Lightspeed Systems®是您值得信赖的合作伙伴 Lightspeed信托

SOC 2 类型 2 兼容徽章
数据隐私框架计划徽章
学生隐私承诺徽章
Access 4 学习社区徽章

安全可靠

信息安全和数据保护是我们核心信念的组成部分。我们拥有专门的安全和合规团队,致力于确保您的信息安全。 Lightspeed Systems 采用严格的政策和程序来确保客户数据的可用性、完整性和机密性。

Lightspeed Systems服务状态

服务水平协议 (SLA)

Lightspeed Systems 为学校提供包括移动设备管理、网页过滤、应用程序分析和课堂管理在内的托管服务。我们的服务至少在 99.9% 时间内可用,并且持续监控服务器的性能和可用性。

检查系统状态 阅读我们的 SLA
Lightspeed 产品套件屏幕截图

Lightspeed安全

行政保障

员工背景调查

所有 Lightspeed Systems 员工在受聘前都会接受背景调查并签署保密协议。

数据泄露通知

如果我们得知数据泄露,我们将遵循我们的事件响应计划并立即通知我们的客户。

事件管理

我们制定了书面事件响应计划,详细说明了检测、报告、识别、分析和响应影响 Lightspeed Systems 网络和客户数据的安全事件的流程。

员工隐私和安全意识培训

所有员工在雇用后和持续的基础上都必须接受隐私和安全培训,其中涵盖隐私实践和适用于员工处理个人信息的原则,包括需要对使用、访问、共享和保留个人信息进行限制信息。

我们根据他们的角色提供所需的特定安全方面的培训。例如,产品开发团队接受了设计隐私和安全软件开发培训。员工还经常受到网络钓鱼电子邮件的攻击。

供应商选择和风险管理

Lightspeed Systems 可以使用子处理者来执行服务,并且仅在执行服务所需时才有权访问客户数据,并且应受书面协议的约束,这些协议要求他们提供 Lightspeed 和适用法规要求的严格级别的数据保护。 这是我们的子处理者列表.

进行预合作和持续的供应商评估,以确保在整个供应商关系中采取适当的数据隐私和安全实践。

对所提供的供应商服务的更改或对现有合同的更改需要进行安全风险评估,以确认这些更改不会带来额外或不当的风险。

政策和程序文件符合 NIST 隐私/安全框架

Lightspeed Systems 根据 CIS 控制和 NIST 框架审查其系统,并相应地解决任何已识别的风险或差距。

我们有一个指定的数据治理团队,定期举行会议以确保数据完整性。

我们在整个组织内实施了各种数据保护政策文件,例如但不限于:事件响应计划、安全政策、漏洞修复政策、IT 标准政策和数据删除政策。

业务连续性和灾难恢复

Lightspeed Systems 认识到维护关键业务功能以及保护系统和数据的重要性。为了确保业务连续性,Lightspeed 制定了企业范围的业务连续性和灾难恢复计划,用于管理所有职能的总体管理计划。

更换管理层

变更管理策略被记录下来,以解决系统变更和补丁的设计、开发、获取、测试、批准和实施。

Lightspeed安全

技术保障

外部审计

Lightspeed Systems 很高兴地宣布,我们已于 2024 年 3 月 22 日成功完成 SOC 2 Type II 审计。一家独立公司已验证我们符合 SOC 2 标准。Lightspeed Systems 遵循 AICPA 的信托服务标准,并制定了政策和流程,以确保我们为客户提供的服务的安全性、可用性、处理完整性、机密性和隐私性。您可以通过发送电子邮件至 [email protected] 索取我们的 SOC 2 Type 2 报告副本,该报告将在签署保密协议后提供。

数据泄露通知

如果我们发现确认的数据泄露,我们将遵循我们的事件响应计划并立即通知学校。

静态加密

使用高级加密标准 (AES) 加密对静态数据进行加密。

传输中加密

数据在传输过程中使用传输层安全性 (TLS) 协议加密。

数据备份

我们定期对数据和系统进行备份。备份间隔取决于数据类型,范围从几分钟到每天一次。

漏洞修复

Lightspeed Systems 具有漏洞修复策略,可根据漏洞所带来的风险来识别和修复漏洞。我们利用补丁管理软件来监控系统并确保补丁得到实施。

数据删除

Lightspeed Systems 实施了数据删除政策。在适当的情况下,我们的解决方案利用自动规则根据策略清除数据。

记录和监控

Lightspeed Systems 部署了日志记录和监控解决方案来识别和调查可能的安全事件。

身份和访问控制

通过登录凭据,对个人信息的访问仅限于那些需要这些信息来执行其工作职能的员工。此外,Lightspeed Systems还利用多重身份验证、单点登录、最小权限和按需访问、强密码控制以及对管理帐户的限制访问等访问控制。

