光速信托
Lightspeed Systems® 是您值得信赖的合作伙伴
安全可靠
信息安全和数据保护是我们核心信念中不可或缺的一部分。我们拥有专门的安全和合规团队,他们致力于确保您的信息安全无虞。Lightspeed Systems 采用严格的政策和程序来确保客户数据的可用性、完整性和机密性。
光速安全
行政保障
员工背景调查
所有 Lightspeed Systems 员工在受雇前都经过背景调查并签署保密协议。
数据泄露通知
如果我们发现数据泄露,我们将遵循我们的事件响应计划并毫不拖延地通知我们的客户。
事件管理
我们有一份书面的事件响应计划,其中详细说明了检测、报告、识别、分析和响应影响 Lightspeed Systems 网络和客户数据的安全事件的流程。
员工隐私和安全意识培训
在入职后以及持续期间,所有员工都必须接受隐私和安全培训,培训内容涵盖隐私惯例和适用于员工处理个人信息的原则,包括需要对使用、访问、共享和保留个人信息进行限制。
我们根据员工的角色,为他们提供所需的特定安全方面的培训。例如,产品开发团队接受隐私设计和安全软件开发培训。员工还会定期收到钓鱼电子邮件。
供应商选择和风险管理
Lightspeed Systems 可能会使用子处理器来执行服务,并且仅有权在执行服务的需要时访问客户数据,并受书面协议的约束,要求他们提供 Lightspeed 和适用法规所要求的严格级别的数据保护。 以下是我们的子处理器列表。
我们进行预先参与和持续的供应商评估,以确保在整个供应商关系期间实施适当的数据隐私和安全实践。
对所提供的供应商服务的变更或对现有合同的变更需要进行安全风险评估,以确认这些变更不会带来额外或不当的风险。
政策和程序文件与 NIST 隐私/安全框架保持一致
Lightspeed Systems 根据 CIS 控制和 NIST 框架审查其系统,并相应解决任何已发现的风险或差距。
我们有一个指定的数据治理团队,定期召开会议以确保数据完整性。
我们在整个组织内实施了各种数据保护政策文件,例如但不限于:事件响应计划、安全政策、漏洞修复政策、IT 标准政策和数据删除政策。
业务连续性和灾难恢复
Lightspeed Systems 认识到维护关键业务功能以及保护系统和数据的重要性。为了确保业务连续性,Lightspeed 制定了企业范围的业务连续性和灾难恢复计划,该计划管理所有功能的整体管理计划。
变更管理
变更管理政策记录在案,以解决系统变更和补丁的设计、开发、获取、测试、批准和实施。
光速安全
技术保障
外部审计
Lightspeed Systems 欣然宣布,我们已于 2024 年 3 月 22 日成功完成 SOC 2 Type II 审计。一家独立公司已验证我们符合 SOC 2 标准。Lightspeed Systems 遵循 AICPA 的《信托服务标准》,并制定了相关政策和流程,以确保我们向客户提供的服务的安全性、可用性、处理完整性、机密性和隐私性。客户可以发送电子邮件至 [email protected] 索取我们的 SOC 2 Type II 报告副本,该报告将在签署保密协议 (NDA) 后提供。
数据泄露通知
如果我们得知确认的数据泄露,我们将遵循我们的事件响应计划并立即通知学校。
静态加密
使用高级加密标准 (AES) 加密对静态数据进行加密。
传输中加密
数据在传输过程中使用传输层安全性 (TLS) 协议加密。
数据备份
我们定期备份数据和系统。备份间隔取决于数据类型,范围从几分钟到每天一次。
漏洞修复
Lightspeed Systems 制定了漏洞修复政策,根据漏洞带来的风险来识别和修复漏洞。我们利用补丁管理软件来监控系统并确保补丁得到实施。
数据删除
Lightspeed Systems 已实施数据删除政策。在适当的情况下,我们的解决方案会根据政策利用自动规则清除数据。
日志记录和监控
Lightspeed Systems 已经部署了日志记录和监控解决方案来识别和调查可能的安全事件。
身份和访问控制
只有需要个人信息才能履行工作职责的员工才能通过登录凭证访问个人信息。此外,Lightspeed Systems 还利用多因素身份验证、单点登录、最低权限和按需访问、强密码控制和限制访问管理帐户等访问控制。
我们的解决方案允许客户创建“管理员”角色,仅提供执行所需功能所需的权限。
光速安全
物理保障
工作场所安全
Lightspeed Systems 采取以下控制措施以防止未经授权访问我们的办公室:
