Política de protección de datos de Amazon

Esta Política de Protección de Datos ("PDPD") rige la recepción, el almacenamiento, el uso, la transferencia y la eliminación de los datos vendidos y recuperados a través de la API de Amazon Services (incluida la API de Marketplace Web Service). Esta política es aplicable a todos los sistemas que almacenan, procesan o gestionan de otro modo los datos vendidos y recuperados de la API de Amazon Services.

1. Requisitos generales de seguridad

En consonancia con las normas de seguridad líderes en la industria, Now group UK Ltd (“La Compañía”) mantendrá salvaguardas físicas, administrativas y técnicas, y otras medidas de seguridad (i) para mantener la seguridad y confidencialidad de la Información a la que la Compañía acceda, recopile, use, almacene o transmita, y (ii) para proteger dicha Información de amenazas o peligros conocidos o razonablemente previstos para su seguridad e integridad, pérdida accidental, alteración, divulgación y todas las demás formas ilegales de procesamiento. Sin limitación, la Compañía cumplirá con los siguientes requisitos:

1.1 Protección de la red. La Compañía implementará controles de protección de la red, incluidos cortafuegos de red y listas de control de acceso a la red para denegar el acceso a direcciones IP no autorizadas. La Compañía implementará software antivirus y antimalware en los dispositivos de los usuarios finales. La Compañía restringirá el acceso público únicamente a los usuarios aprobados.

1.2 Gestión de acceso. La Compañía asignará una identificación única a cada persona con acceso informático a la Información. La Compañía no creará ni utilizará credenciales de inicio de sesión o cuentas de usuario genéricas, compartidas o predeterminadas. La Compañía implementará mecanismos de referencia para garantizar que en todo momento solo las cuentas de usuario requeridas accedan a la Información. La Compañía revisará la lista de personas y servicios con acceso a la Información al menos trimestralmente y eliminará las cuentas que ya no requieran acceso. La Compañía restringirá que los empleados y contratistas almacenen Información en dispositivos personales. La Compañía mantendrá y aplicará el "bloqueo de cuentas" detectando patrones de uso anómalos e intentos de inicio de sesión y desactivando las cuentas con acceso a la Información según sea necesario.

1.3 Principio de privilegio mínimo. La Compañía implementará mecanismos de control de acceso de grano fino para permitir otorgar derechos a cualquier parte que utilice la Aplicación y a los operadores de la Aplicación siguiendo el principio de privilegio mínimo. El acceso a la Información se otorgará en función de la necesidad de conocer.

1.4 Gestión de contraseñas. La Compañía establecerá requisitos mínimos de contraseñas para el personal y los sistemas con acceso a la Información. Los requisitos de contraseñas deberán tener un mínimo de ocho (8) caracteres, contener letras mayúsculas y minúsculas, contener números, contener caracteres especiales y rotarse al menos trimestralmente.

1.5 Cifrado en tránsito. La Compañía cifrará toda la información en tránsito con protocolos seguros como TLS 1.2+, SFTP y SSH-2. La Compañía aplicará este control de seguridad en todos los puntos finales internos y externos aplicables. La Compañía utilizará cifrado a nivel de mensaje de datos cuando el cifrado del canal (por ejemplo, mediante TLS) finalice en hardware multiusuario no confiable (por ejemplo, servidores proxy no confiables).

1.6 Plan de respuesta a incidentes. La Compañía cuenta con un plan o manual de instrucciones para detectar y gestionar incidentes de seguridad. Dichos planes identificarán las funciones y responsabilidades de respuesta a incidentes, definirán los tipos de incidentes que pueden afectar a Amazon, definirán los procedimientos de respuesta a incidentes para los tipos de incidentes definidos y definirán una ruta de escalamiento y procedimientos para escalar los incidentes de seguridad a Amazon. La Compañía revisará y verificará el plan cada seis (6) meses y después de cualquier cambio importante en la infraestructura o el sistema, incluidos los cambios en el sistema, los controles, los entornos operativos, los niveles de riesgo y la cadena de suministro. La Compañía notificará a Amazon (por correo electrónico a 3p-security@amazon.com ) dentro de las 24 horas posteriores a la detección del incidente de seguridad o la sospecha de que se ha producido un incidente de seguridad. La Compañía investigará cada incidente de seguridad y documentará la descripción del incidente, las acciones de remediación y los controles de proceso/sistema correctivo asociados implementados para evitar la recurrencia en el futuro. La Compañía mantendrá la cadena de custodia de todas las evidencias o registros recopilados, y dicha documentación se pondrá a disposición de Amazon si se lo solicita (si corresponde). Si ocurre un incidente de seguridad, la Compañía no puede representar ni hablar en nombre de Amazon ante ninguna autoridad reguladora o clientes a menos que Amazon solicite específicamente por escrito que el Desarrollador lo haga.

