光速信托
Lightspeed Systems® 是您值得信赖的合作伙伴
安全可靠
信息安全和数据保护是我们核心信念中不可或缺的一部分。我们拥有专门的安全和合规团队,他们致力于确保您的信息安全无虞。Lightspeed Systems 采用严格的政策和程序来确保客户数据的可用性、完整性和机密性。
光速安全
行政保障
员工背景调查
所有 Lightspeed Systems 员工在受雇前都经过背景调查并签署保密协议。
数据泄露通知
如果我们发现数据泄露,我们将遵循我们的事件响应计划并毫不拖延地通知我们的客户。
事件管理
我们有一份书面的事件响应计划,其中详细说明了检测、报告、识别、分析和响应影响 Lightspeed Systems 网络和客户数据的安全事件的流程。
员工隐私和安全意识培训
在入职后以及持续期间,所有员工都必须接受隐私和安全培训,培训内容涵盖隐私惯例和适用于员工处理个人信息的原则,包括需要对使用、访问、共享和保留个人信息进行限制。
我们根据员工的角色,为他们提供所需的特定安全方面的培训。例如,产品开发团队接受隐私设计和安全软件开发培训。员工还会定期收到钓鱼电子邮件。
供应商选择和风险管理
Lightspeed Systems 可能会使用子处理器来执行服务,并且仅有权在执行服务的需要时访问客户数据,并受书面协议的约束,要求他们提供 Lightspeed 和适用法规所要求的严格级别的数据保护。 以下是我们的子处理器列表。
我们进行预先参与和持续的供应商评估,以确保在整个供应商关系期间实施适当的数据隐私和安全实践。 对所提供的供应商服务的变更或对现有合同的变更需要进行安全风险评估,以确认这些变更不会带来额外或不当的风险。
政策和程序文件与 NIST 隐私/安全框架保持一致
Lightspeed Systems 根据 CIS 控制和 NIST 框架审查其系统,并相应解决任何已发现的风险或差距。
我们有一个指定的数据治理团队,定期召开会议以确保数据完整性。
我们在整个组织内实施了各种数据保护政策文件,例如但不限于:事件响应计划、安全政策、漏洞修复政策、IT 标准政策和数据删除政策。
业务连续性和灾难恢复
Lightspeed Systems 认识到维护关键业务功能以及保护系统和数据的重要性。为了确保业务连续性,Lightspeed 制定了企业范围的业务连续性和灾难恢复计划,该计划管理所有功能的整体管理计划。
变更管理
变更管理政策记录在案,以解决系统变更和补丁的设计、开发、获取、测试、批准和实施。
光速安全
技术保障
外部审计
Lightspeed Systems 欣然宣布,我们已于 2024 年 3 月 22 日成功完成 SOC 2 Type II 审计。一家独立公司已验证我们符合 SOC 2 标准。Lightspeed Systems 遵循 AICPA 的《信托服务标准》,并制定了相关政策和流程,以确保我们向客户提供的服务的安全性、可用性、处理完整性、机密性和隐私性。客户可以发送电子邮件至 [email protected] 索取我们的 SOC 2 Type II 报告副本,该报告将在签署保密协议 (NDA) 后提供。
数据泄露通知
如果我们得知确认的数据泄露,我们将遵循我们的事件响应计划并立即通知学校。
静态加密
使用高级加密标准 (AES) 加密对静态数据进行加密。
传输中加密
数据在传输过程中使用传输层安全性 (TLS) 协议加密。
数据备份
我们定期备份数据和系统。备份间隔取决于数据类型,范围从几分钟到每天一次。
漏洞修复
Lightspeed Systems 制定了漏洞修复政策,根据漏洞带来的风险来识别和修复漏洞。我们利用补丁管理软件来监控系统并确保补丁得到实施。
数据删除
Lightspeed Systems 已实施数据删除政策。在适当的情况下,我们的解决方案会根据政策利用自动规则清除数据。
日志记录和监控
Lightspeed Systems 已经部署了日志记录和监控解决方案来识别和调查可能的安全事件。
