数据保护政策
数据保护政策(“DPP”)管理信息的接收、存储、使用、传输和处置,这包括通过亚马逊开店服务 API(包括亚马逊商城网络服务 API)发布和检索的数据。此政策适用于存储、处理或以其他方式处理从亚马逊开店服务 API 提供和检索的数据的所有系统。本政策是对《亚马逊开店服务 API 开发者协议》和可接受使用政策的补充。若未能遵守以下政策,可能会导致亚马逊开店服务 API 访问暂停或终止。
1.一般安全要求
根据行业领先的安全要求,开发者将采取物理、管理和技术保护措施以及其他安全措施,以便 (i) 维护开发者访问、收集、使用、存储或传输的信息的安全性和机密性,以及 (ii) 保护其信息的安全性和完整性免受已知的或可合理预期的威胁或危害,防止此类信息意外丢失、被篡改、泄露以及受到所有其他非法形式的处理。开发者须遵循的要求包括但不限于:
1.1 网络保护。开发者必须实施网络保护控制措施(包括网络防火墙和网络访问控制列表),以拒绝访问未经授权的 IP 地址。开发者必须在最终用户设备上实施网络分段、防病毒和反恶意软件。开发者必须将公共访问权限局限于获得批准的用户,并为所有具有系统访问权限的人员提供数据保护和 IT 安全培训。
1.2 访问管理。 开发者必须制定正式的用户访问注册流程,确保为每个具有计算机信息访问权限的人员分配唯一的 ID,从而为所有类型的用户和服务分配访问权限。开发者不得创建或使用通用、共享或默认的登录凭据或用户帐户,并禁止共享用户帐户。开发者必须实行基线机制,以确保始终只有所需的用户帐户才能访问信息。开发者必须限制员工和承包商在个人设备上存储信息。开发者将通过检测异常使用模式和登录尝试,并停用有信息访问权限的帐户,以维护和强制执行“帐户锁定”。开发者必须至少每季度审查一次有信息访问权限的人员和服务的列表。开发者必须确保在 24 小时内禁用和/或移除已离职员工的访问权限。
1.3. 最小权限原则。 开发者必须实行精细访问控制机制,以允许在遵循最小权限原则的基础上向使用应用程序的任何一方和应用程序授权操作员授予权限。信息访问权限必须在“必要时”授予。
1.4 凭证管理。 开发者必须为有权访问信息的人员和系统设定最低密码要求。要求密码必须至少包含十二 (12) 个字符,不能包含用户名的任何部分,必须混合使用大写字母、小写字母、数字和特殊字符,包括每种字符的最低要求。开发者必须将所有用户的最短密码期限定为 1 天,最长密码有效期为 365 天。开发者必须确保对所有用户帐户进行多重身份验证 (MFA),开发者必须确保亚马逊提供的 API 密钥已加密,并且只有需要这些秘钥的员工才能使用。
1.5 传输中加密。 开发者必须使用安全协议(如 TLS 1.2+、SFTP 和 SSH-2)对所有传输中的信息进行加密。开发者必须在所有适用的内部和外部终端节点上强制执行此安全控制措施。开发者必须使用数据消息级别的加密,其中通道加密(例如,使用 TLS)在不受信任的多租户硬件(例如,不受信任的代理)中终止。
1.6 风险管理和事件响应计划。开发者必须制定风险评估和管理流程,开发者的高级管理层每年都会审查该流程,其中包括但不限于评估潜在威胁和漏洞以及可能性和影响,以便追踪已知风险。开发者必须创建相关计划和/或运行手册并予以维护,以检测和处理安全事件。此类计划必须确定事件响应的角色和责任,定义可能影响亚马逊的事件类型,为定义的事件类型确定事件响应程序,并明确将安全事件上报亚马逊的上报途径和程序。开发者必须每六 (6) 个月以及在任何重大基础设施或系统更改后审核和验证一次计划,此处提及的更改包括系统、控制、运营环境、风险水平和供应链的更改。开发者必须在检测到任何安全事件后的 24 小时内通知亚马逊(通过发送电子邮件至 3p-security@amazon.com)。开发者全权负责根据适用的当地法律要求通知相关政府或监管机构。开发者必须调查每个安全事件,并记录事件描述、补救措施以及为防止以后再次发生该事件而实施的相关纠正流程/系统控制措施。开发者必须维护收集的所有证据或记录的保管链,且必须根据要求向亚马逊提供此类文件(如果适用)。如果发生安全事件,开发者不能代表亚马逊行事,也不能代表亚马逊与任何监管机构或买家沟通,除非亚马逊以书面形式明确要求开发者这样做。