- 只有使用钥匙/钥匙卡或门禁卡的授权个人才能访问设施。
- Lightspeed 办公室设有灭火和火灾探测系统或设备以及紧急出口和疏散路线。
数据中心安全
所有处理和存储数据的数据中心均位于美国,并持有 SOC 2、PCI DSS 和 ISO 27001 认证。Lightspeed 已制定流程来记录、监控和响应其系统和解决方案中的事件和异常。此外,公司还拥有数据备份和恢复解决方案。
安全设计原则
Lightspeed Systems 通过设计来实践安全性。我们利用基于以下方面的安全软件开发生命周期: OWASP 方法。
我们的系统和流程考虑到信息安全的核心支柱:机密性、完整性和可用性。
遵守
Lightspeed Systems 人工智能 (AI) 道德与原则
Lightspeed Systems 深知人工智能如何改善技术和商业世界。我们以负责任的方式使用人工智能,确保其符合道德规范,同时最大限度地发挥其优势并服务于我们的客户。我们遵循符合我们价值观和专业标准的人工智能解决方案的道德原则,并建立客户、员工、社区和监管机构的信任。我们坚定地致力于为公众利益行事,尊重公众信任,并展示我们对专业卓越的承诺。有关更多信息,请参阅我们的 负责任地使用人工智能.
遵守
儿童网络隐私保护法(COPPA)
儿童在线隐私保护法 适用于美国管辖范围内的个人或实体在线收集13岁以下儿童的个人信息。收集或使用用户的任何个人信息均需征得父母同意。
- Lightspeed Systems 遵守《儿童在线隐私保护法》(COPPA),以确保儿童的网络安全。学生账户仅通过经过验证的教育工作者、学校或教育机构提供。教育工作者同意在向学生发放账户之前获得家长许可。 请在此处阅读 Lightspeed 的 COPPA 声明。
我们遵守下列 COPPA 准则并同意:
- 未经家长或合格教育工作者或教育机构的同意,不得收集网上联系信息。
- 不收集可识别个人身份的线下联系信息。
- 未经父母事先同意,不得向第三方分发任何个人身份信息。
- 请勿以特殊游戏、奖品或其他活动作为诱惑,或透露超出参与活动所需信息。
- 不得使用或披露学生信息来针对学生进行行为定位广告。
- 除支持授权的教育/学校目的外,不得建立学生的个人档案。
遵守
家庭教育权利和隐私法案(FERPA)
这 家庭教育权利和隐私法案(FERPA) 是保护学生教育记录隐私的联邦法律。该法律适用于所有根据美国教育部适用计划接受资助的学校。
- 尽管 FERPA 适用于学校而不适用于公司,但 Lightspeed Systems 可能被指定为“学校官员”,因此,我们遵守 FERPA 要求并致力于保护学生的隐私
这些信息由学区委托给我们。学区控制所有学生数据,我们按照学区的指示行事。根据 FERPA,家长或符合条件的学生有权访问、
检查、审查和纠正学生记录,并且当我们收到学区的经过验证的书面请求时,Lightspeed 会遵守这些权利。 - 请注意,Lightspeed Systems 与学生或家长没有直接联系。
遵守
纽约教育法 2-D
教育法§2-d 于 2014 年 4 月生效。该法规的重点是促进学生个人身份信息 (PII) 以及与课堂教师和校长相关的某些 PII 的隐私和安全。Lightspeed Systems 遵守纽约教育法 2-D 和 父母权利法案,其要求如下:
- 学生的个人身份信息(PII)不得出售或用于任何商业目的;
- 检查和审查教育机构存储或维护的学生教育记录的完整内容的权利;
- 存储或传输学生 PII 时必须采取与行业标准和最佳实践相关的安全措施,包括但不限于加密、防火墙和密码保护;
- 如果发生 PII 泄露或未经授权发布,应根据适用法律法规得到通知;
- 家长有权对学生数据可能泄露的情况提出投诉;
- 处理 PII 的教育机构工作人员将接受有关适用的州和联邦法律、政策以及与保护 PII 的行业标准和最佳实践相关的保障措施的培训;
- 教育机构与接收 PII 的供应商签订的合同将解决法定和监管数据隐私和安全要求。
遵守
学生数据隐私联盟(SDPC)和国家数据隐私协议(NDPA)
国家计委发布首份 国家数据隐私协议 (NDPA) 简化申请签约流程并在学校/学区和市场提供商之间设定共同的期望。
- Lightspeed 正在与所有参与州的学区合作,以确保我们制定数据处理隐私协议。
- 希望与我们签署 SDPC 和 NDPA 的学区可发送电子邮件至 [email protected].