身份和访问控制
只有需要个人信息才能履行工作职责的员工才能通过登录凭证访问个人信息。此外,Lightspeed Systems 还利用多因素身份验证、单点登录、最低权限和按需访问、强密码控制和限制访问管理帐户等访问控制。
我们的解决方案允许客户创建“管理员”角色,仅提供执行所需功能所需的权限。
光速安全
物理保障
工作场所安全
Lightspeed Systems 采取以下控制措施以防止未经授权访问我们的办公室:
- 只有使用钥匙/钥匙卡或门禁卡的授权个人才能访问设施。
- Lightspeed 办公室设有灭火和火灾探测系统或设备以及紧急出口和疏散路线。
数据中心安全
所有处理和存储数据的数据中心均位于美国,并持有 SOC 2、PCI DSS 和 ISO 27001 认证。Lightspeed 已制定流程来记录、监控和响应其系统和解决方案中的事件和异常。此外,公司还拥有数据备份和恢复解决方案。
安全设计原则
Lightspeed Systems 通过设计来实践安全性。我们利用基于以下方面的安全软件开发生命周期: OWASP 方法。
我们的系统和流程考虑到信息安全的核心支柱:机密性、完整性和可用性。
遵守
Lightspeed Systems 人工智能 (AI) 道德与原则
Lightspeed Systems 深知人工智能如何改善技术和商业世界。我们以负责任的方式使用人工智能,确保其符合道德规范,同时最大限度地发挥其优势并服务于我们的客户。我们遵循符合我们价值观和专业标准的人工智能解决方案的道德原则,并建立客户、员工、社区和监管机构的信任。我们坚定地致力于为公众利益行事,尊重公众信任,并展示我们对专业卓越的承诺。有关更多信息,请参阅我们的 负责任地使用人工智能.
遵守
儿童网络隐私保护法(COPPA)
儿童在线隐私保护法 适用于美国管辖范围内的个人或实体在线收集13岁以下儿童的个人信息。收集或使用用户的任何个人信息均需征得父母同意。
- Lightspeed Systems 遵守《儿童在线隐私保护法》(COPPA),以确保儿童的网络安全。学生账户仅通过经过验证的教育工作者、学校或教育机构提供。教育工作者同意在向学生发放账户之前获得家长许可。 请在此处阅读 Lightspeed 的 COPPA 声明。
我们遵守下列 COPPA 准则并同意:
- 未经家长或合格教育工作者或教育机构的同意,不得收集网上联系信息。
- 不收集可识别个人身份的线下联系信息。
- 未经父母事先同意,不得向第三方分发任何个人身份信息。
- 请勿以特殊游戏、奖品或其他活动作为诱惑,或透露超出参与活动所需信息。
- 不得使用或披露学生信息来针对学生进行行为定位广告。
- 除支持授权的教育/学校目的外,不得建立学生的个人档案。
遵守
家庭教育权利和隐私法案(FERPA)
这 家庭教育权利和隐私法案(FERPA) 是保护学生教育记录隐私的联邦法律。该法律适用于所有根据美国教育部适用计划接受资助的学校。
- 尽管 FERPA 适用于学校而不适用于公司,但 Lightspeed Systems 可能被指定为“学校官员”,因此,我们遵守 FERPA 要求并致力于保护学生的隐私
这些信息由学区委托给我们。学区控制所有学生数据,我们按照学区的指示行事。根据 FERPA,家长或符合条件的学生有权访问、
检查、审查和纠正学生记录,并且当我们收到学区的经过验证的书面请求时,Lightspeed 会遵守这些权利。 - 请注意,Lightspeed Systems 与学生或家长没有直接联系。
遵守
纽约教育法 2-D
教育法§2-d 于 2014 年 4 月生效。该法规的重点是促进学生个人身份信息 (PII) 以及与课堂教师和校长相关的某些 PII 的隐私和安全。Lightspeed Systems 遵守纽约教育法 2-D 和 父母权利法案,其要求如下:
- 学生的个人身份信息(PII)不得出售或用于任何商业目的;