我们的解决方案允许客户创建“管理员”角色,该角色仅提供执行所需功能所需的权限。

Lightspeed安全

物理保障

工作场所安全

Lightspeed Systems 维护以下控制措施,旨在防止未经授权访问我们的办公室:

  • 设施访问仅限于使用钥匙/密钥卡或访问徽章的授权个人。
  • Lightspeed办公室设有灭火和火灾探测系统或装置以及紧急出口和疏散路线。

数据中心安全

所有处理和存储数据的数据中心均位于美国,并持有 SOC 2、HIPAA、PCI DSS 和 ISO 27001 认证。 Lightspeed 有一个流程来记录、监控和响应其系统和解决方案中的事件和异常情况。数据备份和恢复解决方案也已到位。

安全设计原则

Lightspeed Systems 在设计上实践了安全性。我们利用基于以下内容的安全软件开发生命周期 OWASP 方法论.
我们的系统和流程考虑到信息安全的核心支柱:机密性、完整性和可用性。

遵守

Lightspeed Systems 人工智能 (AI) 道德与原则

Lightspeed Systems 知道人工智能如何让技术和商业世界变得更好。我们以负责任的方式使用人工智能,确保其符合道德规范,同时最大限度地提高其效益并为我们的客户提供服务。我们遵循人工智能解决方案的道德原则,这些原则符合我们的价值观和专业标准,并赢得了我们的客户、人民、社区和监管机构的信任。我们坚定地致力于以公共利益为重,尊重公众信任,并展现我们对卓越专业的承诺。欲了解更多信息,请参阅我们的 负责任地使用人工智能.
遵守

儿童在线隐私保护法 (COPPA)

COPPA 适用于美国管辖范围内的个人或实体在线收集 13 岁以下儿童的个人信息。收集或使用用户的任何个人信息均需征得家长同意。

  • Lightspeed Systems遵守儿童在线隐私保护法(COPPA),确保儿童的上网安全。学生帐户仅通过经过验证的教育者、学校或教育组织提供。教育工作者同意在向学生发放帐户之前获得家长的许可。请在此处阅读 Lightspeed 的 COPPA 通知。

我们符合下列 COPPA 指南并同意:

  • 未经家长或合格的教育者或教育机构同意,不得收集在线联系信息。
  • 不收集个人身份离线联系信息。
  • 未经父母事先同意,不得向第三方分发任何个人身份信息。
  • 不得以特殊游戏、奖品或其他活动的前景为诱饵,也不得泄露参与活动所需的更多信息。
  • 不得使用或披露学生信息来向学生投放行为定向广告。
  • 除用于支持授权的教育/学校目的外,不得建立学生的个人档案。
遵守

家庭教育权利和隐私法 (FERPA)

家庭教育权利和隐私法 (FERPA) 是一项保护学生教育记录隐私的联邦法律。该法律适用于所有根据美国教育部适用计划获得资金的学校。

  • 虽然 FERPA 适用于学校而不是公司,但 Lightspeed Systems 可能被指定为“学校官员”,因此,我们遵守 FERPA 要求并致力于保护学生的隐私
    信息,这些信息由学区委托给我们。学区控制着所有学生数据,我们在他们的指导下进行。根据 FERPA,家长或符合资格的学生有权访问、
    检查、审查和纠正学生记录,当我们收到学区经核实的书面请求时,Lightspeed 遵守这些权利。
  • 请注意,Lightspeed Systems 与学生或家长没有直接联系。
遵守

纽约教育法二维

教育法§ 2-d 该法规于 2014 年 4 月生效。该法规的重点是促进学生个人身份信息 (PII) 以及与课堂教师和校长相关的某些 PII 的隐私和安全。Lightspeed Systems 符合纽约州 ED 法律 2-D 和 父母权利法案,这需要满足以下条件:

  • 不得出于任何商业目的出售或发布学生的个人身份信息 (PII);
  • 有权检查和审查教育机构存储或维护的学生教育记录的完整内容;
  • 存储或传输学生 PII 时,必须采取与行业标准和最佳实践相关的保护措施,包括但不限于加密、防火墙和密码保护;
  • 如果发生违反或未经授权发布 PII 的情况,将根据适用的法律和法规收到通知;
  • 家长有权就可能发生的学生数据泄露问题进行投诉;
  • 处理 PII 的教育机构工作人员将接受有关适用的州和联邦法律、政策以及与保护 PII 的行业标准和最佳实践相关的保障措施的培训;
  • 教育机构与接收 PII 的供应商签订的合同将满足法定和监管数据隐私和安全要求。
遵守