- 这 国家计委 是学校、学区、地区、领土和州机构、政策制定者、贸易组织和市场提供商之间的独特合作,旨在解决日益严重的数据隐私问题的实际、适应性强且可实施的解决方案。
遵守
加州消费者隐私法案(CCPA)
这 加州隐私权法案(CPRA) 修订并扩展了《加州消费者隐私法案》(CCPA)。CPRA 于 2023 年 1 月 1 日生效。CCPA 进行了修订,以保护加州员工(B2E)和企业对企业(B2B)联系人的个人数据,并要求所有收集加州居民数据的组织应用更广泛的保护措施,例如隐私风险评估、数据最小化和保留政策。CPRA 现在将数据权利重点放在 b2b 关系和员工上——从透明的数据披露到更有力的执法和对与数据收集和处理相关的隐私风险的更高认识——并对与加州员工、企业和居民相关的任何数据进行核算。
加州隐私权法案保护谁?
任何加州居民雇员和服务提供商/供应商、承包商、顾问、申请人、自由职业者和远程工作者都可以合理地被识别。
员工和 B2B 数据权利:
- 知情权: 员工、承包商和服务提供商有权了解正在收集和管理哪些数据,并有权访问“特定个人信息”的副本。
- 访问权: 与消费者类似,员工可以向其雇主提交数据主体访问请求(DSAR)以访问他们的信息,但有一些例外。
- 使用和披露权利: 要求企业限制或停止使用和披露敏感个人信息的权利。
- 更正权: 要求企业更正不准确信息的权利。
- 选择退出的权利: 选择不出售或共享个人信息的权利。
- 宽大处理权: 不因行使任何数据权利而受到报复的权利。
Lightspeed Systems 制定了以下程序来确保遵守 CCPA 和 CPRA:
- 数据主体访问请求:数据主体可以通过电子邮件向我们的隐私团队 ([email protected])
- 数据映射:所有数据的映射、盘点和分类
- 数据最小化: 我们仅处理充分、相关且仅限于数据使用目的所必需的数据。
- 数据保留政策: 我们在所有产品和流程中实施了数据保留政策。数据保留时间不得超过完成处理活动所需的合理时间
- 隐私影响评估: 我们对所有产品和流程进行风险评估,以从设计上确保隐私和安全。
遵守
通用数据保护条例(GDPR)
GDPR 是一项要求企业在欧盟成员国境内交易时保护欧盟公民个人数据和隐私的法规.
Lightspeed Systems 致力于满足 GDPR 的数据保护要求。我们已实施以下流程以确保符合 GDPR 规定:
- 数据最小化: 我们仅收集特定目的所需的数据,并且使用仅限于所述目的。
- 数据映射和分类:我们保存一份详细的个人数据清单,然后对这些数据进行分类。这是一个持续的过程,我们不断努力改进。
- 第三十条 报告: 根据 GDPR 的要求,我们负责保存处理活动记录。
- 数据保留:我们仅在实现既定目的和履行合同义务所需的时间内保留数据。
- 数据匿名化和假名化.