- 检查和审查教育机构存储或维护的学生教育记录的完整内容的权利;
- 存储或传输学生 PII 时必须采取与行业标准和最佳实践相关的安全措施,包括但不限于加密、防火墙和密码保护;
- 如果发生 PII 泄露或未经授权发布,应根据适用法律法规得到通知;
- 家长有权对学生数据可能泄露的情况提出投诉;
- 处理 PII 的教育机构工作人员将接受有关适用的州和联邦法律、政策以及与保护 PII 的行业标准和最佳实践相关的保障措施的培训;
- 教育机构与接收 PII 的供应商签订的合同将解决法定和监管数据隐私和安全要求。
遵守
学生数据隐私联盟(SDPC)和国家数据隐私协议(NDPA)
国家计委发布首份 国家数据隐私协议 (NDPA) 简化申请签约流程并在学校/学区和市场提供商之间设定共同的期望。
- Lightspeed 正在与所有参与州的学区合作,以确保我们制定数据处理隐私协议。
- 希望与我们签署 SDPC 和 NDPA 的学区可发送电子邮件至 [email protected].
- 这 国家计委 是学校、学区、地区、领土和州机构、政策制定者、贸易组织和市场提供商之间的独特合作,旨在解决日益严重的数据隐私问题的实际、适应性强且可实施的解决方案。
遵守
加州消费者隐私法案(CCPA)
这 加州隐私权法案(CPRA) 修订并扩展了《加州消费者隐私法案》(CCPA)。CPRA 于 2023 年 1 月 1 日生效。CCPA 进行了修订,以保护加州员工(B2E)和企业对企业(B2B)联系人的个人数据,并要求所有收集加州居民数据的组织应用更广泛的保护措施,例如隐私风险评估、数据最小化和保留政策。CPRA 现在将数据权利重点放在 b2b 关系和员工上——从透明的数据披露到更有力的执法和对与数据收集和处理相关的隐私风险的更高认识——并对与加州员工、企业和居民相关的任何数据进行核算。
加州隐私权法案保护谁?
任何加州居民雇员和服务提供商/供应商、承包商、顾问、申请人、自由职业者和远程工作者都可以合理地被识别。
员工和 B2B 数据权利:
- 知情权: 员工、承包商和服务提供商有权了解正在收集和管理哪些数据,并有权访问“特定个人信息”的副本。
- 访问权: 与消费者类似,员工可以向其雇主提交数据主体访问请求(DSAR)以访问他们的信息,但有一些例外。
- 使用和披露权利: 要求企业限制或停止使用和披露敏感个人信息的权利。
- 更正权: 要求企业更正不准确信息的权利。
- 选择退出的权利: 选择不出售或共享个人信息的权利。
- 宽大处理权: 不因行使任何数据权利而受到报复的权利。
Lightspeed Systems 制定了以下程序来确保遵守 CCPA 和 CPRA:
- 数据主体访问请求:数据主体可以通过电子邮件向我们的隐私团队 ([email protected])
- 数据映射:所有数据的映射、盘点和分类
- 数据最小化: 我们仅处理充分、相关且仅限于数据使用目的所必需的数据。
- 数据保留政策: 我们在所有产品和流程中实施了数据保留政策。数据保留时间不得超过完成处理活动所需的合理时间
- 隐私影响评估: 我们对所有产品和流程进行风险评估,以从设计上确保隐私和安全。
遵守
通用数据保护条例(GDPR)
这 通用数据保护条例(GDPR) 制定欧盟境内个人数据收集、使用、存储和传输规则,并通过 英国GDPR(在英国)。当个人数据在欧盟和英国处理或向欧盟和英国居民提供商品/服务时适用。
GDPR 如何适用于 Lightspeed
- 主要作用: 对于交付给学校和学区的产品,Lightspeed Systems 充当“数据处理者”——仅根据“数据控制者”(学校)的记录指示处理个人数据。
- 儿童数据: 由于我们的客户是教育机构,因此我们在设计服务时会尊重对未成年人数据的更高期望,并遵循数据控制者选择的合法基础(例如,合法利益或机构管理的同意)。
我们的 GDPR 计划:
- 合法、公平、透明的处理
- 我们合法、公平地处理个人数据,并在客户合同和产品文档中明确说明目的。
