Kundsupport – CRM-leverantör | USA | |
| Snöflinga | Produktanvändningsanalys, kategoriseringsdatabas | USA | |
| Twilio | Kommunikationsteknikleverantör | USA | |
| Zoom, Inc. | Videokonferensleverantör | USA |
