Nos commerçants sont responsables du traitement de données à caractère personnel qu'ils collectent par le biais de nos services (tels que définis dans notre Contrat de sous-traitance de données). Lightspeed agit en tant que sous-traitant de données pour nos commerçants et notre Contrat de sous-traitance de données régit notre traitement des données à caractère personnel au nom de nos commerçants.

Lightspeed est responsable du traitement de données à caractère personnel que nous collectons directement. Cela inclut les données à caractère personnel de nos commerçants, de nos partenaires, des visiteurs de nos sites Internet et des consommateurs qui s'engagent directement avec nous, tels que les golfeurs utilisant Chronogolf ou les consommateurs utilisant Order Anywhere. Notre Politique de protection de la vie privée et notre Déclaration de confidentialité pour les consommateurs exposent nos pratiques en ce qui concerne ces données.

Lightspeed peut transférer et stocker des données à caractère personnel dans des pays autres que le pays dans lequel les données ont été initialement collectées, y compris des destinations en dehors de l'UE. Pour les transferts vers des pays qui ne sont pas couverts par une décision d'adéquation de la Commission européenne, nous nous appuyons sur les dernières clauses contractuelles types incorporées dans notre Contrat de sous-traitance de données. Nous avons incorporé l'addendum concernant le transfert international de données pour les commerçants établis au Royaume-Uni.

Lightspeed est également certifié en vertu du cadre de protection des données UE - États-Unis, de l’extension britannique du cadre de protection des données UE - États-Unis, et du cadre de protection des données Suisse - États-Unis. Veuillez consulter notre Politique de confidentialité pour de plus amples informations.

Nous avons mis en œuvre une série de mesures techniques et organisationnelles pour protéger les données à caractère personnel. Ces mesures sont conçues pour maintenir en permanence la confidentialité, l'intégrité et la disponibilité de nos produits et services. Pour plus de détails, veuillez vous référer à la section Sécurité de notre Centre de confiance.

Lightspeed traite les données à caractère personnel aussi longtemps qu'elles sont raisonnablement nécessaires pour atteindre les objectifs pour lesquels nous les avons collectées. Notre durée de conservation peut être plus longue si nous sommes tenus de conserver les données à caractère personnel plus longtemps sur la base de la loi applicable ou pour gérer notre entreprise.

Lorsque vous avez le droit de demander leur suppression, nous supprimerons vos données à caractère personnel conformément à vos instructions écrites à cet effet et dès réception de celles-ci, sauf si nous sommes légalement tenus de les conserver. Vous pouvez choisir de le faire dans le cas où vous résiliez votre accord pour les Services.

Lightspeed fait appel à des sous-traitants pour l'aider à fournir ses Services. Nous avons conclu des contrats de sous-traitance de données avec ces sous-traitants afin de protéger les données à caractère personnel qu'ils traitent et nous nous assurons qu'ils s'engagent à respecter le même niveau de protection des données et les mêmes normes de confidentialité que celles que nous appliquons à nos commerçants.

Notre liste de sous-traitants est disponible ici.

Lightspeed ne divulguera pas les données des commerçants aux autorités publiques sans un mandat valide, une citation à comparaître, une ordonnance du tribunal ou une procédure légale équivalente. Si nous recevons une demande de divulgation, nous en informerons les commerçants dans la mesure où la loi applicable le permet et nous ferons des efforts raisonnables pour réduire la portée de la demande si celle-ci semble trop importante.

En fonction de votre lieu de résidence et sous réserve de la législation applicable, vous pouvez avoir le droit de demander l'accès, la correction et la suppression de vos données à caractère personnel.

Si vous avez acheté quelque chose auprès de l'un de nos commerçants, veuillez vous adresser directement à ce commerçant au sujet de votre demande de droits sur les données.

Si vous êtes un commerçant Lightspeed, vous pouvez soumettre une demande d'exercice de l'un de vos droits en matière de données en remplissant ce formulaire en ligne.

Lightspeed emploie une équipe expérimentée d'experts en matière de sécurité de l'information. Les descriptions suivantes donnent un aperçu des contrôles de sécurité techniques et organisationnels que Lightspeed maintient pour protéger et sécuriser toutes les données des commerçants.

Lightspeed se soumet régulièrement à des audits indépendants de ses contrôles de sécurité pour s'assurer qu'ils répondent aux normes internationales.