- 透明度:控制者接收信息,详见我们的隐私政策和数据处理协议,描述数据类别、目的、接收者(包括子处理器)和保留。
- 角色和职责
- 处理者的义务:我们遵循控制者的指示,确保机密性,协助数据主体请求,支持 DPIA,并实施适当的安全措施。
- 数据处理协议 (DPA):我们的 DPA(包括欧盟 SCC 和英国 IDTA)涵盖数据处理、安全、违规支持、审计和子处理器。您可以通过发送电子邮件至 [email protected] 申请签署 DPA。
- 数据最小化和目的限制
- 最小化:我们仅收集和处理提供和保护服务所必需的信息。
- 严格用途:不用于广告或无关的分析;不出售个人数据。
- 数据映射和分类
- 我们维护与系统、目的、存储位置和法律依据相关的动态数据清单和分类。
- 处理记录(“ROPA”第 30 条):我们为处理器和有限控制者环境保留 ROPA,包括数据主体/数据类别、接收者、保留和安全措施。
- 数据保留和处置
- 我们仅在履行合同和法律义务所需的时间内保留个人数据,然后安全删除或匿名化。
- 控制者验证的数据删除请求是否在规定的时间内完成,如执行的 DPA 中所述。
- 处理安全性
- 组织和技术控制:基于角色的访问控制、MFA、最小特权、日志记录和监控、漏洞管理、传输中加密 (TLS) 和静态加密 (AES) 以及具有变更控制的安全 SDLC。
- 供应商安全风险评估、合同安全要求以及子处理器的定期审查。
- 设计和默认隐私
- 我们将隐私融入到产品设计中——默认关闭或范围数据功能、可行的屏蔽以及允许控制者根据其需求定制数据收集的配置选项。
- DPIA、PIA 和 AIA
- 我们对可能带来较高风险的新功能或重大变更功能(例如内容分析、监控功能)进行隐私影响评估、数据保护影响评估和人工智能影响评估。
- 我们通过产品信息、保障措施和风险缓解措施协助控制人员进行 DPIA。
- 数据主体权利支持
- 我们协助控制者在法定期限内满足欧盟/英国数据主体的请求:
- 访问、更正、删除、限制
- 可移植性(如适用)
- 反对某些处理
- 撤回同意(控制者以同意为基础)
- 我们协助控制者在法定期限内满足欧盟/英国数据主体的请求:
- 国际转账
- 我们的数据处理协议包括欧盟标准合同条款和英国国际数据传输协议,用于欧盟/英国以外的传输。
- Lightspeed Systems 还通过了 欧盟-美国+英国扩展数据隐私框架
- 事件与违规管理
- 如果发生影响个人数据的安全事件,我们会立即通知控制者,提供事件详细信息和补救信息,并进行合作,以便控制者能够满足任何监管机构和数据主体的通知(例如,控制者的 72 小时规则)。
- 子处理器和供应商治理
- 我们维护并共享当前的子处理器列表;并要求书面授权、流程义务、安全控制、保密和服务结束时的删除。
- 培训、治理和问责
- 对相关人员进行隐私和安全培训、定期开展宣传计划以及记录政策/标准。
- 内部审计和控制测试以证明合规性。
- 欧盟和英国第27条代表
- 欧盟代表 – EDPO EU:Avenue Huart Hamoir 71, 1030 布鲁塞尔,比利时
- 英国代表处 – EDPO UK: 8 Northumberland Avenue, LondonWC2N 5BY, UK
- 指定数据保护官(DPO) – 约翰·根特, [email protected]
遵守
新加坡 2012 年个人数据保护法
这 2012 年新加坡个人数据保护法 (PDPA) 在新加坡境内建立了对个人数据的基本保护,赋予“个人”(立法规定)对组织如何收集、使用和披露其个人数据的更多控制权。
新加坡 PDPA 规定的数据保护义务
Lightspeed Systems 承诺履行以下规定的义务:
- 问责制:我们制定了数据保护政策,并通过定期培训鼓励责任文化。
- 通知: 我们会告知用户收集、使用或披露其个人数据的目的,详情请参阅我们的 隐私政策.
