Veiligheidsinformatie

Onze Handelaren zijn gegevensbeheerder van de persoonsgegevens die zij verzamelen via onze Services (zoals is gedefinieerd in onze Verwerkersovereenkomst). Lightspeed treedt op als gegevensverwerker voor onze Handelaars en onze Verwerkersovereenkomst is bepalend voor hoe wij persoonsgegevens namens onze Handelaars verwerken.

Lightspeed is gegevensbeheerder van de persoonsgegevens die wij rechtstreeks verzamelen. Hieronder vallen persoonsgegevens van onze Handelaren, Partners en websitebezoekers evenals consumenten die rechtstreeks interactie met ons hebben, zoals golfers die Chronogolf gebruiken of consumenten die Order Anywhere gebruiken. In ons Privacybeleid en onze Privacyverklaring voor Consumenten wordt ons beleid met betrekking tot deze gegevens uiteengezet.

Lightspeed kan persoonsgegevens overdragen naar en opslaan in andere landen dan het land waarin de gegevens oorspronkelijk zijn verzameld, met inbegrip van landen buiten de EU. Voor overdrachten naar landen die niet vallen onder een passendverklaring van de Europese Commissie, vertrouwen wij op de nieuwste modelcontractbepalingen die zijn opgenomen in onze Verwerkersovereenkomst. Voor Handelaren gevestigd in het Verenigd Koninkrijk hebben wij het addendum voor internationale gegevensoverdracht opgenomen.

Lightspeed is ook gecertificeerd onder het EU/VS Data privacy raamwerk, de Britse uitbreiding van het EU/VS Data privacy raamwerk en het Swiss-U.S. Data Privacy Framework. Raadpleeg ons Privacybeleid voor meer informatie.

Om persoonlijke gegevens te beschermen hebben we een aantal technische en organisatorische maatregelen geïmplementeerd. Deze maatregelen zijn ontworpen om de vertrouwelijkheid, integriteit en beschikbaarheid van onze producten en Services te handhaven. Raadpleeg voor meer informatie het hoofdstuk Beveiliging in onze Veiligheidsinformatie.

Lightspeed verwerkt persoonsgegevens voor zo lang als redelijkerwijs nodig is om te voldoen aan de doeleinden waarvoor we ze hebben verzameld. Onze bewaartermijn kan langer zijn als we de persoonsgegevens langer moeten bewaren op basis van de toepasselijke wetgeving of om ons bedrijf te runnen.

Wanneer het recht op verwijdering op jou van toepassing is, zullen we je persoonsgegevens verwijderen in overeenstemming met en na ontvangst van een schriftelijke instructie van jou daartoe, tenzij we wettelijk verplicht zijn om de gegevens te bewaren. Je kunt van dit recht gebruikmaken in het geval je je overeenkomst voor de Services beëindigt.

Lightspeed schakelt subverwerkers in die ons helpen onze diensten te leveren. Om de persoonlijke gegevens die zij verwerken te beschermen, sluiten wij een Verwerkersovereenkomst met hen af; bovendien verplichten wij hen hetzelfde niveau van gegevensbescherming en dezelfde privacynormen te bieden als waartoe wij onze Handelaren verplichten.

Onze lijst met subverwerkers kun je hierinzien.

Zonder een geldig bevelschrift, dagvaarding, gerechtelijk bevel of gelijkwaardig juridisch proces zal Lightspeed geen gegevens van handelaren openbaar maken aan overheidsinstanties. Als we een verzoek tot openbaarmaking ontvangen, zullen we de betreffende Handelaar op de hoogte stellen voor zover toegestaan door de toepasselijke wetgeving, en redelijke inspanningen leveren om de reikwijdte van het verzoek te beperken als de reikwijdte te breed lijkt.

Afhankelijk van je locatie en met inachtneming van de toepasselijke wetgeving, heb je mogelijk het recht om te verzoeken om inzage in, correctie van en verwijdering van je persoonlijke gegevens.

Als je iets hebt gekocht bij een van onze Handelaren, neem dan rechtstreeks contact op met die Handelaar over je verzoek.

Als je een Lightspeed Handelaar bent, kun je een verzoek indienen om je rechten uit te oefenen door dit online formulier in te vullen.

Bij Lightspeed werkt een ervaren team van informatiebeveiligingsdeskundigen. Hieronder volgt een overzicht met beschrijvingen van de technische en organisatorische beveiligingsvoorzieningen die Lightspeed handhaaft om alle gegevens van Handelaren te beschermen en te beveiligen.

Lightspeed ondergaat regelmatig onafhankelijke audits van zijn beveiligingsmaatregelen, zodat deze voldoen aan de wereldwijde normen.