1.7 Solicitud de eliminación o devolución. La Compañía eliminará o devolverá de forma permanente y segura la Información en el plazo de 72 horas desde la notificación de Amazon que requiera la eliminación o devolución, a menos que los datos sean necesarios para cumplir con los requisitos legales, incluidos los requisitos impositivos o reglamentarios. La eliminación segura se realizará de acuerdo con los procesos de desinfección estándar de la industria, como NIST 800-88. La Compañía también eliminará de forma permanente y segura todas las instancias activas (accesibles en línea o en red) de la Información 90 días después de la notificación de Amazon. Si Amazon lo solicita, el Desarrollador certificará por escrito que toda la Información ha sido destruida de forma segura.

2. Requisitos de seguridad adicionales específicos para la información de identificación personal

Se cumplirán los siguientes requisitos de seguridad adicionales para la información de identificación personal ("PII"). La PII se otorga a la Compañía para determinados fines impositivos y de envío a cargo del comerciante, de manera voluntaria. Si una API de Amazon Services contiene PII, o si la PII se combina con información que no es PII, entonces todo el almacén de datos cumplirá con los siguientes requisitos:

2.1 Retención de datos. La Compañía conservará la PII durante un máximo de 30 días después de la entrega del pedido y solo con el propósito y el tiempo que sea necesario para (i) completar pedidos, (ii) calcular y remitir impuestos, (iii) producir facturas impositivas o (iv) cumplir con los requisitos legales, incluidos los requisitos impositivos o reglamentarios. Si la ley exige que la Compañía conserve copias de archivo de la PII para fines impositivos u otros fines reglamentarios, la PII se almacenará como una copia de seguridad en frío o cifrada fuera de línea (por ejemplo, no disponible para uso inmediato o interactivo).

2.2 Gobernanza de datos. La Compañía creará, documentará y cumplirá con una política de privacidad y manejo de datos para sus Aplicaciones o servicios, que regule la conducta apropiada y los controles técnicos que se aplicarán en la gestión y protección de los activos de información. Se debe mantener un registro de las actividades de procesamiento de datos, como los campos de datos específicos y cómo se recopilan, procesan, almacenan, usan, comparten y eliminan para toda la PII, a fin de establecer la responsabilidad y el cumplimiento de las regulaciones. La Compañía establecerá un proceso para detectar y cumplir con las leyes de privacidad y seguridad y los requisitos regulatorios aplicables a su negocio y conservará evidencia documentada de su cumplimiento. La Compañía establecerá y cumplirá con su política de privacidad para el consentimiento del cliente y los derechos de datos para acceder, rectificar, borrar o dejar de compartir/procesar su información cuando corresponda o lo requiera la regulación de privacidad de datos.

2.3 Gestión de activos. La Compañía mantendrá un inventario de software y activos físicos (por ejemplo, computadoras, dispositivos móviles) con acceso a PII y lo actualizará trimestralmente. Los activos físicos que almacenan, procesan o manejan de otra manera PII cumplirán con todos los requisitos establecidos en esta política. La Compañía no almacenará PII en medios extraíbles, dispositivos personales o aplicaciones de nube pública no seguras (por ejemplo, enlaces públicos disponibles a través de Google Drive) a menos que esté encriptada utilizando al menos claves AES-128 o RSA-2048 bit o superiores. La Compañía eliminará de forma segura cualquier documento impreso que contenga PII.

2.4 Cifrado en reposo. La Compañía cifrará toda la información personal identificable en reposo utilizando al menos AES-128 o RSA con un tamaño de clave de 2048 bits o superior. Los materiales criptográficos (por ejemplo, claves de cifrado/descifrado) y las capacidades criptográficas (por ejemplo, daemons que implementan módulos de plataforma segura virtuales y proporcionan API de cifrado/descifrado) utilizados para el cifrado de la información personal identificable en reposo solo serán accesibles para los procesos y servicios del Desarrollador.

2.5 Prácticas de codificación segura. La empresa no codificará de forma rígida credenciales confidenciales en su código, incluidas claves de cifrado, claves de acceso secretas o contraseñas. Las credenciales confidenciales no se expondrán en repositorios de código públicos. La empresa mantendrá entornos de prueba y producción separados.

2.6 Registro y monitoreo. La Compañía recopilará registros para detectar eventos relacionados con la seguridad en sus Aplicaciones y sistemas, incluyendo el éxito o fracaso del evento, fecha y hora, intentos de acceso, cambios de datos y errores del sistema. La Compañía implementará este mecanismo de registro en todos los canales (por ejemplo, API de servicio, API de capa de almacenamiento, paneles administrativos) que brinden acceso a la Información. Todos los registros tendrán controles de acceso para evitar cualquier acceso no autorizado y manipulación a lo largo de su ciclo de vida. Los registros no contendrán PII a menos que la PII sea necesaria para cumplir con los requisitos legales, incluidos los requisitos impositivos o reglamentarios. Los registros se conservarán durante al menos 90 días para referencia en caso de un Incidente de Seguridad. La Compañía creará mecanismos para monitorear los registros y todas las actividades del sistema para activar alarmas de investigación sobre acciones sospechosas (por ejemplo, múltiples llamadas no autorizadas, tasa de solicitudes inesperadas y volumen de recuperación de datos y acceso a registros de datos canarios). La Compañía implementará alarmas de monitoreo para detectar si la Información se extrae de sus límites protegidos. La Compañía debe realizar una investigación cuando se activen las alarmas de monitoreo y esto debe documentarse en el Plan de Respuesta a Incidentes del Desarrollador.

