Centre de confiance

Nos commerçants sont responsables du traitement de données à caractère personnel qu'ils collectent par le biais de nos services (tels que définis dans notre Contrat de sous-traitance de données). Lightspeed agit en tant que sous-traitant de données pour nos commerçants et notre Contrat de sous-traitance de données régit notre traitement des données à caractère personnel au nom de nos commerçants.

Lightspeed est responsable du traitement de données à caractère personnel que nous collectons directement. Cela inclut les données à caractère personnel de nos commerçants, de nos partenaires, des visiteurs de nos sites Internet et des consommateurs qui s'engagent directement avec nous, tels que les golfeurs utilisant Chronogolf ou les consommateurs utilisant Order Anywhere. Notre Politique de protection de la vie privée et notre Déclaration de confidentialité pour les consommateurs exposent nos pratiques en ce qui concerne ces données.

Lightspeed peut transférer et stocker des données à caractère personnel dans des pays autres que le pays dans lequel les données ont été initialement collectées, y compris des destinations en dehors de l'UE. Pour les transferts vers des pays qui ne sont pas couverts par une décision d'adéquation de la Commission européenne, nous nous appuyons sur les dernières clauses contractuelles types incorporées dans notre Contrat de sous-traitance de données. Nous avons incorporé l'addendum concernant le transfert international de données pour les commerçants établis au Royaume-Uni.

Lightspeed est également certifié en vertu du cadre de protection des données UE - États-Unis, de l’extension britannique du cadre de protection des données UE - États-Unis, et du cadre de protection des données Suisse - États-Unis. Veuillez consulter notre Politique de confidentialité pour de plus amples informations.

Nous avons mis en œuvre une série de mesures techniques et organisationnelles pour protéger les données à caractère personnel. Ces mesures sont conçues pour maintenir en permanence la confidentialité, l'intégrité et la disponibilité de nos produits et services. Pour plus de détails, veuillez vous référer à la section Sécurité de notre Centre de confiance.

Lightspeed traite les données à caractère personnel aussi longtemps qu'elles sont raisonnablement nécessaires pour atteindre les objectifs pour lesquels nous les avons collectées. Notre durée de conservation peut être plus longue si nous sommes tenus de conserver les données à caractère personnel plus longtemps sur la base de la loi applicable ou pour gérer notre entreprise.



Lorsque vous avez le droit de demander leur suppression, nous supprimerons vos données à caractère personnel conformément à vos instructions écrites à cet effet et dès réception de celles-ci, sauf si nous sommes légalement tenus de les conserver. Vous pouvez choisir de le faire dans le cas où vous résiliez votre accord pour les services.

Lightspeed fait appel à des sous-traitants pour l'aider à fournir ses Services. Nous avons conclu des contrats de sous-traitance de données avec ces sous-traitants afin de protéger les données à caractère personnel qu'ils traitent et nous nous assurons qu'ils s'engagent à respecter le même niveau de protection des données et les mêmes normes de confidentialité que celles que nous appliquons à nos commerçants.

Notre liste de sous-traitants est disponible ici.

Lightspeed ne divulguera pas les données des commerçants aux autorités publiques sans un mandat valide, une citation à comparaître, une ordonnance du tribunal ou une procédure légale équivalente. Si nous recevons une demande de divulgation, nous en informerons les commerçants dans la mesure où la loi applicable le permet et nous ferons des efforts raisonnables pour réduire la portée de la demande si celle-ci semble trop importante.

En fonction de votre lieu de résidence et sous réserve de la législation applicable, vous pouvez avoir le droit de demander l'accès, la correction et la suppression de vos données à caractère personnel.

- Si vous avez acheté quelque chose auprès de l'un de nos commerçants, veuillez vous adresser directement à ce commerçant au sujet de votre demande de droits sur les données.

- Si vous êtes un commerçant Lightspeed, vous pouvez soumettre une demande d'exercice de l'un de vos droits en matière de données en remplissant ce formulaire en ligne.

Lightspeed emploie une équipe expérimentée d'experts en sécurité informatique. Les descriptions suivantes présentent les mesures de sécurité techniques et organisationnelles mises en œuvre par Lightspeed pour protéger les données des marchands.

Lightspeed fait l'objet d'audits indépendants pour vérifier que nos contrôles de sécurité sont conformes aux normes internationales de l'industrie.

Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)

PCI DSS est la norme internationale pour la protection des informations relatives aux titulaires de cartes. Lightspeed ne stocke, ne traite ni transmet les données des titulaires de cartes. Toutes les transactions de paiements sont traitées par des prestataires de services tiers qui sont conformes à la norme PCI et qui sont évalués chaque année par un évaluateur de sécurité qualifié (QSA) indépendant.

Des exemplaires de nos attestations de conformité sont disponibles dans https://trust.lightspeedhq.com/

Vous trouverez ci-dessous des copies de nos attestations de conformité :
PCI AoC for R-Series, X-Series, C-Series, K-Series, G-Series, L-Series, O-Series, Golf, B2B(NuORDER), Payments
PCI AoC for E-Series
PCI AoC for U-Series

Contrôles des systèmes et de l'organisation (SOC)

Certains produits Lightspeed font l'objet d'un audit annuel de conformité SOC 2. Cet audit certifie que les contrôles régissant la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection des données sont conçus de manière appropriée pour garantir la sécurité des données des marchands.

Pour obtenir un rapport SOC 2, veuillez consulter nos coordonnées pour en faire la demande.

SOC 2 Type II : Séries R, X, C, E, K, L, O et U, Paiements, Golf
SOC 2 Type II : NuORDER

Notre rapport SOC 3, basé sur les critères de services de confiance de l'AICPA, présente un résumé public de nos contrôles et engagements en matière de sécurité. Il offre une transparence sur notre niveau de sécurité sans divulguer d'informations sensibles.

Vous trouverez ci-dessous des exemplaires de nos rapports SOC3 :
Rapport SOC 3 : NuORDER par Lightspeed
Rapport SOC 3 : Lightspeed Commerce (séries R, X, C, E, K, L, O, U, Golf et Paiements)


Des exemplaires de nos attestations de conformité sont disponibles dans https://trust.lightspeedhq.com/

Lightspeed protège son réseau grâce à de multiples niveaux de protection technique, notamment une surveillance continue, la journalisation, les alertes et la protection contre les attaques par déni de service distribué (DDoS).

Les appareils fournis par l'entreprise sont gérés de manière centralisée, régulièrement mis à jour et surveillés grâce à des solutions de gestion des terminaux. Les postes de travail sont chiffrés par défaut et équipés de pare-feu, de mots de passe robustes et d'une protection des terminaux.

L'accès aux systèmes Lightspeed est géré de manière centralisée, repose sur une authentification multifactorielle et fait l'objet d'un examen continu afin de garantir le respect du principe de moindre privilège. Les droits d'accès sont accordés uniquement aux personnes qui en ont besoin et sont supprimés en cas de changement de rôle ou de fin de contrat.

Lightspeed utilise un chiffrement robuste pour protéger les données, qu'elles soient en transit ou stockées.

Notre infrastructure produit est hébergée chez des fournisseurs externes mutualisés dont les contrôles physiques et environnementaux maintiennent des certifications telles que SOC 2 Type II, ISO 27001, PCI DSS, RGPD, FIPS 140-2 et les cadres NIST.

Lightspeed utilise des outils de surveillance avancés pour protéger les données des marchands et détecter les menaces potentielles. Notre équipe de sécurité analyse les alertes, suit l'évolution des menaces et prend des mesures proactives pour prévenir les attaques.

En cas d'incident de sécurité, notre équipe d'intervention suit des procédures établies pour enquêter, atténuer et résoudre le problème. Si un accès non autorisé aux données des marchands est détecté, ces derniers sont avertis et informés des mesures correctives à prendre et des mises à jour régulières.

Lightspeed effectue régulièrement des analyses de vulnérabilité sur l'ensemble des bases de code et des déploiements afin de garantir la sécurité de ses services.

Nous gérons un programme public de primes aux bogues (bug bounty) afin d'encourager la recherche éthique et la divulgation responsable. De plus, des entreprises tierces effectuent chaque année des tests d'intrusion internes et externes.

Notre équipe de sécurité maintient des politiques et des normes de sécurité formelles qui garantissent le respect des engagements de service de Lightspeed. Ces documents sont revus au moins une fois par an et partagés en interne avec tous les membres concernés de l'équipe.

Lightspeed accorde une grande importance à la formation de ses employés en matière de sécurité.

Tous les employés suivent une formation obligatoire de sensibilisation à la sécurité dès leur embauche, puis annuellement. Cette formation est complétée par une communication continue sur les nouvelles menaces de sécurité et les bonnes pratiques, permettant ainsi aux employés de contribuer activement à la protection des données.