- 同意: 我们在收集、使用或披露个人信息之前,需要获得所服务的教育机构(客户)的同意。数据将用于获得同意的目的,客户可以随时撤回同意。
- 目的限制: 我们收集、使用或披露个人信息的目的已告知客户。
- 数据准确性: 我们确保个人信息的准确和完整。
- 数据保护: 我们已实施必要的安全措施,以保护个人数据免遭未经授权的访问、收集、使用和披露
- 数据保留: 数据将保留直至完成处理活动为止。
- 数据传输限制: 跨境数据传输是指传输至拥有与 PDPA 中概述的标准类似的数据保护法的国家(除非 PDPC 豁免)。
- 数据主体权利: 个人有权根据要求请求访问、更正和删除其个人信息。此外,个人还有权进行数据可携性,并选择不收集、使用或披露其数据。
- 数据泄露通知: 如果发生数据泄露,Lightspeed Systems 将立即通知其客户。
遵守
2012 年菲律宾数据隐私法(共和国法案第 10173 号)
这 2012年菲律宾数据隐私法(DPA) 及其 实施细则及规章(IRR) 建立公共和私营部门个人数据保护框架。该法律由国家隐私委员会(NPC)执行,适用于在菲律宾收集、存储、处理或传输个人数据的任何实体。
Lightspeed Systems 致力于遵守 2012 年菲律宾数据隐私法,确保合法、公平和透明地处理个人数据;限制其仅用于合法的教育目的;通过行业领先的安全措施保护数据;并根据 NPC 指导和全球隐私标准维护问责、同意和数据主体权利。
Lightspeed Systems 为全球学校和教育机构提供教育技术和数字安全解决方案。在代表这些机构处理数据时,Lightspeed Systems 根据《数据隐私法》(DPA)充当“数据处理者”,而学校或教育机构则充当“数据控制者”。
Lightspeed 确保所有涉及菲律宾个人数据的处理活动均符合 DPA 和 NPC 指南规定的原则和要求,具体如下:
- 合法且公平的处理 – 所有个人数据均以合法、公平、透明的方式收集和处理,并经学校或教育机构明确授权。数据处理仅限于合法的教育和安全目的,例如保护学生在线安全、管理课堂活动以及提供技术支持。数据不会用于营销、分析或任何与教育功能无关的用途。
- 目的限制 – 数据处理仅用于Lightspeed与客户机构在协议中明确规定的目的,且该目的须符合这些机构的隐私声明。数据不会以与原始目的不符的方式进行进一步处理。
- 数据安全 – Lightspeed 实施组织、物理和技术保障措施,以确保个人数据的机密性、完整性和可用性。关键措施包括但不限于传输中加密 (TLS 1.2+) 和静态加密 (AES-256)、基于角色的访问控制、SOC 2 Type II 环境、持续监控和事件响应协议。
- 数据保留 – Lightspeed 仅在履行合同或法律义务所需的期限内保留数据。除非客户另有规定,否则适用标准保留期(许可证终止后 90 天),之后数据将被安全删除或匿名化。Lightspeed Systems 不会尝试重新识别已匿名的数据。
- 数据主体权利 – 根据 DPA,Lightspeed 支持其客户机构充分行使数据主体权利,包括:
- 知情权——数据收集和使用的透明度
- 访问和更正权利——审查或更正信息的能力
- 删除或阻止的权利——删除或限制不再需要的数据
- 数据可携带权——以可携带格式访问数据
- 反对和撤回同意的权利——反对或撤回对特定处理活动的同意
- 提出投诉的权利—— 国家隐私委员会(NPC)