学生隐私承诺

学生隐私承诺 是教育科技公司为保护学生隐私而发布的具有法律效力的公开声明,该声明围绕有关收集、维护和使用学生个人信息的承诺而制定。

  • Lightspeed Systems 已签署学生隐私承诺,以负责任的管理和适当使用学生个人信息。
遵守

学生数据隐私联盟 (SDPC) 和国家数据处理协议 (NDPA)

SDPC 是学校、学区、地区、领土和州机构、政策制定者、贸易组织和市场提供商之间的独特合作,旨在解决日益严重的数据隐私问题的实际、适应性强且可实施的解决方案。

  • 国家计委首次发布 国家数据隐私协议 (NDPA) 简化申请合同并在学校/学区和市场提供商之间设定共同期望。
  • Lightspeed 正在与所有参与州的学区合作,以确保我们制定数据处理协议。
  • 我们鼓励希望与我们签署 SDPC 和 NDPA 的学区发送电子邮件 隐私@lightspeedsystems.com.
遵守

加州消费者隐私法 (CCPA)

2018 年加州消费者隐私法 (CCPA) 使消费者能够更好地控制企业收集的有关他们的个人信息。

  • Lightspeed Systems 致力于满足 CCPA 的要求并保护您的数据。
  • 我们的 隐私政策 提供有关Lightspeed Systems如何收集和处理您的个人信息的详细信息。

加州消费者可以根据 CCPA 规定的权利通过以下方式联系我们提出请求: 隐私@lightspeedsystems.com.

遵守

加州隐私权法案 (CPRA)

加州隐私权法案 (CPRA) 修订并扩展了《加州消费者隐私法案》(CCPA)。CPRA 于 2023 年 1 月 1 日生效。CCPA 进行了修订,以保护加州员工(B2E)和企业对企业(B2B)联系人的个人数据,并要求所有收集加州居民数据的组织应用更广泛的保护措施,例如隐私风险评估、数据最小化和保留政策。CPRA 现在将数据权利重点放在 b2b 关系和员工上——从透明的数据披露到更有力的执法和对与数据收集和处理相关的隐私风险的更高认识——并对与加州员工、企业和居民相关的任何数据进行核算。

加州隐私权法案保护谁?
任何加州居民雇员和服务提供商/供应商、承包商、顾问、申请人、自由职业者和远程工作者都可以合理地被识别。

员工和 B2B 数据权利:
  • 知情权: 员工、承包商和服务提供商有权了解正在收集和管理哪些数据,并有权访问“特定个人信息”的副本。
  • 访问权: 与消费者类似,员工将能够向雇主提交数据主体访问请求 (DSAR),以访问其信息,但有一些例外。
  • 使用权和披露权: 要求企业限制或停止使用和披露敏感个人信息的权利。
  • 更正权: 有权要求企业更正不准确的信息。
  • 选择退出的权利: 选择不出售或共享个人信息的权利。
  • 宽大处理权: 不因行使任何数据权利而受到报复的权利。
Lightspeed Systems 制定了以下程序来确保 CCPA 和 CPRA 合规性:
  • 数据主体访问请求:数据主体可以通过向我们的隐私团队发送电子邮件(隐私@lightspeedsystems.com)
  • 数据映射:所有数据的映射、盘点和分类
  • 数据最小化: 我们仅处理充分、相关且仅限于数据使用目的所需的数据。
  • 数据保留政策: 我们在所有产品和流程中实施了数据保留政策。数据的保存时间不会超过完成处理活动所需的合理时间
  • 隐私影响评估: 我们对所有产品和流程进行风险评估,从设计上确保隐私和安全。
遵守

一般数据保护条例 (GDPR)

通用数据保护条例 是一项规定,要求企业在欧盟成员国境内发生的交易中保护欧盟公民的个人数据和隐私.