Normes de sécurisations des données de l’industrie des cartes de paiement (PCI DSS)
PCI DSS est la norme de sécurité mondiale pour la protection des informations relatives aux cartes de paiement. Lightspeed ne stocke pas, ne traite pas et ne transmet pas les données des titulaires de cartes. Nous faisons appel à des fournisseurs de services tiers conformes à la norme PCI pour traiter les transactions. Cette conformité est attestée chaque année par un évaluateur de sécurité qualifié (QSA) de PCI.

Des copies de nos attestations de conformité sont disponibles ci-dessous :
PCI AoC pour R-Series, X-Series, C-Series, K-Series, G-Series, L-Series, O-Series, Payments
PCI AoC pour E-Series
PCI AoC pour U-Series
PCI AoC pour B2B

Contrôles des systèmes et de l'organisation (System and Organization Controls, SOC)
Certains produits Lightspeed font l'objet d'un audit annuel de conformité SOC 2. Cet audit certifie que les contrôles régissant la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée sont conçus de manière appropriée pour protéger les données des commerçants.

Pour les rapports SOC 2, veuillez consulter nos informations de contact pour demander une copie.
SOC 2 Type I : R-Series, X-Series, C-Series, K-Series, L-Series, O-Series, U-Series, Payments
SOC 2 Type II : B2B

Lightspeed assure la sécurité de son réseau contre les accès non autorisés.

Nous appliquons constamment des mesures pour assurer la sécurité du réseau de Lightspeed. Ces mesures comprennent la surveillance du système, la journalisation, les alertes et la protection contre les dénis de service distribués (DDoS).

Pour protéger Lightspeed contre les accès non autorisés via des dispositifs à distance, les appareils fournis par l'entreprise sont configurés, mis à jour et suivis par des solutions de gestion des points d'extrémité. Par défaut, les postes de travail de Lightspeed sont équipés d'un système de cryptage des données, de pare-feu, de mots de passe complexes et d'une protection des points d'accès.

Nous gérons également de manière centralisée l'accès au réseau et aux applications de Lightspeed, nous appliquons l'authentification multifactorielle et nous vérifions continuellement l'accès afin de suivre le principe du moindre privilège. Les privilèges sont attribués en fonction du besoin de savoir et sont révoqués en cas de changement de fonction ou de cessation d'emploi.

Lightspeed protège les données en transit et au repos en utilisant des protocoles de cryptage puissants.

Lightspeed héberge l'infrastructure de ses produits chez des fournisseurs d'infrastructure externalisée multi-locataires. Les contrôles de sécurité physique et environnementale de nos fournisseurs d'infrastructure sont vérifiés pour SOC 2 Type 2, ISO 27001, PCI DSS, GDPR, FIPS 140-2, NIST 800-717, etc.

Lightspeed utilise des outils de sécurité avancés pour maintenir un environnement sécurisé pour les données de nos commerçants. Nous surveillons les renseignements sur les menaces et les alertes afin d'anticiper les attaques et de protéger nos systèmes. Lorsque nous découvrons un incident de sécurité, notre équipe de réponse aux incidents agit rapidement pour identifier, limiter et résoudre le problème conformément à notre plan de réponse aux incidents.

Si nous prenons connaissance d'un accès illégal aux données du commerçant stockées dans nos produits, nous en informerons le commerçant concerné, fournirons une description des mesures que nous prenons pour résoudre l'incident et fournirons des rapports sur la situation si nécessaire.

Nous analysons régulièrement notre code et nos déploiements pour détecter les vulnérabilités et les mauvaises configurations afin de garantir la protection de nos services et des données des commerçants.

De plus, Lightspeed dispose d'un programme public anti-bogues pour permettre aux chercheurs de tester nos produits et encourager la divulgation responsable des problèmes de sécurité. Nous faisons également appel à des tiers pour effectuer des tests annuels de pénétration externes et internes.

L'équipe de sécurité maintient des politiques et des normes pour aider Lightspeed à respecter ses engagements de service envers les commerçants. Ces politiques et normes sont révisées chaque année et partagées en interne avec les membres de l'équipe.

Lightspeed donne la priorité à la formation continue de ses employés en matière de sécurité.

Nous adoptons une approche globale de la sensibilisation à la sécurité afin de garantir que les employés connaissent bien les meilleures pratiques. Nos employés suivent une formation de sensibilisation à la sécurité lors de leur embauche et suivent des cours de recyclage chaque année. Nous les faisons également participer à des discussions permanentes sur les dernières menaces en matière de sécurité et sur la manière d'y faire face. Cette approche permet aux employés d'être informés et de participer activement à la protection des données.