- 同意和透明度 – Lightspeed 在获得教育机构合法授权和同意的情况下处理数据。客户将通过清晰的隐私声明和数据处理协议 (DPA) 了解数据处理的性质、目的和范围。未经授权或出于合法的教育目的,Lightspeed 不会进行任何数据处理。
- 问责与治理 – Lightspeed 拥有一套全面的隐私和安全治理框架,由其数据保护官 (DPO) John Genter ([email protected])。该公司保存处理活动的记录,定期进行隐私影响评估,并执行供应商尽职调查,以确保所有子处理器都符合同等标准。
- 数据泄露管理 – Lightspeed 制定了正式的事件响应和违规管理计划,并与 全国人大第16-03号通知。 如果发生个人数据泄露:
- 受影响的控制者(学校/机构)会立即收到通知。
- Lightspeed 与控制者合作,在规定的 72 小时内向 NPC 发出任何强制性通知。
- 根本原因分析、补救和纠正措施均已记录并审查。
- 跨境数据传输 – 当个人数据被转移到菲律宾境外(例如,转移到 Lightspeed 在美国的安全云基础设施)时,此类转移将受到加密和安全通信协议的保护,合同保障措施与 全国人大第16-01号通知以及具有约束力的子处理者协议,以确保保密性、安全性和删除义务。转移仅限于控制者批准的用途。
遵守
澳大利亚隐私法(1988年)
这 1988 年澳大利亚隐私法 规范澳大利亚个人信息的处理。该法案是全国数据收集和管理政策的基础。该法案概述了 13 澳大利亚隐私原则 (APP) 用于管理使用 个人信息和敏感信息
《隐私法》适用于谁?
《隐私法》适用于处理澳大利亚居民个人信息的澳大利亚政府机构和年营业额超过300万澳元的组织。
澳大利亚隐私法的基本原则(1988 年)
Lightspeed Systems 致力于满足澳大利亚隐私原则中概述的数据保护要求,如下所示:
- 公开透明的个人信息管理 – 我们对个人信息的管理方式保持透明。我们的 隐私政策 详细说明我们如何收集、使用、披露、传输和存储信息
- 匿名和假名 – Lightspeed Systems 利用匿名化和假名化尽可能保护个人身份,除非在需要个人身份来处理数据的情况下。
- 收集所请求的个人信息 – 我们实行数据最小化和目的限制,仅收集满足请求的服务和主要目的所需的数据。如果出现需要将数据用于次要目的的情况,我们将通知客户并征得他们的同意。
- 处理未经请求的个人信息 – 我们会自动阻止未经请求的信息。对于我们网站上的 Cookie,我们已将 Cookie Banner 配置为除严格必要的 Cookie 之外的所有 Cookie 的默认设置。
- 个人信息收集的通知 – 教育机构会收到所收集的学生和教职员工数据的通知。这在我们与客户签订的数据处理协议中有详细说明。我们还为每款产品维护一份数据计划,详细说明所收集的数据及其收集原因。
- 使用或披露个人信息 – 我们使用与信息收集的原始目的相关的个人数据。请参阅我们的“第三方:我们如何共享您的数据”部分 隐私政策 获取有关数据可能被披露的情况的更多详细信息。
- 直接营销 – 我们不向学生/家长进行直接营销。营销仅针对教育机构,并为他们提供明确可见的退出所有营销传播的选项。
- 个人信息跨境披露 – 跨境数据仅向遵守澳大利亚隐私原则的组织披露,并在执行数据处理协议以约束其遵守所需的隐私和安全实践后披露。
- 采用、使用或披露政府相关标识符 – 我们不会将与政府相关的标识符用作我们自己的标识符,也不会披露个人标识符,除非我们获得法律授权,或者需要该标识符来验证个人的身份。
- 个人信息质量 – 我们有系统来确保收到的个人信息的准确性、完整性和最新性。