1.7 请求删除。 如果亚马逊发出通知,要求在亚马逊提出要求后 30 天内删除信息,则开发者必须依照通知内容永久性且以安全方式删除该等信息,除非依照法律要求(包括税务或监管要求)必须保留相关数据。安全删除必须按照 NIST 800-88 等行业标准清理流程进行。开发者还必须在收到亚马逊通知后 90 天内永久性且以安全方式删除信息的所有实时(在线或网络可访问)实例。如果亚马逊提出要求,开发者将以书面形式证明所有信息均已安全销毁。
1.8 数据归因。开发者必须将信息存储在单独的数据库中,或者实施一种机制来标记和标识任何包含信息的数据库中所有数据的来源。
2.针对个人身份信息的其他安全要求
对于个人身份信息(“PII”),必须满足以下其他安全要求。必要时,可出于特定的税务和卖家自配送目的,向开发者授予 PII 访问权限。如果亚马逊开店服务 API 包含 PII,或者同时有 PII 和非 PII,那么所有的数据存储均必须满足以下要求:
2.1 数据保留。在订单交付后,开发者将仅出于以下目的将 PII 保留不超过 30 天:(i) 配送订单,(ii) 计算和缴纳税费,(iii) 生成税款发票和其他法律要求的文件;以及 (iv) 满足法律要求(包括税务或监管要求)。 只有在法律要求且仅出于遵守该法律的目的的情况下,开发者才能在订单交付后将数据保留 30 天以上。依据第 1.5 节(“传输中加密”)和第 2.4 节(“静态加密”),PII 在任何时候都不应在不受保护的情况下传输或存储。
2.2 数据管理。 开发者必须创建、记录并遵守其应用程序或服务的隐私和数据处理和分类政策,这些政策规范了管理和保护信息资产的相应行为和技术控制措施。应保留数据处理活动记录,例如具体数据字段,以及它们是如何收集、处理、储存、使用、共享和处置所有的 PII,以确立问责程序并符合法规。开发者必须建立一个流程来检测和遵守适用于其业务的隐私和安全法律及法规要求,并保留证明其合规性的记录证据。开发者必须建立并遵守他们的隐私政策以征得买家的同意和数据处理权,从而在适用或数据隐私政策要求的情况下访问、纠正、删除或停止共享/处理其信息。开发者必须具备技术和组织流程与系统,以协助授权用户处理数据主体访问请求。开发者必须在与处理 PII 的员工签订的雇佣合同中包含合同条款,以维护 PII 的保密性。
2.3 资产管理。 开发者必须保持信息系统的基准标准配置,并保存可访问 PII 的软件和实际资产(例如计算机、移动设备)的清单,并每季度更新。存储、处理或以其他方式处理 PII 的实际资产时,必须遵守本政策中规定的所有要求。开发者不得将 PII 存储在可移动媒体、个人设备或不安全的公共云应用程序(例如,通过 Google Drive 提供的公共链接)中,除非使用至少 AES-128、RSA-2048 位或更长密钥进行加密。开发者必须以安全方式处置包含 PII 的所有打印文件。开发者必须实施数据丢失防护 (DLP) 控制措施,以监控和检测未经授权的数据移动。
2.4 静态加密。 开发者必须至少使用具有 2048 位或更大的 AES-128 或 RSA 对所有 PII 进行静态加密。用于对静态 PII 进行加密的加密材料(例如,加密/解密密钥)和加密功能(例如,实施虚拟可信平台模块以及提供加密/解密 API 的守护进程))必须只能由开发者的进程和服务访问。
2.5 安全编码实践。 开发人员不得在其代码中对敏感凭证进行硬编码,包括加密密钥、私有访问密钥或密码。敏感凭证不得在公共代码存储库中公开。开发人员必须维护独立的测试和生产环境。