Payment Card Industry Data Security Standard (PCI DSS)
PCI DSS is de wereldwijde veiligheidsnorm voor de bescherming van betaalkaartgegevens. Lightspeed bewaart, verwerkt of verzendt geen gegevens van kaarthouders. Voor de verwerking van transacties vertrouwen we op PCI-conforme externe dienstverleners. Dit wordt jaarlijks geattesteerd door een PCI Qualified Security Assessor (QSA).

Kopieën van onze conformiteitscertificaten zijn hieronder gelinkt:
PCI AoC voor R-Series, X-Series, C-Series, K-Series, G-Series, L-Series, O-Series, Payments
PCI AoC voor E-Series
PCI AoC voor U-Series
PCI AoC voor B2B

Systeem- en organisatiecontroles (SOC)
Bepaalde Lightspeed-producten worden jaarlijks gecontroleerd op naleving van SOC 2. Deze audit certificeert dat controles met betrekking tot beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy op de juiste manier zijn ontworpen om gegevens van Handelaren te beschermen.

Zie voor SOC 2-rapporten onze contactgegevens om een kopie aan te vragen.
SOC 2 Type I: R-Series, X-Series, C-Series, K-Series, L-Series, O-Series, U-Series, Payments
SOC 2 Type II: B2B

Lightspeed houdt zijn netwerk veilig en beveiligd tegen ongeoorloofde toegang.

We hebben continu maatregelen in werking om het netwerk van Lightspeed veilig en beveiligd te houden. Deze maatregelen bestaan onder andere uit systeembewaking, logging, waarschuwingen en DDoS-bescherming (Distributed Denial-of-Service).

Apparaten die door het bedrijf worden verstrekt, worden geconfigureerd, bijgewerkt en gecontroleerd door eindpuntbeheeroplossingen, zodat Lightspeed beschermd blijft tegen ongeoorloofde toegang via externe apparaten. Standaard zijn Lightspeed-werkstations uitgerust met gegevensversleuteling, firewalls, sterke wachtwoorden en eindpuntbeveiliging.

Ook beheren we centraal de toegang tot het netwerk en de applicaties van Lightspeed, handhaven we multi-factor authenticatie en controleren we voortdurend de toegang, om zo het 'least privilege'-principe na te leven. Privileges worden toegekend op een 'need-to-know' basis en worden ingetrokken wanneer een functie verandert of het dienstverband wordt beëindigd.

Lightspeed beschermt gegevens in transit en in rust met behulp van sterke encryptieprotocollen.

Lightspeed host zijn productinfrastructuur bij multi-tenant, outsourced infrastructuuraanbieders. De fysieke en omgevingsbeveiligingscontroles van onze infrastructuuraanbieders worden gecontroleerd voor SOC 2 Type 2, ISO 27001, PCI DSS, AVG, FIPS 140-2, NIST 800-717, enz.

Lightspeed gebruikt geavanceerde beveiligingstools om ervoor te zorgen dat de gegevens van onze Handelaren veilig zijn. We monitoren dreigingsinformatie en waarschuwingen om aanvallen te voorkomen en onze systemen te beschermen. Wanneer we een veiligheidsincident ontdekken, handelt ons Incidentresponsteam snel om het probleem te identificeren, te beperken en op te lossen volgens ons incidentresponsplan.

Bij onrechtmatige toegang tot Handelaarsgegevens die zijn opgeslagen in onze producten, stellen wij de betrokken Handelaar op de hoogte, beschrijven wij de stappen die wij nemen om het incident op te lossen en geven wij indien nodig statusupdates.

We scannen onze code en implementaties routinematig op kwetsbaarheden en verkeerde configuraties om ervoor te zorgen dat onze Services en Handelaarsgegevens beschermd zijn.

Daarnaast heeft Lightspeed een openbaar bug bounty-programma waarmee onderzoekers onze producten kunnen testen en waarmee verantwoorde openbaarmaking van beveiligingsproblemen aangemoedigd wordt. Ook schakelen we derden in om jaarlijks externe en interne penetratietests uit te voeren.

Het Beveiligingsteam hanteert beleid en normen waarmee Lightspeed kan voldoen aan onze serviceverplichtingen jegens Handelaren. Deze beleidslijnen en normen worden jaarlijks herzien en intern gedeeld met teamleden.

Lightspeed vindt het belangrijk dat zijn medewerkers voortdurend worden bijgeschoold op het gebied van beveiliging.

Wij hanteren een integrale benadering van security awareness, zodat werknemers goed op de hoogte zijn van best practices. Onze medewerkers volgen een Security Awareness Training wanneer ze in dienst treden en krijgen daarna jaarlijks een opfriscursus. Daarnaast betrekken we medewerkers bij het doorlopende gesprek over de nieuwste beveiligingsrisico's en hoe deze aan te pakken. Door deze aanpak blijven medewerkers geïnformeerd en kunnen ze actief meewerken aan gegevensbescherming.