- 隐私影响评估和数据保护影响评估 我们的流程和新产品特点。
- 跨境数据传输:我们拥有一份 DPA,该协议已纳入欧盟标准合同条款和英国国际数据传输协议,并已获得欧盟委员会和英国信息专员办公室的批准,旨在保护个人数据在欧盟和英国以外的传输。请联系 [email protected]与我们一起执行DPA。
遵守
新加坡 2012 年个人数据保护法
这 2012 年新加坡个人数据保护法 (PDPA) 在新加坡境内建立了对个人数据的基本保护,赋予“个人”(立法规定)对组织如何收集、使用和披露其个人数据的更多控制权。
新加坡 PDPA 规定的数据保护义务
Lightspeed Systems 承诺履行以下规定的义务:
- 问责制:我们制定了数据保护政策,并通过定期培训鼓励责任文化。
- 通知: 我们会告知用户收集、使用或披露其个人数据的目的,详情请参阅我们的 隐私政策.
- 同意: 我们在收集、使用或披露个人信息之前,需要获得所服务的教育机构(客户)的同意。数据将用于获得同意的目的,客户可以随时撤回同意。
- 目的限制: 我们收集、使用或披露个人信息的目的已告知客户。
- 数据准确性: 我们确保个人信息的准确和完整。
- 数据保护: 我们已实施必要的安全措施,以保护个人数据免遭未经授权的访问、收集、使用和披露
- 数据保留: 数据将保留直至完成处理活动为止。
- 数据传输限制: 跨境数据传输是指传输至拥有与 PDPA 中概述的标准类似的数据保护法的国家(除非 PDPC 豁免)。
- 数据主体权利: 个人有权根据要求请求访问、更正和删除其个人信息。此外,个人还有权进行数据可携性,并选择不收集、使用或披露其数据。
- 数据泄露通知: 如果发生数据泄露,Lightspeed Systems 将立即通知其客户。
遵守
澳大利亚隐私法(1988年)
这 1988 年澳大利亚隐私法 规范澳大利亚个人信息的处理。该法案是全国数据收集和管理政策的基础。该法案概述了 13 澳大利亚隐私原则 (APP) 用于管理使用 个人信息和敏感信息
《隐私法》适用于谁?
《隐私法》适用于处理澳大利亚居民个人信息的澳大利亚政府机构和年营业额超过300万澳元的组织。
澳大利亚隐私法的基本原则(1988 年)
Lightspeed Systems 致力于满足澳大利亚隐私原则中概述的数据保护要求,如下所示:
- 公开透明的个人信息管理 – 我们对个人信息的管理方式保持透明。我们的 隐私政策 详细说明我们如何收集、使用、披露、传输和存储信息
- 匿名和假名 – Lightspeed Systems 利用匿名化和假名化尽可能保护个人身份,除非在需要个人身份来处理数据的情况下。
- 收集所请求的个人信息 – 我们实行数据最小化和目的限制,仅收集满足请求的服务和主要目的所需的数据。如果出现需要将数据用于次要目的的情况,我们将通知客户并征得他们的同意。
- 处理未经请求的个人信息 – 我们会自动阻止未经请求的信息。对于我们网站上的 Cookie,我们已将 Cookie Banner 配置为除严格必要的 Cookie 之外的所有 Cookie 的默认设置。
- 个人信息收集的通知 – 教育机构会收到所收集的学生和教职员工数据的通知。这在我们与客户签订的数据处理协议中有详细说明。我们还为每款产品维护一份数据计划,详细说明所收集的数据及其收集原因。
- 使用或披露个人信息 – 我们使用与信息收集的原始目的相关的个人数据。请参阅我们的“第三方:我们如何共享您的数据”部分 隐私政策 获取有关数据可能被披露的情况的更多详细信息。
- 直接营销 – 我们不向学生/家长进行直接营销。营销仅针对教育机构,并为他们提供明确可见的退出所有营销传播的选项。
- 个人信息跨境披露 – 跨境数据仅向遵守澳大利亚隐私原则的组织披露,并在执行数据处理协议以约束其遵守所需的隐私和安全实践后披露。