2.6 日志记录和监控。 开发者必须收集日志来检测其应用程序和系统的安全相关事件,包括事件的成功或失败、日期和时间、访问尝试、数据更改和系统错误。开发者必须在能够访问信息的所有渠道(例如服务 API、存储层 API、管理控制面板)中实施此日志记录机制。开发者必须实时或每两周查看一次日志(例如 SIEM 工具)。所有日志都必须具有访问控制措施,以防止在其整个使用周期内出现任何未经授权的访问或篡改。除非依照法律要求(包括税务或监管要求)必须保留 PII,否则日志不得包含 PII。除非适用法律另有规定,否则日志必须保留至少 90 天以供发生安全事件时参考。开发者必须建立监控日志和所有系统活动的机制,以触发关于可疑操作的调查警报(例如,多个未经授权的电话、意外请求率和数据检索量以及对 canary 数据记录的访问)。开发者必须实施监控警报和流程,以检测信息是否在受保护的范围内提取,或可否在其受保护的范围之外找到。开发者应在监控警报被触发时执行调查,并且应在开发者事件响应计划中记录此事件。
2.7 漏洞管理: 开发者必须创建相关计划和/或运行手册并予以维护,以检测和修复漏洞。开发者必须执行漏洞扫描并采取适当的补救措施,保护包含 PII 的物理硬件免受技术漏洞的侵害。开发者必须至少每 180 天进行一次漏洞扫描,至少每 365 天进行一次渗透测试,并在每次发布之前扫描代码以检查是否存在漏洞。此外,开发者必须通过测试、验证和批准更改,以及限制可执行这些操作的人员的访问权限,来控制对存储硬件的更改。开发者必须制定适当的程序和计划,以便在发生物理或技术事故时及时恢复 PII 的可用性和访问权限。
3.审计和评估
开发人员必须在本协议期间及其后 12 个月内维护所有合理需要的账簿记录,以验证是否符合《可接受使用政策》、《数据保护政策》和《亚马逊开店服务 API 开发者协议》。一经亚马逊提出书面要求,开发者必须以书面形式向亚马逊证明开发者遵守上述政策。
一经要求,亚马逊或其选择的经认证的独立公共会计事务所可审计、评估和检查开发者应用程序在检索、存储或处理信息方面涉及的所有系统的账簿、记录、场所、操作和安全性。对于开发者在本次审计、评估或检查中披露的任何非公开信息,亚马逊应保证其机密性,因为此类信息被指定为机密信息,或鉴于信息的性质或信息披露的相关情况,应合理地将其视为机密信息。有关在开发者场所和/或分包商场所进行审计或评估的事宜,开发者必须与亚马逊或亚马逊的审计员合作。如果通过审计或评估发现存在缺陷、违规和/或未能遵守我们的条款、条件或政策,开发者必须采取一切必要措施,在商定的期限内纠正这些缺陷,产生的相关费用由开发者自行承担。一经要求,开发者必须以亚马逊要求的方式提供补救证据(其中可能包括应用程序或基础设施变更的政策、文档、屏幕截图或屏幕共享),并在审计结束之前获得亚马逊对提交证据的书面批准。
4.定义
“亚马逊开店服务 API”是指亚马逊为帮助亚马逊授权用户以编程方式交换数据而提供的任何应用程序编程接口 (API)。
“API 材料”是指我们提供的与亚马逊开店服务 API 相关的材料,包括 API、文档、规范、软件库、软件开发套件和其他支持材料,不论格式如何。
“应用程序”是指通过接口与亚马逊开店服务 API 或 API 材料连接的软件应用程序或网站。
“授权用户”是指获得亚马逊专门授权使用适用系统或服务的亚马逊系统或服务用户。
“买家”是指从亚马逊面向公众的网站购买商品或服务的任何个人或实体。
“开发者”指代表授权用户将亚马逊开店服务 API 或 API 材料用于许可用途的任何个人或实体(如果适用,包括您)。
“信息”是指亚马逊通过亚马逊开店服务 API、亚马逊门户或亚马逊面向公众的网站公开的任何信息。这些数据可以是公开的,也可以是非公开的,包括亚马逊买家的个人可识别信息。
“个人身份信息”("PII") 是指可单独使用或与其他信息一起使用的信息,用于识别、联系、在语境中识别亚马逊买家或授权用户或者确定其位置。它包括但不限于买家或授权用户的姓名、地址、电子邮件地址、电话号码、礼品信息内容、调查回复、付款详情、购买信息、Cookie、数字指纹(例如浏览器、使用者设备)、IP 地址、地理位置、九位数邮政编码或互联网连接的设备商品编码。
“安全事故”是指任何实际或疑似未经授权的访问、收集、获取、使用、传输、披露信息,或信息遭到损坏或丢失,或包含信息的环境遭到破坏。