2.7 Gestión de vulnerabilidades. La Compañía creará y mantendrá un plan o manual de instrucciones para detectar y remediar vulnerabilidades. La Compañía protegerá el hardware físico que contenga información personal identificable de vulnerabilidades técnicas mediante la realización de análisis de vulnerabilidades y la reparación correspondiente. La Compañía realizará análisis de vulnerabilidades o pruebas de penetración al menos cada 180 días y analizará el código en busca de vulnerabilidades antes de cada lanzamiento. Además, la Compañía controlará los cambios en el hardware de almacenamiento mediante pruebas, verificación de cambios, aprobación de cambios y restricción del acceso a quienes puedan realizar esas acciones.

3. Auditoría y evaluación

La Compañía mantendrá todos los libros y registros apropiados que sean razonablemente necesarios para verificar el cumplimiento de la Política de uso aceptable, la Política de protección de datos y el Acuerdo para desarrolladores de API de servicios de Amazon durante el período de vigencia de este acuerdo y durante los 12 meses posteriores. A pedido escrito de Amazon, la Compañía certificará por escrito a Amazon que cumple con estas políticas.

A pedido, Amazon puede, o puede hacer que una firma de contabilidad pública certificada independiente seleccionada por Amazon, audite, evalúe e inspeccione los libros, registros, instalaciones, operaciones y seguridad de todos los sistemas que estén involucrados con la Aplicación de la Compañía en la recuperación, almacenamiento o procesamiento de Información. La Compañía cooperará con Amazon o el auditor de Amazon en relación con la auditoría o evaluación, que puede ocurrir en las instalaciones de la Compañía y/o las instalaciones de subcontratistas. Si la auditoría o evaluación revela deficiencias, infracciones y/o incumplimientos de nuestros términos, condiciones o políticas, la Compañía, a su exclusivo costo y gasto, tomará todas las medidas necesarias para remediar esas deficiencias dentro de un plazo acordado. A pedido, la Compañía proporcionará evidencia de remediación en la forma solicitada por Amazon (que puede incluir políticas, documentos, capturas de pantalla o uso compartido de pantalla de cambios en la aplicación o infraestructura) y obtendrá la aprobación por escrito de Amazon sobre la evidencia presentada antes del cierre de la auditoría.

4. Definiciones

"API de Servicios de Amazon" significa cualquier interfaz de programación de aplicaciones (API) ofrecida por Amazon con el propósito de ayudar a los Usuarios Autorizados de Amazon a intercambiar datos mediante programación.

"Materiales API" significa los materiales que ponemos a disposición en relación con la API de Servicios de Amazon, incluidas API, documentación, especificaciones, bibliotecas de software, kits de desarrollo de software y otros materiales de apoyo, independientemente del formato.

"Aplicación" significa una aplicación de software o un sitio web que interactúa con la API de Servicios de Amazon o los Materiales de la API.

"Usuario Autorizado significa un usuario de los sistemas o servicios de Amazon que ha sido específicamente autorizado por Amazon para utilizar los sistemas o servicios correspondientes.

"Cliente" significa cualquier persona o entidad que haya comprado artículos o servicios en los sitios web públicos de Amazon.

"Compañía" significa Now Group UK Ltd.

"Información" hace referencia a cualquier información que se exponga a través de la API de servicios de Amazon, los portales de Amazon o los sitios web públicos de Amazon. Estos datos pueden ser públicos o no públicos, incluida la información de identificación personal sobre los clientes de Amazon.

"Información de identificación personal" ("PII") significa información que puede usarse por sí sola o junto con otra información para identificar, contactar, identificar en contexto o localizar a un Cliente de Amazon o Usuario autorizado. Esto incluye, entre otros, el nombre, la dirección, la dirección de correo electrónico, el número de teléfono, el contenido del mensaje de regalo, las respuestas de la encuesta, los detalles de pago, las compras, las cookies, la huella digital (por ejemplo, el navegador, el dispositivo del usuario), la dirección IP, la ubicación geográfica, el código postal de nueve dígitos o el identificador de producto del dispositivo conectado a Internet de un Cliente o Usuario autorizado.

"Incidente de seguridad" significa cualquier acceso, recopilación, adquisición, uso, transmisión, divulgación, corrupción o pérdida de información, real o sospechado, o violación de cualquier entorno que contenga información.