- 采用、使用或披露政府相关标识符 – 我们不会将与政府相关的标识符用作我们自己的标识符,也不会披露个人标识符,除非我们获得法律授权,或者需要该标识符来验证个人的身份。
- 个人信息质量 – 我们有系统来确保收到的个人信息的准确性、完整性和最新性。
- 个人信息安全 – 我们采用数据保护所需的管理、技术和物理保障措施,详情请参阅本页。
- 访问个人信息 – 个人有权访问自己的个人信息,如我们的 隐私政策 “跨境数据保护”部分下。
- 个人信息的修正 – 个人有权更正其个人信息,如我们的 隐私政策 “跨境数据保护”部分下。
遵守
巴西《通用数据保护法》(LGPD)
这 达多斯保护总署 (LGPD)(英文全称《通用数据保护法》)是巴西为规范个人数据收集和使用而制定的法律框架。该法律于2020年8月16日生效,其执行由国家数据保护局(ANPD)监督。
巴西数据保护法适用于谁?
Lightspeed Systems 致力于遵守以下 LGPD 原则:
- 目的: 个人数据的处理是为了合法、具体和明确的目的,并传达给数据主体,而不会进行后续不兼容的处理。
- 充足性: 个人数据的处理将按照向数据主体披露的目的进行,并考虑此类处理的背景。
- 必要性: 个人数据的处理仅限于实现相关目的所需的最小范围,仅使用适当、适度且不过度的数据。
- 免费访问: 数据主体有权轻松且免费地查询处理方式和持续时间以及其个人数据的完整性。
- 数据质量: 数据主体有权获得准确、清晰、相关和最新的信息,以实现相关目的。
- 透明度: 数据主体有权获得有关处理活动和相应处理代理(控制者和处理者)的清晰、准确和易于访问的信息,同时保护商业和工业秘密。
- 安全: Lightspeed Systems 已实施必要的技术和组织措施来保护个人数据免遭未经授权的访问以及意外或非法的破坏、丢失、更改、通信或传播事件,如我们的信任页面所述。
- 预防: 我们已采取预防措施来减轻与个人数据处理相关的风险,详情请参阅我们的信任页面。
- 非歧视: 我们不会出于歧视目的或以任何非法或滥用的方式处理个人数据。
- 问责: 我们已经实施了符合个人数据保护要求的有效措施,并根据不断变化的环境不断改进。
LGPD 为数据主体提供了以下主要权利:
- 获取有关个人数据处理存在的确认;
- 访问他们的个人数据;
- 纠正不完整、不准确或过时的数据;
- 将不必要、过多或不合规的个人数据匿名化、阻止或删除;
- 数据可移植性;
- 经数据主体同意处理的个人数据的删除,但本法第16条规定的情况除外
- 了解与其共享数据的第三方;
- 了解拒绝提供个人数据的可能性以及相应的后果;以及
- 撤回他们的同意。
遵守
美国商务部数据隐私框架 (DPF)
2023 年 7 月 10 日,欧盟委员会关于《欧盟-美国数据隐私框架》(EU-US DPF)的充分性决定生效。《欧盟-美国数据隐私框架》(EU-US DPF)和《欧盟-美国数据隐私框架英国扩展》(EU-US DPF 英国扩展)分别由美国商务部、欧盟委员会和英国政府为促进跨大西洋贸易而制定,旨在为美国组织提供可靠的机制,以便从欧盟/欧洲经济区和英国向美国传输个人数据,同时确保数据保护符合欧盟和英国法律。Lightspeed Systems 遵守美国商务部制定的《欧盟-美国数据隐私框架》(EU-US DPF)和《欧盟-美国 DPF 英国扩展》。 Lightspeed Systems 已向美国商务部证明,其遵守欧盟-美国数据隐私框架原则(欧盟-美国 DPF 原则),根据欧盟-美国 DPF 和英国对欧盟-美国 DPF 的扩展处理从欧盟和英国收到的个人数据。如果本隐私政策中的条款与欧盟-美国 DPF 原则有任何冲突,则以原则为准。要了解有关数据隐私框架 (DPF) 计划的更多信息并查看我们的认证,请访问 https://www.dataprivacyframework.gov/.
