光速系统® 是您值得信赖的合作伙伴

安全与合规

信息安全和数据保护是我们核心信念不可或缺的一部分。我们有专门的安全和合规团队,他们致力于确保您的信息安全。 Lightspeed Systems采取严格的政策和程序来确保客户数据的可用性,完整性和机密性。

系统状况

我们知道您依靠Lightspeed Systems解决方案来完成出色的工作,因此我们在内部和通过第三方服务不断监控我们的服务。在此处查找服务,更新和维护公告的中断。

安全

Lightspeed Systems知道有必要保护我们的客户,员工和合作伙伴的个人和机密数据。隐私和安全是我们的责任,我们提供创新的解决方案来增强而不是损害数据的隐私和安全。

合规

自1999年以来,Lightspeed Systems一直与世界各地的学校合作,以保护学生并使学习适应不断变化的技术环境。我们的业务性质要求我们遵守各种学生数据隐私法律,以确保保护学生数据。

Lightspeed Systems服务状态

服务水平协议(SLA)

Lightspeed Systems为学校提供托管服务,包括移动设备管理,Web过滤,应用程序分析和教室管理。我们的服务至少在99.5%的时间内可用,并且不断监视服务器的性能和可用性。

桌面和移动设备上用于远程学习软件的屏幕截图

Lightspeed安全

行政保障

员工背景调查

所有Lightspeed Systems员工在接受聘用之前都要接受背景调查并签署保密协议。

事件管理

我们有一个书面的事件响应计划,其中详细介绍了检测,报告,识别,分析和响应影响Lightspeed Systems网络和客户数据的安全事件的过程。

数据泄露通知

如果我们得知数据泄露,我们将遵循事件响应计划并立即通知我们的客户。 

员工隐私和安全意识培训

在雇用并持续进行基础上,所有员工都必须接受隐私和安全培训,其中包括隐私惯例和适用于员工处理个人信息的原则,包括限制使用,访问,共享和保留个人信息的必要性信息。

我们根据角色要求提供有关安全性特定方面的培训。例如,产品开发团队通过设计和安全软件开发培训来接受隐私保护。员工还会收到定期的网络钓鱼电子邮件。

供应商选择与风险管理

Lightspeed Systems可以使用子处理器执行服务,并且仅有权根据执行服务的需要访问客户数据,并且应受书面协议的约束,这些协议要求它们提供Lightspeed和适用法规所要求的严格数据保护级别。 这是我们的子处理器列表。

进行接触前和持续的供应商评估,以确保在整个供应商关系中都采用适当的数据隐私和安全措施。

  • 对提供的供应商服务的更改或对现有合同的更改都需要进行安全风险评估,以确认更改不会带来额外或不适当的风险。

政策和程序文件符合NIST隐私/安全框架

Lightspeed Systems根据CIS控制和NIST框架审查了其系统,并相应地解决了已发现的任何风险或差距。

我们有一个指定的数据治理团队,每季度举行一次会议,以确保数据完整性

已在组织内建立并实施以下策略文件:安全策略,事件响应计划,漏洞补救策略,补丁程序策略,IT标准策略,数据分类策略,数据删除策略,供应商评估策略,供应商安全标准验证程序,密码政策,桌面清理政策,隐私查询政策,数据治理政策,建筑物访问政策以及PIA和DPIA程序。

Lightspeed安全

技术保障

数据加密

数据在传输过程中和静止时都被加密。

 

数据保留与删除

Lightspeed Systems已实施了数据保留策略。在适当的情况下,我们的解决方案利用自动规则根据策略清除数据。

 

数据备份

我们对数据和系统进行定期备份。备份间隔取决于数据类型,范围从几分钟到每天一次。

漏洞修复

Lightspeed Systems具有漏洞修复策略,可根据漏洞的风险来识别和修复漏洞。我们利用补丁程序管理软件来监视系统并确保已实施补丁程序。

 

恶意软件防护

Lightspeed Systems拥有适当的反恶意软件和反垃圾邮件解决方案来保护服务器和工作站。

 

记录与监控

Lightspeed Systems已部署了日志记录和监视解决方案,以识别和调查可能的安全事件。

身份和访问控制

通过登录凭据将对个人信息的访问限制为要求个人信息执行其工作职能的那些雇员。此外,Lightspeed Systems利用访问控制,例如多因素身份验证,单点登录,最少特权和按需访问,强大的密码控制以及对管理帐户的受限访问。

我们的解决方案允许客户创建“管理员”角色,这些角色仅提供执行所需功能所需的权限。

Lightspeed安全

身体防护

工作场所安全

Lightspeed Systems维护以下旨在防止未经授权访问我们办公室的控件:

  • 通过使用钥匙/密钥卡或访问徽章,只有授权人员才能使用设备。
  • Lightspeed办公室设有灭火和火灾探测系统或设备以及紧急出口和疏散路线。

数据中心安全

处理和存储数据的所有数据中心均位于美国,并获得SOC 2,HIPPA,PCI DSS和ISO 27001认证。 Lightspeed在其系统和解决方案中已建立了记录,监视和响应事件和异常的过程。数据备份和恢复解决方案也已到位。

安全设计原则

Lightspeed Systems通过设计实践安全性。我们利用基于以下方面的安全软件开发生命周期: OWASP方法论.