Lightspeed Systems 致力于满足 GDPR 的数据保护要求。我们已实施以下流程以确保符合 GDPR 规定:

  • 数据最小化: 我们仅收集特定目的所需的数据,并且使用仅限于所述目的。
  • 数据映射和分类:我们保存一份详细的个人数据清单,然后对这些数据进行分类。这是一个持续的过程,我们不断努力改进。
  • 第三十条 报告: 根据 GDPR 的要求,我们负责保存处理活动记录。
  • 数据保留:我们仅在实现既定目的和履行合同义务所需的时间内保留数据。
  • 数据匿名化和假名化.
  • 隐私影响评估和数据保护影响评估 我们的流程和新产品特性。
  • 跨境数据传输:我们拥有一份纳入欧盟标准合同条款和英国国际数据传输协议的 DPA,该协议已获得欧盟委员会和英国信息专员办公室的批准,旨在保护个人数据在欧盟和英国以外的传输。请联系 隐私@lightspeedsystems.com与我们一起执行 DPA。
遵守

新加坡 2012 年个人数据保护法

2012 年出台的新加坡《个人数据保护法》(PDPA)为新加坡境内的个人数据建立了基本保护层,赋予“个人”(立法规定)对组织如何收集、使用和披露其个人数据的更多控制权。

新加坡 PDPA 规定的数据保护义务

Lightspeed Systems承诺履行以下规定的义务:

  • 问责制:我们制定了数据保护政策,并通过定期培训鼓励责任文化。
  • 通知: 我们会告知用户收集、使用或披露其个人数据的目的,详情请参阅我们的 隐私政策.
  • 同意: 我们在收集、使用或披露个人信息之前,需要获得所服务的教育机构(客户)的同意。数据将用于同意的目的,客户可以随时撤回同意。
  • 目的限制: 我们收集、使用或披露个人信息的目的已告知客户。
  • 数据准确性: 我们确保个人信息的准确和完整。
  • 数据保护: 我们已实施必要的安全措施,以保护个人数据免遭未经授权的访问、收集、使用和披露
  • 数据保留: 数据将保留直至完成处理活动为止。
  • 数据传输限制: 跨境数据传输是指传输至拥有与 PDPA 中概述的标准类似的数据保护法的国家(除非 PDPC 豁免)。
  • 数据主体权利: 个人有权根据要求请求访问、更正和删除其个人信息。此外,个人还有权进行数据迁移并选择不收集、使用或披露其数据。
  • 数据泄露通知: 如果发生数据泄露,Lightspeed Systems 将立即通知其客户。
遵守

澳大利亚隐私法 (1988)

这 1988 年澳大利亚隐私法  规范澳大利亚个人信息的处理。该立法是全国数据收集和管理政策的基础。该法案概述了 13 澳大利亚隐私原则 (APP) 用于管理使用 个人和敏感信息

《隐私法》适用于谁?

《隐私法》适用于年营业额超过 300 万澳元、处理澳大利亚居民个人信息的澳大利亚政府机构和组织。

澳大利亚隐私法 (1988) 的基本原则

Lightspeed Systems 致力于满足澳大利亚隐私原则中概述的数据保护要求,如下:

  • 公开透明的个人信息管理 – 我们对个人信息的管理方式保持透明。我们的 隐私政策 详细说明我们如何收集、使用、披露、传输和存储信息
  • 匿名和假名 – Lightspeed Systems 利用匿名化和假名化来尽可能保护个人身份,除非需要个人身份来处理数据。
  • 收集索取的个人信息 – 我们实行数据最小化和目的限制,并且仅收集满足所请求的服务和主要目的所需的数据。如果出现我们需要将数据用于次要目的的情况,我们将通知我们的客户并获得他们的同意。
  • 处理未经请求的个人信息 – 我们自动阻止未经请求的信息。对于我们网站上的 cookie,我们已将 Cookie 横幅配置为选择加入,作为除绝对必要 cookie 之外的所有 cookie 的默认设置。
  • 关于收集个人信息的通知 – 教育机构收到收集的学生和教职员工数据的通知。我们与客户签署的数据处理协议对此进行了详细说明。我们还为每种产品维护一份数据计划,其中详细说明了收集的数据以及收集数据的原因。
  • 使用或披露个人信息 – 我们使用与收集信息的原始目的相关的个人数据。请参阅我们的“第三方:我们如何共享您的数据”部分 隐私政策 获取有关可能披露数据的情况的更多详细信息。
  • 直销 – 我们不向学生/家长进行直接营销。营销仅针对教育机构,并且为他们提供了清晰可见的选项来选择退出所有营销传播。
  • 个人信息跨境披露 – 跨境数据仅向遵守澳大利亚隐私原则的组织披露,并在执行数据处理协议后将其约束到所需的隐私和安全实践。
  • 采用、使用或披露政府相关标识符 – 我们不会使用与政府相关的标识符作为我们自己的标识符,也不会披露个人的标识符,除非法律授权我们这样做,或者需要该标识符来验证个人的身份。
  • 个人信息质量 – 我们拥有适当的系统来确保收到的个人信息的质量是准确、完整和最新的。
  • 个人信息安全 – 我们采用数据保护所需的管理、技术和物理保护措施,如本页所述。
  • 访问个人信息 – 个人有权访问其个人信息,如我们的 隐私政策 在“跨境数据保护”部分下。
  • 个人信息的更正 – 个人有权更正其个人信息,如我们的规定 隐私政策 在“跨境数据保护”部分下。
遵守