- 个人信息安全 – 我们采用数据保护所需的管理、技术和物理保障措施,详情请参阅本页。
- 访问个人信息 – 个人有权访问自己的个人信息,如我们的 隐私政策 “跨境数据保护”部分下。
- 个人信息的修正 – 个人有权更正其个人信息,如我们的 隐私政策 “跨境数据保护”部分下。
遵守
巴西《通用数据保护法》(LGPD)
这 达多斯保护总署 (LGPD)(英文全称《通用数据保护法》)是巴西为规范个人数据收集和使用而制定的法律框架。该法律于2020年8月16日生效,其执行由国家数据保护局(ANPD)监督。
巴西数据保护法适用于谁?
Lightspeed Systems 致力于遵守以下 LGPD 原则:
- 目的: 个人数据的处理是为了合法、具体和明确的目的,并传达给数据主体,而不会进行后续不兼容的处理。
- 充足性: 个人数据的处理将按照向数据主体披露的目的进行,并考虑此类处理的背景。
- 必要性: 个人数据的处理仅限于实现相关目的所需的最小范围,仅使用适当、适度且不过度的数据。
- 免费访问: 数据主体有权轻松且免费地查询处理方式和持续时间以及其个人数据的完整性。
- 数据质量: 数据主体有权获得准确、清晰、相关和最新的信息,以实现相关目的。
- 透明度: 数据主体有权获得有关处理活动和相应处理代理(控制者和处理者)的清晰、准确和易于访问的信息,同时保护商业和工业秘密。
- 安全: Lightspeed Systems 已实施必要的技术和组织措施来保护个人数据免遭未经授权的访问以及意外或非法的破坏、丢失、更改、通信或传播事件,如我们的信任页面所述。
- 预防: 我们已采取预防措施来减轻与个人数据处理相关的风险,详情请参阅我们的信任页面。
- 非歧视: 我们不会出于歧视目的或以任何非法或滥用的方式处理个人数据。
- 问责: 我们已经实施了符合个人数据保护要求的有效措施,并根据不断变化的环境不断改进。
LGPD 为数据主体提供了以下主要权利:
- 获取有关个人数据处理存在的确认;
- 访问他们的个人数据;
- 纠正不完整、不准确或过时的数据;
- 将不必要、过多或不合规的个人数据匿名化、阻止或删除;
- 数据可移植性;
- 经数据主体同意处理的个人数据的删除,但本法第16条规定的情况除外
- 了解与其共享数据的第三方;
- 了解拒绝提供个人数据的可能性以及相应的后果;以及
- 撤回他们的同意。
遵守
美国商务部数据隐私框架 (DPF)
2023 年 7 月 10 日,欧盟委员会关于《欧盟-美国数据隐私框架》(EU-US DPF)的充分性决定生效。《欧盟-美国数据隐私框架》(EU-US DPF)和《欧盟-美国数据隐私框架英国扩展》(EU-US DPF 英国扩展)分别由美国商务部、欧盟委员会和英国政府为促进跨大西洋贸易而制定,旨在为美国组织提供可靠的机制,以便从欧盟/欧洲经济区和英国向美国传输个人数据,同时确保数据保护符合欧盟和英国法律。Lightspeed Systems 遵守美国商务部制定的《欧盟-美国数据隐私框架》(EU-US DPF)和《欧盟-美国 DPF 英国扩展》。 Lightspeed Systems 已向美国商务部证明,其遵守欧盟-美国数据隐私框架原则(欧盟-美国 DPF 原则),根据欧盟-美国 DPF 和英国对欧盟-美国 DPF 的扩展处理从欧盟和英国收到的个人数据。如果本隐私政策中的条款与欧盟-美国 DPF 原则有任何冲突,则以原则为准。要了解有关数据隐私框架 (DPF) 计划的更多信息并查看我们的认证,请访问 https://www.dataprivacyframework.gov/.