  • 我们的系统和流程考虑了信息安全的核心支柱:机密性,完整性和可用性。

如果您怀疑Lightspeed Systems中存在安全漏洞,请与我们联系

如果您怀疑Lightspeed Systems中存在安全漏洞,请与我们联系

合规

儿童在线隐私保护法(COPPA)

COPPA 适用于美国管辖下的个人或实体在线收集有关13岁以下儿童的个人信息。收集或使用用户的任何个人信息都需要获得父母的同意。

  • Lightspeed Systems符合《儿童在线隐私保护法》(COPPA),以确保儿童的在线安全。仅通过经过验证的教育者,学校或教育组织提供学生帐户。教育者同意在向学生发放帐户之前获得父母的许可。 

我们符合下面列出的以下COPPA准则,并同意:

  •  未经父母或合格的教育者或教育机构的同意,收集在线联系信息。
  •  收集可识别个人身份的离线联系信息。
  •  未经父母事先同意,将任何可识别个人身份的信息分发给第三方。
  •  吸引特殊游戏,奖品或其他活动的前途,或泄露比参加该活动所需的更多信息。
  •  使用或披露学生信息,以针对学生进行广告的行为定位。
  •  建立学生的个人资料,而不是为了支持授权的教育/学校目的。

合规

家庭教育权利和隐私法(FERPA)

家庭教育权利和隐私法(FERPA) 是一项联邦法律,旨在保护学生教育记录的隐私。该法律适用于根据美国教育部适用计划获得资助的所有学校。

  • 尽管FERPA适用于学校而非公司,但Lightspeed Systems可能被指定为“学校官员”,因此,我们符合FERPA的要求,并致力于保护学区委托我们保护学生信息的隐私。 。学区控制着所有学生数据,我们将在他们的指导下进行。根据FERPA,家长或符合条件的学生有权访问,检查,查看和纠正学生记录,并且当我们从学区获得经过验证的书面请求时,Lightspeed符合这些权利。
  • 请注意,Lightspeed Systems与学生或家长没有直接联系。

合规

纽约教育法2-D

《教育法》§2-d 该法规于2014年4月生效。该法规的重点是促进学生的个人识别信息(PII)以及与课堂老师和校长有关的某些PII的隐私权和安全性。

Lightspeed Systems符合NY ED Law 2-D和 父母权利法案,这需要满足以下条件:

  • 不得出于任何商业目的出售或发布学生的个人身份信息(PII);
  • 有权检查和审查由教育机构存储或维护的学生教育记录的完整内容;
  • 在存储或传输学生PII时,必须采用与行业标准和最佳做法相关的保障措施,包括但不限于加密,防火墙和密码保护;
  • 如果发生违反或未经授权释放PII的行为,将根据适用的法律法规予以通知;
  • 家长有权就可能违反学生数据的行为提出投诉;
  • 处理PII的教育机构工作者将接受有关适用的州和联邦法律,政策以及与保护PII的行业标准和最佳实践相关的保障措施的培训;
  • 与收到PII的供应商签订的教育机构合同将解决法定和法规数据的隐私和安全要求。

合规

学生隐私承诺

学生隐私承诺 是教育技术公司维护学生隐私的公开且具有法律可执行性的声明,它围绕有关收集,维护和使用学生个人信息的承诺而建立。

  • Lightspeed Systems已签署 学生隐私承诺 进行负责任的管理和适当使用学生的个人信息。
学生隐私承诺签名徽章

合规

学生数据隐私协会(SDPC)和国家数据处理协议(NDPA)

SDPC 是由学校,地区,区域,地区和州政府机构,政策制定者,贸易组织和市场提供者组成的独特合作组织,致力于解决现实中,适应性强和可实施的解决方案,以解决日益增长的数据隐私问题。
  • SDPC发布了第一个 国家数据隐私协议(NDPA) 简化申请合同,并在学校/地区与市场提供商之间设定共同的期望。
  • Lightspeed正在与所有参与国的学区合作,以确保我们已经制定了数据处理协议。
  • 鼓励希望与我们签署SDPC和NDPA的学区发送电子邮件 privacy@lightspeedsystems.com

合规

加州消费者隐私法(CCPA)

的 2018年加州消费者隐私法 (CCPA)使消费者可以更好地控制企业收集的有关他们的个人信息。

  • Lightspeed Systems致力于满足CCPA的要求并保护您的数据。
  • 我们的 隐私政策 提供有关Lightspeed Systems如何收集和处理您的个人信息的详细信息。

加州消费者可以根据CCPA的权利提出要求,方法是:与我们联系 privacy@lightspeedsystems.com

合规

通用数据保护条例(GDPR)

GDPR 是一项法规,要求企业在欧盟成员国内进行的交易必须保护欧盟公民的个人数据和隐私.

