Veiligheidsinformatie

Onze Handelaren zijn gegevensbeheerder van de persoonsgegevens die zij verzamelen via onze Services (zoals is gedefinieerd in onze Verwerkersovereenkomst). Lightspeed treedt op als gegevensverwerker voor onze Handelaars en onze Verwerkersovereenkomst is bepalend voor hoe wij persoonsgegevens namens onze Handelaars verwerken.

Lightspeed is gegevensbeheerder van de persoonsgegevens die wij rechtstreeks verzamelen. Hieronder vallen persoonsgegevens van onze Handelaren, Partners en websitebezoekers evenals consumenten die rechtstreeks interactie met ons hebben, zoals golfers die Chronogolf gebruiken of consumenten die Order Anywhere gebruiken. In ons Privacybeleid en onze Privacyverklaring voor Consumenten wordt ons beleid met betrekking tot deze gegevens uiteengezet.

Lightspeed kan persoonsgegevens overdragen naar en opslaan in andere landen dan het land waarin de gegevens oorspronkelijk zijn verzameld, met inbegrip van landen buiten de EU. Voor overdrachten naar landen die niet vallen onder een passendverklaring van de Europese Commissie, vertrouwen wij op de nieuwste modelcontractbepalingen die zijn opgenomen in onze Verwerkersovereenkomst. Voor Handelaren gevestigd in het Verenigd Koninkrijk hebben wij het addendum voor internationale gegevensoverdracht opgenomen.

Lightspeed is ook gecertificeerd onder het EU/VS Data privacy raamwerk, de Britse uitbreiding van het EU/VS Data privacy raamwerk en het Swiss-U.S. Data Privacy Framework. Raadpleeg ons Privacybeleid voor meer informatie.

Om persoonlijke gegevens te beschermen hebben we een aantal technische en organisatorische maatregelen geïmplementeerd. Deze maatregelen zijn ontworpen om de vertrouwelijkheid, integriteit en beschikbaarheid van onze producten en Services te handhaven. Raadpleeg voor meer informatie het hoofdstuk Beveiliging in onze Veiligheidsinformatie.

Lightspeed verwerkt persoonsgegevens voor zo lang als redelijkerwijs nodig is om te voldoen aan de doeleinden waarvoor we ze hebben verzameld. Onze bewaartermijn kan langer zijn als we de persoonsgegevens langer moeten bewaren op basis van de toepasselijke wetgeving of om ons bedrijf te runnen.

Wanneer het recht op verwijdering op jou van toepassing is, zullen we je persoonsgegevens verwijderen in overeenstemming met en na ontvangst van een schriftelijke instructie van jou daartoe, tenzij we wettelijk verplicht zijn om de gegevens te bewaren. Je kunt van dit recht gebruikmaken in het geval je je overeenkomst voor de Services beëindigt.

Lightspeed schakelt subverwerkers in die ons helpen onze diensten te leveren. Om de persoonlijke gegevens die zij verwerken te beschermen, sluiten wij een Verwerkersovereenkomst met hen af; bovendien verplichten wij hen hetzelfde niveau van gegevensbescherming en dezelfde privacynormen te bieden als waartoe wij onze Handelaren verplichten.

Onze lijst met subverwerkers kun je hier inzien.

Zonder een geldig bevelschrift, dagvaarding, gerechtelijk bevel of gelijkwaardig juridisch proces zal Lightspeed geen gegevens van handelaren openbaar maken aan overheidsinstanties. Als we een verzoek tot openbaarmaking ontvangen, zullen we de betreffende Handelaar op de hoogte stellen voor zover toegestaan door de toepasselijke wetgeving, en redelijke inspanningen leveren om de reikwijdte van het verzoek te beperken als de reikwijdte te breed lijkt.

Afhankelijk van je locatie en met inachtneming van de toepasselijke wetgeving, heb je mogelijk het recht om te verzoeken om inzage in, correctie van en verwijdering van je persoonlijke gegevens.

Als je iets hebt gekocht bij een van onze Handelaren, neem dan rechtstreeks contact op met die Handelaar over je verzoek.

Als je een Lightspeed Handelaar bent, kun je een verzoek indienen om je rechten uit te oefenen door dit online formulier in te vullen.

Lightspeed heeft een ervaren team van informatiebeveiligingsexperts in dienst. De onderstaande beschrijvingen geven een overzicht van de technische en organisatorische beveiligingsmaatregelen die Lightspeed hanteert om alle gegevens van handelaren te beschermen en te beveiligen.

Lightspeed ondergaat regelmatig onafhankelijke audits om te bevestigen dat onze beveiligingsmaatregelen voldoen aan de wereldwijde industrienormen.

Payment Card Industry Data Security Standard (PCI DSS)
PCI DSS is de internationale standaard voor de bescherming van kaarthoudergegevens. Lightspeed slaat geen kaarthoudergegevens op, verwerkt deze niet en verzendt deze niet. Alle betalingstransacties worden verwerkt door PCI-gecertificeerde externe dienstverleners, die jaarlijks onafhankelijk worden beoordeeld door een Qualified Security Assessor (QSA).