Lightspeed Systems 受联邦贸易委员会 (FTC) 的调查和执法权力约束。
为遵守欧盟-美国 DPF 以及英国对欧盟-美国 DPF 的扩展,Lightspeed Systems 承诺就我们在雇佣关系背景下依据欧盟-美国 DPF 以及英国对欧盟-美国 DPF 的扩展处理人力资源数据方面提出的尚未解决的投诉,分别配合并遵守欧盟数据保护机构 (DPA) 和英国信息专员办公室 (ICO) 设立的专家组的建议。
有关我们遵守数据隐私框架的更多详细信息,请参阅我们的“国际数据传输”部分 隐私政策.
遵守
外国资产控制办公室(OFAC)
外国资产控制办公室(“OFAC”) 美国财政部根据美国的外交政策和国家安全目标,针对目标外国和政权、恐怖分子、国际毒品贩运者、从事大规模杀伤性武器扩散相关活动的人以及其他对美国国家安全、外交政策或经济构成威胁的人,实施和执行经济和贸易制裁。
- Lightspeed Systems、其子公司和附属公司承诺完全遵守所有国际制裁,包括但不限于美国、欧盟和英国实施的制裁。
- 国际制裁是指禁止各种商业和金融交易的法律、法规、行政命令、理事会决定和其他政府行动。Lightspeed Systems 的政策是遵守所有适用的国际制裁。
- Lightspeed Systems 认为,通过政策和程序解决出口管制问题的有效合规计划是我们业务运营和道德行为准则的重要组成部分。
- 在接受所有国际订单之前,我们会对照各种受制裁和禁止人员及目的地名单进行筛选。任何直接或间接从受制裁人员处收到的订单,或最终由受制裁人员使用或在受制裁目的地使用的订单,都将被拒绝。
- Lightspeed Systems 员工每年都会接受 OFAC 意识培训以确保合规。
Lightspeed Systems 子处理器列表
| 实体名称 | 子处理活动 | 实体位置(总部) | 安全及补充措施 |
|---|---|---|---|
| 亚马逊网络服务公司 | 应用程序托管和存储 | 美国 | |
| 光边 | 数据中心 | 美国 | |
| 微软公司 | 电子邮件和协作工具 | 美国 |
| 实体名称 | 子处理活动 | 实体位置(总部) | 安全及补充措施 |
|---|---|---|---|
| Ably.io | 存在监测 | 英国 | |
| Adobe Sign | 电子签名提供商 | 美国 | |
| 完整故事 | 产品分析 | 美国 | |
| 温室软件公司 | 招聘管理软件 | 美国 | |
| 蜂巢人工智能 | 产品功能的文本审核 | 美国 | |
| 微软公司 | 电子邮件和协作工具 | 美国 | |
| 英国地质调查局 | 工资管理软件 | 美国 | |
| 网套件 | 会计系统 | 美国 | |
| OpenAI | intelligence 产品功能的生成式 AI 服务提供商 | 美国 | |
| Pendo.io 公司 | 软件体验管理 | 美国 | |
| Salesforce | 客户支持 – CRM 提供商 | 美国 | |
| 雪花 | 产品使用分析、分类数据库 | 美国 | |
| Twilio | 通信技术提供商 | 美国 | |
| Zoom 公司 | 视频会议提供商 | 美国 |
简体中文 
English 
English (UK) 
English (Australia) 
Dansk 
Suomi 
العربية 
Français 
Deutsch 
Italiano 
日本語 
한국어 
Norsk bokmål 
Português do Brasil 
Español 
Svenska