美国商务部数据隐私框架 (DPF)

2023 年 7 月 10 日,欧盟委员会关于欧盟-美国数据隐私框架 (EU-US DPF) 的充分性决定生效。欧盟-美国数据隐私框架 (EU-US DPF) 和欧盟-美国数据隐私框架的英国扩展 (UK Extension to the EU-US DPF) 分别由美国商务部为促进跨大西洋贸易而制定、欧盟委员会和英国政府为美国组织提供从欧盟/欧洲经济区和英国向美国传输个人数据的可靠机制,同时确保符合欧盟和英国法律的数据保护。Lightspeed Systems符合美国商务部规定的欧盟-美国数据隐私框架 (EU-US DPF) 以及英国对欧盟-美国 DPF 的扩展。 Lightspeed Systems 已向美国商务部证明,在处理从欧盟和英国收到的个人数据时,它遵循欧盟-美国数据隐私框架原则(欧盟-美国 DPF 原则)。 -美国 DPF 和英国对欧盟-美国 DPF 的扩展。如果本隐私政策中的条款与欧盟-美国 DPF 原则存在任何冲突,以原则为准。要了解有关数据隐私框架 (DPF) 计划的更多信息并查看我们的认证,请访问 https://www.dataprivacyframework.gov/.

Lightspeed Systems 受联邦贸易委员会 (FTC) 的调查和执行权管辖。

根据欧盟-美国 DPF 和英国对欧盟-美国 DPF 的扩展,Lightspeed Systems 承诺合作并分别遵守欧盟数据保护机构 (DPA) 和英国信息专员办公室 (ICO) 设立的小组的建议。 )关于我们在雇佣关系中依赖欧盟-美国 DPF 和英国对欧盟-美国 DPF 的扩展处理收到的人力资源数据的未解决投诉。

有关我们遵守数据隐私框架的更多详细信息,请查看我们的“国际数据传输”部分 隐私政策.

遵守

外国资产控制办公室 (OFAC)

外国资产控制办公室(“OFAC”) 美国财政部根据美国外交政策和国家安全目标,对目标外国和政权、恐怖分子、国际毒品走私者、从事大规模杀伤性武器扩散相关活动的人实施经济和贸易制裁,以及对美国国家安全、外交政策或经济的其他威胁。

  • Lightspeed Systems、其子公司和关联公司致力于完全遵守所有国际制裁,包括但不限于美国、欧盟和英国实施的制裁。
  • 国际制裁是指禁止广泛的商业和金融交易的法律、法规、行政命令、理事会决定和其他政府行为。 Lightspeed Systems 的政策是遵守所有适用的国际制裁。
  • Lightspeed Systems 认为,通过政策和程序解决出口管制的有效合规计划是我们业务运营和道德行为准则的重要组成部分。
  • 在接受之前,我们会根据各种受制裁和禁止的人员及目的地清单筛选所有国际订单。直接或间接从受制裁人士处收到的或旨在由受制裁人士最终使用或在受制裁目的地使用的任何订单都将被拒绝。
  • Lightspeed Systems 员工每年接受 OFAC 意识培训,以确保合规性。

Lightspeed Systems 子处理器列表

实体名称 分加工活动 实体位置(总部) 安全和补充措施
亚马逊网络服务公司 应用程序托管和存储 美国
光边 数据中心 美国
微软公司(微软Azure) 应用程序托管和存储 美国
实体名称 分加工活动 实体位置(总部) 安全和补充措施
能力大作战 存在监控 英国
Adobe 标志 电子签名提供商 美国
全文 产品分析 美国
温室软件公司 招聘管理软件 美国
蜂巢人工智能 产品功能的文本审核 美国
微软公司 电子邮件和协作工具 美国
薪资管理软件 美国
网络套件 会计系统 美国
OpenAI 智能产品功能的生成式人工智能服务提供商 美国
Pendo.io公司 软件体验管理 美国
销售队伍 客户支持 – CRM 提供商 美国
雪花 产品使用分析、分类数据库 美国
特威利奥 通讯技术提供商 美国
Zoom 公司 视频会议提供商 美国