  • Lightspeed Systems致力于满足GDPR的数据保护要求。
  • 我们已执行以下流程来确保GDPR的合规性:
    • 数据最小化–我们仅收集特定目的所需的数据,并且仅将其用于既定目的。
    • 数据映射和分类–我们维护详细的个人数据清单,然后对这些数据进行分类。这是一个持续的过程,我们会不断努力改进。
    • 数据保留–我们仅在达到既定目的和履行合同义务的必要时间内保留数据。我们已实施以下流程,以确保GDPR符合要求:
    • 数据匿名化
GDPR合规徽章
    • 我们有一项带有标准合同条款的DPA(已通过欧盟委员会批准),以保护个人数据在欧盟/英国之外的传输。
    • 请联系 privacy@lightspeedsystems.com 与我们一起执行DPA。
    • 我们已采取适当的技术和组织措施来保护个人数据。

合规

隐私盾

欧盟-美国和瑞士-美国隐私保护框架 分别由美国商务部,欧盟委员会和瑞士政府设计,旨在为大西洋两岸的公司提供一种在将个人数据从欧盟和瑞士转移到美国时,遵守数据保护要求的机制。支持跨大西洋贸易的国家。

 2020年7月16日,欧盟法院发布了 判断 宣布欧盟委员会于2016年7月12日发布的第2016/1250号决定(“ EU-US Privacy Shield”是否有效)为“无效”。作为该决定的结果,当将个人数据从欧盟转移到美国时,欧盟-美国隐私保护框架不再是遵守欧盟数据保护要求的有效机制。该决定并没有解除欧盟-美国隐私保护组织参与者在欧盟-美国隐私保护框架下的义务。

  • Lightspeed Systems继续保持我们的 隐私盾认证,这使我们遵守严格的数据保护原则。
  • 我们已经将欧盟标准合同条款纳入了我们的DPA,以解决跨边界数据传输问题。在某些情况下,我们依靠 GDPR第49条减损,对于履行数据主体与控制人之间的合同或执行应数据主体要求采取的合同前措施而言,必须进行转移。

合规

外国资产控制办公室(OFAC)

外国资产控制办公室(“ OFAC”) 美国财政部的司令部根据美国外交政策和国家安全目标,对目标外国国家和政权,恐怖分子,国际麻醉品贩运者,从事与大规模杀伤性武器扩散有关的活动的人实行并实施经济和贸易制裁,以及对美国国家安全,外交政策或经济的其他威胁。

  • Lightspeed Systems及其子公司和关联公司致力于完全遵守所有国际制裁,包括但不限于美国,欧盟和英国实施的制裁。
  • 国际制裁是禁止广泛商业和金融交易的法律,法规,行政命令,理事会决定和其他政府行动。 Lightspeed Systems的政策是遵守所有适用的国际制裁。
  • Lightspeed Systems认为有效的合规计划,涉及针对出口管制的政策和程序,是我们业务运营和道德行为准则的重要组成部分。
  • 在接受之前,我们会根据各种制裁和禁止人员名单以及目的地筛选所有国际订单。从受制裁者直接或间接收到的任何订单,或旨在供受制裁者最终使用或在受制裁目的地最终使用的任何订单,都将被拒绝。

Lightspeed Systems员工每年接受OFAC意识培训,以确保合规。

有关我们如何处理个人数据和我们服务的详细信息,请参阅我们的
隐私政策使用条款.

Lightspeed Systems子处理器列表

实体名称

子处理活动

实体位置(HQ)

亚马逊网络服务公司

应用程序托管和存储

美国

春分

数据中心

美国

光刃

数据中心

美国

微软公司(Microsoft Azure)

应用程序托管和存储

美国

实体名称

子处理活动

实体位置(HQ)

阿比里奥

现场监控

英国

DocuSign

电子签名提供者

美国

全故事

产品分析

美国

温室软件公司

招聘管理软件

美国

Incorta

数据分析

美国

微软公司

电子邮件和协作工具

美国

工资管理软件

美国

NetSuite

会计系统

美国

Pendo.io Inc

软件体验管理

美国

销售队伍

客户支持– CRM提供商

美国

特威里奥

通讯技术提供商

美国