Kopieën van onze nalevingsverklaringen zijn te vinden op:
https://trust.lightspeedhq.com/

Kopieën van onze nalevingsverklaringen vindt u via de onderstaande links:
PCI AoC voor R-serie, X-serie, C-serie, K-serie, G-serie, L-serie, O-serie, Golf, B2B (NuORDER), Betalingen
PCI AoC voor E-Series
PCI AoC voor U-Series

Systeem- en organisatiecontrole (SOC)SOC)

Bepaalde Lightspeed-producten worden jaarlijks gecontroleerd op naleving van de SOC 2-standaard. Deze audit bevestigt dat de beheersmaatregelen met betrekking tot beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy adequaat zijn ontworpen om de gegevens van handelaren te beschermen.

Voor SOC 2-rapporten kunt u via onze contactgegevens een exemplaar aanvragen.
SOC 2 Type II-gecertificeerd:
R-serie, X-serie, C-serie, E-serie, K-serie, L-serie, O-serie, U-serie, Betalingen, Golf
NuORDER

Ons SOC 3-rapport, gebaseerd op de Trust Services Criteria van de AICPA, biedt een openbaar toegankelijke samenvatting van onze beveiligingsmaatregelen en -verplichtingen. Het biedt transparantie over onze beveiligingsstatus zonder gevoelige details prijs te geven.

Kopieën van ons SOC 3-rapport vindt u via de onderstaande links:
SOC 3-rapport: NuORDER van Lightspeed
SOC 3-rapport: Lightspeed Commerce (R-serie, X-serie, C-serie, E-serie, K-serie, L-serie, O-serie, U-serie, Golf en Betalingen)

Kopieën van onze nalevingsverklaringen zijn te vinden op:
https://trust.lightspeedhq.com/

Lightspeed beschermt zijn netwerk met meerdere lagen beveiligingsmaatregelen, waaronder continue monitoring, logging, waarschuwingen en bescherming tegen Distributed Denial-of-Service (DDoS)-aanvallen.
Door het bedrijf verstrekte apparaten worden centraal beheerd, regelmatig bijgewerkt en bewaakt via endpointbeheeroplossingen. Werkstations zijn standaard versleuteld en uitgerust met firewalls, sterke wachtwoorden en endpointbeveiliging.
De toegang tot Lightspeed-systemen wordt centraal beheerd, vereist multifactorauthenticatie en wordt continu gecontroleerd om te waarborgen dat het principe van minimale bevoegdheden wordt nageleefd. Toegangsrechten worden uitsluitend op basis van noodzaak verleend en ingetrokken wanneer functies wijzigen of het dienstverband eindigt.

Lightspeed gebruikt sterke encryptie om gegevens zowel tijdens de overdracht als in rust te beschermen.
Onze productinfrastructuur wordt gehost door externe multi-tenantproviders, waarvan de fysieke en omgevingsbeheersystemen zijn gecertificeerd volgens normen zoals SOC 2 Type II, ISO 27001, PCI DSS, GDPR, FIPS 140-2 en NIST.

Lightspeed maakt gebruik van geavanceerde monitoringtools om de gegevens van handelaren te beschermen en potentiële bedreigingen te detecteren. Ons beveiligingsteam beoordeelt waarschuwingen, volgt dreigingsinformatie en neemt proactieve maatregelen om aanvallen te voorkomen.
Als zich een beveiligingsincident voordoet, volgt ons incidentresponsteam gedocumenteerde procedures om het probleem te onderzoeken, in te perken en op te lossen. Indien ongeautoriseerde toegang tot handelsgegevens wordt vastgesteld, worden de getroffen handelaren geïnformeerd en ontvangen zij herstelmaatregelen en regelmatige updates.

Lightspeed voert routinematig kwetsbaarheidsscans uit op codebases en implementaties om ervoor te zorgen dat onze diensten veilig blijven.
We hanteren een openbaar bug-bountyprogramma om ethisch onderzoek en verantwoorde openbaarmaking te stimuleren. Daarnaast voeren externe bedrijven jaarlijks interne en externe penetratietests uit.

Ons beveiligingsteam beheert formele beveiligingsrichtlijnen en -normen die de serviceverplichtingen van Lightspeed ondersteunen. Deze documenten worden minstens jaarlijks herzien en intern gedeeld met alle relevante teamleden.

Lightspeed hecht veel belang aan de beveiligingseducatie van medewerkers.
Alle medewerkers volgen bij indiensttreding en vervolgens jaarlijks een verplichte training over beveiligingsbewustzijn. Naast deze training communiceren we voortdurend over nieuwe beveiligingsrisico’s en best practices, zodat medewerkers actief kunnen bijdragen aan gegevensbescherming.