Lightspeed Systems 受联邦贸易委员会 (FTC) 的调查和执法权力约束。
为遵守欧盟-美国 DPF 以及英国对欧盟-美国 DPF 的扩展,Lightspeed Systems 承诺就我们在雇佣关系背景下依据欧盟-美国 DPF 以及英国对欧盟-美国 DPF 的扩展处理人力资源数据方面提出的尚未解决的投诉,分别配合并遵守欧盟数据保护机构 (DPA) 和英国信息专员办公室 (ICO) 设立的专家组的建议。
有关我们遵守数据隐私框架的更多详细信息,请参阅我们的“国际数据传输”部分 隐私政策.
遵守
外国资产控制办公室(OFAC)
外国资产控制办公室(“OFAC”) 美国财政部根据美国的外交政策和国家安全目标,针对目标外国和政权、恐怖分子、国际毒品贩运者、从事大规模杀伤性武器扩散相关活动的人以及其他对美国国家安全、外交政策或经济构成威胁的人,实施和执行经济和贸易制裁。
- Lightspeed Systems、其子公司和附属公司承诺完全遵守所有国际制裁,包括但不限于美国、欧盟和英国实施的制裁。
- 国际制裁是指禁止各种商业和金融交易的法律、法规、行政命令、理事会决定和其他政府行动。Lightspeed Systems 的政策是遵守所有适用的国际制裁。
- Lightspeed Systems 认为,通过政策和程序解决出口管制问题的有效合规计划是我们业务运营和道德行为准则的重要组成部分。
- 在接受所有国际订单之前,我们会对照各种受制裁和禁止人员及目的地名单进行筛选。任何直接或间接从受制裁人员处收到的订单,或最终由受制裁人员使用或在受制裁目的地使用的订单,都将被拒绝。
- Lightspeed Systems 员工每年都会接受 OFAC 意识培训以确保合规。
Lightspeed Systems 子处理器列表
| 实体名称 | 子处理活动 | 实体位置(总部) | 安全及补充措施 |
|---|---|---|---|
| 亚马逊网络服务公司 | 应用程序托管和存储 | 美国 | |
| 光边 | 数据中心 | 美国 | |
| 微软公司 | 电子邮件和协作工具 | 美国 |
| 实体名称 | 子处理活动 | 实体位置(总部) | 安全及补充措施 |
|---|---|---|---|
| Ably.io | 存在监测 | 英国 | |
| Adobe Sign | 电子签名提供商 | 美国 | |
| 数据狗 | 监控和提醒我们的产品,以确保我们满足质量目标和合同 SLA | 美国 | |
| 温室软件公司 | 招聘管理软件 | 美国 | |
| 蜂巢人工智能 | 产品功能的文本审核 | 美国 | |
| 微软公司 | 电子邮件和协作工具 | 美国 | |
| 英国地质调查局 | 工资管理软件 | 美国 | |
| 网套件 | 会计系统 | 美国 | |
| OpenAI | intelligence 产品功能的生成式 AI 服务提供商 | 美国 | |
| Pendo.io 公司 | 软件体验管理 | 美国 | |
| Salesforce | 客户支持 – CRM 提供商 | 美国 | |
| 雪花 | 产品使用分析、分类数据库 | 美国 | |
| Twilio | 通信技术提供商 | 美国 | |
| Zoom 公司 | 视频会议提供商 | 美国 |
